Comment Malakoff-Médéric a négocié le virage du RGPD

Johanna Carvais-Palut explique comment Malakoff Médéric a mené, dès la fin de 2016, le projet RGPD et en quoi celui-ci est bénéfique.

Partager
Comment Malakoff-Médéric a négocié le virage du RGPD

De quelle manière avez-vous engagé le sujet RGPD ?

Johanna Carvais-Palut - Nous avons raisonné par thématique et déterminé cinq chantiers principaux, les mêmes qu’en phase de cadrage et de réalisation. Le premier concerne la gouvernance, que l’on peut définir comme la manière de gérer les données personnelles en lien avec la direction de la data. On y retrouve tous les aspects des missions du data protection officer (DPO) : la mise en place d’une filière de relais, la sensibilisation et la formation du personnel, ainsi que le lancement d’un serious game (un e-learning un peu plus ludique). La mise à jour des politiques fait aussi partie de ce chantier, comme la réactualisation de la politique externe des données ou la création d’une politique interne (guide de bonne conduite).

Quels sont les quatre autres chantiers ?

Le deuxième concerne le droit des personnes, qui est un chantier orienté B to C, notamment via l’espace client, afin que le prospect puisse gérer au mieux son consentement. On y retrouve la gestion des cookies sur nos sites et applications, et la revue de nos mentions d’information. La relation avec les tiers constitue notre troisième chantier. Nous avons essayé de qualifier tous nos partenaires (fournisseurs, délégataires, coassureurs, réassureurs, courtiers, intermédiaires) afin de déterminer la responsabilité des uns et des autres et de créer un clausier (ndlr : recueil de clauses) en fonction du rôle de chacun. Le quatrième chantier est celui de la responsabilisation des acteurs (accountability). Dans ce cadre, nous avons défini la manière dont le responsable de traitement devait être en capacité de prouver sa conformité à tout moment. Pour y parvenir, nous avons travaillé sur de nouveaux process afin d’intégrer la notion de protection des données dès la conception pour le by design, mais également via l’acquisition d’outils pour la tenue de registre, par exemple. Enfin, le dernier chantier concerne la notification des violations de données à l’autorité de contrôle (Cnil) et aux personnes concernées, le cas échéant.

Quelles difficultés avez-vous rencontrées ?

Les plus grosses difficultés sont liées à la technique et au délai. La modification du système informatique, la mise à jour des contrats et les négociations qui en résultent peuvent jouer sur les délais. Forcément, quand on parle du projet RGPD, on essaye d’inclure les non-conformités existantes s’il y en a, en passant par des phases d’audit pour identifier ce que l’on peut intégrer ou non. Les process sont formalisés et la mise en place du réseau est aussi une occasion de rappeler les bonnes pratiques. Le RGPD ne modifie pas les procédures existantes de la loi de 1978 (finalité déterminée, pertinence des données, durée de conservation, mesures de sécurité adéquates, information des personnes, transparence et recueil du consentement dans certains cas). Ce qui change, c’est la manière dont on voit les choses, et le fait qu’il faut inclure ces principes, au départ, dès la conception du produit : privacy by design ou by default.

Qu’en est-il du consentement des données de santé ?

En tant qu’assureur, nous sommes déjà sensibilisés à la question des données de santé, indépendamment du RGPD (secret médical, protection des données). La politique de gestion des données de santé et de données médicales existe déjà, et elle est mise à jour conformément à l’évolution de la réglementation. À titre d’exemple, au sein de Malakoff Médéric, nous avons un système de gestion des habilitations par un médecin-conseil, des formations au secret médical, et nous avons également mis en place des moyens sécurisés de transfert de données.

Quels sont les effets indirects de cette nouvelle réglementation ?

Une opportunité de donner plus de confiance à nos clients. Lorsque je forme en interne, je présente cette réglementation comme une opportunité plutôt qu’une contrainte. L’objectif est de garantir à nos assurés la protection de leurs données. Encadrer leur utilisation participe à la création d’un climat de confiance. Le deuxième effet est l’émergence de fonctions, puisque le RGPD aborde des notions qui n’existaient pas dans la loi (telles que le profilage, les données génétiques, de pseudonymisation), clarifiant ainsi le cadre juridique sur ces points.

PARCOURIR LE DOSSIER

Tout le dossier

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS