Règlement général sur la pro-




 tection des données (RGPD)








 Le Règlement général sur la protection des données (RGPD) a été adopté en avril 2016.  Il est applicable   Base juridique pour le traitement de données sensibles   lignes directrices telles que celles relatives aux véhicules
 depuis le 25 mai 2018 dans tous les Etats membres de l’UE.  Il est contraignant dans son entièreté et   Un  autre  grand  défi  pour  les  intermédiaires  d’assurance   connectés et plus particulièrement sur le traitement des
 directement applicable dans les Etats membres.  Il a abrogé la Directive sur la protection des données   est le traitement de données sensibles et notamment   données personnelles dans le contexte des véhicules
 qui définissait les règles précédentes sur la protection des données dans l’UE.  Les autorités nationales   celles concernant la santé.   En vertu du RGPD, il est en   connectés et des applications liées à la mobilité (lien), une
 de protection des données sont chargées de faire appliquer les nouvelles règles et coordonnent leurs   principe  interdit  de  traiter  des  données  sensibles.    Des   version légèrement actualisée de ses lignes directrices 2018
 actions par le biais de nouveaux mécanismes de coopération et via le Conseil européen de la protection   exceptions à cette interdiction générale sont prévues dans   sur le consentement dans le cadre du RGPD fournissant des
 des données (EDPB).  les circonstances décrites de manière exhaustive à l’article   précisions supplémentaires sur le fait que le consentement
            9§2.                                                obtenu  par  le  biais  de  murs  de  cookies  et  le  défilement
 Le Règlement couvre le traitement de données à caractère personnel : il s’agit d’informations se   Toutefois ces exceptions n’autorisent pas automatiquement   d’une page web n’est pas juridiquement valable.
 rapportant à une personne physique identifiée ou identifiable (“personne concernée”). Les catégories   le traitement des données relatives à la santé par les
 spéciales de données, telles les données sur la santé, sont soumises à une protection supplémentaire,   intermédiaires d’assurance et il convient par conséquent   En  février  2019,  le  conseil  d’administration  de  l’EDPB  a
 et les données de ce type ne pourront être traitées qu’avec le consentement exprès de la personne   de  vérifier  si  cette  activité  peut  être  couverte  par  l’une   adopté son programme de travail biennal pour 2019-
 concernée.  Des dérogations sont possibles.  de ces dérogations.  L’enjeu est de taille : si le traitement   2020  et  a  annoncé  l’adoption  d’autres  lignes  directrices,
 Le traitement des données couvre la plupart des activités comprenant des données personnelles   de données sensibles dans le cadre des activités des   notamment sur la notion d’intérêt légitime du responsable
 : collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification,   intermédiaires  n’est  pas  couvert  par  les  dispositions  de   du traitement (mise à jour l’avis du Groupe de travail Article
 extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme   l’article  9§2,  le  principe  général  s’applique  alors  et  ce   29 (G29)) ainsi que sur les concepts de responsable du
 de mise à disposition, rapprochement ou interconnexion, limitation, effacement et destruction. Par
 conséquent, toute compagnie privée se retrouvant avec des données personnelles sera probablement   traitement est interdit.  En outre, la personne concernée   traitement et de sous-traitant (mise à jour de l’avis du G29).
 considérée comme traitant ce type de données.  pourrait  exiger  de  l’intermédiaire  que  ce  dernier  efface   Il s’agit de questions clés pour le BIPAR et ses membres.
            les données sensibles au motif qu’elles font l’objet d’un
            traitement  illicite.  Il  existe  aujourd’hui  des  divergences   Atelier de l’EDPB sur les droits des personnes concernées
 Le RGPD est une législation intersectorielle.  Il s’applique au secteur de la distribution d’assurance mais
 n’est pas spécifique à ce secteur. La mise en conformité avec le RGPD s’est pas conséquent avérée   d’approche entre les Etats membres quant à la base   au titre du RGPD
 difficile à certains égards pour les intermédiaires.  juridique  du traitement  des données  relatives  à  la  santé   Atelier de l’EDPB sur les droits des personnes concernées
            dans  le  contexte  de  l’assurance  :  dans  certains  pays,  en   au titre du RGPD
