Une étude sur la mise en conformité du RGPD dans le secteur des assurances

1. Mise en conformité RGPD :
où en sont les entreprises
du secteur de l’assurance ?
SEPTEMBRE 2020
ÉTUDE ASSURANCE

2. SOMMAIRE
INTRODUCTION
P.301
L’ORGANISATION DU
PROJET RGPD
P.4
02
RÔLE DU DPO ET
SES ACTIVITÉS
P.5
03
IMPACTS DU RGPD
SUR L’ORGANISATION
P.6
04
FORMATION ET
CULTURE RGPD
P.9
05
CONCLUSION
P.1006
2

3. INTRODUCTION
20%
Bancassureurs
10%
Assisteurs
20%
Mutuelles
10%
Courtiers
40%
Assureurs
INTRODUCTION
Face au développement exponentiel des nouvelles technologies et à l’exploitation
massive des données à caractère personnel, le Règlement Général sur la
Protection des Données (ci-après « RGPD » ou « le Règlement »), entré en
application le 25 mai 2018, vise à renforcer les droits des individus en cette
matière, notamment en leur permettant de faire valoir les droits qu’ils détiennent
sur leurs données auprès des responsables de traitements.
Le secteur assurantiel est particulièrement concerné par cette réglementation eu
égard à la volumétrie de données collectées à des fins de transfert, de couverture
et de mutualisation de risques.
Près de deux ans après son entrée en application, nous avons dressé un bilan
afin d’évaluer l’avancement de la mise en conformité des acteurs du marché
français de l’assurance. Pour cela, une étude a été menée auprès d’un panel
varié du secteur de l’assurance composé de mutuelles, organismes d’assurance,
bancassureurs, assisteurs et courtiers entre fin 2019 et mi 2020.
Notre analyse a été réalisée au regard des 4 axes suivants :
• L’organisation du projet RGPD ;
• Le rôle du Data Protection Officer (ci-après « DPO ») et ses activités ;
• Les impacts du RGPD sur l’organisation ;
• La formation et la culture RGPD.
3

4. L’ORGANISATION
DU PROJET RGPD
Le projet RGPD a été largement anticipé
puisque 50% des acteurs interrogés ont
débuté les démarches de mise en
conformité dès son entrée en vigueur le
24 mai 2016 alors que son application
n’était attendue que le 25 mai 2018.
Pour autant, l’avancement constaté des
travaux révèle que la moitié des acteurs
interrogés étaient toujours en mode projet
à date de notre étude.
La cause : la complexité de la mise en
place de certaines obligations retardant
l’implémentation du RGPD au sein des
compagnies d’assurance, avec pour
exemples les plus flagrants la sécurisation
des données, la détermination des durées
de conservation et la réalisation de la
purge et l’archivage.
Malgré tout, 60% d’entre eux projettent de
sortir du mode projet à fin 2020, et courant
2021 pour les 40% restant. Pour ceux
déjà en run, il reste encore des actions à
achever sur ces mêmes thématiques
complexes, ainsi que sur la remédiation
des contrats.
À date de notre benchmark, les acteurs
interrogés estiment leur niveau de mise en
conformité en moyenne à 55%, en nette
amélioration depuis le 25 mai 2018,
puisque celui-ci était alors estimé à 25%
en moyenne. Les acteurs consultés
considèrent d’ailleurs que la nomination
d’un DPO a été capitale dans cette
progression.
Parallèlement, les acteurs du secteur de
l’assurance ont été confrontés à un autre
challenge, celui de l’évaluation du budget
réellement alloué à ce projet. La nature
transverse et l’ampleur du RGPD ayant
mobilisé et impliqué l’intervention d’un très
grand nombre de contributeurs,
l’existence de coûts « cachés » est
manifeste.
C’est pourquoi, le montant de budget
alloué communiqué par les acteurs est
considéré comme partiel et se compose
principalement des coûts IT ainsi que ceux
d’éventuels prestataires externes. Ces
chiffres nous permettent néanmoins
d’observer une forte disparité d’un acteur
à un autre, notamment en raison de la
taille de l’entreprise et des ressources
internes existantes.
L’ORGANISATION DU PROJET RGPD
Budget global entre 15 k€ pour les plus petits
acteurs et 6 M€ pour les plus grands
Moyenne : 3 516 Jour/Homme par
an pour les plus grands acteurs
4

