Pour mener à bien ses missions de protection de la personne et des biens, l’assureur doit pouvoir cerner les besoins et le profil de son client. Pour cela, il lui est indispensable de recueillir des données personnelles (nom, âge, situation, coordonnées bancaires…). Cette action doit se faire dans le respect du Règlement Général sur la Protection des Données (RGPD).
En tant qu’assureur, comment traiter les données personnelles d’un nouveau client en restant dans les limites imposées par le RGPD ? Éléments de réponse.
Demander le consentement de son assuré
Les données personnelles prennent de nombreuses formes : nom, coordonnées postales et bancaires, e-mail, numéro de téléphone et d’assuré social, adresse IP… Elles en révèlent beaucoup sur leurs propriétaires et la plupart d’entre elles revêtent un caractère sensible.
Sous l’égide de la Commission Nationale de l’Informatique et des Libertés (CNIL), le RGPD vise à protéger un individu contre l’utilisation abusive de ses informations personnelles.
Lorsqu’un prospect choisit de souscrire un contrat chez un nouvel assureur, il est amené à communiquer tout ou partie de ses informations personnelles.
L’assureur a l’obligation d’informer son nouveau client que certaines de ses données personnelles peuvent être collectées, enregistrées et exploitées. Il doit préciser si elles seront recueillies à des fins de gestion ou à des fins commerciales. La durée de conservation des données collectées peut aussi être indiquée.
Cette information ne se suffit pas à elle-même. Elle doit s’accompagner, pour le nouvel assuré, de la possibilité d’accepter ou de refuser ces conditions, et cela, que le contrat s’établisse dans une agence ou par le biais d’une souscription digitalisée.
Le recueil du consentement du client pour l’enregistrement et l’utilisation de ses données personnelles revêt donc un caractère obligatoire, hormis pour ce qui concerne la bonne exécution du contrat, qui est de fait considéré comme une base légale.
Pour l’assureur, c’est donc tout particulièrement le traitement à des fins de prospection, pour la souscription d’options ou de produits complémentaires, qui est visé par la mesure du règlement général. Pour la gestion de son contrat, le nouveau client peut toutefois exclure certains modes de contact, comme le mail ou le SMS, par exemple.
Le choix n’est pas définitif : un assuré peut revenir sur sa décision à tout moment, tant pour autoriser que pour s’opposer au traitement de ses données à caractère personnel. Dans ce dernier cas, elles lui sont alors restituées et, sous réserve des autres dispositifs annexes, effacées.
La décision doit être respectée sous peine de lourdes sanctions. Légalement, mais aussi par précaution, il est indispensable de conserver le consentement donné par un client pour le traitement de ses données personnelles.
Protéger les données de ses clients
Le cœur de métier de l’assureur est de protéger financièrement et parfois juridiquement ses clients, leurs proches et leur patrimoine. Avec le RGPD, cette mission s’étend aussi à leurs données personnelles.
En cas de vol ou de tentative de vol de données sensibles, dans le cadre d’un piratage informatique par exemple, l’assureur doit sans délai en informer les clients concernés et la CNIL. Il doit être en mesure de détailler la nature des informations dérobées pour que des mesures de neutralisation des risques encourus (usurpation d’identité, utilisations à finalités frauduleuses…) puissent être prises.
Afin de minimiser les risques liés aux fuites de données personnelles, de plus en plus d’assureurs mettent en place des outils digitaux pour sécuriser les échanges avec leurs clients.
Espace personnel sécurisé au moyen d’une identité numérique, signature électronique qualifiée, authentification à double facteur, les solutions se multiplient, avec en toile de fond le recours au coffre-fort numérique pour archiver les documents personnels et contractuels, et stocker, sous haute sécurité, les données à caractère sensible qu’ils contiennent.
Le coffre-fort digital est l’une des solutions de stockage en ligne les plus sûres qui soient, grâce au chiffrement des données. Elles ne sont alors rendues lisibles que sous réserve d’un droit d’accès.
Tracer le traitement des données dans un fichier dédié
Le RGPD autorise l’assureur à archiver les données personnelles d’un client pendant toute la durée de vie d’un contrat et jusqu’à dix ans après sa résiliation. Pour un prospect, le délai de stockage est ramené à trois ans avant l’effacement de toutes les informations communiquées.
Ce sont des délais longs durant lesquels les données personnelles enregistrées peuvent être soumises à des modifications et à de multiples traitements.
Le RGPD impose que chaque opération dont elles font l’objet soit enregistrée dans un fichier dédié : le registre des traitements automatisés.
En raison des délais de conservation des données personnelles précédemment évoqués, ce fichier est souvent très fourni. Il est important de le sauvegarder précieusement, sans quoi rechercher l’historique des mouvements peut s’avérer chronophage et fastidieux. Parce qu’il peut aussi être demandé à tout moment pour consultation, par la CNIL ou l’assuré lui-même, l’assureur doit pouvoir répondre à une telle demande dans les plus brefs délais.
Les prestations délivrées par un assureur à son client sont définies pour l’essentiel sur les données personnelles transmises. Ce sont elles en effet qui servent de base de travail pour proposer un contrat adapté aux besoins du client.
Dans le cadre du RGPD, seules les informations essentielles au contrat doivent être conservées, dans les meilleures conditions de sécurité et de confidentialité. Le tout, avec le consentement de son client. Cette mesure est capitale et se répercute sur la relation client, notamment par rapport aux moyens de communiquer avec son assuré ou encore pour lui proposer de nouvelles prestations.
Vous travaillez dans le secteur des assurances et vous souhaitez échanger des documents avec vos clients en toute sécurité ?
