Les notions clés de RGPD

Les textes

Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – Légifrance

Le RGPD (Règlement Général de Protection des Données) adopté le 14 avril 2016 par le Parlement et le Conseil européen, entré en vigueur en France le 25 mai 2018. (https://www.cnil.fr/fr/reglement-europeen-protection-donnees)

Objectifs

  • Assurer la protection du traitement et de la libre circulation des données à caractère personnel.
  • Renforcer le contrôle par les citoyens de l’utilisation qui peut être faite de leurs données.

En effet, sur le dark web les données personnelles peuvent être vendues afin de permettre le piratage des comptes bancaires, des fraudes à l’identité…

Champs d’application

Le RGPD s’applique à toute organisation,publique et privée, qui traite des données personnelles pour son compte ou non (cas des sous-traitants) dès lors qu’elle intervient de quelque manière que ce soit sur le territoire de l’UE.

Le secteur de l’assurance (assurances de personnes ou en IARD), est particulièrement impacté par ces textes.

Qu’est-ce qu’une donnée personnelle ?

Une donnée est toute information se rapportant à une personne physique identifiée (directement par le nom et prénom) ou identifiable (indirectement par le n° de téléphone, le n° de client…).

Qu’est-ce qu’un traitement de données personnelles ?

Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Le traitement doit être licite, loyal et transparent (RGPD, articles 6 et suivants).

Qu’est-ce qu’un cookie ?

Selon la CNIL, le cookie est « un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est à dire dans la majorité des cas à l’ensemble des pages d’un même site web).  Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine ».

Le cookie permet principalement :

  • D’assurer bon fonctionnement du site.
  • D’analyser les performances du site, le nombre de transactions.
  • De partager l’information avec un tiers à des fins publicitaires, d’échanger des contenus sur les réseaux sociaux ou de créer des audiences.

Le consentement, pierre angulaire du RGPD

Depuis mai 2018, il est interdit de collecter des informations sans consentement.

Une information claire et précise

L’information relative au consentement doit être visible, mise en évidence, complète, rédigée en des termes simples…

Une obligation pour le responsable du traitement

L’obligation de recueillir le consentement incombe à toute personne qui décide de la finalité et des moyens, à savoir le responsable du traitement, ce qui inclut les éditeurs de sites ou d’applications mobiles.

Les critères d’un consentement valide

Libre
Le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. Il doit pouvoir être retiré simplement et à tout moment par l’utilisateur sans conséquence.

Spécifique
Un consentement doit correspondre à un seul traitement, pour une finalité déterminée.
Les données collectées par les assureurs ne peuvent par conséquent faire l’objet d’un traitement ultérieur pour une autre finalité.

Le traitement doit être nécessaire à l’exécution d’un contrat ou de mesures précontractuelles.

Le traitement doit être nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis. (exemple lutte contre le blanchiment d’argent et le financement du terrorisme)

Eclairé
Pour qu’il soit valide, le consentement doit, en amont, être accompagné d’un certain nombre d’informations et notamment les finalités poursuivies, le droit au retrait du consentement…

Univoque
Le consentement doit se manifester par une action positive de la personne préalablement informée, notamment, des conséquences de son choix et disposant des moyens d’accepter, de refuser et de retirer son consentement.

Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

Spécificités des cookies

Concernant les cookies, le consentement doit être préalable au dépôt et/ou à la lecture de cookies.

Quels cookies nécessitent le consentement préalable des utilisateurs ?

  • les cookies liés aux opérations relatives à la publicité personnalisée ;
  • les cookies des réseaux sociaux, notamment générés par leurs boutons de partage.

La preuve du consentement

Chaque acteur se prévalant du consentement doit être en mesure d’en apporter la preuve (par exemple : mise sous séquestre auprès d’un tiers du code informatique utilisé par l’organisme recueillant le consentement).

Les droits de la personne concernée (articles 15 à 21 du RGPD)

Concernant les données, le titulaire bénéficie du droit :

  • d’accès,
  • de suppression,
  • de rectification,
  • de restriction du traitement des données,
  • à la portabilité des données,
  • d’opposition auprès d’une autorité de surveillance de la protection des données,
  • de rétractation d’un consentement.

Les acteurs du traitement : contours et obligations

Le responsable de traitement : le principal acteur

Le responsable de traitement est défini par le RGPD comme celui qui « détermine les finalités et les moyens de traitement ».

C’est sur lui que va peser la responsabilité en cas de contentieux sur le traitement des données et il a l’obligation de vérifier que les sous-traitants présentent des garanties suffisantes.

