Vous êtes sur la page 1sur 6

Pack de conformité - Assurance 8

FICHE N°1 
LA PASSATION, LA GESTION
ET L’EXECUTION DES CONTRATS
D’ASSURANCE (NS 16)
LES TRAITEMENTS DE DONNÉES PERSONNELLES
AU REGARD DE LA LOI INFORMATIQUE ET LIBERTÉS
La mise en place d’un traitement de don- reurs et les réassureurs, du commission-
nées personnelles doit respecter la loi I&L. En nement, de la surveillance des risques,
effet, toute personne qui souhaite traiter des et des autres opérations techniques né-
données personnelles est soumise à un certain cessaires.
nombre d’obligations légales. Aucune décision refusant un contrat à une
personne ne pourra avoir pour seul fondement
Finalités poursuivies par le traitement un traitement automatisé de données à ca-
Finalité 1 : passation et la gestion des ractère personnel, les personnes concernées
contrats1 : devront être mises en mesure de présenter
•L a passation des contrats : Il s’agit leurs observations.
de « l’étude des besoins spécifiques de Finalité 2 : l’exécution des contrats3 :
chaque demandeur afin de proposer des Il s’agit des opérations techniques nécessaires
contrats adaptés » notamment dans le à la mise en œuvre des garanties et des pres-
cadre du respect de l’obligation de conseil tations. Dans ce cadre, les données collectées
(art. L.520.1 et L.132-27-1 du Code des sont relatives à la gestion des prestations, à la
assurances). Cette obligation nécessite de gestion des sinistres. Dans certains cas, il est
préciser les exigences et besoins du sous- possible que l’apériteur4 procède à la collecte
cripteur éventuel, et les raisons justifiant de ces informations auprès des coassureurs et
le conseil donné pour un produit d’assu- des réassureurs au moment de la souscription
rance déterminé. du contrat d’assurance ou lors de l’exécution
Cela concerne aussi « l’examen, l’accep- des dispositions contractuelles.
tation, le contrôle et la surveillance du Finalité 3 : l’élaboration des statistiques
risque ». On parle couramment de « l’ap- et études actuarielles.
préciation des risques ». Elle comprend Finalité 4 : l’exercice des recours et la
l’examen et l’évaluation des caractéris- gestion des réclamations et des contentieux.
tiques du risque pour en déterminer en Finalité 5 : l’exécution des dispositions
particulier la fréquence, son coût moyen, légales, réglementaires et administratives en
le coût du sinistre maximum possible, vigueur à l’exception de celles qui relèvent
afin d’établir une tarification et de vérifier d’une formalité particulière prévue par la
l’assurabilité du risque2. loi I&L : Il peut s’agir de traitements relatifs
• La gestion des contrats : La gestion des
 à l’exécution des règles fiscales, sociales, ou
contrats couvre la phase pré contractuelle encore à la collecte de contributions pour dif-
jusqu’à la résiliation du contrat. Il s’agit férents fonds (ex : fonds de garantie des assu-
notamment de la tarification, de l’émis- rances obligatoires, fonds de prévention des
sion des documents pré contractuels, risques naturels majeurs).
contractuels et comptables, de l’encais- Les dispositions qui relèvent d’un régime
sement des primes ou cotisations, de leur particulier sont par exemple, celles dont les
répartition éventuelle entre les coassu- données sont soumises à un régime d’auto-

(1) Le terme contrat fait référence aux contrats d’assurance, de capitalisation, de réassurance, et d’assistance.
(2) L’assureur a l’obligation de respecter des règles prudentielles qui le conduisent à définir une politique d’acceptation des risques et refuser les
risques qu’il ne peut assurer selon cette politique (article R.336-1-2° du code des assurances et article 41 de la directive 2009/138).
(3) Le terme contrat fait référence aux contrats d’assurance, de capitalisation, de réassurance, et d’assistance.
(4) En matière d’assurance couverte par plusieurs assureurs, celui d’entre eux qui, d’une manière générale, représente le groupe d’assureurs.