5. RÔLE DU DPO ET
SES ACTIVITÉS
Véritable garant du RGPD, le DPO joue
un rôle central dans l’implémentation et la
mise en œuvre des exigences liées au
Règlement. C’est pourquoi celui-ci a
généralement été rapidement nommé au
sein des organisations.
Dans la plupart des cas, ce DPO est issu
d’une formation juridique ou conformité,
avec de plus rares cas où celui-ci possède
un background orienté contrôle interne ou
audit interne / IT.
Le DPO assure une véritable fonction
transverse, travaillant quotidiennement en
collaboration avec différentes directions
(ex : Conformité, RSSI, etc.). L’ampleur du
travail à réaliser par le DPO a parfois
nécessité la création d’une équipe afin
qu’il soit épaulé dans ses missions. Dans
la pratique, nous avons constaté que la
taille de l’équipe DPO varie d’un à cinq
équivalents temps plein (ETP), en fonction
de la taille de l’acteur et de sa structure.
Conjointement à cette nomination, les
grands groupes se sont généralement
organisés en réseaux avec la désignation
de relais métiers pour diffuser plus
largement la culture RGPD au sein de
leurs différentes filiales.
Au-delà des aspects relatifs au pilotage du
projet RGPD et au rôle du DPO, les
acteurs ont dû faire face à de nombreux
impacts sur leurs organisations et
processus, en raison de la diversité des
exigences introduites par le Règlement.
RÔLE DU DPO ET SES ACTIVITÉS
ACTIVITÉS DE L’ÉQUIPE DPO LES PLUS
CONSOMMATRICES DE TEMPS
Revue contractuelle
Gestion de l’exercice des
droits des personnes
Accompagnement des
projets (Privacy by Design)
Tenue et mise à jour du
registre des traitements
Revue de la documentation
informative à destination
des clients et collaborateurs
Réalisation de PIA
Consultations ponctuelles
sur sollicitations de
collaborateurs
Gestion des failles de
sécurité
5

6. IMPACTS DU RGPD
SUR
L’ORGANISATION
Les impacts du RGPD sur l’organisation
des acteurs du secteur ont été mesurés
au travers des axes suivants :
• Purge et archivage ;
• Droit des personnes ;
• Remédiation contractuelle ;
• Failles de sécurité / breach ;
• Privacy Impact Assessment (PIA).
PURGE ET ARCHIVAGE
Le chantier relatif à la purge et l’archivage,
qui implique de limiter la conservation des
données personnelles, fait partie des
chantiers les moins aboutis. Pour cause,
la définition des durées de conservation
nécessite la réalisation d’un travail de fond
afin de cartographier l’ensemble des
parties prenantes, de localiser les
données à caractère personnel au sein
des systèmes d’information et de définir
les traitements à y appliquer.
La majorité des acteurs a déterminé des
durées de conservation portant leurs
intérêts légitimes tout en respectant les
exigences du RGPD, pour certaines
formalisées sous forme d’une politique et
pour d’autres, d’un référentiel ou d’une
matrice.
L’implémentation de ces règles au sein
des systèmes d’information des
compagnies d’assurance est rendue
techniquement difficile puisque les acteurs
du marché de l’assurance utilisent, pour
bon nombre d’entre eux, une multiplicité
d’applicatifs et des systèmes d’information
en silo, ce qui tend à ralentir la mise en
conformité au RGPD.
Autre difficulté technique à laquelle ils ont
été confrontés : la restriction d’accès aux
données pendant la période d’archivage
impactant les processus d’habilitation, de
sécurisation des données et de traçabilité
des accès.
La purge quant à elle n’est pas en reste.
Pouvant se faire sous forme de
suppression des données ou par
anonymisation, elle peut rendre les
systèmes d’information instables d’autant
plus lorsqu’ils sont anciens.
Outre la problématique purement IT, la
purge et l’archivage des documents
physiques est un vrai casse-tête pour les
acteurs du marché de l’assurance qui
doivent travailler de concert avec les
archiveurs afin de trouver une solution à
moyen terme. C’est d’ailleurs pour cette
raison que certains d’entre eux envisagent
d’abandonner le papier en faveur d’une
gestion des données exclusivement
numérique.
DROIT DES PERSONNES
Le chantier relatif aux droits des
personnes fait également partie des
chantiers les plus chronophages et
difficiles à mettre en œuvre pour les
acteurs du secteur. Bien que certaines
dispositions relatives aux droits des
personnes existaient préalablement, du
fait de la loi Informatique et Libertés de
1978, comme celles relatives au droit
d’opposition ou au droit de rectification, le
RGPD a introduit de nouveaux droits
comme le droit à la limitation du traitement
ou le droit à l’effacement. Les différents
acteurs du marché de l’assurance ont
dorénavant l’obligation de communiquer et
d’informer leurs clients et prospects de
ces droits.
C’est pourquoi dans les mois qui ont suivi
l’entrée en application du Règlement,
certains d’entre eux ont dû faire face à un
nombre de demandes d’exercice de droits
considérable.
IMPACTS DU RGPD SUR L’ORGANISATION
Droit d’opposition
au démarchage
Droit à
l’effacement
Droit d’accès des
clients/prospects à
leurs données
6
DEMANDES D’EXERCICES DE DROITS
LES PLUS FRÉQUENTES

