Vous confiez des informations à votre mutuelle. Elles sont sauvegardées et surtout protégées. Rencontre avec le « Data Protection Officer » de Solimut Mutuelle de France, à l’occasion de la mise en place du Règlement général sur la protection des données (RGPD).
Publié le 12 juin 2018
Le RGPD, voté en 2016, est appliqué dans toute l’Union européenne depuis le 25 mai dernier. En quoi consiste-t-il ?
L’adoption du RGPD est la conséquence logique de l’évolution permanente des technologies et de nos pratiques. La donnée, encore peu exploitée à grande échelle avant l’utilisation massive d’Internet, et présentant alors un intérêt limité, est devenue une réelle richesse pour les entreprises.
Lorsque que vous vous rendez sur des sites en ligne, sur les réseaux sociaux, que vous utilisez des objets connectés, sans vous en rendre compte, vous fournissez à de nombreuses entreprises des données sur votre vie privée qui sont par la suite décortiquées, croisées, partagées, vendues et parfois même volées.
Etiez-vous au courant ? Etiez-vous d’accord pour que vos données finissent à l’autre bout du monde dans une entreprise avec qui vous n’avez jamais échangé ? Bien souvent non.
C’est principalement pour cela que le RGPD existe, pour vous donner des droits et encadrer les pratiques des entreprises : vous devez être informé de l’utilisation qui sera faite de vos données, vous devez pouvoir vous opposer à leur utilisation, vous devez être prévenu en cas de vol ou de perte de vos informations. Et cette liste n’est pas exhaustive…
En France, nous avons déjà été bien préparés à cette philosophie, grâce à la loi Informatique et libertés de 1978, qui s’applique aujourd’hui encore, complétée bien entendu par le RGPD. La France a joué un rôle de précurseur et le RGPD s’est grandement inspiré de notre réglementation sur le sujet.
Tous les pays de l’Union européenne n’ayant pas notre niveau d’exigence, et il était nécessaire d’harmoniser les règles sur la protection des données. Cela est censé être désormais le cas depuis le 25 mai.
Qu’est-ce qui va changer avec le RGPD ?
Je ne vais pas lister ici l’ensemble des changements, mais juste mettre en avant ceux qui me paraissent le mieux représenter la philosophie du RGPD.
Tout d’abord, ce règlement nous conduit à fonctionner de manière plus autonome. Par exemple, pour les mesures d’impact sur la vie privée faites dans le cadre de la mise en place d’un nouveau traitement, auparavant c’était la CNIL qui conduisait la réflexion, aujourd’hui c’est à nous de le faire. De manière plus générale, la Commission met toujours à disposition, des outils, des guides et une hotline pour répondre à nos questions, mais souhaite maintenant passer le flambeau et responsabiliser les organismes au lieu de constamment les accompagner, ce qui semble tout à fait normal.
Ensuite, certains types de structures doivent disposer d’un « délégué à la protection des données », chargé de conseiller, de sensibiliser la direction et les salariés, et de s’assurer que les règles de protection des données sont bien appliquées. Il se positionne en point d’entrée direct pour répondre aux demandes des personnes dont les données ont été collectées. Le fait de mettre à disposition du public les coordonnées du délégué permet à chacun d’exercer ses droits de manière plus simple, de laisser une place plus importante au dialogue et, plus globalement, de désacraliser le sujet de la protection des données, encore peu connu avant le RGPD.
Au-delà de ces deux points fondamentaux, il y a bien sûr le montant impressionnant de l’amende qui peut être infligée : il peut aller jusqu’à 20 millions d’euros. Mais, en toute honnêteté, ce n’est pas cette contrainte qui nous a conduits à renforcer notre vigilance, mais bien le souhait que les adhérents puissent continuer à nous faire confiance. Protéger l’adhérent, c’est également protéger ses données personnelles.
Les travaux engagés par le passé dans le cadre du respect de la loi Informatique et libertés continueront d’être menés, notamment concernant l’information faite aux personnes et la sécurisation des données.
Solimut Mutuelle de France n’a en effet pas attendu cette réglementation pour sécuriser les données de ses adhérents…
Au sein de la mutuelle existait déjà, avant l’entrée en vigueur du RGPD, un correspondant Informatique et libertés dont le rôle était finalement assez proche de celui du délégué à la protection des données. Ce n’était alors pas une obligation légale, mais un souhait de la mutuelle pour faire vivre le dispositif déjà en place. La désignation d’un délégué à la protection des données n’est donc pas une nouveauté pour la mutuelle : cela reste dans la continuité de ce qui avait été fait jusqu’alors. Il reste encore des choses à faire pour intégrer pleinement la culture RGPD dans nos processus et chez l’ensemble des salariés, mais le terrain a été bien défriché les années passées.
Il faudra donc continuer à s’améliorer en restant toujours à l’écoute des besoins des adhérents.