Protection des données

Protection des données

Vous trouverez notre note d'information (2016) sur le RGPD ici.

Le Règlement général sur la protection des données (RGPD) a été adopté en avril 2016.Il est applicable depuis le 25 mai 2018 dans tous les Etats membres de l’UE.Il est contraignant dans son entièreté et directement applicable dans les Etats membres.Il a abrogé la Directive sur la protection des données qui définissait les règles précédentes sur la protection des données dans l’UE. Les autorités nationales de protection des données sont chargées de faire appliquer les nouvelles règles et coordonnent leurs actions par le biais de nouveaux mécanismes de coopération et via le Conseil européen de la protection des données (EDPB).

Le Règlement couvre le traitement de données à caractère personnel : il s'agit d'informations se rapportant à une personne physique identifiée ou identifiable ("personne concernée"). Les catégories spéciales de données, telles les données sur la santé, sont soumises à une protection supplémentaire, et les données de ce type ne pourront être traitées qu'avec le consentement exprès de la personne concernée.Des dérogations sont possibles.

Le traitement des données couvre la plupart des activités comprenant des données personnelles : collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, limitation, effacement et destruction. Par conséquent, toute compagnie privée se retrouvant avec des données personnelles sera probablement considérée comme traitant ce type de données.

Le RGPD est une législation intersectorielle.Il s'applique au secteur de la distribution d'assurance mais n'est pas spécifique à ce secteur. La mise en conformité avec le RGPD s'est pas conséquent avérée difficile à certains égards pour les intermédiaires.

Le RGPD prend la forme d'un Règlement, à savoir qu'il sera "obligatoire dans tous ses éléments et directement applicable dans tous les pays de l'UE".Toutefois, le RGPD prévoit une législation secondaire via des actes délégués et des actes d'exécution qui doivent être adoptés par la Commission européenne sur différents aspects.Le RGPD est complété par ailleurs par des lignes directrices qui doivent être publiées par le Comité européen de la protection des données (EDPB).Enfin, tandis que le RGPD a le statut d'un Règlement, elle comprend également environ 50 dispositions qui permettent aux Etats membres de garder leur législation nationale.Par exemple, le RGPD prévoit que les Etats membres puissent maintenir ou introduire d'autres conditions, y compris des restrictions, en ce qui concerne le traitement de données sur la santé.Ceci pourrait aider les intermédiaires d'assurance à relever certains des défis auxquels ils sont confrontés (voir ci-dessous).

Le RGPD et les intermédiaires d'assurance

  • Responsables du traitement ou sous-traitants ou responsables conjoints ?
  • Base juridique pour le traitement de données sensibles

Les intermédiaires d’assurance, de grande ou petite taille, sont confrontés au quotidien à des problèmes liés au traitement des données personnelles et sont donc concernés directement par le RGPD. Les données traitées par les intermédiaires sont nécessaires pour fournir des devis, une couverture d'assurance, pour gérer les sinistres et la relation avec le client, etc.Dans la plupart des cas, les intermédiaires traiteront les données à caractère personnel de leur propre chef et agiront en tant que responsables du traitement.Dans d'autres cas, ils agiront uniquement sur instruction claire d'un responsable de traitement (par exemple un assureur) et seront des sous-traitants.Les intermédiaires peuvent aussi être des responsables conjoints du traitement.Le RGPD requiert que les responsables conjoints définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du RGPD.

Dans le cadre de la mise en œuvre du RGPD, il a été observé sur certains marchés que le rôle de "sous-traitant" était imposé unilatéralement aux intermédiaires, c'est-à-dire le traitement des données personnelles des clients pour le compte d'un "responsable du traitement". Au cours des derniers mois, cette situation a changé, les intermédiaires sont dans certains cas considérés comme des responsables de traitement, dans d'autres comme des sous-traitants, et dans d'autres encore comme des responsables conjoints. Des négociations sont encore en cours dans certains marchés entre les associations d'intermédiaires/les intermédiaires et les associations d'assureurs/les assureurs.L'EDPB et certaines autorités nationales ont également publié des lignes directrices sur la question (voir ci-dessous).

Un autre grand défi pour les intermédiaires d’assurance est le traitement de données sensibles et notamment celles concernant la santé.En vertu du RGPD, il est en principe interdit de traiter des données sensibles.Des exceptions à cette interdiction générale sont prévues dans les circonstances décrites de manière exhaustive à l'article 9§2. Toutefois ces exceptions n’autorisent pas automatiquement le traitement des données relatives à la santé par les intermédiaires d'assurance et il convient par conséquent de vérifier si cette activité peut être couverte par l'une de ces dérogations.L'enjeu est de taille : si le traitement de données sensibles dans le cadre des activités des intermédiaires n’est pas couvert par les dispositions de l'article 9§2, le principe général s'applique alors et ce traitement est interdit.En outre, la personne concernée pourrait exiger de l'intermédiaire que ce dernier efface les données sensibles au motif qu'elles font l'objet d'un traitement illicite. Il existe aujourd'hui des divergences d'approche entre les Etats membres quant à la base juridique du traitement des données relatives à la santé dans le contexte de l'assurance : dans certains pays, en utilisant la base juridique de l'article 9(2)(g), une législation a été introduite permettant le traitement de données sensibles sans autorisation explicite pour souscrire des contrats d'assurance et gérer les sinistres. Dans d'autres, la base juridique utilisée est l'article 9(2)(h) du RGPD. Dans certains autres pays, il n'existe actuellement aucune exception particulière pour le traitement de données sensibles par le secteur des assurances.


