Directrice de la Conformité L’application du Règlement Général sur la Protection des Données (RGPD) dans l’assurance Sophie Nerbonne, Directrice de la Conformité CNIL
Les initiatives prises par la CNIL Accompagnement des acteurs dans la mise en place du RGPD Expliquer les nouvelles exigences Proposer des outils pour la conformité Collaborer avec les professionnels à la mise à jour du « pack assurance » Mettre en oeuvre le nouveau modèle de gouvernance prévu par le règlement européen CNIL
La conformité des organismes d’assurance avec le RGPD Un principe « d’accountability » : obligation de mettre en place des mesures appropriées et de démontrer cette conformité à tout moment Comment ? Plusieurs outils, à moduler en fonction des risques encourus pour les droits et les libertés des personnes, permettent de respecter cette obligation : la désignation d’un délégué à la protection des données La tenue d’un registre des traitements mis en œuvre, l’application des principes de privacy by design et privacy by default, la conduite d’analyses d’impact, la consultation de la CNIL pour certains traitements présentant des risques élevés, la notification de failles de sécurité (aux autorités et personnes concernées), la certification de traitements, les codes de conduites professionnels
La mise à jour du « pack assurance » Les traitements concernés : NS 16, NS 56 et AU 39. Le NIR (AU 31) et le traitement des données d’infractions (AU 32) sont régis par la « nouvelle Loi I&L ». Mettre à jour les traitements au regard du RGPD consiste à : Identifier les bases légales (exécution des contrats, intérêt légitime RT, obligation légale, consentement des personnes…), Distinguer entre les traitements qui sont susceptibles de donner lieu à un profilage et les décisions individuelles automatisées (art 4 / art 22) et rappeler les droits des personnes qui en découlent (information, rectification / suppression, accès et opposition), Revoir les mentions d’information des personnes (quel format ? écrit, oral, numérique…; comment ? information succincte, distincte des autres mentions du contrat, concrète et explicite dans un langage simple, facilement accessible; quand ? 1er contact…; quel contenu ? possibilité de distinguer entre les informations « essentielles » à tous les traitements (finalités, bases légales, droits, retrait du consentement) et celles « complémentaires » (DPO, durées, destinataires...), Rappeler les droits des personnes et présenter les nouveaux droits (portabilité, limitation du traitement), S’assurer que les ST appliquent correctement les mesures de sécurité (ex : violations de données et notification des failles), etc.
Focus sur l’Accountability & la CNIL Faciliter la transformation digitale des acteurs Proposer des réponses adaptées et évolutives : packs de conformité, codes de conduite, BCR, certification, transition du CIL au DPO Comprendre les besoins des professionnels Être au service des personnes concernées Développer des outils de conformité Les promouvoir au niveau EU Co-régulation et public identifié Animation de réseaux avec les têtes de réseaux (effet multiplicateur) Pour construire une innovation durable et responsable
Et après le 25 mai ? L’Accompagnement se poursuit : conseils et nouveaux outils de la conformité : liste des traitements soumis à PIA ou non, élaboration des référentiels, … Actions de contrôle : « courbe d’apprentissage » les premiers mois sur les outils et droits nouveaux ; pas de changement pour ce qui est de l’application des principes de protection des données CNIL
Merci de votre attention Place aux questions CNIL