Le 15 juillet 20121, la Fédération Française de l’Assurance a publié un guide actualisant le Pack de conformité assurance publié en 2013 et devant être mis à jour suite à l’entrée en application du Règlement européen sur la protection des données (« RGPD ») le 25 mai 2018.
Ce nouveau guide a été élaboré par la Fédération Française de l’Assurance, le Centre technique des institutions de prévoyance, la Fédération nationale de la Mutualité Française et Planète CSCA en collaboration avec la Commission Nationale de l’Informatique et des Libertés (« CNIL ») et a vocation à appliquer les principes de protection des données aux traitements de données personnelles spécifiques au secteur de l’assurance.
Il s’adresse aux « organismes d’assurance » traitant des données personnelles c’est-à-dire aux entreprises d’assurance, de capitalisation, de réassurance, d’assistance ainsi qu’aux intermédiaires d’assurance et/ou de réassurance.
Dans un premier temps, le guide propose un rappel des notions de responsable du traitement, responsables conjoints du traitement et de sous-traitant dont découlent les obligations et responsabilités des acteurs et qualifie les différents acteurs du secteur de l’assurance. À titre d’exemple, l’assureur est qualifié de responsable du traitement dans sa relation avec le mandataire d’assurance tandis que ce dernier agit en tant que sous-traitant.
Le guide détermine ensuite les finalités et bases légales du traitement spécifique au secteur de l’assurance. Le guide identifie notamment la finalité relative à la passation, gestion et exécution des contrats d’assurance au sein de laquelle plusieurs traitements de données personnelles sont regroupés et reposent sur des bases légales distinctes.
En outre, le guide détaille les catégories de données personnelles pouvant être traitées dans le cadre d’activités mises en œuvre dans le secteur de l’assurance, celles-ci devant être pertinentes et nécessaires au traitement, et aborde le cas particulier du numéro d’inscription au répertoire (NIR) et des données de santé.
S’agissant de la base légale des traitements des données de santé, le guide identifie les bases légales applicables en fonction des périmètres des contrats des organismes d’assurance. À ce titre, les contrats de complémentaire santé relèvent par exemple de l’article 9.2.b) du RGPD relatif à l’’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit de la protection sociale.
Les droits des personnes concernées sont également détaillés dans ce guide qui rappelle les principes applicables au profilage et à la mise en œuvre de décisions individuelles automatisées.
Enfin, le guide traite des règles relatives à la conservation des données personnelles, de l’information des personnes concernées ainsi que des mesures de sécurité devant être mises en place.
Le guide indique notamment qu’en l’absence de conclusion d’un contrat d’assurance les données de santé doivent être conservées pendant une durée maximale de 5 ans à compter de leur collecte ou du contact émanant du prospect (2ans en base active et 3 ans en archivage intermédiaire).
Le 16 juillet 2021, la CNIL a publié de nouvelles fiches pratiques relatives aux traitements de données personnelles dans le secteur de l’assurance. Celles-ci reprennent en partie le contenu du guide et sont accessibles ici.