Édition novembre 2014 cnil.fr


Pack de conformité - Assurance 9
FICHE N°1
LA PASSATION, LA GESTION ET L’EXECUTION
DES CONTRATS D’ASSURANCE (NS 16)

risation (ex : NIR, données d’infraction…) ou téressées au contrat permet à l’assureur


encore, celles relevant de la réglementation de savoir : s’il peut proposer un contrat
spécifique à un secteur (ex : lutte anti-blan- d’assurance à une personne ne résidant
chiment…). pas dans l’Union Européenne, ou la légis-
lation applicable au contrat d’assurance
Catégories de données si cette personne réside dans l’UE5. La
Une fois les personnes informées de la mise nationalité est l’une des informations qui
en œuvre du traitement, les données qui les permet de déterminer quelles sont les
concernent doivent être pertinentes et propor- éventuelles obligations (ex : fiscales à
tionnées au regard de la finalité. l’égard de l’État dont le souscripteur est
Les données relatives à l’identification : un ressortissant).
Il s’agit « des données relatives à l’identifica-
tion des personnes parties, intéressées ou in-
tervenantes au contrat : état civil ainsi que les ATTENTION
pièces justifiant l’identité, les coordonnées et Conclure un contrat d’assurance avec une
la nationalité ». personne étrangère a pour conséquence le res-
•L es personnes parties et intéressées pect de la législation de son pays notamment
au contrat sont notamment les assurés, en matière fiscale (réglementation FATCA ou
les bénéficiaires, les ayants droits, les convention fiscale applicable).
tiers, les témoins, les souscripteurs, les
héritiers, les tuteurs, les curateurs, les
payeurs de prime, les conducteurs, les Les données relatives à la situation fami-
cautions… liale, économique, patrimoniale et financière :
•L es personnes intervenantes au contrat Il s’agit « des données relatives à la situation
sont notamment les intermédiaires en familiale, économique, patrimoniale et finan-
assurance, les gestionnaires, les presta- cière » des personnes parties ou intéressées
taires (ex : les réparateurs automobiles, au contrat et nécessaires à son application.
les agents de recherche privé, les experts, •L es données relatives à la situation
les avocats, les médecins, les enquêteurs, économique et financière sont les élé-
les professionnels de santé, les réseaux ments relatifs aux : revenus du travail et
de soins, les officiers ministériels : no- autres revenus, aux valeurs mobilières,
taires, huissiers…). au patrimoine immobilier, aux encours et
Les documents d’identification pouvant être à l’endettement, aux titres détenus, aux
collectés sont relatifs à : relevés de comptes titres, aux données
•L ’état civil : il s’agit notamment des d’imposition, aux crédits, aux revenus
noms, prénoms, sexe, civilité, données imposables, au numéro de chèque, au
relatives aux pièces d’identité (permis de numéro de carte bancaire, à la date de fin
conduire, carte identité, livret de famille, de validité de la carte bancaire, aux frais
carte de séjour, passeport…), date de généraux, au capital souscrit/remboursé,
décès, nom jeune fille, date et lieu de aux références bancaires (RIB, IBAN,
naissance… BIC, relevé postal) à la situation de suren-
•A ux coordonnées : il s’agit notamment des dettement ou d’ouvrant droit à avantages
adresses, numéros de téléphone (fixe et assurantiels - bénéficiaires CMU, RSA…
mobile), numéro de télécopie et adresses •L  a situation patrimoniale : concerne
électroniques, code interne de traitement les biens du patrimoine (notamment les
permettant l’identification du client… biens immobiliers).
• À la nationalité : connaître la nationa-
 • La situation familiale : concerne la situa-
lité exacte des personnes parties ou in- tion matrimoniale (mariage, pacs, concu-

(5) Règlement n°593/2008 du 17 juin 2008 relatif à la loi applicable aux obligations contractuelles -Rome I

