L’activité de courtage en assurance n’échappe pas au règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018. Et son application est d’autant plus importante que les périodes de confinement et de télétravail ont accéléré le recours au numérique dans de nombreux domaines d’activité. Démarchage téléphonique, signature électronique, gestion des données directement dans les systèmes d’informations, communication d’informations par SMS… La masse de données personnelles accumulées implique des obligations vis-à-vis des professionnels qui les reçoivent et les exploitent, afin de protéger les personnes qui les ont initialement communiquées.
Le règlement général sur la protection des données, plus connue sous le sigle RGPD, a pour objet de renforcer les droits des personnes qui ont accepté de transmettre leurs données personnelles pour une finalité précise, et qui peuvent demander la suppression de ces données lorsqu’elles ne sont plus nécessaires, ou leur mise à jour si elles sont erronées. Le RGPD complète la réglementation antérieure connue sous l’appellation « Loi Informatique et Libertés » de 1978. Il responsabilise davantage les organismes qui traitent ces données, et qui sont contraints de respecter un certain nombre d’engagements sur :
Les sociétés de courtage et organismes d’assurances sont directement concernés. Le RGPD concerne également leurs sous-traitants qui traitent des données personnelles pour le compte des responsables de traitement.
C’est toute information se rapportant à une personne physique identifiable ou identifiée :
Lorsqu’elle constate un manquement à la loi, la CNIL peut, après avoir mis en demeure les intéressés de mettre fin à ce manquement, prononcer diverses sanctions et n’hésite pas à sanctionner, parfois lourdement, les entreprises qui ne respecteraient pas leurs engagements.
Le DPO est le sigle anglais de « Data Protection Officer » donné à la personne désignée au sein de l’entreprise comme délégué à la protection des données personnelles. Il conseille, accompagne et donne son avis sur la mise en conformité au RGPD. Sa désignation n’est obligatoire que dans certains cas, mais néanmoins, il est recommandé d’en désigner un afin de veiller à ce que l’entreprise mette en œuvre les engagements nécessaires à la protection des données personnelles. Il est l’interlocuteur de l’autorité de contrôle.