La qualification des acteurs du secteur de l’assurance au regard du RGPD

16 juillet 2021

Les acteurs du secteur de l’assurance traitant des données personnelles sont soit responsable de traitement, soit sous-traitant, soit responsable de traitement conjoint. Ces qualifications s’accompagnent d’obligations spécifiques.

Le responsable de traitement

Le responsable de traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement.

Si une analyse au cas par cas est toujours nécessaire afin de qualifier un responsable de traitement, certaines situations laissent peu de doutes.

Exemples :

  • un courtier est généralement responsable de traitement pour les traitements qui ont trait aux contrats de courtage ;
  • un assureur est responsable des traitements relatifs à l’exécution d’un contrat d’assurance ou d’assistance.

Le sous-traitant

Le sous-traitant agit pour le compte du responsable de traitement. Il ne peut traiter les données pour son propre compte, et ne doit les traiter que sur instructions documentées du responsable de traitement.

Exemples :

  • dans le secteur de l’assurance, le mandataire d’assurance répond à cette définition lorsqu’il traite les données dans le cadre du mandat donné par l’assureur.
  • c’est également le cas de l’agent général lorsqu’il traite les données en qualité de mandataire de l’assureur. Il sera en revanche responsable de traitement s’il ne se présente pas en qualité de mandataire de l’assureur et traite les données pour son propre compte, à l’image d’un courtier dans le cadre d’un contrat de courtage avec la personne concernée.
  • De la même manière, le rôle de l’expert dans le cadre d’une convention d’expertise, peut varier. Il peut être qualifié de sous-traitant si ses missions sont fortement encadrées. S’il jouit d’une certaine autonomie quant à la détermination de la finalité et des moyens du traitement, il pourra être qualifié de responsable de traitement. 

Attention : Les qualifications juridiques du RGPD se font indépendamment des autres qualifications possibles prévues par d’autres réglementations.

Par exemple, la notion de sous-traitance en droit des assurances est également utilisée par la règlementation Solvabilité 2. Ces notions concurrentes ne doivent pas être confondues.


Le responsable conjoint du traitement

Lorsque deux responsables du traitement, ou plus, déterminent conjointement les finalités et les moyens du traitement, ils sont responsables conjoints du traitement.

La qualification peut être plus délicate à opérer en présence de plusieurs acteurs exerçant une influence sur la détermination du traitement, c’est-à-dire en dehors d’une relation de sous-traitance. Il convient alors notamment de déterminer si les acteurs traitent les données pour des finalités propres et distinctes ou pour une finalité commune.

Le fait de co-concevoir un produit d’assurance peut être un indice d’une situation de responsabilité conjointe.

Exemple : le courtier et l’assurance pourraient alors être considérés comme responsables de traitement conjoints s’ils déterminent conjointement la finalité et les moyens essentiels du traitement.

Enfin, la convention de délégation est une autre relation dans laquelle la responsabilité conjointe peut-être retenue entre un assureur et son délégataire (notamment lorsqu’il s’agit d’un courtier), à condition toutefois que ce dernier dispose d’une autonomie suffisante pour les actes qui lui sont délégués. Dans le cas contraire, le délégataire sera généralement le sous-traitant de l’assureur. En tout état de cause, une appréciation au cas par cas est requise.

Contre-exemples :

  • chaque assureur peut être considéré comme responsable de traitement distinct pour le traitement concernant sa part de couverture du risque dans le cadre d’une convention de coassurance.
  • de la même manière, réassureur et assureur sont généralement responsables de traitement distincts dans le cadre d’un contrat de réassurance.