RGPD : les assureurs sont en retard en matière d’analyses d’impact.

Mis en vigueur en mai 2018, le Règlement européen sur la protection des données (RGPD) fait l’objet d’un bilan auprès de 52 entreprises des secteurs Assurance, Courtage, Mutuelles, Institutions de Prévoyance et Banque. Tous sont à la traine quant à l’analyse d’impact. En effet, d’après un sondage réalisé par Optimind, 1 organisme sur 2 déclare des analyses d’impact relatives à la protection des données (AIPD) en cours de réalisation pour des traitements prioritaires et seuls 21 % des répondants ont achevé leurs AIPD.

Les traitements prioritaires sont ceux mis en œuvre avant le 25 mai 2018, qui font ou vont faire l'objet de modifications significatives (nouvelles finalités, catégories de données traitées, de durées de conservation ou de destinataires, etc.) ; les traitements mis en œuvre avant le 25 mai 2018, qui n'ont jamais fait l'objet de formalités préalables auprès de la CNIL ; les nouveaux traitements, mis en œuvre ou à mettre en œuvre après le 25 mai 2018.

Selon l'étude, les AIPD qui sont en cours de réalisation sont majoritairement obligatoires, susceptibles d'engendrer "un risque élevé pour les droits et libertés des personnes physiques", au sens de l'article 35.1 du RGPD.

Parmi la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise, le premier critère retenu par 40 % des organismes est le "traitement établissant des profils de personnes physiques à des fins de gestion des ressources humaines", suivi à 37 % par "les traitements ayant pour finalité de surveiller de manière constante l'activité des employés concernés". En revanche, seuls 20 % des organismes ont retenu le critère sur "l'usage innovant (utilisation d'une nouvelle technologie)", pour justifier de l'AIPD.