C’est le secteur de l’assurance qui a ouvert la marche avec la présentation par la CNIL et les fédérations professionnelles, en particulier l’Association Française de l’Assurance, le 12 novembre dernier du pack de conformité pour le secteur des assurances. Il s’agit là d’une démarche nouvelle et pragmatique dont le caractère opérationnel a été renforcé par le projet de création d’un « club conformité » dédié. L’atout majeur est d’accompagner les assureurs et de faciliter la mise en œuvre de leur processus de mise en conformité aux exigences vis-à-vis de la Loi Informatique et Libertés, en particulier les obligations déclaratives.
Les objectifs poursuivis par ce référentiel sont triples :
- Améliorer la maîtrise des risques liés à un accroissement des données à caractère personnel collectées et faisant l’objet de traitements (en particulier automatisés) ;
- Accompagner les nouvelles offres dédiées aux personnes tout en respecter leur sphère privée ;
- Simplifier les formalités déclaratives auprès de la CNIL.
- Ainsi, le pack, à disposition des Directions Juridiques, Directions de la Conformité et du Contrôle Permanent, et de tous responsables des traitements de données à caractère personnel, est composé d’outils juridiques de simplification ou d’allégement des formalités (normes simplifiées et autorisations uniques) et de bonnes pratiques spécialement adaptées au secteur de l’assurance (fiches pratiques). Les principales normes simplifiées (NS) et autorisations uniques (AU) concernées sont :
- La NS-016 relative à la passation, la gestion et l’exécution des contrats d’assurance ;
- La NS-056 relative à la gestion commerciale des clients et prospects pour le secteur des assurances ;
- L’AU-031 dédié à la collecte du NIR (numéro de sécurité sociale) et la consultation du RNIPP (Répertoire national d’identification des personnes physiques) ;
- L’AU-032 dédié à la collecte des données d’infractions, de condamnations ou des mesures de sûreté ;
- L’AU-039 consacrée la lutte contre la fraude.
Afin d’assurer l’effectivité du pack dans le temps, la CNIL a même proposé la mise en place d’un « club conformité » qui permettra de faire vivre le contenu du pack et de veiller à l’application des règles introduites, ce qui garantira l’application de normes qui ne sont pas forcément toujours bien mises en œuvre par les assureurs aujourd’hui. Cette bonne pratique existe déjà dans le domaine très technique des compteurs communicants (pilotage énergétique du logement), ainsi que dans le logement social depuis le 9 octobre 2014, et a donné lieu au lancement des consultations pour les packs « banque » et « social ».
De la même manière que pour les assureurs, les nouvelles offres proposées par les banques, en particulier à l’attention des clients fragiles financièrement, entraînent des partenariats avec d’autres acteurs non bancaires (associations caritatives, par exemple), avec lesquels il s’agira d’encadrer davantage les échanges d’informations de données à caractère personnel.
Ainsi la démarche d’adoption du pack conformité dédié au secteur bancaire débutera par un état des lieux complet des besoins et des pratiques, puis passera par la révision des outils existants qui pourraient être alors adaptés. La lutte contre la fraude est également à l’ordre du jour du futur pack conformité « banque » qui de manière générale permettra une meilleure diffusion au sein des établissements bancaires et financiers, de la conformité « Informatique et libertés ».