Partenariat RGPD

Pour les intermédiaires, tant IAS que IOBSP, le Règlement Général sur la Protection des Données (RGPD) est un véritable défi de conformité.

ENDYA propose ainsi à ses adhérents un MEMENTO rassemblant les éléments à retenir mais également un partenariat avec DIPEEO, garant de votre mise en conformité RGPD.

Les adhérents ENDYA bénéficient d’une offre privilégiée auprès de ce partenaire qui les accompagne dans leur mise en conformité RGPD et traite l’ensemble des sujets RGPD les concernant.

Le RGPD, qu’est-ce que c’est ?

Dans la continuité de la loi informatique et libertés du 6 janvier 1978 et face à la nécessaire adaptation du contexte juridique pour suivre les évolutions technologiques, digitales et numériques, le Règlement Général sur la Protection des Données (RGPD) (en anglais « General Data Protection Regulation » ou GDPR) du 27 avril 2016 constitue le texte de référence au sein de l’Union européenne.

Entré en vigueur le 25 mai 2018, il encadre le traitement des données personnelles sur le territoire de l’Union européenne en offrant un cadre juridique harmonisé et simplifié.

Quels sont les objectifs du RGPD ?  

  1. Cadre juridique harmonisé gouvernant le traitement des données à caractère personnel
  2. Responsabiliser les acteurs traitant ces données (responsables de traitement et sous-traitants) : Il leur appartient d’assurer la conformité au RGPD tout au long du cycle de vie de leurs traitements de données personnelles et d’être en mesure de démontrer cette conformité.
  3. Crédibiliser la régulation en renforçant les contrôles et sanctions de la CNIL
  4. Renforcer les droits des personnes

Qui est concerné par le RGPD ?

Le RGPD s’applique à tout organisme présent sur le territoire de l’Union Européenne et/ou dont l’activité vise directement les résidents européens, public ou privé, traitant des données personnelles pour son compte ou non. Par conséquent, les sous-traitants utilisant les données personnelles pour le compte d’autres sociétés, sont également concernés par le RGPD.

Ex :

  • Un intermédiaire d’assurance interrogeant un prospect dans le cadre d’une souscription, traite plusieurs données personnelles pour le compte de la société d’assurance.
  • Un intermédiaire immatriculé en France et ayant développé une activité exclusivement à l’étranger (hors de l’UE), devra respecter le RGPD et devra s’assurer de la protection de ces données confiées.  

Quelles données sont concernées ?

Une donnée à caractère personnel est une information, privée comme publique, relative à une personne physique identifiée ou identifiable directement ou indirectement par référence à un n° d’identification (ex : sécurité sociale par ex.) ou à plusieurs éléments qui lui sont propres (ex : nom, prénom, date de naissance, …).

Lorsque l’on évoque le “traitement des données personnelles”, il s’agit des opérations qui portent sur des données à caractère personnel (informatisées ou non).

Ex :

  • Traitement des données à caractère personnel des prospects et clients en collectant des informations permettant d’établir un devis ou un avenant ;
  • Enregistrement des données dans les bases et logiciels utilisés par l’assureur ou la banque.

Le respect du RGPD est contrôlé par la CNIL

La CNIL réalise des contrôles afin de vérifier notamment, la mise en œuvre concrète du RGPD.

Les contrôles sont programmés :

  • À l’initiative de la CNIL au regard de l’actualité,
  • À la suite de plaintes ou signalements,
  • En fonction des thématiques prioritaires annuelles relevées par la CNIL,
  • À la suite d’une mise en demeure ou procédure de sanction.

Quelles sont les sanctions prononcées par la CNIL ?

  • Avertissement,
  • Rappel à l’ordre,
  • Injonction de mettre le traitement en conformité (sous astreinte),
  • Ordonner de satisfaire aux demandes d’exercice des droit des personnes (sous astreinte),
  • Mise en demeure,
  • Limitation du traitement des données (de manière temporaire ou définitive),
  • Suspension des flux de données,
  • Amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondiale de l’entreprise concernée.

A noter que ces sanctions sont publiques.

Principes clés du RGPD 

En tant qu’IAS et IOBSP, vous êtes concernés par la réglementation du RGPD et susceptible d’un contrôle de la CNIL. ENDYA vous propose un accompagnement dans votre mise en conformité. Les adhérents bénéficient d’une offre préférentielle auprès de son partenaire RGPD : DIPEEO.

Quelles sont les précautions à adopter au quotidien ?

Afin de vous permettre de respecter le RGPD, nous vous recommandons d’adopter ces quelques précautions dans le cadre de vos activités. Vous avez la possibilité de consulter le guide pratique RGPD de la CNIL.

