Page 20 - BIPAR Annual Report 2020_FR
P. 20
Règlement général sur la pro-
tection des données (RGPD)
Le Règlement général sur la protection des données (RGPD) a été adopté en avril 2016. Il est applicable Base juridique pour le traitement de données sensibles lignes directrices telles que celles relatives aux véhicules
depuis le 25 mai 2018 dans tous les Etats membres de l’UE. Il est contraignant dans son entièreté et Un autre grand défi pour les intermédiaires d’assurance connectés et plus particulièrement sur le traitement des
directement applicable dans les Etats membres. Il a abrogé la Directive sur la protection des données est le traitement de données sensibles et notamment données personnelles dans le contexte des véhicules
qui définissait les règles précédentes sur la protection des données dans l’UE. Les autorités nationales celles concernant la santé. En vertu du RGPD, il est en connectés et des applications liées à la mobilité (lien), une
de protection des données sont chargées de faire appliquer les nouvelles règles et coordonnent leurs principe interdit de traiter des données sensibles. Des version légèrement actualisée de ses lignes directrices 2018
actions par le biais de nouveaux mécanismes de coopération et via le Conseil européen de la protection exceptions à cette interdiction générale sont prévues dans sur le consentement dans le cadre du RGPD fournissant des
des données (EDPB). les circonstances décrites de manière exhaustive à l’article précisions supplémentaires sur le fait que le consentement
9§2. obtenu par le biais de murs de cookies et le défilement
Le Règlement couvre le traitement de données à caractère personnel : il s’agit d’informations se Toutefois ces exceptions n’autorisent pas automatiquement d’une page web n’est pas juridiquement valable.
rapportant à une personne physique identifiée ou identifiable (“personne concernée”). Les catégories le traitement des données relatives à la santé par les
spéciales de données, telles les données sur la santé, sont soumises à une protection supplémentaire, intermédiaires d’assurance et il convient par conséquent En février 2019, le conseil d’administration de l’EDPB a
et les données de ce type ne pourront être traitées qu’avec le consentement exprès de la personne de vérifier si cette activité peut être couverte par l’une adopté son programme de travail biennal pour 2019-
concernée. Des dérogations sont possibles. de ces dérogations. L’enjeu est de taille : si le traitement 2020 et a annoncé l’adoption d’autres lignes directrices,
Le traitement des données couvre la plupart des activités comprenant des données personnelles de données sensibles dans le cadre des activités des notamment sur la notion d’intérêt légitime du responsable
: collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, intermédiaires n’est pas couvert par les dispositions de du traitement (mise à jour l’avis du Groupe de travail Article
extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme l’article 9§2, le principe général s’applique alors et ce 29 (G29)) ainsi que sur les concepts de responsable du
de mise à disposition, rapprochement ou interconnexion, limitation, effacement et destruction. Par
conséquent, toute compagnie privée se retrouvant avec des données personnelles sera probablement traitement est interdit. En outre, la personne concernée traitement et de sous-traitant (mise à jour de l’avis du G29).
considérée comme traitant ce type de données. pourrait exiger de l’intermédiaire que ce dernier efface Il s’agit de questions clés pour le BIPAR et ses membres.
