You are here

Application du Règlement Général sur la Protection des Données à la Réassurance

RGPD & Réassurance
Date du document: 
09/07/2019
Type de document: 
Classification: 
  1. Introduction

    1.1.Objectifs de la note

    Cette note est issue d’un travail collaboratif des membres de la Commission Protection des données de l’APREF[1]. Cette note a pour objet d’aider à la mise en place du Règlement Européen au vu de la particularité des activités de réassurance.

           Elle ne constitue en aucun cas un code de bonne conduite au sens de la réglementation en vigueur, ou un code de conduite au sens du Règlement Européen.

         1.2.Executive summary

Principaux objectifs du Règlement Général sur la Protection des Données personnelles (RGPD)

Le RGDP, entré en vigueur le 25 mai 2018, s’articule principalement autour de 4 objectifs :

  • Harmoniser les législations européennes qui étaient jusqu’alors disparates ;
  • Renforcer la protection et la gouvernance des données personnelles des résidents de l’Union Européenne ;
  • Responsabiliser l’ensemble des personnes morales opérant un traitement de données personnelles ;
  • Garantir les droits et libertés des personnes physiques.

Principaux changements résultant du RGPD

Le RGPD est, en France, moins une révolution qu’une évolution substantielle de la réglementation sur la protection des données personnelles, en y apportant notamment les modifications suivantes:

  • Principe de « Privacy by design » : L’impératif de protection des données doit désormais être pris en compte dès la conception du traitement et tout au long de la vie de celui-ci;
  • Principe de « Privacy by default » : Il s’agit de garantir, par défaut, du plus haut niveau possible de protection des données, grâce aux mesures techniques et organisationnelles appropriées et ce, de manière continue ;
  • Principe d’ « Accountability » : Tout réassureur doit être en mesure de démontrer aux autorités de contrôle qu’il est en conformité avec le RGPD (traçabilité et preuve du respect de chaque obligation). Il doit notamment à ce titre tenir un registre des activités de traitement qu’il exerce ;
  • Création de nouveaux droits au profit des personnes physiques (droit à la limitation ; droit à la portabilité ; droit à l’oubli) avec un délai de réponse réduit;
  • Notification et la communication rapide de violations de données, respectivement auprès de la CNIL et des personnes concernées ;
  • Obligation de procéder à une analyse d’impact des traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes protégées ;
  • Renforcement des sanctions : Les sanctions pécuniaires sont dissuasives (jusqu’à 2% à 4% du chiffre d’affaire mondial consolidé, ou jusqu’à 10 à 20 M€, selon la gravité du manquement constaté) ;
  • Contrôle de la sous-traitance : la sous-traitance est davantage règlementée. Elle doit notamment faire l’objet d’un contrat dont le contenu est règlementé en matière de protection des données ;
  • Suppression des obligations déclaratives auprès de l’autorité de la CNIL  (traitement, transferts hors UE) ;
  • Obligation de désigner un Délégué à la Protection des Données (DPD) pour les réassureurs (suppression du Correspondant Informatique et Libertés-CIL).

Points d’attention

  • Une bonne application du RGPD implique nécessairement la détermination des rôles, responsabilités et de la qualification juridique du réassureur, du courtier de réassurance et de ses partenaires. Il est indispensable de déterminer si le réassureur agit en qualité de responsable de traitement (le cas le plus fréquent), de responsable conjoint ou de sous-traitant ;
  • L’obtention du consentement auprès de la personne concernée par le traitement de données pose des difficultés pratiques pour les réassureurs qui ne collectent jamais directement les données personnelles des assurés ou des tiers victimes ;
  • Les délais imposés au titre des obligations de notification et de communication en cas de violation de données sont extrêmement courts. Il semble donc important d’anticiper ce risque et d’adapter sa capacité à y répondre ;
  • La mise en place d’un registre de traitement n’est pas obligatoire pour tous les acteurs, mais elle est en tout état de cause vivement conseillée, le réassureur devant être en mesure d’apporter, à tout moment,  la preuve de sa conformité à la réglementation.
     

1.3.Structure de la note

Le Règlement général sur la protection des données personnelles (RGDP) est entré en vigueur le 25 mai 2018.

Ce règlement s'applique à l'ensemble des traitements de données à caractère personnel (2) réalisés dans le cadre des activités d’un établissement d’un responsable de traitement ou d’un sous-traitant sur le territoire de l’Union Européenne  ainsi que les traitements relatifs à des personnes concernées se trouvant sur le territoire de l’Union Européenne.

 

Parce que le RGPD impose des obligations spécifiques aux sous-traitants dont la responsabilité peut être engagée en cas de manquement avéré, la détermination des rôles de responsable de traitement et de sous-traitant est essentielle (3). A cet égard, le RGPD procède à un renversement de la charge de la preuve, car partant d’un système initial de déclaration et d’autorisation, avec contrôle de la conformité par la CNIL, c’est désormais au responsable de traitement ou au sous-traitant de prouver à tout moment sa conformité à la réglementation externe et interne en matière de protection des données à caractère personnel.

 

Par ailleurs, le responsable de traitement et le sous-traitant peuvent être contraints de désigner un Délégué à la Protection des Données (DPD) qui sera chargé de mettre en œuvre la conformité au RGPD au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme (5).

 

A ce titre, le DPD sera notamment en charge de conseiller le responsable de traitement sur la nécessité ou non de réaliser pour les différents traitements de données personnelles une analyse d'impact relative à la protection des données (4 et annexe2).

 

Cependant, il est à noter que le RGPD ne modifie pas toutes les dispositions du droit français actuellement applicable à la protection des données. Il en est ainsi de l'encadrement du transfert des données hors de l'Union Européenne (6).

 

Enfin, la loi relative à la protection des données personnelles a été promulguée le 20 juin 2018. Elle reprend notamment les montants de sanctions que la CNIL pourra prononcer en cas de manquement aux obligations relatives à la protection des données. Dans un objectif de responsabilisation du responsable de traitement et du sous-traitant, le montant de ces sanctions a considérablement augmenté et peut aller jusqu’à 4% du chiffre d'affaires mondial ou vingt millions d'euros[2].

 

Un tableau comparatif des différents instruments législatifs en vigueur ou à venir se trouve en annexe de la présente note.

 

 

[1] APREF : Association des Professionnels de la Réassurance en France

[2] La description complète de ces sanctions est visée en annexe 1 de la présente note.

Association des Professionnels
de la Réassurance en France

26 boulevard Haussmann
75009 Paris - FRANCE