Précautions concernant les utilisateurs des données à caractère personnel

Dès lors que ces données sont traitées par plusieurs collaborateurs au sein de vos sociétés, il est nécessaire que l’ensemble des collaborateurs comme des dirigeants mesurent l’importance de la sécurité de ces données.

Vous pouvez insérer des engagements de confidentialité ou clauses de confidentialité dans leurs contrats de travail.

Des rappels réguliers via des mailing internes ou des séances de sensibilisation peuvent être organiser pour ces collaborateurs.

La CNIL vous invite également à limiter l’accès des collaborateurs aux seules données nécessaires à l’accomplissement de leurs missions.

En pratique :

  • Réaliser un listing des personnes ayant accès aux données à caractère personnel dans le cabinet
  • Analyser si cet accès est strictement nécessaire pour l’ensemble de ces personnes
  • Définir des profils d’habilitation en fonction des missions et tâches de chacun.

Déterminer des identifiants personnels pour permettre une connexion sécurisée. En optant, par exemple, pour des mots de passe propres à chaque utilisateur.

Si le traitement de la donnée à caractère personnel est sous-traité, le sous-traitant doit justifier des mesures de sécurité suffisantes mises en œuvre. La CNIL recommande la conclusion d’un contrat mentionnant :

  • L’objet, la durée, la finalité du traitement,
  • Les obligations des parties notamment concernant la sécurité du traitement des données,
  • Les responsabilités de chacun notamment concernant la confidentialité des données,
  • Les modalités d’accès aux données,
  • Les règles de gestion des incidents et de notifications au responsable du traitement.

Précautions concernant les process internes à mettre en place

Veillez à protéger vos locaux par des alarmes (anti-intrusion, détecteurs de fumée…) et des règles d’accès pour les visiteurs (badge ou registre des visites).

Dans l’hypothèse où vos locaux offriraient une connexion WIFI ouverte au public, il conviendrait de séparer cette connexion publique du réseau interne.

Si votre société dispose d’un site internet, nous vous invitons à prendre connaissance des recommandations de la CNIL concernant les cookies et autres traceurs.

La CNIL vous invite à mettre en place :

  • Une charte informatique contraignante mentionnant notamment les règles applicables en matière de protection des données et les sanctions encourues.
  • Un dispositif d’enregistrement des incidents permettant de retracer certaines actions réalisées pour le traitement de données à caractère personnel. Ce dispositif devra permettre d’identifier l’auteur, la date, l’heure et la nature de l’opération réalisée.

Il est essentiel d’informer vos collaborateurs de ce dispositif et, le cas échéant, les instances représentatives du personnel ET veillez à ne pas conserver ces enregistrements de manière excessive.

  • Une politique de classification de l’information indiquant différents niveaux (confidentiel, interne, public) et identifier de manière visible et explicite les documents, supports et mails comportant les données à caractère personnel.

Afin d’éviter la perte de données personnelles, il est recommandé de prévoir des mécanismes de protection contre le vol tels que l’identification visuel du matériel ou le verrouillage automatique des postes de travail.

Des sauvegardes régulières constituent une bonne pratique pour éviter la perte comme l’altération des données personnelles, ces dernières pouvant être archivées dès lors que la durée limite de conservation n’a pas été atteinte. S’agissant de l’archivage, la CNIL a publié une recommandation concernant les modalités d’archivage électronique.

De manière générale, lorsque certaines données à caractère personnel sont transmises par messagerie, plateforme ou logiciel de dépôt de fichiers, il est important de sécuriser la pièce avant l’envoi.

En pratique, pour sécuriser la pièce insérer un code d’accès en communiquant le mot de passe via un mail distinct.

Précautions concernant la gestion des incidents

La CNIL recommande la mise en place d’une pratique interne permettant de présenter la remontée de tout incident ou évènement suspect par les collaborateurs habilités.

En pratique :

  • Tenir à jour une liste des personnes à contacter lors de la survenance d’un évènement inhabituel (par exemple : le vol ou la perte du matériel contenant des données à caractère personnel).
  • Renseigner un registre de l’ensemble des violations des données à caractère personnel

Que faire en cas de violation des données à caractère personnel ?

  • Documenter en interne l’incident
    • Nature de la violation
    • Le nombre et les catégories de personnes concernées par la violation
    • Le nombre et les catégories d’enregistrements de données concernés par la violation
    • Conséquences probables de la violation
    • Mesures prises (ou envisagées) pour éviter une récidive de la violation OU permettant d’atténuer les conséquences négatives.
  • Cet incident doit être notifié à la CNIL dès lors qu’il constitue un risque au regard de la vie privée des personnes concernées.

si le risque est élevé, il est nécessaire de notifier l’incident aux personnes concernées

En pratique, la notification doit être adressée à la CNIL (en ligne) dans les meilleurs délais après le constat de l’incident présentant un risque au regard de la vie privée des personnes concernées.