les données sensibles au motif qu’elles font l’objet d’un
traitement illicite. Il existe aujourd’hui des divergences Atelier de l’EDPB sur les droits des personnes concernées
Le RGPD est une législation intersectorielle. Il s’applique au secteur de la distribution d’assurance mais
n’est pas spécifique à ce secteur. La mise en conformité avec le RGPD s’est pas conséquent avérée d’approche entre les Etats membres quant à la base au titre du RGPD
difficile à certains égards pour les intermédiaires. juridique du traitement des données relatives à la santé Atelier de l’EDPB sur les droits des personnes concernées
dans le contexte de l’assurance : dans certains pays, en au titre du RGPD
Le RGPD prend la forme d’un Règlement, à savoir qu’il sera “obligatoire dans tous ses éléments et utilisant la base juridique de l’article 9(2)(g), une législation Le 4 novembre 2019, l’EDPB a organisé à Bruxelles un atelier
directement applicable dans tous les pays de l’UE”. Toutefois, le RGPD prévoit une législation secondaire a été introduite permettant le traitement de données sur les droits des personnes concernées. Le droit d’accès
via des actes délégués et des actes d’exécution qui doivent être adoptés par la Commission européenne sensibles sans autorisation explicite pour souscrire des aux données à caractère personnel, le droit de rectification
sur différents aspects. Le RGPD est complété par ailleurs par des lignes directrices qui doivent être contrats d’assurance et gérer les sinistres. Dans d’autres, et le droit d’effacement, le droit de limiter le traitement et le
publiées par le Comité européen de la protection des données (EDPB). Enfin, tandis que le RGPD a le la base juridique utilisée est l’article 9(2)(h) du RGPD. droit d’opposition, tels qu’introduits par le RGPD et mis en
statut d’un Règlement, elle comprend également environ 50 dispositions qui permettent aux Etats Dans certains autres pays, il n’existe actuellement aucune œuvre par les Etats membres de l’UE, ont été examinés au
membres de garder leur législation nationale. Par exemple, le RGPD prévoit que les Etats membres exception particulière pour le traitement de données cours de l’atelier.
puissent maintenir ou introduire d’autres conditions, y compris des restrictions, en ce qui concerne le sensibles par le secteur des assurances.
traitement de données sur la santé. Ceci pourrait aider les intermédiaires d’assurance à relever certains Le BIPAR était représenté à cet événement et a communiqué
des défis auxquels ils sont confrontés (voir ci-dessous). Lignes directrices de l’EDPB ses observations sur l’impact de la mise en œuvre de ces
Le RGPD est complété par des lignes directrices publiées droits sur le secteur de la distribution d’assurance ainsi que
par l’EDPB. Ce dernier contribue à l’application cohérente sur ses clients.
des règles de protection des données dans l’ensemble
Le RGPD et les intermédiaires d’assurance
de l’UE et encourage la coopération entre les autorités Le BIPAR a souligné les points suivants :
européennes responsables de la protection des données. - Le secteur de la distribution d’assurances utilise les
Responsables du traitement ou sous-traitants ou responsables conjoints ? L’EDPB est composé de représentants des autorités données pour améliorer les produits et services offerts aux
Les intermédiaires d’assurance, de grande ou petite taille, sont confrontés au quotidien à des problèmes liés au traitement nationales chargées de la protection des données et du assurés et pour évaluer les risques avec plus de précision.
des données personnelles et sont donc concernés directement par le RGPD. Les données traitées par les intermédiaires Contrôleur européen de la protection des données (CEPD). - Les données sont utilisées par le secteur pour
sont nécessaires pour fournir des devis, une couverture d’assurance, pour gérer les sinistres et la relation avec le client, etc. L’EDPB a différentes tâches principales, telles que l’émission prévenir la criminalité financière et le blanchiment d’argent.
Dans la plupart des cas, les intermédiaires traiteront les données à caractère personnel de leur propre chef et agiront en d’avis, de lignes directrices, de recommandations et de L’identité numérique peut aider à lutter contre la criminalité
tant que responsables du traitement. Dans d’autres cas, ils agiront uniquement sur instruction claire d’un responsable de bonnes pratiques afin de promouvoir une compréhension financière et à protéger les clients.
traitement (par exemple un assureur) et seront des sous-traitants. Les intermédiaires peuvent aussi être des responsables commune du RGPD. - L’utilisation efficace des données par notre secteur
conjoints du traitement. Le RGPD requiert que les responsables conjoints définissent de manière transparente leurs permet aux entreprises de mieux comprendre leurs risques
obligations respectives aux fins d’assurer le respect des exigences du RGPD.
Au cours de l’année dernière, l’EDPB a publié différentes et le rôle de l’assurance dans l’atténuation de ces risques.
20 21
