RGPD : Quel impact sur mes assurances ?

Le Règlement Européen sur la Protection des Données vient compléter ou préciser des obligations qui existaient déjà auprès de la CNIL. Il cherche à rendre plus transparentes les relations entre les organismes collectant et/ou utilisant des données et les personnes concernées par ces informations.  Il définit également les droits des personnes concernant l’accès à leurs données personnelles, le droit à rectification, à effacement (le « Droit à l’oubli »), à l’utilisation limitée de leurs informations mais aussi à la portabilité de leurs données entre organismes.

Tout cela a pour objectif d’être uniformisé pour l’ensemble des Européens.

Ces nouvelles obligations s’appliquent à toutes les entreprises, qu’elles soient publiques ou privées, de l’ensemble des Etats membres de l’Union Européenne.

A partir du moment où votre entreprise collecte ou traite des données à caractère personnel concernant un résident de l’Union Européenne, vous êtes concerné. Cela s’applique tant aux informations sur vos clients, vos salariés, vos fournisseurs, vos sous-traitants, vos prestataires, Etc…

Le RGPD définit quelles sont les données dites « à caractère personnel » comme se rapportant à toute personne physique directement ou indirectement identifiable. On y retrouve donc le nom, l’adresse, le téléphone, le mail, mais également tout identifiant, les données de localisation, les IP des postes informatiques, etc…

Il définit également des informations plus sensibles nécessitant une vigilance particulière telles que : des données révélant l’origine prétendument raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale des personnes, des données génétiques et biométriques, des données concernant la santé, la vie sexuelle ou l’orientation sexuelle des personnes, des données relatives aux condamnations pénales ou aux infractions, ainsi que du numéro d’identification national unique (NIR ou numéro de sécurité sociale)

Le consentement des individus dont vous collectez ou traitez les données qui devra être « explicite et positif » (vous devez avoir eu plein de validations à faire pour accepter les cookies sur les pages web que vous visitez depuis mai… c’est un exemple !)

La transparence : C’est un des fondements, les entreprises doivent pouvoir à tout moment du traitement justifier aux personnes concernées de la manière dont sont traitées leurs données et leur donner un droit de regard.

Le droit des personnes : Accès, rectification, effacement, limitation du traitement, etc…

La responsabilisation des entreprises dans le processus de collecte et traitement des données ainsi que dans leur protection.

Comparons le risque de perte / piratage de données à un incendie. Le RGPD est un peu le plan de continuité d’activité. Il sert à prévenir le risque en l’analysant, à mettre en place les systèmes de protection et de prévention.

Ainsi les extincteurs, le contrôle électrique annuel, les RIA, les sprinklers selon les cas, mais aussi la connaissance de sous-traitants capables de reprendre une partie de mon activité en cas de destruction de mes locaux ou les visites régulières de mon assureur pour vérifier que mon contrat est toujours à jour sont comparables à la cartographie du traitement des données, l’organisation des processus internes et la documentation de votre conformité. Malgré cela, le risque zéro n’existe pas. Vous pouvez quand même avoir un incendie et vous pouvez quand même être piratés… C’est là qu’intervient votre assureur, pour vous accompagner et vous indemniser, dans les deux situations toutes aussi graves pour votre entreprise.