Protection des données

Protection des données

Vous trouverez notre note d'information (2016) sur le RGPD ici.

Le Règlement général sur la protection des données (RGPD) a été adopté en avril 2016.Il est applicable depuis le 25 mai 2018 dans tous les Etats membres de l’UE.Il est contraignant dans son entièreté et directement applicable dans les Etats membres.Il a abrogé la Directive sur la protection des données qui définissait les règles sur la protection des données dans l’UE.

Le Règlement couvre le traitement de données à caractère personnel : il s'agit d'informations se rapportant à une personne physique identifiée ou identifiable (définie comme "personne concernée" dans le RGPD). Les catégories spéciales de données, telles les données sur la santé, sont soumises à une protection supplémentaire, et selon la règle générale désormais d'application, les données de ce type ne pourront être traitées qu'avec le consentement exprès de la personne concernée.Des dérogations sont possibles.

Le traitement des données couvre la plupart des activités comprenant des données personnelles : collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, limitation, effacement et destruction. Par conséquent, toute compagnie privée se retrouvant avec des données personnelles sera probablement considérée comme traitant ce type de données.

Le Règlement, qui est un texte transsectoriel, n'a pas tenu compte des spécificités du secteur de l’assurance. La mise en conformité avec le RGPD pourrait donc s’avérer difficile pour les intermédiaires. Certaines de ses dispositions risquent d'avoir des conséquences imprévues sur le secteur de l'assurance et sur les particuliers et d'entraîner des charges administratives excessives et inutiles, surtout pour les PME.Bien que le respect de la protection des données ne soit pas nouveau pour les intermédiaires, le RGPD introduira de nouvelles obligations et responsabilités pour les intermédiaires. Les sanctions applicables en cas de violation de la protection des données seront beaucoup plus sévères qu'auparavant.

Le Règlement général sur la protection des données (RGPD) prend la forme d'un Règlement, à savoir qu'il sera "obligatoire dans tous ses éléments et directement applicable dans tous les pays de l'UE".Toutefois, le Règlement prévoit une législation secondaire via des actes délégués et des actes d'exécution qui doivent être adoptés par la Commission européenne sur différents aspects.Le Règlement est complété par ailleurs par des lignes directrices qui doivent être publiées par le Groupe de travail "article 29" (G29), le Comité européen de la protection des données, composé de représentants des autorités nationales chargées de la protection des données dans chaque Etat membre de l’UE.Enfin, tandis que la législation sur la protection des données a le statut d'un Règlement, elle comprend également environ 50 dispositions qui permettent aux Etats membres de garder leur législation nationale.Par exemple, le Règlement prévoit que les Etats membres puissent maintenir ou introduire d'autres conditions, y compris des restrictions, en ce qui concerne le traitement de données sur la santé.Ceci pourrait aider les intermédiaires d'assurance à continuer à traiter ces données au niveau national (voir ci-dessous).

Orientations et outils en ligne de la Commission européenne

Afin de faciliter l’application du RGPD à compter de mai 2018, la Commission a publié en janvier de cette année des orientations, qui rappellent les principaux éléments des nouvelles règles en matière de protection des données :

  • Un ensemble unique de règles pour tout le continent, garantissant la sécurité juridique pour les entreprises et un même niveau de protection des données pour tous les citoyens de l'UE.
  • Des règles identiques applicables à l'ensemble des entreprises offrant leurs services dans l'UE, même lorsque ces entreprises sont basées hors du territoire de l'UE.
  • Des droits nouveaux et plus forts pour les citoyens : le droit à l'information, le droit d'accès et le droit à l'oubli sont renforcés. Un nouveau droit à la portabilité des données permet aux citoyens de transférer leurs données d'une entreprise à l'autre. De nouveaux débouchés commerciaux s'ouvriront ainsi aux entreprises.
  • Une protection accrue contre les violations de données : une entreprise victime d'une violation de données, qui fait courir un risque aux personnes concernées, doit en informer l'autorité de protection des données dans les 72 heures.
  • Des règles contraignantes et des amendes dissuasives : toutes les autorités de protection des données pourront infliger des amendes pouvant aller jusqu'à 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial.

https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52018DC0043&rid=1

La Commission a également lancé un nouvel outil en ligne pratique, destiné à aider les citoyens, les entreprises, notamment les PME, et les autres organisations à se conformer aux nouvelles règles en matière de protection des données et à en tirer parti. Le BIPAR a participé à la préparation de cet outil.

https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en

Guide du BIPAR sur le RGPD : En coopération avec le bureau d'avocats Steptoe, le BIPAR a publié en juillet 2016 un guide sur le Règlement à l'intention de ses associations nationales.L’objectif de ce guide a été de préparer les membres des associations d'intermédiaires d'assurance à l'entrée en application du Règlement. Il fournit des explications concrètes sur les exigences en matière de protection de données auxquelles les intermédiaires devront se conformer en vertu du Règlement, et plus particulièrement sur des éléments clés du Règlement concernant les intermédiaires, tels que la base juridique pour le traitement des données, les droits de la personne concernée, la gestion du programme sur la vie privée, les contrôles, les règles concernant les amendes et les responsabilités, et le transfert des données en dehors de l'UE.