Édition novembre 2014 cnil.fr


Pack de conformité - Assurance 10
FICHE N°1
LA PASSATION, LA GESTION ET L’EXECUTION
DES CONTRATS D’ASSURANCE (NS 16)

binage…), la composition du foyer, le garanties souscrites, la description des at-


nombre de personnes composant le foyer, teintes aux biens, les rapports d’expertise,
le nombre et l’âge du ou des enfant(s)... les rapports d’enquête…
Les données relatives à la situation pro- • liées à la victime : le taux invalidité/in-
fessionnelle : Il s’agit « des données relatives capacité, les rentes, le capital décès, les
à la situation professionnelle » des personnes montants des prestations, la fiscalité, les
parties ou intéressées au contrat (souscrip- modalités de règlement, la réversion, les
teurs, assurés, adhérents...) et nécessaires à indemnités chômage, les montants rem-
son application. boursés par la sécurité sociale pour les
Sont concernés : la catégorie socioprofes- complémentaires frais de soins (maladie,
sionnelle, le domaine d’activité, la profes- maternité…)…
sion et selon les catégories de contrat : l’em- Les informations relatives à la détermi-
ployeur, les catégories de personnels assurés, nation ou à l’évaluation des préjudices.
la branche, la convention collective, le n° SI- Les données relatives à la localisation
RET / SIREN, la raison sociale, les revenus ou des personnes ou des biens : Ces données
le chiffre d’affaires, la date prévisionnelle de sont des informations essentielles dans le
départ à la retraite, le régime fiscal, les com- cadre des garanties d’assistance et d’assu-
pétences et qualifications professionnelles, les rance (recherches des véhicules perdus ou
justificatifs de demandeur d’emploi… volés, éco-conduite, assistance aux personnes
Les données nécessaires à l’apprécia- malades ou en difficultés…).
tion du risque : la situation géographique, les Les données relatives à la vie person-
caractéristiques du logement ou du local, les nelle et aux habitudes de vie : Il s’agit « des
conditions d’occupation, les renseignements données relatives à la situation personnelle
sur les biens assurables, le type et les carac- et aux habitudes de vie en relation avec les
téristiques du ou des biens assurés, les infor- risques assurés » et nécessaires à l’application
mations relatives à la sinistralité et les anté- du contrat.
cédents, le permis de conduire et sa validité, •L  es données relatives à la situation per-
et le cas échéant si le bien est utilisé sur le sonnelle sont la situation de famille, le
lieu de travail et lors de déplacements profes- régime juridique particulier applicable à la
sionnels, éléments entraînant une déchéance situation de famille, le nombre d’enfants,
de garantie... les descendants, les ascendants et per-
Les données nécessaires à la passation, sonnes à charge, les études et la forma-
l’application du contrat et à la gestion des si- tion, la capacité et le régime de protection
nistres et des prestations : Il s’agit des données : (minorité, tutelle, curatelle) et invalidité…
• liées au contrat : le numéro d’identifi- • Les données relatives aux habitudes de
cation du client, de l’assuré, du contrat, vie sont les loisirs, activités sportives et
du dossier sinistre, le mode de paiement, de plein air, la pratique de la chasse, de
les primes, les cotisations et accessoires, la plaisance, les trajets, les kilométrages
les commissions, les taxes, les créances parcourus...
en cours, les références de l’apporteur, Les données relatives à la santé : Au
des coassureurs et des réassureurs, la moment de la conclusion d’un contrat il faut
durée, les garanties, les montants, les obtenir l’accord de l’intéressé pour le recueil
exclusions, l’autorisation de prélève- de ses données de santé. C’est aussi le cas au
ment, les données relatives aux moyens moment de la gestion du sinistre sauf impos-
de paiement ou relatives aux transactions sibilité (ex : personne en incapacité physique
telles que le numéro de la transaction, le ou intellectuelle de consentir du fait de ses
détail de l’opération relative au produit préjudices corporels).
ou service souscrit, les impayés, le re- Cette obligation n’existe pas non plus en
couvrement… matière de gestion des sinistres automobile,
• liées au sinistre : la nature du sinistre, puisque l’assureur a une obligation légale de
les indemnités, la valeur assurée et les recueillir des données médicales6 (descriptions