Lignes directrices de l'EDPB

Le RGPD est complété par des lignes directrices publiées par l'EDPB.Ce dernier contribue à l'application cohérente des règles de protection des données dans l'ensemble de l'UE et encourage la coopération entre les autorités européennes responsables de la protection des données. L'EDPB est composé de représentants des autorités nationales chargées de la protection des données et du Contrôleur européen de la protection des données (CEPD). L'EDPB a différentes tâches principales, telles que l'émission d'avis, de lignes directrices, de recommandations et de bonnes pratiques afin de promouvoir une compréhension commune du RGPD.

Au cours de l'année dernière, l'EDPB a publié différentes lignes directrices telles que celles relatives aux véhicules connectés et plus particulièrement sur le traitement des données personnelles dans le contexte des véhicules connectés et des applications liées à la mobilité (lien), une version légèrement actualisée de ses lignes directrices 2018 sur le consentement dans le cadre du RGPD fournissant des précisions supplémentaires sur le fait que le consentement obtenu par le biais de murs de cookies et le défilement d'une page web n'est pas juridiquement valable.

En février 2019, le conseil d'administration de l’EDPB a adopté son programme de travail biennal pour 2019-2020 et a annoncé l'adoption d'autres lignes directrices, notamment sur la notion d'intérêt légitime du responsable du traitement (mise à jour l'avis du Groupe de travail Article 29 (G29)) ainsi que sur les concepts de responsable du traitement et de sous-traitant (mise à jour de l'avis du G29).Il s'agit de questions clés pour le BIPAR et ses membres.


Atelier de l'EDPB sur les droits des personnes concernées au titre du RGPD

Le 4 novembre 2019, l'EDPB a organisé à Bruxelles un atelier sur les droits des personnes concernées. Le droit d'accès aux données à caractère personnel, le droit de rectification et le droit d'effacement, le droit de limiter le traitement et le droit d'opposition, tels qu'introduits par le RGPD et mis en œuvre par les Etats membres de l'UE, ont été examinés au cours de l'atelier.

Le BIPAR était représenté à cet événement et a communiqué ses observations sur l'impact de la mise en œuvre de ces droits sur le secteur de la distribution d'assurance ainsi que sur ses clients.

Le BIPAR a souligné les points suivants :

  • Le secteur de la distribution d'assurances utilise les données pour améliorer les produits et services offerts aux assurés et pour évaluer les risques avec plus de précision.
  • Les données sont utilisées par le secteur pour prévenir la criminalité financière et le blanchiment d'argent. L'identité numérique peut aider à lutter contre la criminalité financière et à protéger les clients.
  • L'utilisation efficace des données par notre secteur permet aux entreprises de mieux comprendre leurs risques et le rôle de l'assurance dans l'atténuation de ces risques.
  • Il est difficile de faire comprendre aux particuliers comment le secteur des assurances et, plus largement, des services financiers utilise les données personnelles et d'amener les assurés à lire même les très bonnes politiques de protection de la vie privée.
  • Il y a un manque de sensibilisation et parfois une mauvaise compréhension de l'étendue des droits des personnes concernées.
  • Les demandes d'accès des personnes concernées sont régulièrement utilisées comme un outil précontentieux plutôt que pour leur objectif de protection des droits des personnes.
  • Il y a parfois un malentendu de la part des personnes concernées qui pensent que leur droit à la vie privée est synonyme de droit à l'anonymat.

L'objectif de l'événement était de solliciter les points de vue des parties prenantes sur les points qu'elles souhaiteraient voir abordés dans les futures lignes directrices sur les droits des personnes concernées.


Rapport de la Commission sur le RGPD

Un peu plus d'un an après l'entrée en application du RGPD, la Commission européenne a publié fin juillet 2019 un rapport examinant l'impact des règles de l'UE en matière de protection des données et la manière dont leur mise en œuvre peut encore être améliorée.De manière générale, le rapport conclut que les nouvelles règles de protection des données ont atteint un grand nombre de leurs objectifs : la plupart des Etats membres ont mis en place le cadre juridique nécessaire et le nouveau système renforçant l'application des règles de protection des données est en train de se mettre en place. Les entreprises développent une culture du respect des règles, tandis que les citoyens sont de plus en plus conscients de leurs droits. Dans le même temps, la convergence vers des normes élevées de protection des données progresse au niveau international.