Le RGPD et les intermédiaires d'assurance

Responsables du traitement ou sous-traitants ou responsables conjoints ?

Les intermédiaires d’assurance, de grande ou petite taille, sont confrontés au quotidien à des problèmes liés au traitement des données personnelles et sont donc concernés directement par le RGPD. Les données traitées par les intermédiaires sont nécessaires pour fournir des devis, une couverture d'assurance, pour gérer les sinistres et la relation avec le client, etc.Dans la plupart des cas, les intermédiaires traiteront les données à caractère personnel de leur propre chef et agiront en tant que responsables du traitement.Dans d'autres cas, ils agiront uniquement sur instruction claire d'un responsable de traitement (par exemple un assureur) et seront des sous-traitants.Les intermédiaires peuvent aussi être des responsables conjoints du traitement.Le RGPD requiert que les responsables conjoints définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du RGPD.

Dans le cadre de la transposition du RGPD, il a été observé que, dans certains marchés, en imposant unilatéralement aux intermédiaires le rôle de sous-traitant, c'est-à-dire le traitement des données personnelles des clients pour le compte d'un responsable de traitement, certains fournisseurs de produits/assureurs cherchent à restreindre l'accès des intermédiaires aux données des clients, surtout dans le trafic de données entre le client et l'assureur. Il s'agit d'un problème sérieux, c'est pourquoi le BIPAR a sensibilisé ses associations membres en mai 2018 au fait que si l'intermédiaire remplit les conditions nécessaires, il peut être un responsable du traitement, un responsable conjoint ou un sous-traitant de données personnelles pour le compte d'un responsable du traitement en vertu du RGPD.Le cas échéant, la répartition des responsabilités et l'accès aux données entre l'intermédiaire et l'assureur ou le fournisseur de produits peuvent être traités, par exemple, au moyen d'accords ou de codes de conduite de l'association.

Délégué à la protection des données (DPD)

L'une des nouveautés du RGPD est l'obligation pour les responsables du traitement et les sous-traitants de nommer un "délégué à la protection des données". Le BIPAR a demandé au cabinet d'avocats DALDEWOLF d'écrire un article pour le BIPAR sur la question et d'examiner les conditions selon lesquelles une organisation doit désigner un DPD pour se conformer au RGPD, étant donné que la réponse à cette question n'est pas évidente pour les intermédiaires d'assurance.

Selon DALDEWOLF, "un intermédiaire d'assurance dispose d'une certaine marge pour évaluer si ses activités nécessitent ou non la désignation d'un DPD.Quelle que soit la conclusion, il est essentiel que l'analyse interne soit documentée, et que le raisonnement et les facteurs pris en considération pour l'analyse soient apparents dans la documentation. En outre, un intermédiaire peut considérer qu'il n’est pas obligatoire pour lui de nommer un DPD, mais il peut très bien voir les avantages de le faire sur une base volontaire.Les autorités de contrôle de la protection des données et le Groupe de travail Article 29 encouragent la désignation volontaire d'un DPD pour faciliter le respect des règles".

Base juridique pour le traitement de catégories spéciales de données personnelles

L'un des plus grands défis pour les intermédiaires d’assurance est le traitement de données personnelles sensibles. En vertu du RGPD, il est en principe interdit de traiter des données sensibles. Des exceptions à cette interdiction générale sont prévues dans les circonstances décrites de manière exhaustive à l'article 9§2. Toutefois ces exceptions n’autorisent pas automatiquement le traitement des données sensibles (par exemples relatives à la santé) par les intermédiaires d'assurance et il convient par conséquent de vérifier si cette activité peut être couverte par l'une de ces dérogations.L'enjeu est de taille : si le traitement de données sensibles dans le cadre des activités des intermédiaires n’est pas couvert par les dispositions de l'article 9§2, le principe général s'applique alors et ce traitement est interdit.En outre, la personne concernée pourrait exiger de l'intermédiaire que ce dernier efface les données sensibles au motif qu'elles font l'objet d'un traitement illicite.En outre, l'intermédiaire serait exposé à des amendes.Le BIPAR a demandé au cabinet d'avocats DALDEWOLF de rédiger un article pour le BIPAR sur cette question.Dans son article, DALDEWOLF examine plusieurs bases juridiques pour la dérogation à l'interdiction générale du traitement des données sensibles :

  • le consentement (solution incomplète)
  • les droits en justice (solution incomplète)
  • les raisons d'intérêt public (solution éventuellement complète mais nécessitant une mise en œuvre nationale, qui peut être limitée et insuffisante pour couvrir tous les aspects des activités des intermédiaires).
  • les raisons de santé (solution éventuellement complète mais plusieurs points à vérifier, notamment l'existence d'une obligation de secret professionnel pour les compagnies d'assurance et les intermédiaires).

