Courtier en assurance et RGPD

Vous avez certainement déjà dû entendre parler des obligations du courtier en assurance quant au RGPD. Et vous avez sans doute modifié votre manière d’exercer votre métier afin de protéger au mieux les données de vos clients. Mais avez-vous fait assez ? Respectez-vous totalement toutes vos obligations quant au RGPD ? Découvrez dans cet article tout ce qu’il faut savoir sur le RGPD quand on est courtier en assurance.

Qu’est-ce que la CNIL ?

La CNIL est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui a pour but de veiller à la protection des données personnelles. Elle doit aussi veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Ces 4 missions principales sont :

• Informer et protéger les droits des personnes
• Accompagner à la conformité et conseiller
• Anticiper et innover
• Contrôler les organismes et les sanctionner en cas de manquement

Elle veille à ce que l’ensemble des acteurs économiques respectent le règlement européen lié aux données personnelles : le RGPD.

Qu’est-ce que le RGPD ?

RGPD veut dire Le Règlement Général sur la Protection des Données. Il s’agit du nouveau cadre juridique de l’Union Européenne qui gouverne la collecte et le traitement des données à caractère personnel. Il est entré en vigueur le 25 mai 2018.

En tant que courtier en assurance français, le RGPD vous concerne. En effet, il concerne tout organisme qui traite des données personnelles d’individus se trouvant aussi dans l’UE.

Le RGPD implique :

• Le renforcement des droits des personnes
• La responsabilisation des acteurs traitant les données
• Le renforcement des contrôles et des sanctions

Pour bien comprendre ces notions, et celles que nous développerons plus tard dans l’article, nous vous intégrons quelques définitions.

Quelques définitions

Donnée personnelle

Une donnée personnelle est toute information permettant d’identifier une personne physique. Que ce soit directement ou indirectement.

• Directement : nom et prénom par exemple
• Indirectement : numéro de téléphone, adresse IP, données de localisation, numéro d’immatriculation d’un véhicule, numéro de permis…

Traitement de données par le courtier en assurance

Le traitement de données est une ou des opérations portant sur des données personnelles. Quel que soit le procédé utilisé. Par exemple en tant que courtier en assurance vous effectuez de :

• La collecte de données : récupération de données personnelles lors de la complétude d’un devis
• L’enregistrement de données : une fois les données collectées, l’action de les enregistrer dans une base de données

Finalité de traitement

Il s’agit de l’objectif poursuivi par le traitement. En d’autres termes, les raisons pour lesquelles vous collectez les données et comment vous allez les utiliser. Il est obligatoire que vous collectiez les données pour des finalités déterminées, explicites et légitimes.

Base légale

La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre. C’est ce qui vous donne le droit, en tant que courtier en assurance, de traiter des données à caractère personnel.

Les nouvelles obligations

La désignation du DPO

Un DPO est un « Data Protection Officer » soit un Délégué de Protection des Donnés. Il doit mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques présentés par chaque traitement.

Le DPO est principalement chargé :

• D’informer et de conseiller son organisme, ainsi que ses employés
• De contrôler le respect du règlement et du droit national en matière de protection des données
• De conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution
• D’être contacté par les personnes concernées pour toute question De coopérer avec la CNIL et d’être son point de contact

A noter que la législation impose de nommer un DPO dans une entreprise privée si vos activités consistent en des opérations qui du fait de leur nature, de leur portée ou de leurs finalités exigent un suivi régulier et systématique à grande échelle des personnes concernées. Il est de votre responsabilité, en fonction de la taille de votre structure et de la législation, de nommer au sein de votre organisation un DPO.

Responsabilisation / Accountability

La logique de responsabilisation met fin aux formalités et déclarations préalables auprès de la CNIL. Elle oblige le courtier en assurance à prendre les mesures nécessaires pour respecter le règlement.

