Go to Top

Le respect de la finalité de traitement au coeur de RGPD

Le respect de la finalité de traitement au coeur de RGPD

La Cnil a récemment épinglé des assureurs pour avoir utilisé des données pour une autre finalité que celle pour laquelle elles avaient été collectées. Hugues Chamba précise pourquoi le secteur de l’assurance doit être extrêmement vigilant sur ce point au regard du nouveau règlement européen.

«Si vous devez impérativement traiter des données à caractère personnel, ne collectez que celles dont vous avez besoin, pour une finalité précise, une durée déterminée et cohérente avec la finalité, avec le consentement des personnes dont vous traitez les données et en ayant soin de protéger celles-ci le mieux possible. » Telle pourrait être, en une phrase, l’esprit général du RGPD (Règlement européen sur la protection des données). Entré en vigueur le 25 mai 2018, ce texte a été abondamment commen­té…Le montant des amendes prévues (jusqu’à 4 % du CA mondial), son champ d’application européen, l’actualité des piratages des comptes et autres randsomware en font un sujet particulièrement d’actualité.

 

Données personnelles

Le secteur de l’assurance utilise et génère de nombreuses données personnelles, dont certaines sont dites « à caractère particulier », comme les données de santé.

Parmi les (nombreuses) règles que les assureurs doivent respecter dans l’utilisation qu’ils font des données personnelles, le respect de la finalité des traitements mérite quelques développements spécifiques, ne serait-ce que parce que c’est sur cette base, le détournement de la finalité, que la Cnil a mis en demeure plusieurs assureurs de la place, fin 2018. La finalité d’un traitement est un principe cardinal du texte : « Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités » (article 5 b du RGPD).

C’est notamment sur cette base que sont déterminées la pertinence des données collectées et la justification de leur délai de détention. Elle doit être clairement stipulée pour chacun des traitements dans le registre des activités de traitement (article 30 1.b).

L’utilisation des données pour une autre finalité que celle pour laquelle elles ont été collectées n’est donc pas autorisée, comme l’a rappelé la Cnil dans sa mise en demeure de plusieurs assureurs pour avoir réalisé de la prospection commerciale avec des données personnelles initialement collectées exclusivement afin de payer les allocations retraite.

 

Spécificités de l’assurance

D’un point de vue très opérationnel pour le secteur de l’assurance, la notion de finalité peut être délicate à gérer dans deux cas de figure :

  1. Dans le cadre des activités de prospection. Comment combiner prospection et respect du règlement ? Le considérant 47 du RGPD apporte un éclairage clé sur cette question en considérant que « les intérêts légitimes d’un responsable de traitement […] peuvent constituer une base juridique pour le traitement […] compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. […] Si la personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. ». En d’autres termes, la prospection est possible dans un cadre raisonnablement cohérent et conforme à la finalité pour laquelle les données ont été transmises. On peut penser notamment à de la prospection de produits de prévoyance sur des portefeuilles santé, ou encore de la prospection assurance scolaire sur des portefeuilles d’assurance habitation ou RC.
  2. Dans le cas des données achetées ou transmises par des partenaires. Les processus de vente, notamment dans le courtage, peuvent s’appuyer sur des fichiers achetés. Les questions du consentement, de la preuve de ce consentement et de la finalité pour laquelle ces données doivent être collectées et suivies avec soin. Une personne ayant, par exemple, transmis des données dans le cadre d’un jeu télévisé a-t-elle donné son accord pour se faire contacter et proposer de l’assurance automobile ou un contrat santé ?

 

cnil

Source: L’Argus de l’Assurance / Hugues Chamba, DG de Valmen Consulting

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *