RGPD : impact sur la maîtrise des risques en assurance

La Règlementation Générale relative à la Protection des Données (RGPD) est une réglementation européenne qui vise à définir des règles de traitement, de stockage et de circulation des données à caractère personnel, afin de protéger les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection de ces données.

Elle est applicable à partir du 25 mai 2018.

Elle s’applique à la totalité des systèmes d’information et des métiers de l’entreprise, dès lors que des données à caractère personnel sont stockées et manipulées.

Les calculs règlementaires d’Inventaire ou de Solvabilité peuvent s’appuyer sur des données à caractère personnel : cela inclut en premier lieu la date de naissance des assurés, mais peut également inclure des informations plus ou moins détaillées sur leur sinistralité, notamment en Santé.

Soit dans un simple but de confort d’utilisation, soit pour élargir l’utilisation de ces bases à d’autres besoins, les bases de données permettant ces calculs contiennent souvent des données nominatives (nom, prénom, NIR) ou plus largement des données permettant, directement ou indirectement d’identifier les personnes concernées, comme des n° de contrat ou des identifiants de personnes.

Les données et les traitements concernés entrent donc dans le périmètre de cette règlementation.

 

Les supports de stockage concernés

La totalité des supports électroniques est concernée. Cela concerne donc :

  • les systèmes de gestion,
  • les systèmes back office comme la comptabilité, la facturation, le recouvrement, etc.
  • Les systèmes de gestion RH,
  • Les entrepôts de données (Infocentres, Data Warehouses), et tous les systèmes d’information ou applicatifs décisionnels, dont les outils de gestion de la maîtrise des risques

Il convient de prendre en compte également la répartition et la duplication des données sur les différents sites et matériels :

  • du système centralisé,
  • des bases locales sur serveurs,
  • et jusqu’au poste de travail des utilisateurs, sur lesquels peuvent se trouver des données sous forme de base de données ou de fichiers bureautiques (Excel, SAS, etc.).

Et les différents niveaux d’archivage des données, définis par la CNIL :

  • l’archive courante, c’est à dire les données régulièrement utilisées par les différents systèmes et applicatifs,
  • l’archive intermédiaire, c'est-à-dire la conservation des données pour des motifs techniques (sauvegarde de sécurité informatique), administratifs ou légaux. Des délais de prescription (durées maximale de conservation), notamment pour les cas de contentieux, ou des durées minimales de conservation (ex : obligations légales Solva II) peuvent être prévus par la loi.
  • les archives définitives, soit les données «présentant un intérêt historique, scientifique ou statistique, justifiant qu’elles ne fassent l’objet d’aucune destruction»

 

Enfin le dernier aspect a prendre en compte est celui de l’hébergement éventuel chez un prestataire.