Édition novembre 2014 cnil.fr


Pack de conformité - Assurance 11
FICHE N°1
LA PASSATION, LA GESTION ET L’EXECUTION
DES CONTRATS D’ASSURANCE (NS 16)

des atteintes, copies des certificats médicaux • Les données du cryptogramme visuel ne
et autres pièces justificatives, numéro de sécu- doivent pas être stockées.
rité sociale) pour proposer une indemnisation • Lorsque la date d’expiration de la carte
aux victimes. bancaire est atteinte, les données rela-
Dans certains cas et lorsque la sauvegarde tives à celles-ci doivent être supprimées.
de la vie de la personne et l’urgence des situa- Des données de santé :
tions prévalent, il n’est pas toujours possible •S
 i le contrat n’a pas été conclu : le res-
de recueillir le consentement de la victime au ponsable de traitement peut conserver
moment de sa prise en charge. les données de santé pendant une durée
maximale de 5 ans11 (2 années en ar-
Durées de conservation chivage courant et 3 ans en archivage
Des données lors de la conclusion d’un intermédiaire). Cette durée se justifie par
contrat : Les durées de conservation doivent le fait que le responsable de traitement
permettre de respecter les délais de prescrip- doit pouvoir répondre aux demandes for-
tions qui résultent, notamment, du code des as- mulées par un assuré pour des décisions
surances7 et du code civil8. En outre, l’assureur de révision de son contrat ou à des de-
a une obligation9 de conserver les données du mandes de médiation.
relevé d’information détaillant les antécédents
d’une personne en tant qu’assurée auto ou Destinataires
moto au cours des 5 dernières années. Les destinataires ayant accès aux données
Des données en l’absence de conclu- à caractère personnel sont les personnes ha-
sion d’un contrat : Les données peuvent bilitées et agissant dans le cadre de leurs at-
être conservées pendant un délai de 3 ans à tributions.
compter de leur collecte par le responsable de Dans le cadre des missions habituelles :
traitement ou du dernier contact émanant du • les personnels chargés de la passation, la
prospect (demande de renseignements ou de gestion et l’exécution des contrats,
documentation, par exemple). • les délégataires de gestion, les intermé-
Des données relatives à la carte ban- diaires d’assurance, les partenaires,
caire : • les prestataires,
•C  es données doivent être supprimées • les sous traitants, ou les entités du groupe
lorsque la transaction est réalisée soit au d’assurance auquel appartient le respon-
moment de son paiement effectif. Dans sable de traitement dans le cadre de
le cas d’un paiement par carte bancaire, l’exercice de leurs missions,
elles peuvent être conservées pour une • s ’il y a lieu les organismes d’assurance
finalité de preuve pendant 13 mois sui- des personnes impliquées ou offrant des
vant la date de débit10 en cas d’éventuelle prestations complémentaires,
contestation de la transaction. Ce délai • s’il y a lieu les coassureurs et réassureurs

peut être étendu à 15 mois pour tenir ainsi que les organismes professionnels et
compte des cartes de paiement à débit les fonds de garanties,
différé. • les personnes intervenant au contrat tels
•E  nfin, il est possible de conserver plus que les avocats, experts, auxiliaires de jus-
longtemps les données de la CB avec tice et officiers ministériels, curateurs, tu-
le consentement exprès du client (ex : teurs, enquêteurs et professionnels de santé,
case à cocher. En revanche cet accord médecins-conseils et le personnel habilité,
ne peut pas résulter de l’acceptation de •L  es organismes sociaux lorsque les ré-
conditions générales). gimes sociaux interviennent dans le règle-

(6) Article R.211-37 du code des assurances.