7. Selon notre analyse, la complexité de ce
chantier repose essentiellement sur la
capacité des acteurs à traiter rapidement
et de manière efficace les diverses
demandes qui leurs sont soumises. Aussi,
les principales difficultés rencontrées
résident dans le manque de ressources, la
remontée tardive de l’information ou
encore l’accès à l’exhaustivité des
données. Ceci explique que 50% d’entre
eux déclarent avoir déjà dépassé le délai
de réponse d’un mois, imposé par le
RGPD.
REMÉDIATION CONTRACTUELLE
Le RGPD distingue les responsabilités et
obligations des différents co-contractants
selon qu’ils soient responsables de
traitement, co-responsables de traitement
ou sous-traitants. Les différents acteurs
ont été amenés à mettre en place un plan
de remédiation des contrats afin de se
conformer à ces obligations.
La première action réalisée a été de
requalifier les relations avec leurs
partenaires (délégataire de gestion,
fournisseur, etc.), déterminées par le
degré de traitement réalisé, par chacun,
sur les données à caractère personnel.
La négociation entre les parties est
délicate puisque le risque de sanction est
lié à cette qualification, décidant de qui
porte la responsabilité en cas de violation
des données. Face à ces difficultés, des
arbitrages ont été réalisés prenant en
compte le niveau de risque vis-à-vis du
RGPD, l’objet du contrat, mais également
le poids du prestataire sur le marché et le
coût financier possible, à travers une
analyse au cas par cas.
La revue contractuelle est ainsi l’un des
chantiers les plus épineux à finaliser pour
les acteurs du marché de l’assurance,
celle-ci étant d’ailleurs toujours en cours
pour la moitié des acteurs consultés.
Cette remédiation prendra beaucoup de
temps aux différents acteurs dans la
mesure où, aux difficultés de négociation
entre les co-contractants, s’ajoute la
volumétrie importante du nombre de
contrats concernés.
FAILLES DE SÉCURITÉ / BREACH
Le RGPD instaure de nouvelles
obligations lors d’une violation des
données à caractère personnel des clients
ou prospects des organismes, imposant
un processus strict de communication.
Ainsi, dès lors qu’une violation engendre
un risque pour la vie privée des personnes
concernées, ils doivent effectuer une
notification auprès de la Commission
Nationale Informatique et Libertés (CNIL)
dans un délai maximum de 72h. Lorsque
cette violation engendre en plus un risque
élevé pour les personnes visées par cette
violation, l’incident doit impérativement
leur être déclaré.
La quasi-totalité des acteurs que nous
avons consultés a déclaré avoir rencontré
des failles de sécurité depuis mai 2018
demandant pour 80% d’entre eux une
déclaration auprès de la CNIL et dans
60% des cas auprès des personnes
physiques visées. La principale difficulté
rencontrée pour 70% du panel réside
dans le respect du délai très court
d’information auprès de la CNIL, ceux-ci
ayant dépassé ce délai, dans la plupart
des cas, de quelques heures, voire une
journée.
IMPACTS DU RGPD SUR L’ORGANISATION
1. Jusqu’à 20 millions d’euros d’amende, ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.
1
7

8. PRIVACY IMPACT ASSESSMENT
Enfin, le RGPD, à la suite des travaux du G29,
impose aux responsables de traitement de réaliser
des études d’impacts (PIA) dès lors que le traitement
concerne des données à caractère personnel et
présente un risque élevé pour les droits et libertés
des personnes concernées.
70% des acteurs que nous avons interrogés ont
réalisé des analyses d’impact relatives à la protection
des données, à date de notre étude, sur des projets
liés, par exemple, à la mise en place de robo-advisor,
la lutte contre la fraude, la cybersécurité ou des
traitements sur les données de santé. Il est à noter
que la moitié des acteurs interrogés nous ont précisé
utiliser l’outil fourni par la CNIL pour la réalisation de
leurs PIA.
IMPACTS DU RGPD SUR L’ORGANISATION
Pour identifier si un traitement de données doit faire l’objet d’un PIA, le responsable de traitement peut se référer à
deux sources :
1. la liste de la CNIL sur les traitements devant faire l’objet d’un PIA (14 traitements identifiés) ;
2. les 9 critères des lignes directrices du G29 (lorsque le traitement remplit au moins deux des neuf critères) :
• Evaluation ou notation ;
• Prise de décision automatisée avec effet juridique ;
• Surveillance systématique ;
• Données sensibles ou à caractère hautement personnel ;
• Données traitées à grande échelle ;
• Croisement ou combinaison d’ensemble de données ;
• Données concernant des personnes vulnérables ;
• Usage innovant ;
• Traitements qui empêchent les personnes
concernées de bénéficier d’un service ou d’un
contrat.
POUR RAPPEL
8

