Le RGPD, « Règlement » directement applicable dans le droit interne des États membres de l’EEE (ou de l’Union), sans transposition nécessaire (contrairement aux directives) est d’application depuis le 24 mai 2018. Cette lourde mécanique juridique s’impose à toutes les entreprises françaises qui exploitent, utilisent, échangent des données. Elle s’applique donc aux assureurs, à leurs distributeurs, à leurs sous-traitants (experts/assistants/protection juridique) à la fois en tant que gestionnaires de données et responsables de traitement de données personnelles, mais aussi en tant que porteurs de risques de violation de données, de manquements aux obligations du RGPD, voire « d’indemnisateurs » de sanctions administratives liées audit Règlement. À l’heure du Big Data et des perspectives qu’il ouvre en matière de tarification, gestion de contrat et marketing des produits, le RGPD est un défi pour l’assurance qu’il soumet à de nouvelles contraintes et dont il bride sévèrement la créativité dans de nombreux domaines. Un an après la mise en application du Règlement, il est temps d’en décrire les dispositions et les principales conséquences pour préparer les assureurs aux difficultés de l’avenir dans l’Europe et, sans doute, par comparaison de leur développement, avec les pays non européens, épargnés par le RGPD.
I. Les objectifs et les principes du RGPD
1.1. Les objectifs du RGDP
Comme beaucoup de textes européens, les objectifs du RGDP sont nombreux et souvent sinon contradictoires, du moins confus.
Il s’agit d’abord et principalement de protéger la confidentialité des données personnelles au profit du consommateur. Cela induit un texte juridique fortement imprégné des thèmes de « Libertés publiques » mais, nécessairement, constellé d’exceptions innombrables. Toute information est confidentielle et protégée, sauf pour l’administration, le fisc, les douanes, etc. La mieux « sanctuarisée » est la confidentialité du « dossier médical », ainsi que celle des données sensibles : origine sociale ou ethnique, les données génétiques et biométriques, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, des données concernant la vie sexuelle ou des condamnations pénales ou des infractions, ou des mesures de sûreté connexe. Un article spécifique [art. 87] est même consacré à la confidentialité du numéro de sécurité sociale. Les données personnelles sont donc en principe couvertes par le secret, sauf au profit de certains (en général le secteur public), et certaines données sont plus confidentielles que les autres.
La protection des données ne doit pas faire obstacle à la construction du marché intérieur européen. Il n’y a d’ailleurs pas de risque. Le même Règlement s’appliquant à tous les pays européens, le droit de protection sera le même pour tous : mêmes principes, mêmes procédures, mêmes Autorités de contrôle ayant les mêmes pouvoirs. L’égalité ne fait pas de doute pour la Commission et les risques de recherche d’un « havre régulatoire » (application plus modérée de la réglementation) lui paraissent limités.
La protection des données s’exerce à l’encontre des pays tiers. Le RGPD s’applique aux traitements de données personnelles recueillies dans le cadre d’activités effectuées sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union (Article 3) Il faut d’abord éviter que nos données « nationales » ne soient transférées à des pays tiers pour y subir des traitements interdits dans l’Europe des 27 ou 28. C’est le risque de recherche d’un traitement plus souple hors d’Europe. Mais cela vise aussi le cloud, gestion (et éventuellement traitement) de grandes masses de données hors du territoire de leur collecte. Il s’agit, enfin, des innombrables tentations d’extension extraterritoriale des lois américaines : obligations de fournir un grand nombre d’informations aux Autorités américaines notamment. D’où des formalités et procédures pour permettre la transmission aux États-Unis des données réclamées par les Autorités publiques de cet État : les accords internationaux (considérant 101), le « niveau adéquat de protection » (considérant n° 103) donné par l’État bénéficiaire du transfert de données, les « décisions » d’adéquation de la Commission (considérant n° 106), etc. Le texte est tout sauf libéral, il est même franchement protectionniste, sauf…
On ne sait pas très bien quel est le statut des réseaux sociaux, pourtant désormais principale source et média de communication erga omnes de données personnelles. Le Considérant 18 dit que le Règlement ne s’applique pas aux « traitements […] effectués par une personne physique au cours d’activités […] domestiques [qui] pourraient inclure […] l’utilisation des réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités ». On pourrait résumer ce galimatias en disant que la communication sur Facebook n’est pas concernée par le RGPD : le traitement de l’information est soumis au RGPD, mais le client Facebook peut avoir (moyennant une procédure) donné son consentement pour l’utilisation commerciale des informations qu’il a lui-même fournies. Ce sont les modalités de ce consentement qui sont définies par le RGPD et fondent le contrôle des réseaux sociaux.