(7) Articles L 114-1 et L 114-2 du code des assurances.
(8) Les articles 2224 à 2227.
(9) Article A.121-1 et 12 du code des assurances.
(10) Article L. 133-24 du code monétaire et financier.
(11) C’est aussi le délai de prescription des actions civiles (article 2224 du code civil).

Édition novembre 2014 cnil.fr


Pack de conformité - Assurance 12
FICHE N°1
LA PASSATION, LA GESTION ET L’EXECUTION
DES CONTRATS D’ASSURANCE (NS 16)

ment des sinistres ou lorsque les orga- •C


 ette information peut, par exemple,
nismes d’assurances offrent des garanties figurer dans les courriers électroniques,
complémentaires à celles des régimes sur la page d’accueil du site ou dans les
sociaux. conditions générales d’utilisation.
En qualité de personnes intéressées au •L e droit d’opposition à l’analyse de sa na-
contrat : vigation : l’outil permettant de désactiver
•L es souscripteurs, les assurés, les adhé- la traçabilité mise en œuvre par l’outil
rents et les bénéficiaires des contrats et s’il d’analyse de fréquentation doit remplir les
y a lieu, leurs ayants droit et représentants, conditions suivantes :
•S ’il y a lieu les bénéficiaires d’une cession  - Un accès et une installation aisés pour
ou d’une subrogation des droits relatifs tous les internautes sur l’ensemble des
au contrat, terminaux, des systèmes d’exploitation
•S ’il y a lieu le responsable, les victimes et et des navigateurs internet ;
leurs mandataires ; les témoins, les tiers - Aucune information relative aux inter-
intéressés à l’exécution du contrat. nautes ayant décidé d’exercer leur droit
En qualité de personnes habilitées au d’opposition ne doit être transmise à
titre des tiers autorisés : l’éditeur de l’outil d’analyse de fréquen-
•S ’il y a lieu les juridictions concernées, tation.
les arbitres, les médiateurs, •T out abonné ou utilisateur d’un service de
•L es ministères concernés, autorités de communications électroniques doit être
tutelle et de contrôle et tous organismes informé de manière claire et complète,
publics habilités à les recevoir, sauf s’il l’a déjà été au préalable, de la fi-
• Les services chargés du contrôle tels que
 nalité de toute action tendant à accéder à
les commissaires aux comptes et les au- des informations déjà stockées dans son
diteurs ainsi que les services chargés du équipement terminal de communications
contrôle interne. électroniques ou à inscrire des informa-
tions dans cet équipement et des moyens
Information et droits des personnes dont il dispose pour s’y opposer.
La personne doit être informée, préala- - Ces accès ou inscriptions ne peuvent
blement à la mise en œuvre du traitement : avoir lieu qu’à condition que l’abonné ou
de l’identité du responsable de traitement, de la personne utilisatrice ait exprimé, après
la finalité du traitement, des destinataires des avoir reçu cette information, son accord.
données, du transfert éventuel de ses données - Ces dispositions ne sont pas applicables
hors UE ainsi que des droits dont elle dispose si l’accès ou l’inscription aux informa-
au titre de la loi I&L. tions stockées a pour finalité exclusive de
À ce titre, elle dispose d’un droit d’accès, permettre ou faciliter la communication
de rectification et d’opposition. par voie électronique ou est strictement
L’information des personnes sur le site nécessaire à la fourniture d’un service de
internet : Les données de connexion (date, communication en ligne à la demande
heure, adresse Internet, protocole de l’ordina- expresse de l’utilisateur.
teur du visiteur, page consultée) pourront être
exploitées à des fins de mesure d’audience Mesures de sécurité
et d’assistance technique. Dans ce cas, le Les mesures de sécurité « classiques » :
consentement préalable des personnes n’est •L  e responsable du traitement prend
pas nécessaire, à condition qu’ils disposent toutes précautions utiles pour préserver
d’une information claire et complète délivrée la sécurité et la confidentialité des don-
par l’éditeur du site internet, d’un droit d’op- nées traitées.
position, d’un droit d’accès aux données col- • Il définit une politique de sécurité adaptée
lectées et qu’elles ne soient pas recoupées aux risques présentés par les traitements
avec d’autres traitements tels que les fichiers et à la taille de l’organisme d’assurance.
clients. Cette politique devra décrire les objectifs

