Depuis le 25 mai 2018, c’est le règlement général sur la protection des données (RGPD) qui régit la vigilance de la Cnil vis-à-vis de la gestion des données personnelles. Si pour les organismes il n’est plus nécessaire de procéder à la déclaration des données privatives, il leur faut remplir un ou plusieurs registres internes dont le régulateur rend public un modèle simplifié.
journaliste
Registre des traitements, registre des activités de sous-traitance et registre de violation des données à caractère personnel. à l’instar des autres organismes qui traitent des données personnelles de manière régulière dans le cadre de leurs activités, les assureurs et leurs partenaires (distributeurs, etc.) sont soumis à cette obligation de mise en place des registres prévus par les articles 30, 33 et 34 du RGPD. Il s’agit du cœur du réacteur du règlement qui permet notamment d’identifier les parties prenantes intervenant dans le traitement des données, leur catégorie, leur utilisation, leur communication, qui y accède, leur durée de conservation et leur sécurisation.
Quatorze mois après l’entrée en vigueur du RGPD, la Cnil, autorité régulatrice des données personnelles, poursuit sa mission d’accompagnement des professionnels dans leur mise en conformité. à cette fin, elle a publié un nouveau modèle de registre simplifié qui s’adapte à de nombreux cas d’usage des données. Il est disponible au format .ods, un format dit Open Document Spreadsheet à la fois ouvert et compatible avec nombre de tableurs du marché. La volonté de faciliter sa prise en main a amené la Cnil à le doter d’une fiche tutorielle permettant d’accompagner les professionnels dans la conception et la tenue de leur registre.
Limiter les risques
Le registre s’inscrit certes dans le respect de la loi sur les données personnelles mais il va plus loin : il s’agit d’un outil précieux pour le recensement, la compréhension et la maîtrise des données personnelles des salariés d’une entreprise, des clients ou des fournisseurs. Une analyse de l’impact des données personnelles sur le système d’information offre en outre la possibilité de limiter les risques liés au RGPD. Il permet de construire facilement un plan d’actions inhérent à toute mise en conformité aux règles de protection des données. Et d’éviter des mises en demeure, voire des amendes pour non-respect de la loi. Car après une phase d’accompagnement et de conseil, la Cnil a décidé de frapper fort les contrevenants. Dans l’assurance, la formation restreinte de la Cnil a prononcé cet été une sanction de 180 000 € à l’encontre d’un courtier pour avoir insuffisamment protégé les données des utilisateurs de son site web. Concrètement, en juin 2018, le régulateur a enregistré la plainte d’un client d’une société de courtage constatant qu’à partir de son compte, il avait pu accéder aux données personnelles d’autres clients. Suite à un contrôle en ligne, le régulateur a pu constater que les comptes des clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. En d’autres termes, les documents et données des clients étaient accessibles en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur. Des documents qui comportaient des copies de permis de conduire, de cartes grises, des relevés d’identité bancaire et d’autres permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite.