I.2. Les principes du texte
a. La garantie des droits du citoyen correspond à l’objectif de défense des libertés publiques. « Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité » (considérant n° 4), on ne saurait le dire plus solennellement. Ces droits (plus ou moins nouveaux) apparaissent dans les considérants 59 et suivants et dans l’article 47 § 12, et au chapitre III article 12 à 20. Ces droits sont :
- le droit à une information « concise, transparente, compréhensible et aisément accessible » sur les finalités du traitement des données, sur l’intérêt légitime du responsable du traitement des données, sur les destinataires des données, et sur l’éventuel transfert de celles-ci vers un pays tiers, sur la durée de conservation des données, sur l’accès aux données, leur rectification ou l’effacement possible, etc., sur le caractère obligatoire de l’information dans un cadre contractuel (cf. les réglementations DDA et PRIIPs sur l’information précontractuelle), sur l’existence d’une prise de décision automatisée (y compris un profilage) [c’est le vieux sujet du scoring automatique après réponse à un questionnaire d’assurance] ;
- le droit « d’accès » aux données et donc aux finalités du traitement (avec répétition des mêmes spécificités que pour le « droit à l’information ») ;
- le droit de rectification des données ;
- le droit dit « à l’oubli » si les données ne sont plus nécessaires (finalités), si le consentement est retiré, si le droit d’opposition est exercé, s’il s’agit de respecter une obligation légale. Ces formules alambiquées visent évidemment les amnisties et leur effet sur les casiers judiciaires, sans doute les bases statistiques du coefficient R/M.Automobile et, bien évidemment, les engagements de la Convention AERAS (les guérisons de maladies graves) ;
- le droit à la limitation du traitement ;
- le droit à la portabilité du traitement ou droit de transmettre des informations librement consenties et faisant l’objet de procédés automatisés ;
- le droit d’opposition au traitement des données personnelles (par exemple à la prospection ou au « profilage », véritable sujet de l’agressivité de la Commission) et le droit de s’opposer aux conséquences d’un traitement automatisé des données, y compris profilage, qui pourrait l’affecter. Cela dit, cela ne s’applique pas en cas de contrat : donc, le scoring est garanti, de même que le refus de vendre un contrat en unités de compte, faute pour le client d’avoir donné l’information précontractuelle nécessaire au Conseil de l’intermédiaire ou du commercial.
- les données doivent être collectées pour des finalités déterminées, explicites et légitimes ;
- elles doivent être exactes, pertinentes et limitées aux finalités ;
- le traitement doit être licite, loyal et transparent (cf. les droits à la transparence ci-dessus). Pour être licite, outre les considérations générales sur les obligations légales, le traitement doit répondre à deux conditions de base : la personne a exprimé son consentement au traitement des données ; le traitement est nécessaire aux intérêts légitimes poursuivis par le responsable du traitement.
On note aussi le recours fréquent aux exceptions à la libre disposition des données et du consentement fondées sur l’intérêt public, la recherche scientifique, les « missions d’intérêt public ». Il s’agit bien de protéger les données personnelles contre les intrusions du « privé », le « public », lui, a tous les droits. C’est particulièrement visible dans les discours sur les données de santé (article 9, exception à l’interdiction des traitements sur les données sensibles, notamment si les données sont traitées par des professionnels de santé soumis au secret médical.)
