Pendant plus de 2 ans, la CNIL et les fédérations représentatives de la filière assurance ont travaillé sur la création d’un « pack de conformité ». L’objectif est double : d’une part aider les assureurs à se mettre en conformité avec la réglementation en vigueur dans le domaine de la protection des données à caractère personnel (risque de non-conformité). Et d’autre part les accompagner, par la sphère réglementaire, pour faire face à des risques de plus en plus présents avec l’explosion du numérique (notamment concernant le risque de fraude).
5 fiches pratiques, des procédures simplifiées et un club « conformité »
Le pack de conformité comprend 5 fiches pratiques. Elles fournissent des indications concrètes pour respecter les textes et des modes opératoires précis, mais également des formalités simplifiées pour les déclarations (dispenses, normes simplifiées, autorisations uniques…). Les sujets traités sont les suivants :
- La passation, la gestion et l’exécution des contrats,
- La gestion commerciale des clients et prospects,
- La collecte du NIR et la consultation du RNIPP,
- La collecte des données d’infractions, de condamnations ou de mesures de sûreté,
- La lutte contre la fraude.
Outre ce pack de conformité, la CNIL a mis en place un « club de la conformité » qui permettra d’animer et de faire évoluer ce pack de conformité pour qu’il soit à jour des pratiques professionnelles et des nouvelles réglementations du secteur (notamment avec Solvabilité 2). Ainsi, la CNIL cherche à instaurer un cercle vertueux pour amener les assureurs à diffuser dans leurs structures les bonnes pratiques pour respecter la loi informatique et liberté et les partager entre elles.
Même s’il n’est pas clairement affiché, on peut supposer que l’objectif de la CNIL est d’accompagner ou du moins sensibiliser les assureurs au risque de non-conformité à loi informatique et liberté (et au final s’en prévenir). D’autant plus qu’avec l’arrivée d’un futur règlement européen sur la protection des données personnelles plus « punitif », les assureurs ont tous intérêts de s’appuyer sur ce pack de conformité pour lancer des travaux de mise en conformité.
Accompagnement des autres secteurs à risque
Le secteur de l’assurance est le premier mais pas le seul secteur réglementé à mener ce type de travaux avec la CNIL. En effet, même s’il est l’un des secteurs les plus sensibles à la collecte des données personnelles (assurance IARD, assurance-vie…), de nombreux secteurs ont également des obligations réglementaires en la matière. La CNIL a donc lancé début octobre deux consultations : l’une auprès des banques, l’autre auprès des logements sociaux afin de mener une démarche similaire et créer deux packs de « conformité » adaptés aux spécificités de ces secteurs.