Tant les entreprises que les intermédiaires d’assurances sont amenés à traiter des données à caractère personnel dans l’exercice de leurs activités, en tant que responsables de leurs propres traitements. Il peut arriver cependant que, dans certaines situations, un intermédiaire soit amené à traiter des données pour le compte d’un assureur. Inversement, un assureur peut également être amené, dans certaines situations, à traiter des données pour le compte d’un courtier.

Dans ces cas, il s’agit de relations de « sous-traitance » entre les deux parties.

Le règlement général européen sur la protection des données à caractère personnel (RGDP) applicable depuis le 25 mai 2018, dispose qu’un sous-traitant ne traite des données à caractère personnel que sur instruction documentée du responsable du traitement. Une convention ad hoc doit être conclue entre eux.

Les organisations professionnelles du secteur de l’assurance (Assuralia pour les assureurs, FVF, Feprabel, UPCA et BZB-Fedafin pour les intermédiaires) se sont accordées sur les instructions qui s’appliquent à ce type de traitements. Deux situations distinctes sont visées :

  • d’une part, la relation entre l’assureur responsable du traitement et le courtier sous-traitant ;
  • d’autre part, la relation entre le courtier responsable du traitement et l’assureur sous-traitant.

Ces instructions s’inscrivent dans le cadre de la mise en œuvre de la convention sectorielle d’intermédiation pour courtiers en assurance, conclue entre les entreprises d’assurances et les courtiers, et plus particulièrement de son article 9.2 relatif au traitement des données à caractère personnel et aux situations de sous-traitance. Cet article 9.2 se réfère à plusieurs reprises à des instructions à fournir.

Ces instructions visent en outre à préciser le contenu de l’article 9.2 au regard des nouvelles obligations qui découlent du RGPD (par exemple prendre des mesures techniques et organisationnelles en vue d’assurer la sécurité et la confidentialité des données traitées, établir une politique d’accès aux données, tenir un registre des activités de traitements…).

Ces instructions font donc partie intégrante de la convention sectorielle d’intermédiation.

Par contre, l’objet et la nature du traitement, les finalités de ce dernier, les catégories de personnes concernées, les catégories de données à caractère personnel traitées ainsi que leur durée de conservation dans le cadre d’une relation de sous-traitance font l’objet d’une convention spécifique qui est signée par les parties. Des instructions spécifiques peuvent, si nécessaire, être formulées dans le cadre de cette dernière convention. Ces instructions spécifiques ne remplacent pas les présentes instructions sectorielles. Elles varient d’une entreprise à l’autre et peuvent par exemple concerner la manière d’utiliser un outil mis à la disposition d’une partie par l’autre partie.

Le texte des nouvelles instructions est disponible ici.