Au total, police, justice et santé échappent globalement aux obligations du RGPD, mais au seul profit des professionnels concernés.
c. Au-delà de ces « données réservées » de la communication des données, l’article 23 fournit une liste utile des secteurs où les « droits » des personnes sont limités. Ce n’est pas la seule liste d’exceptions et limitations, mais elle semble constituer la « liste de principe » des exceptions à la protection des droits individuels sur les données :
les exceptions liées aux fonctions régaliennes : sécurité nationale, défense, sécurité publique (police), justice et enquêtes pénales, procédures judiciaires ;
les exceptions ou limitations liées à l’intérêt général de l’Union européenne ou d’un État : les questions monétaires (blanchiment, financement du terrorisme ?), budgétaire et fiscale (la fraude), la santé publique et la sécurité sociale. Il s’agit de confirmer que les données de santé sont opaques pour tous, sauf pour les organismes de santé publique et de sécurité sociale ;
les exceptions liées aux nécessités des contrôles (sécurité nationale, fiscalité, LCB/FT, fraude, mais aussi la « déontologie des professions réglementées »). C’est ce qui fonde les contrôles des assurances et des banques.
d. Le fonctionnement de la garantie des droits sur les données personnelles est complexe et repose sur trois piliers :
- la responsabilité du « Responsable du traitement » [art. 21 et 32] (cf. ci-dessous) et de son ou ses « sous-traitants » (par ex. les gestionnaires du cloud où sont entreposées les données). Celui-ci a des obligations de moyens : pseudonymisation et chiffrement des données techniques garantissant l’intégrité (la sécurité) des systèmes d’information, la bonne gestion des incidents physiques ou techniques, les procédures de test de sécurité (contre la destruction et l’intrusion), l’application d’un « Code de conduite » (voir ci-dessous) et la discipline interne à l’entreprise excluant l’utilisation des données frauduleusement par un salarié du « responsable » ;
- la construction du système d’information [art.25]. En principe, le système d’information doit être conçu pour faire face aux obligations et responsabilité du « Responsable du traitement ». C’est le système de privacy by design. Mais cela s’applique aux traitements qui vont être mis en place à partir de la promulgation du règlement. Les traitements antérieurement construits sont conçus sous un régime de privacy by default (par défaut) : il faut donc que le responsable s’assure que « sont seules traitées les données personnelles qui sont nécessaires à la finalité, spécifiques à chaque traitement ». Évidemment, l’adéquation des mesures de protection à la finalité du traitement doit être démontrée par le responsable. Ces principes sont majeurs dans le fonctionnement et l’application du RGPD ;
- le système français antérieur était fondé sur des autorisations de la CNIL ex ante sur les traitements auxquels une entreprise prévoyait de procéder sur les données personnelles qu’elle collectait ou détenait. Le RGPD prévoit, dans la logique de la « protection des données dès la conception » (by design) et aussi des contrôles sur les entreprises, assortis de lourdes sanctions, que ces autorisations n’existent plus. Mais [art. 35], le RGPD institue la procédure « d’analyse d’impact » effectuée par le « responsable du traitement », qui décide de lancer la procédure lorsque le traitement « est susceptible d’engendrer un risque élevé ». L’article 35 fait une liste des cas où cette analyse d’impact est obligatoire : le « profilage », le traitement de données sensibles et la surveillance d’une zone publique. L’Autorité de contrôle établit une liste des cas où elle exige une telle analyse, mais peut aussi établir une liste des cas où elle ne les requiert pas.
On peut évidemment soupçonner que les responsables de traitement seront vigilants à consulter largement les Autorités de tutelle sur la base d’analyse d’impact pour éviter des difficultés ultérieures. D’autant que la contestation de la licéité d’un traitement par le contrôleur induit, du fait de la privacy by design, une reformulation en profondeur de ce traitement et non des aménagements à la marge.
e. La notion de violation des données personnelles
C’est la suite logique de la garantie de protection et de la responsabilité du collecteur/traitant. Mais c’est aujourd’hui particulièrement important du fait du développement du cyber-risque. Il ne s’agit plus seulement de la divulgation désagréable d’adresses mail ou téléphoniques à des sociétés de marketing, mais de l’ensemble des activités délictueuses qui se sont développées autour du vol/détournement/blocage/prise en otage de données personnelles : du vol des coordonnées bancaires à l’usurpation d’identité en passant par l’indisponibilité durable du compte bancaire.