9. FORMATION ET
CULTURE RGPD
L’efficacité du dispositif mis en place dans
le cadre du RGPD dépend également des
plans de formation et de communication
déployés au sein de chaque acteur. A cet
effet, la plupart d’entre eux a prévu des
plans de formation en présentiel et/ou en
e-learning.
Afin de renforcer la sensibilisation de leurs
collaborateurs sur les impacts du RGPD,
des campagnes de communication ont été
déployées sur l’intranet, par mail ou via un
support papier avec affichage dans les
locaux. Certains acteurs de notre panel
ont par ailleurs indiqué avoir réalisé des
actions renforcées auprès des métiers les
plus exposés à travers des présentations
spécifiques.
Lors de notre étude, nous avons pu
observer une nette progression du niveau
de culture vis-à-vis du RGPD, passant de
2,2/10 à fin mai 2018 à 5,6/10 à date de
notre étude, résultat de cette
communication renforcée. Le constat
exprimé par notre panel est que, deux ans
après l’entrée en vigueur du RGPD, la
connaissance opérationnelle des impacts
du Règlement au sein de l’entreprise peut
encore progresser.
FORMATION ET CULTURE RGPD
9

10. CONCLUSION
Après une période de tolérance de la part
des autorités de contrôle européennes,
les sanctions semblent s’intensifier tant
par leur fréquence que par leur montant
au sein des Etats membres : amende de
600 000 € infligée par l’autorité de
contrôle Belge à Google Belgium le
14 juillet 2020 pour non-respect du droit à
l’oubli, amende de 800 000 € prononcée à
l’encontre d’Iliad, maison-mère de Free, le
13 juillet 2020 par l’autorité de contrôle
italienne pour manquement à la
sécurisation des données des abonnés,
validation de l’amende record de
50 millions € infligée par la CNIL à Google
par le Conseil d’Etat2, etc.
En ce sens, nous observons que les
manquements reprochés concernent
principalement la sécurité des données
mais aussi, le respect des droits des
personnes. Le dernier rapport d’activité de
la CNIL fait d’ailleurs état d’une hausse de
27% des plaintes concernant la protection
des données personnelles3.
Pourtant, nous avons pu constater lors de
notre étude que la plupart des acteurs
consultés avaient démarré les travaux de
mise en conformité au RGPD dès son
entrée en vigueur en 2016 mais cela n’a
pas été suffisant. En effet, l’ampleur des
travaux à réaliser ne pouvait être que
sous-évaluée à cette époque, autant de la
part des autorités que des organismes
concernés, la complexité de mise en
œuvre du règlement se confrontant au fil
des mois aux obstacles techniques liées
aux systèmes d’information, aux
résistances apportées par la remédiation
contractuelle ou encore à la difficulté à
valider des durées de conservation des
données.
10
2. Conseil d’Etat, 19 juin 2020, sanction infligée à Google par la CNIL N° 430810
3. Rapport d’activité 2019 de la Commission Nationale de l’Informatique et des Libertés
4. Rapport d’activité 2019 de la Commission Nationale de l’Informatique et des Libertés
42
mises en
demeure
300
contrôles
8
sanctions
7 amendes
pour un total de
51.4 millions d’euros
CHIFFRES CLÉS DE LA CNIL POUR L’ANNÉE 2019
4

11. CONTACTS
KHALID EL JAOUHARI
Associé
Secteur Assurance
Khalid.el-jaouhari@mazars.fr
+33 1 49 97 67 11
61, rue Henri Regnault - 92075 Paris La Défense - France
Mazars est une organisation internationale, intégrée et indépendante
spécialisée dans l'audit, le conseil, ainsi que les services comptables,
fiscaux et juridiques1. Présent dans 91 pays et territoires à travers le monde,
Mazars fédère les expertises de 40 400 professionnels - 24 400
professionnels au sein du partnership intégré de Mazars, et 16 000
professionnels aux États-Unis et au Canada au sein de
« Mazars North America Alliance » - qui accompagnent des clients de toutes
tailles à chaque étape de leur développement.
1Seulement dans les pays dans lesquels les lois en vigueurl’autorisent.
VANESSA MATILLON
Senior Manager
Secteur Assurance
Vanessa.matillon@mazars.fr
+33 6 67 27 63 78
SOPHIE SCHWARTZ
Manager
Secteur Assurance
Sophie.schwartz@mazars.fr
+33 6 67 24 99
MYRIAM BENYAHIA
Secteur Assurance
DÉBORAH BENSABAT
Secteur Assurance
CONTRIBUTEURS