La protection des données en action

Temps de lecture: 8 minutes

Actualités & blog Blog La protection des données en action

La protection des données en action

Pascal Dijkens, Risk & Compliance Director

Pascal Dijkens

Risk & Compliance Director, Van Ameyde

Temps de lecture:8 minutes
Un projet de deux ans a permis la mise en conformité de Van Ameyde avec les normes ISO de gestion de la sécurité des informations et le règlement général sur la protection des données (RGPD). Le traitement de données sensibles à grande échelle pour le compte de compagnies d'assurance et de gestionnaires de risque d'entreprise fait de Van Ameyde ce que l'on nomme un processeur de données d'après le RGPD. Mais le secteur est-il pleinement conscient de ses propres obligations relatives à son réseau de fournisseurs ?

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) entrera en vigueur, en remplacement de la Directive européenne 95/46/EC. S’agissant d’un règlement et non d’une directive, le RGPD sera applicable immédiatement. Il bénéficiera aux entreprises qui interviennent dans plusieurs états membres, comme Van Ameyde et plusieurs de nos clients. Après tout, par rapport aux Directives, transposables aux lois nationales, les Règlements offrent beaucoup moins de possibilités d’interprétations locales.

Malgré tout, la mise en place du RGPD s’est avérée chronophage au sein de Van Ameyde. Nous avons commencé notre programme de mise en place il y a plus de deux ans, suite à un audit approfondi de l’ensemble de l’entreprise.

Sans prétendre dresser une liste exhaustive, j’aimerai vous donner un aperçu de plusieurs aspects du nouveau règlement du point de vue d’un processeur de données.

Sécurité et gouvernance de données

Suite à l’audit et dès 2016, nous avons initié de nombreuses mises à niveau en termes de sécurité et gestion des données. Pour des raisons de sécurité, nous ne pouvons pas lister en détail les mesures prises. Cependant, d’une manière générale, parmi nos mesures de sécurité et gestion des données, on compte :

  • le cryptage des données personnelles ;
  • des mesures portant sur les référentiels de sécurité relatives aux infrastructures et à l’accès, notamment une authentification à deux niveaux et une politique stricte en termes de mot de passe ;
  • la surveillance et le signalement de toute violation des données ;
  • des mesures de classement des données, permettant de restreindre un peu plus l’accès aux informations ultra-sensibles, comme les données médicales (accessibles uniquement par le personnel disposant d’une habilitation complémentaire) et les données relatives aux enquêtes pour fraude.

Au cours de la mise en place de ces mesures, notre filiale de développement informatique (Zero)70  a reçu la certification ISO 27001:2013, en complément de notre accréditation annuelle existante ISAE3402 type II. Nos clients peuvent être assurés que nos protocoles et pratiques de sécurité et gestion des données sont conformes à 100 % au RGPD. Nous respectons scrupuleusement les principes du RGPD portant sur  légalité, l’équité, la transparence et la restriction d’utilisation à un but particulier. De plus, nous limitons la collecte et le traitement de données aux éléments absolument utiles pour la gestion des réclamations et la mise en œuvre de mesures protégeant les droits des personnes concernées.

Il va sans dire que dans le cadre de la procédure de mise en conformité avec le RGPD, Van Ameyde a mené une analyse d’impact relative à la protection des données (DPIA) afin d’identifier les risques élevés pour les droits à la vie privée. Des mesures pour gérer de tels risques ont été établies.

Contrôleurs et processeurs

Les contrôleurs de données « possèdent » les données de leurs clients. Lorsque la sous-traitance d’activité implique le traitement de telles données à caractère personnel, les contrôleurs doivent faire face à deux défis :

  • Le respect des mesures fixées par le RGPD pour leurs propres pratiques et systèmes de gestion des données ;
  • La garantie que leurs réseaux de fournisseurs, c’est-à-dire les « processeurs », se conforment également au RGPD, au moyen d’Accords de traitement de données

D’après le nouveau règlement, les processeurs assument de nouvelles responsabilités telles que :

  • la nomination d’un Délégué à la protection des données (DPO) ;
  • la conservation d’une trace des données traitées pour le compte de leurs clients.

En fait, puisque Van Ameyde intervient partout en Europe, nous avons nommé et formé des DPO dédiés dans chaque pays où nous disposons de bureaux.

Accord de traitement de données: obligatoire

D’après le RGPD, les contrôleurs ont l’obligation de conclure des accords de traitement Data Processing Agreement, DPAavec leurs processeurs. Nous abordons cette question en notifiant les clients et en leur proposant un modèle de DPA. Si vous n’avez pas reçu ce modèle, contactez-nous s’il vous plaît et nous vous en communiquerons un exemplaire.Droits des personnes concernées

D’après le RGPD, les personnes concernées sont les personnes dont les données personnelles sont traitées. En termes de gestion des réclamations, les personnes concernées peuvent être des assurés, des tiers ou par exemple des témoins. À la première notification, les demandeurs sont explicitement informés de leurs droits. Ces droits sont les suivants :

  • Accès
  • Rectification
  • Effacement (« Droit à l’oubli »)
  • Limitation du traitement
  • Portabilité des données (droit des personnes concernées sur le transfert de leurs données personnelles à d’autres organisations)

À noter cependant que toute modification n’est traitée qu’après des vérifications minutieuses concernant la légitimité et la pertinence. De plus, dans le contexte des réclamations, la gestion du Droit à l’oubli est limitée. Il va sans dire que des tiers responsables ne peuvent demander la modification ou la suppression de leurs données afin de se soustraire à leurs obligations…

Liens utiles

Si vous souhaitez en savoir plus sur les articles du RGPD, le site internet suivant vous sera très utile : https://gdpr-info.eu/

Le site Deloitte’s GDPR top ten (Le RGPD en dix points clés par Deloitte) contient également des informations précieuses.

Quote
Afhankelijk van de levensverwachting van het slachtoffer zal het verlaagde discontopercentage leiden tot aanzienlijke verhoging van de vergoeding voor toekomstschade.

Pascal Dijkens

Patrick Baron

Share This