Le RGPD prévoit que la violation doit être notifiée dans les 72 heures à l’Autorité de contrôle et doit décrire les conséquences de la violation et les mesures prises par le Responsable du traitement. La violation, s’il y a risque élevé, doit être également notifiée à la personne victime, sauf, dit naïvement le RGPD, si les mesures prises garantissent que la violation ne risque plus de se reproduire. Nous déconseillons vivement aux assureurs de se prévaloir de cette disposition. En réalité, la notification aux « victimes » est sinon obligatoire, au moins prudente.
II. L’organisation de la collecte et du traitement tels qu’imposés par le RGDP
Comme toutes les directives qui s’appliquent à l’assurance (Solvabilité 2, DDA, PRIIPs, LCB/FT), le RGPD impose une réorganisation en profondeur des structures et des compétences ou des pouvoirs à l’intérieur des entreprises qui collectent et qui traitent des données personnelles.
II.1. Responsable du traitement [art. 24] et sous-traitant [art. 28]
Le Responsable du traitement est évidemment au centre du dispositif de responsabilité vis-à-vis des propriétaires de données et, surtout, de l’Autorité de contrôle. Il doit « être en mesure de démontrer que le traitement est effectué conformément au RGPD ». Le « dirigeant effectif » (au sens de Solvency II) est clairement désigné.
Le sous-traitant exécute les travaux de collecte et de traitement sur la base d’un contrat avec le Responsable du traitement. Ce contrat donne au sous-traitant les mêmes obligations de traitement des données personnelles que celles qui pèsent sur le donneur d’ordre. Il en va de même pour le sous-traitant d’un sous-traitant. L’essentiel tient dans le contrôle nécessaire du sous-traitant par le Responsable et dans le contrôle par le dit sous-traitant de ces salariés et cocontractants.
II.2. La mise en place d’un registre des traitements mis en œuvre dans l’entreprise
Il est tenu par le responsable du traitement, mais aussi par les sous-traitants. Le texte de l’article 30 énonce en détail les éléments qui doivent figurer dans le registre : c’est d’autant plus important que celui-ci est notamment destiné aux Autorités de contrôle et permet probablement de démontrer le respect des obligations de privacy « par défaut » et « par conception ». Il est surtout précis sur les finalités du traitement et l’adéquation des mesures de protection des données avec ces finalités.
II.3. La fonction de « délégué à la protection des données » (Data Protection Officer – DPO)
Les assureurs sont familiers de la multiplication des fonctions « d’Officers », plus ou moins indépendants de la hiérarchie de l’entreprise depuis Solvabilité 2 (les 4 « fonctions clés »). Le DPO est de cette espèce anglo-saxonne, obligatoirement installé chez et par le Responsable du traitement et par le sous-traitant, dès lors que l’entreprise réalise des traitements qui « exigent un suivi régulier et systématique à grande échelle des personnes concernées » et des traitements qui touchent « aux exceptions, aux interdictions de l’art. 9 » (l’origine sociale, les convictions, la génétique, etc.).
Le DPO est désigné pour sa compétence (fit). Il peut être salarié du Responsable du traitement, mais il est indépendant en ceci qu’il ne peut recevoir d’instructions du dirigeant de l’entreprise. Il est tenu au secret professionnel. Il a pour mission de contrôler, au sein de l’entreprise, le respect du RGDP, de donner des conseils sur les analyses d’impact et de coopérer avec l’Autorité de contrôle (et faire office de point de contact avec elle).
Nous sommes très en avance sur les « fonctions clés » de Solvency II : l’indépendance du DPO va jusqu’à la collaboration avec les Autorités de contrôle.
L’article 31 prévoit, en effet, un principe général de coopération du RT et du DPO avec les Autorités de contrôle. Nous entrons donc dans le droit américain où le responsable peut ou doit aider les Autorités de contrôle à identifier ses manquements, ce qui peut alléger la peine du contrevenant. Les juristes français ont donc accepté une réelle avancée dans le « plaider coupable » !
