Publié sans bruit cet été, un pack conformité est disponible depuis le 16 juillet 2021 sur le site de la CNIL. Il présente les grandes lignes de la législation appliquées au secteur de l’assurance (https://www.cnil.fr/fr/assurance).
Et en prime une semaine après, la condamnation d’un acteur bien connu du secteur, Ag2r La Mondiale à 1,75 millions d’€ (https://www.cnil.fr/fr/sanction-1-75-million-deuros-ag2r-la-mondiale);
Le message devrait donc bien passer. Après cela, difficile de dire que l’on ne savait pas qu’on était concerné par la législation.
Et il m’est d’avis qu’un « petit » du secteur devrait bientôt servir également d’exemple pour forcer les acteurs du secteur à se mettre en conformité . C’est une technique que la CNIL a déjà éprouvé dans d’autres secteurs, le panorama des sanctions prononcées l’illustre bien (https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil), et notamment chez les professions libérales.
QUI EST CONCERNE ?
Du grand groupe d’assurances au petit courtier indépendant, tous les acteurs sont concernés. Reste que les courtiers et les réseaux de courtiers doivent assumer les mêmes responsabilités avec moins de moyens que les grands groupes. C’est ce que dit l’argus de l’assurance depuis longtemps déjà (https://www.argusdelassurance.com/juriscope/rgpd-le-role-cle-du-dpo.143795).
En pratique, vous appartenez à un grand groupe, c’est la compagnie qui doit prendre les choses en mains. Vous êtes courtiers en indépendant total - pure player selon certains - ou vous êtes affiliés à un regroupement de courtiers, il vous faudra vous mettre en conformité et déterminer sans l’aide de vos fournisseurs votre conformité.
QUAND ?
As soon as possible . La tolérance de la CNIL a pris fin...en 2019. Maintenant, c’est plutôt la chance sur laquelle il faut compter en cas de contrôle, et vos qualités naturelles de précaution, bon sens et de respect de la vie privée.
COMMENT ?
Il n’y a aucune obligation dans la manière de faire et deux types d’acteurs. Vous pouvez d’abord vous essayer à vous mettre en conformité seul. Le site de la CNIL fourmille d’informations et il est possible avec du temps et du courage de s’y mettre : il vous faudra vérifier les données collectées, leur durée de conservation, la protection de votre système informatique, comment faire droit à des demandes d’accès des personnes, etc...
Deux types d’acteurs se proposent de vous aider : des prestataires en informatique et des juristes.
Le prestataire informatique vous proposera des solutions clefs-en-mains avec une dynamique qui portera essentiellement sur la sécurisation des votre outil informatique.
Le juriste travaillera de façon plus artisanale et sera plus à l’aise sur l’aspect légal et contractuel de votre mise en conformité : comment traduire la législation dans votre activité, et comment sécuriser votre responsabilité et celle de vos fournisseurs (les compagnies donc).
DPO ?
La CNIL n’a pas spécifié cette obligation de façon claire à propos des courtiers en assurance. De mon point de vue, l’ensemble des professions libérales seront bientôt dans l’obligation d’avoir un DPO, et en particulier les assureurs et courtiers en assurance.
En effet, le RGPD précise qu’un délégué à la protection des données est nécessaire " quand les activités de base (...) consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 (...)", article 9 qui évoque le traitement des données sensibles comme des données de santé, NIR, etc...
En l’absence de condamnation de la CNIL, nous n’avons pas de précédent. Il m’apparaît pour autant difficile de passer outre compte-tenu de la nature des activités du courtier, confident naturel du chef d’entreprise.
QUEL COUT ?
Bien évidemment, les coûts sont très variables selon les acteurs et vont dépendre de la structure. Il est évident qu‘un courtier qui travaille seul, avec peu de supports et de solutions informatiques pour bénéficier d’une prestation bien moindre qu’une grosse boutique.
Pour ma part, les tarifs démarrent à 500 € HT pour l’audit et un forfait DPO annuel adapté à l’activité du courtier, ce qui ne nécessite pas un contact de tous les instants.
Plus d’information sur nos prestations : contact@rivain-avocat.com
# RGPD COURTIER # AUDIT # DPO EXTERNE
