Actualités

Entreprises, n’attendez plus pour vous conformer au RGPD

RGPD, comment les risk manager appréhendent les données personnelles
27/04/2018 - Le Règlement Général sur la Protection des Données va entrer en vigueur dans moins d’un mois. Entreprises, assureurs et courtiers en assurance, tous sont concernés par la mise en conformité. Pourtant, la définition même d’une donnée personnelle reste encore un peu floue pour les risk managers selon un sondage de l’AMRAE.

L’enjeu : protéger les données personnelles

À partir du 25 mai, toutes les organisations, institutions et entreprises devront se conformer au RGPD. Le règlement européen leur imposera que les informations personnelles de leurs clients soient collectées, stockées et conservées de façon sécurisée et confidentielle. Comment s’y préparer ? La première étape est d’établir une politique de gestion des données. Pour cela, le recrutement d’un DPO, un Data Protection Officer, est essentiel. Ce rôle peut être joué par le risk manager. Il sera chargé de superviser tout le processus, de la cartographie des risques au suivi des mesures mises en place. Il s’assurera que les grands principes soient respectés, à savoir : la tenue d’un registre obligatoire (principe d’autocontrôle), la co-responsabilité des sous-traitants et le « privacy by design » (protection de la vie privée dès la conception du produit ou du service, de la collecte à la suppression des données). Ce troisième point est d’autant plus important que le secteur de l’assurance connaît une multiplication des services en ligne ou des applications mobiles dans lesquelles les usagers entrent leurs données personnelles, notamment de santé.
 

Connaître et anticiper les risques

La seconde étape sera de cartographier les risques de l’entreprise. Il faudra prendre en compte la provenance des données, qui est en charge de leur traitement (l’entreprise directement ? un sous-traitant ?), dans quel but sont-elles collectées, comment sont-elles conservées… ? Il faudra ensuite prioriser les actions et réaliser une analyse d’impact sur la protection des données (PIA). Tenir une documentation de conformité permettra enfin de suivre le projet. Si vous pensez être en retard, un cahier technique est disponible sur le site de l’AMRAE.
 

Des conséquences importantes

La fuite de données personnelles peut avoir des conséquences importantes. Des dirigeants de grandes compagnies internationales (Sony, Ubern Ashley Madison…) ont été remerciés suite au piratage des données personnelles de leurs clients. La sécurisation des informations devient donc un enjeu clé. Les entreprises se doivent d’être vigilantes et transparentes. Rappelons qu’en cas de manquement au RGPD, les sanctions financières seront très élevées, pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial du groupe.