2.4. Les Autorités de contrôle françaises et européennes et le contrôle des groupes d’entreprises, notamment transfrontaliers [art. 51]
Les dispositions du RGPD sont administrées par une Autorité de contrôle nationale (en France, la Commission nationale informatique et liberté. CNIL). Le règlement prévoit une ou plusieurs Autorités, mais dispose qu’elles doivent être publiques et indépendantes (« libre de toute influence extérieure et n’acceptant d’instructions de quiconque »). C’est la définition des « Autorités administratives indépendantes », dotées de pouvoirs et prérogatives de puissance publique et susceptibles d’infliger des sanctions aux entreprises « responsables de traitement ». Les États définissent les modalités de désignation des membres de l’Autorité (ou des Autorités) qu’ils constituent, les durées de mandat et les qualifications nécessaires. On note que le Règlement est beaucoup plus exigeant et précis sur le « fit and proper » du DPO que sur celui des membres de l’Autorité de contrôle.
Le Règlement s’étend [art. 57] sur les missions de l’Autorité sur son territoire national. Pour faire simple, il s’agit de la mise en œuvre de chacune des dispositions du Règlement (notamment liste des « analyses d’impact » obligatoires, élaboration du Code de conduite, certifications, labels, agréments des organismes chargés du suivi des codes de conduite, « règles d’entreprise contraignante », dont il sera question ci-dessous). Elle est en outre chargée d’une importante mission de conseil, d’enquête, d’études pour le compte des pouvoirs publics, en particulier en vue des mesures législatives et réglementaires de protection des libertés.
L’Autorité a enfin des « pouvoirs » [art. 58], en particulier d’enquêter, d’adopter des mesures correctrices et de les imposer (avertissement, rappel à l’ordre, ordres aux R.T de mise en conformité, interdire le traitement, rectifier ou effacer les données, autoriser les codes de conduite, etc.).
Les dispositions des art. 60 et suivants sont bien connues des assureurs. Il s’agit de permettre aux Autorités nationales de constituer un contrôle de Groupe transfrontalier, en désignant une « Autorité chef de file », celle du lieu de situation de « l’établissement principal » du Responsable du traitement [art. 56]. Le Règlement s’étend complaisamment sur la coopération entre les Autorités et le « chef de file », sur l’assistance mutuelle entre les Autorités et les opérations conjointes de contrôle. Tout cela, comme on disait au XVIIe siècle, « sent son EIOPA d’une lieue ».
II.5. Comme il se doit, le RGPD crée un « Comité européen de la protection des données », organe de l’Union et doté de la personnalité juridique
Comme le CEIOPS, puis l’EIOPA naguère, il est composé des chefs des Autorités nationales de contrôle et du « Contrôleur européen de la protection des données », dont on redécouvre, à cette occasion, l’existence, ainsi que d’un représentant de la Commission. Les missions de ce Comité, indépendant, sont considérablement étendues [art. 70]. En particulier, comme les ESAs financières, il publie des « lignes directrices » (guidelines) sur à peu près tous les sujets d’application du Règlement, ainsi que des recommandations et des bonnes pratiques, notamment (mais parmi bien d’autres) sur les violations de données, la certification et les labels, l’agrément des organismes de certifications, l’évaluation de « l’adéquation » du niveau de protection des pays tiers, les codes de conduite mis en œuvre dans les États membres, etc. Il vote à la majorité simple de ses membres. Il est doté d’un secrétariat, ce qui signifie que le RGPD institue une nouvelle Autorité européenne : l’exemple de l’EIOPA nous montre qu’une nouvelle administration est née et que sa tutelle sur les Autorités nationales pourrait être rapidement exigeante.
D’autant plus que le Comité européen est chargé de la « cohérence » de l’application du Règlement [art. 63] et donne obligatoirement son avis sur les listes « d’analyses d’impact », les codes de conduite, les « critères d’agrément des organismes qui contrôlent les codes de conduite », les clauses types, les « clauses contractuelles » et les « règles d’entreprise contraignante » (cf. ci-dessous).
