L’entrée en application du Règlement général pour la protection des données (RGPD) en date du 25 mai 2018 a coïncidé avec une sensibilité maximale sur la protection des données personnelles. Car de fait un socle commun aux États européens en matière de protection devrait bouleverser le rapport des opérateurs d’assurance aux données qu’ils détiennent. Les formalités préalables jusqu’alors nécessaires auprès de la CNIL vont ainsi disparaître pour laisser place à une logique de conformité continue ; désormais, les opérateurs d’assurance doivent démontrer, lors de contrôles inopinés a posteriori, les mesures de sécurité prises. S’il est contraignant, ce changement de paradigme permet de réduire les délais de déploiement de nouveaux services et in fine favorise l’innovation.

Le règlement a pour vocation de renforcer les droits des individus européens sur leurs données. Parmi les principales dispositions nouvelles figurent l’introduction du droit à l’oubli et à la portabilité ainsi qu’un renforcement du consentement. Les opérateurs d’assurance doivent ainsi garantir à leurs assurés l’effectivité des contrôles sur leurs données personnelles.

Le paradigme de responsabilité change également. Celle-ci est dorénavant endossée non seulement par l’opérateur d’assurance mais aussi potentiellement par son dirigeant et partagée avec les sous-traitants dont la responsabilité est engagée au même titre que le responsable de traitement.

Pour assurer le bon respect du règlement, la Commission européenne a mis en place des sanctions dissuasives : une amende administrative pouvant aller jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial de la structure.