En ce qui concerne les questions relatives au secteur des assurances, le rapport fait plusieurs fois référence à la contribution du groupe d'experts multipartite de la Commission européenne au rapport de la Commission. Le BIPAR est représenté au sein de ce groupe par SMEunited, dont le BIPAR est membre. La contribution du groupe d'experts comprend un grand nombre des points qui ont été soulevés par le BIPAR lors de la rédaction du document. Ces points ont été préparés après diverses consultations des membres du BIPAR.

Les points clés du BIPAR (inclus dans le document du groupe d'experts multipartite) sont notamment les suivants:

  • Le BIPAR et ses membres apprécient l'importance des codes de conduite pour les aider à se conformer au RGPD.
  • Le BIPAR note positivement les réalisations de l'EDPB dans la promotion d'une application cohérente des règles dans l'UE et l'encourage à poursuivre son travail pour prévenir la fragmentation de l'approche adoptée pour l'interprétation du RGPD par les autorités chargées de la protection des données.
  • Le BIPAR mentionne les difficultés de ses membres à se conformer aux exigences vis-à-vis des personnes concernées qui ne font pas partie des contrats.
  • Le BIPAR mentionne les difficultés de ses membres à demander un consentement explicite pour le traitement de données relatives à la santé dans les contrats d'assurance lorsque le traitement de ces données est nécessaire pour pouvoir exécuter correctement le contrat. Différentes justifications au titre de l'article 9 du RGPD sont utilisées dans les États membres pour le traitement des données relatives à la santé dans un contexte d'assurance. Le BIPAR a suggéré qu'une approche plus harmonisée serait utile.
  • Le BIPAR souhaiterait que l'EDPB apporte des précisions supplémentaires sur ces notions, y compris d'autres exemples de désignation du responsable de traitement/du sous-traitant (par exemple, en particulier en ce qui concerne les prestataires de services spécialisés (intermédiaires d'assurance) lorsqu'ils traitent des données à caractère personnel conformément à leurs obligations réglementaires et/ou professionnelles).

Sur la base du rapport de juillet 2019, la Commission devrait publier son rapport sur la mise en œuvre du RGPD en juin 2020 (article 97 RGPD). L'objectif sera d'évaluer les progrès réalisés après deux ans d'application. Le rapport devrait également refléter la réalité de la crise du Covid-19 (utilisation des données pour lutter contre les pandémies).

Pour ce faire, la Commission doit tenir compte de la position du Conseil de l'UE et de celle du Parlement européen, mais aussi d'autres sources pertinentes, telles que l'EDPB.

Dans sa position publiée en février 2020, l'EDPB explique que l'application du RGPD au cours de cette première année et demie a été un succès. L'EDPB souligne que le RGPD est un cadre technologiquement neutre conçu pour être complet et pour encourager l'innovation en étant capable de s'adapter à différentes situations sans être complété par une législation spécifique au secteur. L'EDPB souligne que le RGPD est pleinement applicable aux technologies émergentes et qu'il continuera à approfondir l'impact des technologies émergentes sur la protection des données personnelles. L'EDPB reconnaît que la mise en œuvre du RGPD a été difficile, en particulier pour les petits acteurs, notamment les PME. Après seulement 20 mois d'application du RGPD, l'EDPB est favorable à la mise en œuvre du RGPD et estime qu'il est prématuré de réviser le texte législatif à ce stade. Plutôt que de réviser le RGPD lui-même, l'EDPB appelle les législateurs de l'UE, en particulier la Commission européenne, à intensifier leurs efforts en vue de l'adoption d'un Règlement sur la vie privée et communications électroniques pour compléter le cadre de l'UE en matière de protection des données et de confidentialité des communications.

Dans sa réponse à la consultation de la Commission sur le futur rapport sur l'évaluation du RGPD, le BIPAR explique que :

  • l'UE, et en particulier son RGPD, est aujourd'hui un point de référence mondial pour les règles de protection des données. C'est une grande réussite. L'exercice d'évaluation que la Commission européenne mène actuellement sur ce Règlement clé est important.
  • Le secteur de la distribution d'assurance a investi beaucoup de temps et d'argent pour se conformer au RGPD. Sa mise en œuvre a été et reste un défi pour notre secteur, en particulier pour les intermédiaires de petite et moyenne taille.
  • Il est prématuré de réouvrir et de modifier le RGPD aujourd'hui, car les parties concernées n’ont pas une expérience claire et complète de l'application du texte. Toute révision du RGPD ne devrait conduire à des changements que lorsqu'il existe des preuves évidentes d'avantages concrets, fondés sur une justification économique solide.
  • Il est important que le RGPD reste un cadre flexible et neutre sur le plan technologique et qu'il n'empêche pas l'innovation.
  • Il est important que le prochain rapport reflète également la réalité de la crise du Covid-19, et plus particulièrement l'utilisation des données pour lutter contre les pandémies, et aborde dans ce contexte des questions telles que la licéité du traitement, les principes fondamentaux relatifs au traitement des données à caractère personnel, l'utilisation des données de localisation mobile et l'emploi.



- Publié en juin 2020 -

Trouver un intermédiaire près de chez vous ?Cliquez ici