Les données personnelles sous haute surveillance

La donnée constitue le carburant de l’assurance. Quand elle est personnelle, elle devient encore plus critique. La nouvelle loi en la matière (GDPR), votée le 4 mai 2016, entrera en vigueur en 2018. Une aubaine pour les courtiers et assureurs car ils pourront vendre plus de contrats en la matière.

Cette fois-ci est la bonne. Le 4 mai dernier, le Règlement général sur la protection de la donnée personnelle (GDPR en anglais, ndlr) a été voté. Et est entré en vigueur 20 jours après. Elle ne sera transposée que deux ans plus tard, le temps de donner aux autorités de contrôle la possibilité de préparer les acteurs concernés aux changements prévus. Comme le précise le courtier Marsh, il « est dans l’intérêt des organisations n’ayant pas suivi de près le parcours de ce règlement d’en évaluer au plus tôt les implications pour leur activité et de mettre en oeuvre les modifications nécessaires. Sachant que les pénalités appliquées en cas de non-conformité peuvent être lourdes. Il est donc important de pouvoir prouver cette conformité bien en amont de la période de mise en place ».
 
La nécessité d’adapter la réglementation aux évolutions technologiques
La digitalisation des entreprises se poursuit à un rythme effréné. Depuis l’entrée en vigueur de la directive 95/46/CE sur la protection des données adoptée en 1995, les méthodes de collecte de données personnelles ont profondément changé et de nouveaux risques sont apparus qui n’étaient pas pris en compte. Le Règlement reconnaît que l’augmentation exponentielle du nombre de données collectées grâce aux évolutions technologiques signifie que les entreprises, privées ou publiques, sont en mesure de faire usage de ces données (notamment à caractère personnel) très facilement. Face à cela, des propositions de la Commission européenne pour mettre à jour et moderniser la directive étaient de deux ordres : donner une autonomie aux individus en garantissant le droit à la protection des données à caractère personnel ; créer un espace de confiance dans un environnement digital en pleine transformation.
 
Quel est l’impact de l’entrée en vigueur de cette nouvelle réglementation ?
Parmi les nouveautés, figure le nouveau rôle qui échoit désormais au responsable du traitement de données, qui est directement concerné par cette nouvelle norme. Chaque entreprise doit notamment bénéficier désormais d’un correspondant informatique et liberté (CIL). Celui-ci sera chargé de veiller au respect des normes sur le GDPR.
En fait, il s’agit d’une nouvelle ère pour la maîtrise de la donnée. Mais le changement le plus important à noter est la création de sanctions pécuniaires, qui plus est significatives : elle pourra atteindre les 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise, selon la valeur la plus élevée. Le pourcentage retenu ci-dessus concerne le chiffre d’affaires mondial consolidé plutôt que celui de l’entité enregistré dans un ou plusieurs pays de l’UE dans lesquels l’infraction s’est produite. Les entreprises ont donc tout intérêt à protéger leurs données personnelles.
 

Trois questions à Jean Bayon de la Tour, Responsable développement cyber de Marsh pour l’Europe Continentale « Marsh sensibilise ses clients sur la protection des données » Avec l’entrée en vigueur en mai 2018 du nouveau Règlement européen sur la gestion des données personnelles (GDPR), quel regard portez-vous sur le paysage de la donnée au sein des entreprises ? L’application imminente de cette nouvelle norme ne change pas fondamentalement la donne. Marsh poursuit son travail de sensibilisation de ses clients sur la nécessité de sécuriser leurs données, surtout personnelles. En tant que courtier, nous rappelons à nos clients que la digitalisation accrue de leurs activités doit s’accompagner d’un dispositif de protection des données, en y incluant la cyber assurance. En fait, si le risque existait déjà, cette nouvelle loi le met en lumière et pointe du doigt les aléas auxquels sont confrontées les entreprises dans le monde actuel. Quelle est la réponse du marché de l’assurance face aux attentes des entreprises ? Les polices traditionnelles de type responsabilité civile/dommages ne suffisent pas à couvrir ces nouveaux risques. Les clients nous demandent des contrats dédiés couvrant toutes les conséquences financières d’une cyber-attaque (y compris de potentielles class actions et les frais de notification), qui soient faciles à comprendre et à souscrire. Où en sont les entreprises sur le terrain ? Les grandes entreprises sont déjà bien équipées en polices cyber. S’agissant des ETI et des PME, il reste encore beaucoup à faire. Leur principale préoccupation porte sur l’assistance en cas de sinistre cyber, c’est là que le courtier joue pleinement son rôle de conseil. Sur le fond, les dommages directs et indirects sont déjà bien couverts en France, ce qui est différent de l’autre côté de la Manche.