Ces mesures sont :

• La mise en place d’un registre de traitement : document de recensement et d’analyse. Il doit refléter la réalité des traitements de données personnelles de l’entreprise et leur objectif
• La réalisation d’une analyse d’impact (PIA) – Privacy Impact Assessment. Elle est obligatoire dans certains cas. L’objectif est d’identifier les risques engendrés par le traitement d’une donnée avant de déterminer les moyens adéquats pour la traiter. Elle concerne les données sensibles.

Recueil du consentement en cas de prospection

Le courtier en assurance peut avoir pour obligation de recueillir le consentement des personnes dès lors qu’il collecte leurs données personnelles à des fins de prospection commerciale par voie électronique. Il faut impérativement conserver la preuve du consentement de la personne. Ce consentement peut prendre la forme d’une case à cocher. Sans consentement il n’est pas possible de stocker ou d’utiliser une donnée personnelle en vue de réaliser des actions de prospection par e-mail. Ou de déposer des cookies dans le navigateur d’une personne qui visite votre site Internet.

La personne doit pouvoir retirer son consentement à tout moment. Si la personne retire son consentement, il n’y a plus de base légale pour justifier le traitement de données : il doit être stoppé.

En revanche, il n’est pas nécessaire de recueillir le consentement d’une personne pour collecter ses données si elles ont pour finalité la réalisation d’un devis, ou l’exécution et la gestion d’un contrat d’assurance. Le traitement a dans ce cas, comme base légale, l’exécution de mesures précontractuelles et contractuelles.

En plus d’obligations pour le courtier en assurance, la mise en place du RGPD octroie différents droits aux personnes. Ainsi, elles sont véritablement protégées de la mauvaise utilisation de leurs données personnelles.

Renforcement du droit des personnes envers le courtier en assurance

Droit d’informations

Associée au Principe de Transparence, l’information des personnes se doit d’être complète. Le RGPD liste les informations obligatoires à communiquer au moment de la collecte des données personnelles. Vous devez délivrer ces informations à vos clients.  N’hésitez pas à vous reporter au site de la CNIL pour obtenir des exemples de mentions obligatoires que vous pouvez utiliser sur vos supports de collecte de données dans votre cabinet.

Le droit d’accès

Le droit d’accès permet à la personne de vous demander de lui communiquer l’ensemble des données à caractère personnel que vous possédez la concernant. Ainsi que les informations s’y rapportant : finalité du traitement, catégorie de données traitées, destinataires des données, durée de conservation…

Le droit d’opposition

Toute personne a la possibilité de s’opposer à tout moment, pour des raisons légitimes tenant à sa situation particulière, à un traitement de données personnelles. Elle peut également s’opposer au traitement de ses données personnelles à des fins de prospection commerciale téléphonique ou postale, sans devoir se justifier.

Le droit à l’effacement, à l’oubli

Permet d’obtenir l’effacement d’informations lorsque les données ne sont plus nécessaires au regard des finalités déclarées. Ou lorsque les données font l’objet d’un traitement illicite. Ou alors que le traitement n’a plus de base légale suite au retrait du consentement.

Le droit à la portabilité

Il s’agit du droit de récupérer ses données et de les réutiliser pour répondre à ses propres besoins. Ou alors de solliciter un transfert direct de ses données vers un autre responsable de traitement.

Le droit à la limitation du traitement

Toute personne concernée peut demander de « geler temporairement » l’utilisation de certaines de ses données, dans l’attente notamment qu’une autre demande soit examinée par l’organisme : en cas de demande de rectification ou d’opposition par exemple.

En tant que courtier en assurance vous devez vous acquitter de votre obligation de donner suite dans un délai de 1 mois aux demandes d’exercice des droits de vos clients. Les demandes doivent être analysées au cas par cas et peuvent faire l’objet de refus si elles ne sont pas justifiées ou abusives. Votre refus d’y donner suite devra être motivé.

La violation des données personnelles, qu’est-ce que c’est ?

Selon l’article 4.12 du RGPD, une violation des données personnelles est : « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. »

Il s’agit alors de tout incident de sécurité intentionnel ou malveillant, ou non qui compromet la confidentialité et l’intégrité des données personnelles.

Cela peut être la perte d’une clé USB avec une copie d’une base de données clients d’une société par exemple.

