À l’heure du bilan, la formation est l’outil indispensable à la mise en conformité des assureurs
Ces dernières années ont vu apparaitre d’importants progrès en matière de nouvelles technologies et un changement radical dans les façons dont les individus et les organisations communiquent et échangent de l’information. Internet et les réseaux sociaux, le cloud et les objets connectés, la dématérialisation de la relation contractuelle et la blockchain, sont autant de facteurs qui ont entièrement bouleversé le monde dans lequel nous évoluons. Le RGPD, le Règlement Général sur la Protection des Données, est donc intervenu dans un contexte de Big Data lié à la forte digitalisation des process d’acquisition et d’exploitation des données personnelles. Il vient en réponse à cette évolution profonde des pratiques, afin de responsabiliser les entreprises et de protéger les utilisateurs. Le RGPD est entré en vigueur le 25 mai 2018 : il est donc intéressant d’en dresser aujourd’hui un premier bilan.
L’entrée en application du RGPD a marqué une forte prise de conscience des enjeux de protection des données, en France comme en Europe. Le rapport d’activité annuel de la CNIL pour 2020 annonce quelques grandes lignes fortes. Pour les particuliers, une augmentation considérable des plaintes adressées à la CNIL avec 13585 plaintes en France (2/3 d’augmentation depuis la mise en œuvre) et plus de 150 000 plaintes au niveau européen. Elles concernent notamment « l’information des personnes et les modalités d’exercice des droits, comme le droit d’accès ». Pour les entreprises, une appropriation progressive des nouveaux dispositifs RGPD ayant conduit à 2 825 notifications de violation de données en France et près de 100 000 au niveau européen. Enfin, au niveau des CNIL européennes, une coopération engagée et opérationnelle avec plus de 1000 dossiers en cours d’étude dans le cadre de la coopération transfrontalière concernant plusieurs milliers de personnes. Selon une étude réalisée par l’IFOP en 2021, près de 70 % des Français affirment être attentifs au traitement qui est fait de leurs données personnelles, et sont principalement préoccupés par les sujets suivants : le piratage et les vols de données, le transfert des données hors UE, la protection de leurs données de santé, et la multiplication des spam et des sollicitations commerciales.
Depuis l’entrée en application du RGPD, la CNIL poursuit ses actions de répression et les amendes augmentent. En 2021, 18 sanctions ont été prononcées pour un montant total de 214 millions d’€, soit un montant en hausse de 55% par rapport à 2020. La CNIL a également prononcé 135 mises en demeure (contre 48 en 2020). Les plus importantes sanctions financières depuis 2018 ont été portées à l’encontre de Google (100 m€), Amazon (35 m€), ou encore Free mobile (300000€). Dans le monde de l’assurance et de la banque : AG2R La Mondiale a été condamné à hauteur de 1.750.000€ pour défaut de gestion des durées de conservation et manquement à l’information des personnes, Carrefour Banque à hauteur de 800k€ pour échanges de données avec sa maison mère, et Active Assurance à hauteur de 180 000 € pour défaut de sécurisation des espaces clients. La vigilance des entreprises doit porter notamment sur les manquements au RGPD les plus fréquemment sanctionnés. D’abord, le défaut de sécurisation des données, qui représente 50 % des sanctions infligées en 2021, et notamment la sécurisation des données de santé ou des sites web. Egalement le dépôt de cookies. Nous sommes tous concernés par les cookies et les traceurs. Les cookies sont de petits fichiers déposés sur votre appareil (tablette, téléphone, ordinateur) lorsque vous accédez à un Site ou une Application. Ces cookies permettent de suivre vos activités en ligne et de vous proposer des contenus en lien avec vos centres d’intérêts. En septembre 2020, la CNIL a apporté des précisions concernant la gestion des cookies, avec une date de mise en œuvre de ses recommandations fixée au 31 mars 2021. Or des progrès sont encore à faire et la vigilance des entreprise doit se renforcer sur ce sujet car en 2021, 89 mises en demeures ont porté sur une non-confomité dans l’utilisation des traceurs et le recueil des consentements. De même, les sanctions de l’autorité de contrôle ont également portée principalement en 2021 sur Le non-respect de durées limitées de conservation et l’absence de formalisation d’un contrat avec les sous-traitants pour le traitement des données personnelles. Pour rappel, les sanctions en cas de non-respect du RGPD peuvent aller jusqu’à 2% ou 4% du chiffre d’affaires de l’entreprise.
Le RGPD est un texte qui s’applique à tout domaine d’activité. Il s’applique donc aux secteurs de l’assurance et de la banque, et également au monde du travail. Depuis son entrée en application en mai 2018, de nombreuses questions d’interprétation ont été soulevées quant aux implications concrètes et à la contextualisation du RGPD au secteur de l’assurance. Celles-ci avaient en effet posé de nombreuses questions au moment de la mise en œuvre de la règlementation et le besoin d’une position commune se faisait sentir pour clarifier la lecture à entendre du RGPD pour le secteur. C’est désormais chose faite, avec la parution en juillet 2021 d’un document de référence publié par France Assureurs (ex-FFA) visant à décrire les grands principes de la mise en application du texte pour le secteur de l’assurance, et avec les lignes directrices de l’Europe sur les violations de données, publiées en 2022. Les règles en matière de protection des données sont ainsi en constante évolution pour s’adapter aux usages toujours plus innovants, tout en limitant les risques pour les droits et libertés individuelles.
La gestion des données personnelles n’est pas un sujet aisé. Dans ce contexte en perpétuelle évolution, la vigilance des collaborateurs des organismes assureurs est essentielle. Elle permet au secteur de l’assurance d’aborder sereinement le corpus de règles relatif au RGPD et de s’assurer de sa conformité à la règlementation. A l’heure du bilan, 3 ans après l’entrée en vigueur du RGPD, Kaléa Formation a mis en oeuvre un dispositif de formation digital totalement adapté aux besoins des professionnels du secteur de l’assurance. Notre nouveau dispositif de formation RGPD Assurance s’articule autour de 3 axes de formation : une première étape, en adaptive-learning et spécifiquement adaptée au niveau de connaissance de chacun de vos collaborateurs, leur permet de revoir les fondamentaux du RGPD en fonction de leur besoin ; La seconde partie de la formation porte sur les nouveautés et les précisions apportées par le RGPD depuis son entrée en vigueur ainsi que les différentes sanctions prononcées et le ressenti clients ; Enfin, la dernière partie de cette formation répond aux questions concrètes et fréquentes que se posent les collaborateurs du secteur assurance (la communication des données, les droits des assurés, le principe de transparence et la minimisation des données, la question des zones de commentaires, du consentement et de la finalité de traitement, la conservation des données et la réaction à avoir en cas de violation des données, etc…)
Pour en savoir plus sur nos parcours e-learning RGPD : contactez-nous !