 Le RGPD prend la forme d’un Règlement, à savoir qu’il sera “obligatoire dans tous ses éléments et   utilisant la base juridique de l’article 9(2)(g), une législation   Le 4 novembre 2019, l’EDPB a organisé à Bruxelles un atelier
 directement applicable dans tous les pays de l’UE”.  Toutefois, le RGPD prévoit une législation secondaire   a  été  introduite  permettant  le  traitement  de  données   sur les droits des personnes concernées. Le droit d’accès
 via des actes délégués et des actes d’exécution qui doivent être adoptés par la Commission européenne   sensibles  sans  autorisation  explicite  pour  souscrire  des   aux données à caractère personnel, le droit de rectification
 sur différents aspects.  Le RGPD est complété par ailleurs par des lignes directrices qui doivent être   contrats d’assurance et gérer les sinistres. Dans d’autres,   et le droit d’effacement, le droit de limiter le traitement et le
 publiées par le Comité européen de la protection des données (EDPB).  Enfin, tandis que le RGPD a le   la  base  juridique  utilisée  est  l’article  9(2)(h)  du  RGPD.   droit d’opposition, tels qu’introduits par le RGPD et mis en
 statut d’un Règlement, elle comprend également environ 50 dispositions qui permettent aux Etats   Dans certains autres pays, il n’existe actuellement aucune   œuvre par les Etats membres de l’UE, ont été examinés au
 membres de garder leur législation nationale.  Par exemple, le RGPD prévoit que les Etats membres   exception  particulière  pour  le  traitement  de  données   cours de l’atelier.
 puissent maintenir ou introduire d’autres conditions, y compris des restrictions, en ce qui concerne le   sensibles par le secteur des assurances.
 traitement de données sur la santé.  Ceci pourrait aider les intermédiaires d’assurance à relever certains   Le BIPAR était représenté à cet événement et a communiqué
 des défis auxquels ils sont confrontés (voir ci-dessous).  Lignes directrices de l’EDPB   ses observations sur l’impact de la mise en œuvre de ces
            Le RGPD est complété par des lignes directrices publiées   droits sur le secteur de la distribution d’assurance ainsi que
            par l’EDPB.  Ce dernier contribue à l’application cohérente   sur ses clients.
            des règles de protection des données dans l’ensemble
 Le RGPD et les intermédiaires d’assurance
            de l’UE et encourage la coopération entre les autorités   Le BIPAR a souligné les points suivants :
            européennes responsables de la protection des données.   -   Le secteur de la distribution d’assurances utilise les
 Responsables du traitement ou sous-traitants ou responsables conjoints  ?   L’EDPB est composé de représentants des autorités   données pour améliorer les produits et services offerts aux
 Les intermédiaires d’assurance, de grande ou petite taille, sont confrontés au quotidien à des problèmes liés au traitement   nationales chargées de la protection des données et du   assurés et pour évaluer les risques avec plus de précision.
 des données personnelles et sont donc concernés directement par le RGPD.  Les données traitées par les intermédiaires   Contrôleur européen de la protection des données (CEPD).   -   Les données sont utilisées par le secteur pour
 sont nécessaires pour fournir des devis, une couverture d’assurance, pour gérer les sinistres et la relation avec le client, etc.     L’EDPB a différentes tâches principales, telles que l’émission   prévenir la criminalité financière et le blanchiment d’argent.
 Dans la plupart des cas, les intermédiaires traiteront les données à caractère personnel de leur propre chef et agiront en   d’avis,  de  lignes  directrices,  de  recommandations  et  de   L’identité numérique peut aider à lutter contre la criminalité
 tant que responsables du traitement.  Dans d’autres cas, ils agiront uniquement sur instruction claire d’un responsable de   bonnes pratiques afin de promouvoir une compréhension   financière et à protéger les clients.
 traitement (par exemple un assureur) et seront des sous-traitants.  Les intermédiaires peuvent aussi être des responsables   commune du RGPD.  -   L’utilisation efficace des données par notre secteur
 conjoints du traitement.  Le RGPD requiert que les responsables conjoints définissent de manière transparente leurs   permet aux entreprises de mieux comprendre leurs risques
 obligations respectives aux fins d’assurer le respect des exigences du RGPD.
            Au cours de l’année dernière, l’EDPB a publié différentes   et le rôle de l’assurance dans l’atténuation de ces risques.



 20                                                         21