Intermédiation et responsable de traitement

Sur le site de la CNIL et de France Assurances, vous pourrez trouver un guide pratique qui met bien en exergue la co-responsabilité des intermédiaires ou délégataires face au traitement des données personnelles.

Les principales obligations du responsable de traitement

L’intégrité des données personnelles

Outre la détermination des moyens et de la finalité du traitement, le responsable doit tout mettre en œuvre pour prévenir la violation de données et le cas échéant y remédier.

Dès lors que la violation de données entraîne pour la personne concernée un risque (élevé ou non), l’assureur doit :

  • en aviser l’intéressé et lui donner toutes informations utiles (nature de la violation, conséquences, coordonnées du DPO, mesures prises pour remédier à la violation, recommandations notamment changement de mot de passe …)
  • en informer dans les 72 heures la CNIL avec les mêmes renseignements.

L’entreprise doit tenir un registre des violations qui est à la disposition de la CNIL.

La conservation des données personnelles 

La durée de conservation des données personnelles doit être déterminée en amont par le responsable de traitement et cette information doit être accessible pour le consommateur.

Selon les recommandations de la CNIL :

  • En l’absence de conclusion du contrat d’assurance : au maximum les données du prospect peuvent être conservés 3 ans.
  • Pour les données pouvant permettre la constatation, la défense ou l’exercice de droit en justice, elles peuvent être conservées pendant une durée maximale de5 ans.
  • Lorsqu’un contrat d’assurance est conclu, certains délais de prescription spécifiques sont susceptibles de s’appliquer (par exemple 30 ans à compter du décès de l’assuré pour les actions du bénéficiaire).

Le DPO : un statut particulier

Le DPO a donc avant tout une mission d’information, de conseil et de contrôle.

Ses missions :

  • Accompagner l’organisme (former les collaborateurs),
  • Contrôler l’effectivité des règles (vérifier l’application des règles RGPD),
  • Être le point de contact de l’organisme sur les sujets RGPD notamment avec la CNIL mais aussi avec les utilisateurs,
  • Assurer la documentation des traitements de données.

Rôle de la CNIL et sanctions

La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante dont le but est de veiller à ce que l’informatique respecte l’identité humaine, les droits de l’Homme, la vie privée et les libertés.

Ses principales missions sont les suivantes :

  • La CNIL peut être consultée par le gouvernement notamment sur les projets de lois.
  • La CNIL informe le public de ses droits.
  • Elle assure des formations et sensibilisations auprès des entreprises privées et publiques et conseille les responsables de données personnelles sur les obligations qui leur incombent.

Les contrôles peuvent être effectués :

  • sur place,
  • sur pièces,
  • sur convocation,
  • en ligne : vérification à distance des données librement accessibles (exemple site internet).

Réception des plaintes

La CNIL reçoit les plaintes des particuliers en cas par exemple :

  • D’utilisation abusive des données,
  • En cas de publicités non sollicitées,
  • Pour supprimer son nom d’un moteur de recherche et ainsi protéger la vie privée, effacer des informations erronées, protéger la réputation …,
  • Pour rectifier un fichage à tort auprès de la Banque de France,
  • Pour faire respecter le droit à l’oubli,
  • Pour accéder à ses propres données, etc…

Pouvoir de sanction de la CNIL

La CNIL peut prononcer après une procédure contradictoire :

  • un rappel à l’ordre ;
  • une injonction de mettre en conformité
  • la limitation ou l’interdiction du traitement, ou le retrait de l’autorisation accordée pour le traitement ;
  • le retrait d’une certification ;
  • la suspension des flux de données vers un pays tiers ;
  • l’obligation de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
  • la suspension des règles d’entreprise contraignantes (BCR)
  • une amende administrative (maximum 20 millions d’euros ou 4% du CA mondial).

Un recours peut être formé par-devant le Conseil d’état.

Exemples de sanctions dans le monde de l’assurance :
Délibération CNIL du 18 juillet 2019, rendue publique le 25 juillet 2019, Délibération SAN-2019-007 du 18 juillet 2019 – Légifrance (condamnation d’un courtier à une amende de 180 000 €).

Délibération CNIL du 20 juillet 2021, rendue publique le 22 juillet 2021 Délibération SAN-2021-010 du 20 juillet 2021 – Légifrance : (condamnation d’une société mutuelle d’assurance à amende de 1 750 000 €).

La responsabilité pénale des auteurs d’infractions

Outre les sanctions administratives, les atteintes aux données personnelles peuvent engager la responsabilité pénale des personnes physiques ou morales entrainant des peines allant jusqu’à 5 ans d’emprisonnement et 300 000 € d’amendes pour les personnes physiques et 1.5 millions d’€ pour les personnes morales.