Webzine  
Connectez-vous
Codes courtage

Le webzine de PLANETE CSCA

Accueil > Webzine > L'actualité du courtage > Réglementations > Règlement Général sur la Protection des Données (RGPD) : sources et environnement juridique
Imprimer p

15 septembre 2017

Règlement Général sur la Protection des Données (RGPD) : sources et environnement juridique

Ce Règlement entrera en vigueur le 25 mai 2018. Ce texte très important, qui concerne tous les secteurs économiques, nécessite une analyse approfondie ainsi que des actions lourdes et concrètes pour le secteur de l’intermédiation de l’assurance.
 

Le Règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données est dénommé Règlement Général sur la Protection des données ou RGPD (GDPR en version anglaise). La compréhension de ce Règlement, et de ses applications concrètes, nécessite la présentation du contexte juridique du sujet.

Après la croissance de l’informatisation de nos sociétés, le premier ordinateur date de 1946, la révolution numérique a commencé dans les années 2000. Avec internet, nous passons du traitement de données ciblées (par exemple les traitements de données nécessaires à la gestion d’un contrat d’assurance recueillies lors de la souscription) à la capacité de traiter toutes les données disponibles sur « le nuage numérique » avec de nouveaux territoires que sont le Big Data, l’Open Data et l’Internet des objets.

Le RGPD est une réponse, sans doute encore partielle, à ce nouveau monde notamment en matière de territorialité.

Soucieuse des atteintes à la protection des personnes et des libertés, la France a été relativement en avance avec la loi informatique et libertés du 6 janvier 1978, suite au rapport Tricot et au fichier SAFARI, et qui a notamment créé la CNIL.
Cette loi de 1978 comporte à la fois :

  • Un cadre général : l’informatique ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques
  • Des définitions : données à caractère personnel, traitement de données, fichier, responsable de traitement…
  • Des principes ou obligations : consentement, déclaration des traitements, les droits d’information, d’opposition, d’accès et de rectification
  • Des sanctions

La loi du 6 août 2004 a transposé dans le droit français la directive 95/46/CE du 24 octobre 1995 et a modifié ou complété, par conséquence la loi de 1978.
Les principales modifications portent sur :

  • L’harmonisation des règles entre secteur privé et secteur public
  • La création du correspondant informatique et liberté (CIL)
  • L’extension des contrats de la CNILUn nouveau texte de loi pourrait paraître fin 2017.

La directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données est le premier texte de référence au niveau européen sur ce sujet. Elle reprend les grands thèmes déjà évoqués précédemment mais en excluant les domaines hors du champ du droit communautaire comme la sécurité publique et en laissant une certaine marge aux Etats pour la transposition. Le RGPD remplace cette directive qui est donc abrogée le 25 mai 2018 (art.94 du RGPD).

La directive « vie privée et communications électroniques » 2002/58/CE du 12 juillet 2002 traite des sujets spécifiques liés aux communications et à internet ; nous pouvons citer par exemple l’envoi des messages électroniques non sollicités, l’usage des témoins de connexion (cookies), les données de localisation ou la facturation ; selon l’article 95, le règlement n’impose pas d’obligations supplémentaires sur les sujets traités par cette directive.

La Commission européenne a publié le 10 janvier 2017, la proposition de « Règlement sur la vie privée et les communications électroniques » qui doit remplacer la directive citée ci-dessus.

Le règlement vise à s’adapter aux évolutions technologiques et à harmoniser les pratiques européennes notamment sur :

  • La confidentialité de toutes les communications téléphoniques
  • l’anonymisation des données
  • la généralisation du consentement et de l’information : cookies, équipement terminal, appel non sollicité
  • Un système de sanctions équivalentes au RGPD

Compte tenu la grande proximité des deux règlements, la Commission souhaite une date d’application identique au RGPD soit le 25 mai 2018.

Le Règlement UE 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques, qui abroge la directive 1999/93/CE, est un texte assez technique orienté vers la reconnaissance mutuelle des identifications, les notifications nécessaires, les coopérations et l’interopérabilité. Le chapitre sur les services de confiance définit les responsabilités et le contrôle de ces acteurs : la signature électronique est développée à la section 4.

La loi pour une République numérique promulguée le 7 octobre 2016 rassemble des mesures diverses orientées vers :

  • L’open data : ouverture et gratuité des données de l’INSEE, ouverture des données de jurisprudence…
  • La formation et la recherche : reconnaissance des MOOC, libre accès aux publications scientifiques….
  • Les plateformes : portabilité des données…
  • Protection des internautes : multiplications par 20 des sanctions CNIL, protection des détecteurs de faille…
  • Les nouveaux usages : recommandés électroniques, coffre-fort numérique, reconnaissance des compétitions de jeux vidéo, don par SMS…

Toujours sur le périmètre informatique, on peut citer rapidement l’Ordonnance n°2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du 25 novembre 2015 concernant les services de paiement qui a notamment pour objet de renforcer les exigences de sécurité pour les paiements électroniques et la protection des données financière des consommateurs, la Directive UE 2016/1148 du 6 juillet 2016 qui renforce la cybersécurité mais également les dispositions sur le gel des avoirs qui nécessite un filtrage permanent des bases clients, procédure encadrée par le Règlement CE 2580/2001 du 27 décembre 2001 et les articles L562-1 et suivants et R562-1 et suivants du Code monétaire et financier.

Sur le plan assurantiel, nous pouvons au moins rappeler le Pack conformité Assurance, qui fait actuellement l’objet de discussion avec la CNIL et le code de bonne conduite de la convention AERAS.

Enfin, une loi sur les sources électroniques de la preuve pourrait être discutée en 2018.

Le RGPD doit ainsi se comprendre comme un texte qui assure la continuité de plusieurs textes français et européens mais également un texte qui s’intègre dans de nombreuses dispositions actuelles ou en discussion.

Le RGPD fera l’objet de la part de PLANETE CSCA de plusieurs notes explicatives et d’application concrète chez les courtiers.
 

Philippe Luttmann,
Directeur Juridique, Fiscal et conformité de PLANETE CSCA

Dans la même rubrique

3 mai 2024 L'actualité du courtage

Eres, acteur de l’épargne longue, fait l’acquisition de Retraite.com.

lire plus
3 mai 2024 Réglementations

Nouveau guide pratique AFA sur les opérations de parrainage et de mécénat

lire plus
3 mai 2024 Affaires sociales

Compte Personnel de Formation (CPF) : mise en place d’un reste à charge

lire plus
3 mai 2024 Affaires sociales

Suppression de l’aide à l’embauche pour les contrats de professionnalisation

lire plus