Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Comment Malakoff-Médéric a négocié le virage du RGPD

Johanna Carvais-Palut explique comment Malakoff Médéric a mené, dès la fin de 2016, le projet RGPD et en quoi celui-ci est bénéfique.
Twitter Facebook Linkedin Flipboard Email
×

Comment Malakoff-Médéric a négocié le virage du RGPD
Comment Malakoff-Médéric a négocié le virage du RGPD © Sylvie Humbert - L'Argus de l'assurance

De quelle manière avez-vous engagé le sujet RGPD ?

Johanna Carvais-Palut - Nous avons raisonné par thématique et déterminé cinq chantiers principaux, les mêmes qu’en phase de cadrage et de réalisation. Le premier concerne la gouvernance, que l’on peut définir comme la manière de gérer les données personnelles en lien avec la direction de la data. On y retrouve tous les aspects des missions du data protection officer (DPO) : la mise en place d’une filière de relais, la sensibilisation et la formation du personnel, ainsi que le lancement d’un serious game (un e-learning un peu plus ludique). La mise à jour des politiques fait aussi partie de ce chantier, comme la réactualisation de la politique externe des données ou la création d’une politique interne (guide de bonne conduite).

Quels sont les quatre autres chantiers ?

Le deuxième concerne le droit des personnes, qui est un chantier orienté B to C, notamment via l’espace client, afin que le prospect puisse gérer au mieux son consentement. On y retrouve la gestion des cookies sur nos sites et applications, et la revue de nos mentions d’information. La relation avec les tiers constitue notre troisième chantier. Nous avons essayé de qualifier tous nos partenaires (fournisseurs, délégataires, coassureurs, réassureurs, courtiers, intermédiaires) afin de déterminer la responsabilité des uns et des autres et de créer un clausier (ndlr : recueil de clauses) en fonction du rôle de chacun. Le quatrième chantier est celui de la responsabilisation des acteurs (accountability). Dans ce cadre, nous avons défini la manière dont le responsable de traitement devait être en capacité de prouver sa conformité à tout moment. Pour y parvenir, nous avons travaillé sur de nouveaux process afin d’intégrer la notion de protection des données dès la conception pour le by design, mais également via l’acquisition d’outils pour la tenue de registre, par exemple. Enfin, le dernier chantier concerne la notification des violations de données à l’autorité de contrôle (Cnil) et aux personnes concernées, le cas échéant.

Quelles difficultés avez-vous rencontrées ?

Les plus grosses difficultés sont liées à la technique et au délai. La modification du système informatique, la mise à jour des contrats et les négociations qui en résultent peuvent jouer sur les délais. Forcément, quand on parle du projet RGPD, on essaye d’inclure les non-conformités existantes s’il y en a, en passant par des phases d’audit pour identifier ce que l’on peut intégrer ou non. Les process sont formalisés et la mise en place du réseau est aussi une occasion de rappeler les bonnes pratiques. Le RGPD ne modifie pas les procédures existantes de la loi de 1978 (finalité déterminée, pertinence des données, durée de conservation, mesures de sécurité adéquates, information des personnes, transparence et recueil du consentement dans certains cas). Ce qui change, c’est la manière dont on voit les choses, et le fait qu’il faut inclure ces principes, au départ, dès la conception du produit : privacy by design ou by default.

Qu’en est-il du consentement des données de santé ?

En tant qu’assureur, nous sommes déjà sensibilisés à la question des données de santé, indépendamment du RGPD (secret médical, protection des données). La politique de gestion des données de santé et de données médicales existe déjà, et elle est mise à jour conformément à l’évolution de la réglementation. À titre d’exemple, au sein de Malakoff Médéric, nous avons un système de gestion des habilitations par un médecin-conseil, des formations au secret médical, et nous avons également mis en place des moyens sécurisés de transfert de données.

Quels sont les effets indirects de cette nouvelle réglementation ?

Une opportunité de donner plus de confiance à nos clients. Lorsque je forme en interne, je présente cette réglementation comme une opportunité plutôt qu’une contrainte. L’objectif est de garantir à nos assurés la protection de leurs données. Encadrer leur utilisation participe à la création d’un climat de confiance. Le deuxième effet est l’émergence de fonctions, puisque le RGPD aborde des notions qui n’existaient pas dans la loi (telles que le profilage, les données génétiques, de pseudonymisation), clarifiant ainsi le cadre juridique sur ces points.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale