Trois nouveaux points sur le RGPD : la rectification des données, l’effacement et la portabilité

Le Règlement Général sur la Protection des Données (RGPD), d’application directe le 25 mai 2018 dans les 28 Etats de l’Union européenne, constitue le nouveau texte de référence pour la protection des données à caractère personnel et à la libre circulation de ces données.
 

Le secteur de l’intermédiation de l’assurance est directement concerné, d’où la nécessité d’approfondir les 21 points traités par le RGPD dans ses dispositions.
Cette semaine, PLANETE CSCA met en exergue trois nouveaux thèmes que les courtiers ne peuvent méconnaître, à savoir la transparence des données à caractère personnel, la rectification et l’effacement de ces données, et leur portabilité.

Dans un premier temps, il est nécessaire de présenter l’objectif de transparence des données à caractère personnel, qui fait d’ailleurs actuellement l’objet d’une consultation de la CNIL, jusqu’au 19 octobre 2017.
Le principe de transparence est constant et se décline dans des informations qui doivent être concises, compréhensibles et aisément accessibles. Le responsable du traitement doit fournir gratuitement les réponses appropriées dans un délai d’un mois avec une parfaite maîtrise du droit des personnes concernées.
En pratique, il conviendra de s’organiser pour que la communication, avant ou après demande spécifique, puisse répondre à ces exigences de transparence et de tenir un registre des demandes d’information.
Bien entendu, un travail approfondi en amont est nécessaire pour documenter l’ensemble des traitements et les bases de données.
 
En plus de l’objectif de transparence garanti aux clients, ces derniers bénéficieront du droit à la rectification et à l’effacement de leurs données en cas de demande.
Les articles 16 à 19 consacrent à la fois le droit à la rectification et à l’effacement des données ainsi que le droit à la limitation du traitement et l’obligation de notification.
Le responsable du traitement doit répondre concrètement aux demandes dans les meilleurs délais.
L’effacement, ou droit à l’oubli, est de droit dans six cas énumérés à l’article 17 ; par exemple lorsque la personne concernée retire son consentement aux traitements.
Mais dans ce cas, il ne doit pas exister un autre fondement juridique au traitement ; cette limitation réduit le champ d’application de ce droit dans l’assurance puisque la personne a donné son accord pour l’exécution du contrat d’assurance. Le droit à la limitation du traitement est visé dans quatre situations notamment lorsque les données ne sont plus utiles au traitement mais peuvent être utilisées dans une procédure judiciaire.
La notification par le responsable du traitement est obligatoire dans un délai qui doit s’aligner sur les règles de transparence soit un mois ou 3 mois dans des cas particuliers.
 
Enfin, la portabilité des données à caractère personnel est également un droit octroyé par le RGPD ; elle permet aux personnes de transférer leurs données personnelles d’un organisme à un autre.
A partir de l’article 20 qui traite ce sujet délicat et nouveau, il a été nécessaire de le documenter par des Lignes directrices adoptées le 13 décembre 2016 et révisées le 5 avril 2017.
Un double droit est consacré à la personne concernée ; celui de récupérer les données la concernant pour son usage personnel et celui de demander de transférer ses données personnelles d’un organisme à un autre.
Ce droit est limité aux données personnelles fournies par la personne concernée et qui ont été traitées de manière automatisée ; les données dérivées ou les données personnelles traitées sur une autre base légale que le consentement ou l’exécution d’un contrat ne sont pas concernées.
Nous pouvons citer, par exemple, les données personnelles traitées pour la lutte contre le blanchiment.
En pratique, ce nouveau droit implique une analyse interne des systèmes et de l’organisation mais aussi de la nature des données éligibles ou non à ce droit.
Les autres points traités sur le RGPD feront l’objet de nouveaux articles par PLANETE CSCA.