Les assureurs sont-ils en retard pour leurs analyses d’impact ?

Un sondage récemment réalisé par Optimind nous aide à y voir plus clair quant à la situation des assureurs concernant leurs analyses d’impact relatives à la protection des données requise par le RGPD. En quoi celle-ci consiste-t-elle ? Les acteurs du secteur assurantiel ont-ils fait le nécessaire ? Selectra fait le point.

  • En bref : sondage Optimind, où en sont les assureurs pour leurs AIPD ?
  • 50 % des sondés déclarent que leurs AIPD sont en cours pour tout ce qui concerne les traitements prioritaires,
  • 21 % des répondants disent avoir terminé leurs analyses d’impact relatives à la protection des données,
  • 67 % des sondés expriment de pas avoir traité en priorité les traitements concernés par la dispense d’obligation de la CNIL, laquelle dure trois ans.

Qu’implique donc l’analyse d’impact relative à la protection des données ?

L’entrée en vigueur du Règlement européen sur la protection des données – ou RGPD – remonte à mai 2018, et il est temps de savoir où l’on en est. Les entreprises ont-elles fait les démarches nécessaires pour respecter les nouvelles règles ? L’analyse d’impact relative à la protection des données – ou AIPD – est prévue par l’article 35 du RGPD. Elle est donc obligatoire en ce qui concerne les traitements des données à risques. Il s’agit d’un outil clé destiné à responsabiliser les organismes concernés. Le but est d’établir un traitement des données respectueux de la vie privée, explique la Commission nationale de l’informatique et des libertés – ou CNIL –, et de les aider à prouver qu’elles se conforment bien au RGPD.

"Lorsqu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, une analyse d’impact sur la protection des données (DPIA - Data Protection Impact Assessment - Analyse d’impact relative à la protection des données - AIPD ou PIA) doit être menée."


Comment s’assurer que tout le monde respecte le Règlement européen sur la protection des données ?

Optimind, expert-conseil en gestion des risques, a décidé de se pencher sur la situation de divers secteurs, avec plus de 50 répondants du monde de l’assurance au sens large. Le sondage a été réalisé du 26 juin au 30 août 2019 auprès d’un échantillon représentatif d’entreprises des domaines de l’assurance (42 %), du courtage (10 %) des mutuelles (19 %), d’institutions de prévoyance (8 %), de banques (6 %) et autres (15 %). Tout a été fait en ligne via SurveyMonkey et le bilan n’est pas glorieux puisque toutes les entreprises seraient en retard concernant l’analyse d’impact.

Pour rappel, d’après la CNIL, l’analyse d’impact relative à la protection des données se concentre sur trois axes :

  • Une description détaillée : en ce qui concerne le traitement des données établi par l’organisme,
  • L’évaluation de la nécessité et de la proportionnalité : surtout juridique et en lien avec les principes et droits fondamentaux des personnes,
  • L’étude des risques sur la sécurité des données : d’un point de vue cette fois-ci plus technique.

Pour autant, comme le souligne Optimind, « de nombreux flous persistent, notamment sur les méthodes utilisables ou encore sur la portée d’un tel exercice malgré les efforts de la CNIL pour accompagner au mieux les assureurs ».

Quels sont les traitements prioritaires de l’AIPD ?Les traitements prioritaires sont ceux mis en œuvre avant le 25 mai 2018, qui vont subir des modifications importantes (nouvelles finalités, catégories de données traitées, de durées de conservation ou de destinataires, etc.).

Assurances : quelles raisons à leur retard concernant les AIPD ?


Les assureurs doivent mettre en place des méthodes pour s’assurer de la protection des données de leurs clients. Mais celles-ci sont-elles au point ?

D’après le sondage, un organisme sur deux dit que l’AIPD est en cours de réalisation chez eux pour des traitements prioritaires et obligatoires, soit tout ce qui implique « un risque élevé pour les droits et libertés des personnes physiques » (article 35.1 du RGPD). Au total, seulement 21 % des interrogés auraient terminé le processus d’analyse d’impact.

Autres chiffres intéressants du sondage d’Optimind, 67 % des organismes sondés n’ont pas traité en priorité les traitements bénéficiant de la dispense d’obligation pour une durée de trois ans prévue par la CNIL. De plus, si 57 % des répondants au sondage déclarent utiliser la méthode de la CNIL, 38 % estiment que des changements et adaptations sont nécessaires pour qu’elle tienne compte des spécificités internes.

De fait, 38 % des interrogés disent employer une méthode adaptée à celle de la CNIL et 19 % une méthode inspirée des risques opérationnels.

Finalement, sur l’échantillon du sondage, 63 % des participants ont commencé leurs AIPD, mais selon Optimind, « des efforts restent à fournir afin de prétendre un jour à des pratiques communes et partagées sur l’AIPD. Le retour d’expérience […] démontre qu’il y a une réelle volonté d’aboutir à des solutions pérennes en matière de protection des données personnelles. Le sujet de la donnée est tellement susceptible d’évolutions, au gré des nouvelles contraintes réglementaires, des transformations technologiques ou encore des changements organisationnels, que l’on doit s’inscrire dans une démarche souple et adaptable ». Il reste donc beaucoup à faire pour que les assureurs se conforment totalement aux exigences du RGPD.

Optimind, qui es-tu ?Optimind est une entreprise spécialisée dans le conseil en gestion des risques. Elle travaille de manière indépendante et regroupe quelque 250 collaborateurs. Son activité est destinée à aider les différents organismes des secteurs de l’assurance, de la banque, mais aussi les grandes entreprises pour les accompagner et leur proposer des stratégies concrètes.

Mise à jour le