Édition novembre 2014 cnil.fr


Pack de conformité - Assurance 13
FICHE N°1
LA PASSATION, LA GESTION ET L’EXECUTION
DES CONTRATS D’ASSURANCE (NS 16)

de sécurité, et les mesures de sécurité •L


 e responsable de traitement a clairement
physique, logique et organisationnelle informé les personnes de l’existence d’un
permettant de les atteindre. transfert de données vers des pays tiers,
•L  es accès aux traitements de données ou s’engage, sur simple demande de
nécessitent une authentification des la personne concernée, à apporter une
personnes accédant aux données, au information complète sur la finalité, les
moyen d’un identifiant et d’un mot de données, les destinataires et les moyens
passe individuels, suffisamment robustes mis en œuvre pour encadrer ce transfert.
et régulièrement renouvelés, ou par tout • Les transferts sont réalisés dans le cadre
autre moyen d’authentification de même de l’exécution des contrats ou de la sau-
fiabilité. vegarde de la vie humaine pour la mise
•L  es conditions d’administration du sys- en œuvre des garanties d’assistance,
tème d’information prévoient l’existence •L  es transferts sont réalisés lors de la
de systèmes automatiques de traçabilité gestion des actions ou contentieux liés à
(journaux, audits…). l’activité de l’entreprise (ex : constatation,
Les mesures de sécurité pour le site in- exercice ou défense de ses droits en jus-
ternet : tice ou pour les besoins de défense des
• Le responsable de traitement prend les personnes concernées).
mesures nécessaires pour se prémunir
contre toute atteinte à la confidentialité
des données traitées. Les données tran-
sitant sur des canaux de communication Les transferts répétitifs, massifs ou struc-
non sécurisés doivent notamment faire turels de données personnelles doivent faire
l’objet de mesures techniques visant à l’objet d’un encadrement juridique spécifique
les rendre incompréhensibles à toute (niveau de protection adéquat, safe Harbor,
personne non autorisée à y avoir accès. CCT, BCR…). Ces transferts d’informations
Les mesures de sécurité pour les don- dans le cadre de la passation, la gestion et
nées de santé : l’exécution des contrats ayant été expressé-
• Le responsable de traitement s’engage ment prévue par la NS16 aucune autorisation
à respecter les dispositions prévues par de la CNIL n’est nécessaire, à condition que
le code de bonne conduite annexé à la ces transferts restent impérativement dans
convention AERAS12 concernant la col- le champ de la NS. À défaut, ils doivent
lecte et l’utilisation de données relatives à faire l’objet de formalités préalables auprès
l’état de santé en vue de la souscription ou de la CNIL dans les conditions prévues par
de l’exécution d’un contrat d’assurance. ladite loi.
Le responsable de traitement s’engage,
Transferts de données hors UE sur simple demande de la personne concer-
Certains transferts de données à carac- née, à apporter une information complète sur
tère personnel peuvent être réalisés vers des la finalité, les données, les destinataires et
pays tiers à l’UE et n’assurant pas un niveau les moyens mis en œuvre pour encadrer ce
de protection adéquat, lorsque : transfert.
• Il existe un niveau suffisant de protection
de la vie privée ainsi que des droits et
libertés des personnes ou que ces trans-
ferts sont juridiquement encadrés (ex :
CCT ou BCR),

(12) Un code de bonne conduite sur l’utilisation des données relatives à l’état de santé a été établi dans le cadre de la convention AERAS
(1er février 2011). Il concerne la collecte et l’utilisation des données relatives à l’état de santé en vue de la souscription ou l’exécution
d’un contrat d’assurance. Ce code précise les conditions de stricte confidentialité dans lesquelles les données relatives à l’état de santé
des assurés doivent être traitées.

Édition novembre 2014 cnil.fr