Protection des données en assurance : bilan après six années d'application du RGPD
Un nouveau dossier du Bulletin des assurances
Le règlement général sur la protection des données personnelles (RGPD ou, en anglais, GDPR) est applicable depuis le 25 mai 2018, soit un peu plus de six ans. Il a remplacé l’ancienne directive européenne de 1995 ainsi que la loi belge du 8 décembre 1992 sur la protection de la vie privée, qui n’étaient plus adaptées à la réalité digitale du moment : commerce en ligne, réseaux sociaux, techniques de profilage, objets connectés, cookies, big data, etc.
Le nouveau dossier thématique du Bulletin des assurances approfondit un certain nombre de questions qui restent d’une actualité brûlante en 2024.Par exemple, sur quelles bases juridiques les assureurs peuvent-ils justifier les traitements de données qu’ils effectuent dans le cadre de leur activité ? Peuvent-ils faire valoir leur intérêt légitime lorsque le contrat d’assurance ou la loi ne constituent pas des bases suffisantes ? A quelles conditions ?
Et quid des données relatives à la santé ? Force est de constater que les assureurs restent tenus de se fonder sur le consentement explicite des personnes concernées, avec tous les inconvénients qui en découlent. Ils ne disposent toujours pas d’une base légale solide qui leur permet de traiter ces données en toute sécurité et ce, malgré les appels répétés adressés encore tout récemment au législateur par l’Autorité de protection des données.
Une autre question est la détermination de la qualité des parties intervenant dans un traitement : a-t-on à faire à un responsable, un responsable conjoint ou un sous-traitant ? Avec quel impact sur leur responsabilité ?
Les transferts de données vers des Etats tiers à l’Union européenne retiennent aussi l’attention et ce, après les fameux arrêts Schrems de la Cour de Justice. Concrètement, le récent Data Privacy Framework constitue-t-il une base adéquate et durable pour les transferts vers les Etats-Unis ?
Un autre sujet sensible concerne les traitements de données liés à la prévention et à la sanction de la fraude à l’assurance, à la lumière notamment de la toute nouvelle loi sur la recherche privée.
Par ailleurs, le rôle joué par le Data Protection Officer (DPO) est également passé sous la loupe. Véritable chef d’orchestre de la conformité en matière de protection des données au sein de son entreprise, le DPO exerce une véritable fonction de contrôle.
Enfin, même si le RGPD reste un texte fondateur important dans le domaine de la protection des données, il ne constitue plus aujourd’hui la seule référence en matière de protection des citoyens et de leurs données dans le monde digital. Le droit du numérique a en effet été marqué ces dernières années par l’adoption sans cesse croissante de textes visant à encadrer des thématiques diverses telles que l’intelligence artificielle, la cybersécurité ou le partage de données. Dans de nombreuses situations, ces textes s’appliqueront en même temps que le RGPD, ce qui posera des difficultés dans certains cas.
Certains de ces textes sont examinés – le Digital Services Act (DSA), le Digital Operational Resilience Act (DORA), le Data Act (DA) et l’AI Act (AIA) – de même que leur articulation avec le RGPD, en particulier dans le domaine des assurances.
Les abonnés au Bulletin des assurances recevront automatiquement le nouveau dossier thématique. Les non abonnés peuvent le commander sur le webshop de l’éditeur Wolters Kluwer.