4 janvier 2017
Les données personnelles sous haute surveillance
La donnée constitue le carburant de l’assurance. Quand elle est personnelle, elle devient encore plus critique. La nouvelle loi en la matière (GDPR), votée le 4 mai 2016, entrera en vigueur en 2018. Une aubaine pour les courtiers et assureurs car ils pourront vendre plus de contrats en la matière.
Cette fois-ci est la bonne. Le 4 mai dernier, le Règlement général sur la protection de la donnée personnelle (GDPR en anglais, ndlr) a été voté. Et est entré en vigueur 20 jours après. Elle ne sera transposée que deux ans plus tard, le temps de donner aux autorités de contrôle la possibilité de préparer les acteurs concernés aux changements prévus. Comme le précise le courtier Marsh, il « est dans l’intérêt des organisations n’ayant pas suivi de près le parcours de ce règlement d’en évaluer au plus tôt les implications pour leur activité et de mettre en oeuvre les modifications nécessaires. Sachant que les pénalités appliquées en cas de non-conformité peuvent être lourdes. Il est donc important de pouvoir prouver cette conformité bien en amont de la période de mise en place ».
La nécessité d’adapter la réglementation aux évolutions technologiques
La digitalisation des entreprises se poursuit à un rythme effréné. Depuis l’entrée en vigueur de la directive 95/46/CE sur la protection des données adoptée en 1995, les méthodes de collecte de données personnelles ont profondément changé et de nouveaux risques sont apparus qui n’étaient pas pris en compte. Le Règlement reconnaît que l’augmentation exponentielle du nombre de données collectées grâce aux évolutions technologiques signifie que les entreprises, privées ou publiques, sont en mesure de faire usage de ces données (notamment à caractère personnel) très facilement. Face à cela, des propositions de la Commission européenne pour mettre à jour et moderniser la directive étaient de deux ordres : donner une autonomie aux individus en garantissant le droit à la protection des données à caractère personnel ; créer un espace de confiance dans un environnement digital en pleine transformation.
Quel est l’impact de l’entrée en vigueur de cette nouvelle réglementation ?
Parmi les nouveautés, figure le nouveau rôle qui échoit désormais au responsable du traitement de données, qui est directement concerné par cette nouvelle norme. Chaque entreprise doit notamment bénéficier désormais d’un correspondant informatique et liberté (CIL). Celui-ci sera chargé de veiller au respect des normes sur le GDPR.
En fait, il s’agit d’une nouvelle ère pour la maîtrise de la donnée. Mais le changement le plus important à noter est la création de sanctions pécuniaires, qui plus est significatives : elle pourra atteindre les 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise, selon la valeur la plus élevée. Le pourcentage retenu ci-dessus concerne le chiffre d’affaires mondial consolidé plutôt que celui de l’entité enregistré dans un ou plusieurs pays de l’UE dans lesquels l’infraction s’est produite. Les entreprises ont donc tout intérêt à protéger leurs données personnelles.
Trois questions à Jean Bayon de la Tour, Responsable développement cyber de Marsh pour l’Europe Continentale
Quelle est la réponse du marché de l’assurance face aux attentes des entreprises ? Où en sont les entreprises sur le terrain ? |