Enfin, le Comité est chargé (comme les ESAs) de régler les litiges entre Autorités de contrôle par des décisions contraignantes pour celles-ci.
Nous sommes donc en présence de la construction d’une Autorité européenne forte, dotée de larges pouvoirs et, sans doute, d’une active bureaucratie, surtout si la Commission lui accorde un budget substantiel, ce qui est probable. Il va sans dire que cette nouvelle strate bureaucratique va compliquer la tâche des entreprises, notamment par superposition de sources de droits nationaux et européens.
III. Les modalités d’action des Autorités de contrôle sont nombreuses et leur description souvent dispersée dans le texte du RGPD
III.1. On a déjà rencontré les « analyses d’impact » déclenchées par l’entreprise responsable du traitement qui provoquent la consultation préalable de l’Autorité nationale sur la légitimité d’un traitement [art. 35 & 36].
III.2. L’article 40 prévoit l’élaboration de Codes de conduite qui ont pour but de préciser les modalités d’application du RGPD. L’article couvre l’essentiel du territoire du règlement : des « intérêts légitimes du traitement » aux transferts de données vers les pays tiers, en passant par la « pseudonymisation », l’exercice des droits des propriétaires de données, la sécurité des traitements, les notions de privacy by design et privacy by default. Les Codes, probablement discutés au sein de Fédérations professionnelles, sont approuvés, enregistrés et publiés par l’Autorité de contrôle nationale. La Commission européenne en est également saisie (!) et peut décider de son application générale au sein de l’Union.
L’application de ces codes de conduite est « suivie » (contrôlée ?) par des organismes experts, disposant du niveau d’expertise approprié et agréés par les Autorités de contrôle. La CNIL a publié les modalités et fondements de cet agrément. Les critères d’agrément sont eux-mêmes vérifiés par le Comité européen. On voit que les contrôles ne manquent pas.
III.3. Les autorités encouragent la mise en œuvre de « mécanismes de certification » ainsi que de « labels et de marques en la matière » [art. 42] qui peuvent être européens, mais ne « diminuent pas la responsabilité du responsable du traitement ». Un esprit chagrin pourrait s’interroger, dès lors, sur leur utilité. Ils sont délivrés par des organismes de certification [art. 43], eux-mêmes agréés par l’Autorité de contrôle tous les 5 ans sur la base de critères fixés par elle. Le tout est enregistré par le Comité européen.
III.4. Les transferts de données hors de l’Union font l’objet d’un ensemble complexe de dispositions. C’est évidemment un aspect majeur du Règlement qui doit donner lieu à d’amples discussions et commentaires quant à son application concrète, par exemple, aux clouds :
- les transferts peuvent être autorisés vers un pays tiers (ou des secteurs de ce pays) si la Commission européenne constate par décision que ce pays dispose d’un niveau de protection adéquat. La décision est dite « décision d’adéquation » [art. 45], dûment publiée au JOUE. Cette décision est notamment fondée sur le constat que le pays tiers applique des règles de protection proches des règles européennes et, notamment, dispose d’autorités de contrôle de la protection des données indépendantes. C’est une disposition voisine des décisions d’équivalence en matière de contrôle des assurances ;
- les transferts peuvent être autorisés « moyennant des garanties appropriées » sans autorisation de l’Autorité de contrôle [art. 46], dès lors que sont fournies des garanties par i) un « instrument juridiquement contraignant entre autorités publiques », ii) des « règles d’entreprise contraignantes », des « clauses types » (d’une Autorité approuvée par le Commission ou par la Commission directement), un code de conduite, un mécanisme de certification, des clauses contractuelles (voir ci-dessous). Le Règlement décrit [art. 47] les « Règles d’entreprise contraignantes » approuvées par l’Autorité qui, en gros, reprennent l’essentiel du dispositif (droits, exclusions, sécurité des données, profilage, engagement de la responsabilité, le DPO, les réclamations, etc.). En pratique, il semble s’agir des conditions de la gestion des données à l’intérieur des Groupes transfrontaliers entre les entreprises du Groupe et leurs sous-traitants ;
- on note que les articles suivants restreignent la possibilité de transfert aux dispositions d’un accord international : l’agressivité de l’extra territorialité du droit américain est visée. Suivent un grand nombre de « situations particulières » qui dérogent aux règles strictes de non-transfert des données. Là aussi, c’est une mine de contentieux d’interprétation, notamment sur la dérogation pour consentement explicite de la personne concernée.