Les lignes directrices du G29

Le RGPD est complété par des lignes directrices publiées par le Groupe de travail Article 29 (G29), le Comité européen de la protection des données. Jusqu’à présent, le G29 a publié des lignes directrices sur : l’étude d’impact sur la vie privée, sur la portabilité des données, sur le délégué à la protection des données (DPD), sur l’autorité de contrôle chef de file, sur le consentement, sur la transparence, sur l’application et la fixation des amendes administratives, sur la prise de décision et le profilage individuels automatisés ainsi que sur la notification de la violation des données à caractère personnel.

http://ec.europa.eu/newsroom/article29/news.cfm?it...

Le G29 a par ailleurs publié des documents de travail sur les règles d'entreprise contraignantes et sur le référentiel d'adéquation. Celles-ci sont importantes en ce qui concerne les transferts internationaux étant donné que les règles d'entreprise contraignantes peuvent constituer l'une des bases juridiques pour le transfert de données à caractère personnel de l'UE vers des pays tiers. Le principe d'adéquation est une autre base juridique (la troisième étant l'exemple du bouclier de protection de la vie privée entre l'UE et les Etats-Unis). Ces règles auront une importante tout particulière dans le contexte du Brexit, et plus notamment pour le transfert de données à caractère personnel de l'UE vers le Royaume-Uni, qui, après sa sortie de l'UE, sera très probablement considéré comme un pays tiers aux fins du RGPD.

Avant de publier ses lignes directrices, le G29 a consulté les parties prenantes concernées. Le BIPAR a soumis ses commentaires sur certaines des lignes directrices. Afin de fournir une interprétation sur d'autres aspects du RGPD, le G29 poursuivra ses travaux concernant les lignes directrices sur la certification, la portée territoriale du RGPD (article 3 du RGPD) et les codes de conduite (articles 40 et 41 du RGPD). En outre, le G29 a reçu le mandat d'élaborer des orientations relatives à l'article 6(1)b du RGPD, en particulier dans le contexte de la fourniture de services en ligne "gratuits".

Position du G29 sur l’article 30(5) du RGPD

Le 19 avril, le G29 a publié sa position sur l'article 30(5) du RGPD. L'article 30 traite de l'obligation pour les responsables du traitement et les sous-traitants des entreprises de tenir un registre des activités de traitement. Toutefois, le paragraphe 5 précise que cette obligation ne s'applique pas aux entreprises comptant moins de 250 employés et si le traitement des données à caractère personnel "n’est pas occasionnel". L'UEAPME (association européenne représentant les PME, dont le BIPAR est membre) et le BIPAR craignent qu'une lecture stricte de cette condition ne conduise à la perte de l'exemption pour toutes les PME.Dans sa position, le G29 a une interprétation stricte de l'article 30.5 du RGPD, mais "(....) pour de nombreuses micro, petites et moyennes entreprises (...) reconnaît que l'article 30 représente une nouvelle exigence administrative pour les responsables de traitement et les sous-traitants, et encourage donc les autorités de surveillance nationales à soutenir les PME en leur fournissant des outils pour faciliter l'établissement et la gestion des enregistrements des activités de traitement".

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045

Atelier de travail du G29

Afin de préparer la mise en œuvre correcte et en temps voulu du Règlement, le G29 a organisé divers ateliers au cours des deux dernières années.Le dernier a eu lieu le 18 octobre 2017 à Bruxelles et a permis aux participants, dont le BIPAR, de discuter de la transparence et du transfert international.L'objectif de ces ateliers est d’alimenter les réflexions du G29 afin d’élaborer des bonnes pratiques ainsi que des lignes directrices.

Conférence de la Commission sur le RGPD

Le 27 novembre 2017, le BIPAR a participé à une conférence organisée par la Commission européenne (DG Justice) et l'UEAPME sur la mise en œuvre du RGPD par les PME.Cet événement a permis au BIPAR d'avoir un dialogue direct avec la Commission concernant la transposition du RGPD et de partager les expériences et les bonnes pratiques afin d'identifier les défis en matière de traitement des données personnelles par les PME et les organisations.

Groupe d'experts de la Commission sur le RGPD

Ce groupe conseille la Commission européenne sur tous les sujets liés à la transposition du RGPD.Un représentant de la Fédération européenne des PME, dont le BIPAR est membres, est membre de groupe d'experts.

Webinaire du BIPAR sur le RGPD

En coopération avec le cabinet d'avocats Steptoe, le BIPAR a organisé le 16 avril 2018 un webinaire sur le RGPD pour ses associations membres. Certaines questions clés pour les intermédiaires d'assurance y ont été abordées, telles que le consentement, le DPD, la violation des données et les sanctions ainsi que la responsabilité.

Trouver un intermédiaire près de chez vous ?Cliquez ici