En cas de violation de données, vous devez le déclarer à la CNIL dans les 72h. En effet, l’incident constitue un risque au regard de la vie privée des personnes concernées. Vous devez fournir un certain nombre d’informations : description de la violation, conséquences probables, mesures prises pour y remédier…

En cas de risque élevé, vous devez également notifier les personnes concernées. Un tel risque existe lorsqu’une violation est susceptible d’engendrer des dommages physiques, matériels ou un préjudice moral pour les personnes dont les données ont fait l’objet de la violation. Exemple : discrimination, vol, usurpation d’identité, perte financière, atteinte à la réputation.

En cas de doutes, vous pouvez le notifier à la CNIL qui vous dira s’il est nécessaire ou non d’informer les personnes concernées.

Si des clients NETVOX sont concernés, vous devez aussi informer NETVOX afin que les mesures appropriées puissent être prises par nos services le cas échéant.

Les bons réflexes à adopter

• Si vous avez plusieurs salariés, ne pas communiquer à un collègue ou à un tiers les mots de passe des systèmes d’information qui sont personnels (système d’exploitation, messagerie Outlook)
• Verrouiller son poste de travail lorsqu‘on le quitte. Cela peut être en fin de journée mais aussi en cas de pause rapide dans la journée, de pause déjeuner etc.
• Ne pas copier des données personnelles sur des supports de stockage tels que des disques durs externes ou des clés USB. Il ne faut pas les sortir du cabinet de courtage non plus.
• Ne pas laisser sans surveillance sur les bureaux des données personnelles stockées sur un support papier concernant les clients, prospects, partenaires ou salariés si vous en avez. Il convient de les garder dans des casiers fermés. Si ces supports papier ne sont plus utiles, ils doivent être détruits.
• Il ne faut pas écrire sur des supports papiers les éléments de la carte de paiement d’un client. Les éléments doivent être saisis en temps réel sur le système.
• Si vous devez laisser des commentaires sur un client ou un prospect pour vos collaborateurs, il faut qu’ils soient objectifs et pertinents. Par exemple :
  • Au lieu de « client au chômage » ou « en instance de divorce » entrainant des difficultés financières, il faut privilégier « difficultés de paiement temporaires » sans en préciser la cause
  • Il faut éviter aussi des phrases comme « le client a pété un plomb » pour privilégier « échanges difficiles avec le client »
  • Ou encore, au lieu de « client condamné pour état d’ivresse », il faudra écrire des termes neutres comme «  « absence de permis ou suspension de permis suite à condamnation » sans préciser le motif

Pensez toujours que vos clients ont un droit d’accès sur les données personnelles les concernant, et qu’ils pourraient ainsi avoir accès à tout ce que vous avez écrits dans leurs dossiers.

Les sanctions en cas de non-respect du RGPD

En cas de non-respect du RGPD, le courtier en assurance s’expose à différentes sanctions. La CNIL peut :

• Prononcer un rappel à l’ordre
• Prononcer une injonction de limiter ou cesser le traitement de données incriminé, jusqu’à la mise en conformité, vous empêchant ainsi d’exercer
• Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte
• Prononcer une amende administrative qui peut aller jusqu’à 4% du Chiffre d’Affaire annuel et faire l’objet d’une publication par la CNIL.

Et par conséquent, vous risquez de perdre vos clients et vos partenaires car votre image aura été entachée.

Le RGPD est maintenant un règlement incontournable pour le courtier en assurance. En effet, en tant que Courtier, vous traitez les données à caractère personnel de prospects et clients. Le RGPD implique ainsi de nombreuses modifications dans la manière de réaliser votre métier au quotidien. Mais il est impératif de vous soumettre aux contraintes pour faire perdurer votre activité, votre réputation, vos clients, et vos partenariats. Pour vous aider, NetVox a mis en place NetVox Services. Une plateforme accessible via son site de marque sur laquelle vous pouvez retrouver tous les services incontournables à l’exercice du métier de courtier en assurance. Parmi eux, nous vous proposons de vous aider à vous mettre en conformité avec le RGPD.