CNIL, form. restreinte, 18 juill. 2019, n° SAN-2019-007
Toutes les entreprises collectent et traitent des données personnelles.
Le courtier est donc évidemment concerné par le Règlement Général sur la Protection des Données personnelles (RGPD) entré en vigueur le 25 Mai 2018 et par la nouvelle loi dite informatique et libertés du 20 Juin 2018 qui opposent des sanctions pénales, administratives et civiles aux entreprises qui ne respecteraient pas la protection des données personnelles des personnes.
Le RGPD responsabilise les entreprises
Le RGPD n’interdit pas la collecte et le traitement de ces données mais responsabilise les entreprises qui doivent participer activement à la protection des données personnelles tant dans la collecte que dans le traitement et la sauvegarde de ces données.
Il faut comprendre que la violation des données personnelles ne concerne pas seulement la cyber attaque délinquante. Elle peut en effet être de source :
humaine : un collaborateur jette par inadvertance le dossier d’un client, ou encore une personne non autorisée a accès à des données personnelles tierces ;
informatique : un virus détruit les données contenues dans votre serveur qui peut aussi tomber en panne ;
événementielle : un incendie, un dégât des eaux peuvent détruire des données personnelles etc.
Le RGPD impose des obligations aux entreprises
Les courtiers doivent en premier lieu désigner un responsable du traitement des données.
En responsabilisant les entreprises, le RGPD impose aux courtiers plusieurs types d’obligation
Minimiser les données collectées qui doivent être légitimes au regard de l’objectif de la collecte> il est ainsi interdit de collecter des données qui ne seraient pas strictement utiles au montage du dossier de prêt / d’assurances.
Recueillir le consentement des personnes avant la collecte des données personnelles> il est ainsi nécessaire dans le recueil d’informations de demander l’autorisation de vos prospects et clients pour la collecte et le traitement de ces données.
Evaluer les risques de violation des données(risques pouvant être internes : locaux, informatique, organisation mais aussi externes du fait de la transmission de ses données à des sous-traitants : expert-comptable, services informatiques…) > Un registre de traitement des données spécifiant notamment les données collectées et traitées, leur finalité, les personnes ayant accès à ses données, et les modes de sécurisation des données.
Mettre en place dans son organisation les moyens, ressources et procédures nécessaires pour protéger et respecter les droits des personnes (prospects, clients, mais aussi collaborateurs). Notamment des précautions :
pour les locaux : alarme pour éviter les accès non autorisés, extincteurs et détecteurs de fumée pour les incendies, ordinateurs surélevés, salle ou armoires d’archives fermées à clés…
au niveau informatique : mot de passe individuel sur chaque poste, pare-feu, antivirus, sauvegarde régulière et externe…
vis-à-vis des collaborateurs : clause de confidentialité dans le contrat de travail, sensibilisation / formation aux risques de violation des données personnelles…
A noter : La collecte et le traitement des données dites sensibles impose par ailleurs pour les courtiers la désignation d’un délégué à la protection des données (DPD).
La CNIL peut donc sanctionner les courtiers
La décision de la CNIL du 18 Juillet 2019 nous confirme, si un doute devait encore subsister, que le secteur de l’assurance dans toutes ses composantes n’échappera pas à la vigilance de la CNIL.
En l’espèce, un client et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ont avisé la CNIL qu’ils avaient pu accéder aux données personnelles des autres utilisateurs via le site web de l’intermédiaire. La mission de contrôle qui a confirmé cette faille de sécurité a aussi constaté que la méthode d’authentification des clients, via des mots de passe non conformes aux standards de robustesse, ne garantissait pas la sécurité des données.
C’est dans ce cadre que la CNIL a prononcé à l’encontre du courtier une amende de 180 000 euros ainsi que la publication de la décision sur le fondement de l’article 32 du RGPD selon lequel « (…) le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté y compris : (…) des moyens permettant de garantir la confidentialité (…) ».