Ces dispositions sont évidemment majeures pour les entreprises et les engagent dans des démarches procédurales complexes. Elles montrent évidemment la nécessité de s’assurer les services d’un Data Protection Officer susceptible de guider les dirigeants sur le terrain de la conformité de leur activité au regard de l’ensemble du RGPD, notamment en ce qui concerne les transferts de données dans les pays tiers.
IV. Diverses questions qui nécessiteront clarification
Le résumé du RGPD ci-dessus n’en reprend que les grandes lignes pour tenter d’en guider la lecture, éminemment complexe. Quelques sujets n’ont été qu’allusivement traités, qui méritent une attention particulière.
IV.1. Les données de santé et, par voie de conséquence, le numéro d’identification nationale (numéro de sécurité sociale en France) font l’objet d’une protection particulière et, par conséquent, d’une grande attention des Autorités de contrôle. Le RGPD n’a pas pour autant clarifié la véritable portée de sa confidentialité. Il est probable que les pays européens ne sont en réalité pas en accord sur le sujet qui est fortement relié à la gestion publique ou privée (ou un mix des deux) du système de santé. La responsabilité en reste probablement à chacun des États.
IV.2. Le « profilage » est partout présent dans le texte, qui semble viser les procédures algorithmiques de marketing ou des procédures de scoring des risques, ou des procédures strictement automatiques de sélection ou de proposition. C’est là aussi un sujet sur lequel des clarifications sont nécessaires. Les dispositions des directives DDA (marché cible) ou PRIIPs (caractère « approprié » ou « adéquat » des produits), le développement inéluctable du Big Data vont à l’encontre de l’interdiction (d’ailleurs mitigée) du « profilage ». On comprend bien les préoccupations liées au Droit du travail (cf. Considérant 71), mais elles introduisent de redoutables risques de confusion.
IV.3. Le cyber risque est évoqué, notamment dans le Considérant 75 du Règlement, en tant qu’il peut menacer les libertés publiques de façon considérable (vol d’identité, secret professionnel, etc.). Malheureusement, le Règlement n’en traite pas ensuite. On peut même affirmer qu’avec les obligations de déclaration et la mise à charge du R.T. de la démonstration de la qualité des sécurités informatiques, le RGDP aggrave les conséquences du cyber risque. Ce n’est pas un hasard si l’AMRAE s’intéressait récemment au caractère assurable des amendes administratives. Le RGPD doit être, là aussi, étudié à la lumière des risques de banditisme ou de piraterie sur les systèmes informatiques.
IV.4. Le grand nombre d’exceptions, exemptions, exonérations et traitements particuliers disséminés dans ce texte abondant et touffu mériterait une analyse spécifique de grande ampleur tant il est imposant. Or, le diable se cache dans ces innombrables détails et l’on ne peut demander à tous les DPOs d’être omni compétents sur le sujet. Les Autorités de contrôle devraient en clarifier l’amplitude et, surtout, ouvrir, à la façon de l’EIOPA pour Solvency II, une démarche de questions/réponses. À moins que la rédaction des Codes de conduite ne permette de répondre à toutes les questions.
Le RGPD est certainement un texte majeur pour les entreprises d’assurances amenées, par fonction, à collecter et gérer un grand nombre de données personnelles et, sans doute, avec le Big Data, en nombre et en variété croissants. Les enjeux sont surtout de compréhension et d’organisation des entreprises et des groupes. D’autant que la menace du risque cyber accroît l’urgence de dépasser le stade des démarches traditionnelles de sécurité informatique. C’est un enjeu aussi pour notre chronique que de mener à bien une veille scrupuleuse et attentive sur des sujets complexes et coûteux.
