Conformité RGPD pour les courtiers d'assurances

Conformité RGPD pour les courtiers d'assurances

La nouvelle règlementation sur la conformité RGPD impose un nombre important de mesures pour les courtiers d’assurances.

Il faut penser aux questions de sécurisation des données des clients et prospects, respecter leur droit à l'opposition, mais aussi conserver des données sensibles avec l'historique des échanges et les documents clés.

Vous trouverez ci-dessous notre synthèse des implications RGPD dans le milieu du courtage et les solutions que nous offrons pour un traitement qualitatif sur le logiciel OGGO DATA.

RGPD Une problématique lourde pour les courtiers d’assurances

La majorité des courtiers d’assurances sont confrontés à un vrai problème de conformité RGPD de leurs bases de données pour les raisons suivantes :

  • Les informations de leurs clients sont souvent dispersées sur plusieurs outils (Excel, logiciel de vente, logiciel de gestion, extranet compagnies, dossiers papier, outlook, messagerie email).

  • Les conditions de stockage sont parfois inadaptées : bureaux non sécurisés, données non protégées.

  • Les courtiers qui travaillent avec des call centers off-shore sont confrontés à un souci de transfert de données hors union européenne.

  • La nature de la collecte des données sensibles peut poser problème : Numéro de sécurité sociale, informations bancaires etc.

  • Le canal email n’est plus autorisé pour la demande d’informations sensibles comme la récupération d’une pièce d’identité

  • L’exigence du consentement de la conservation des données du prospect est important. Il doit-être demandé à titre rétroactif s’il n’a pas été fait précédemment

  • La purge des données personnelle doit-être effectuée au bout de 3 ans maximum sur une base de données.

Autant de nouvelles préoccupations pour les courtiers qui doivent par ailleurs respecter d'autres types de reglementation comme l'ACPR.

Rappel des grands principes RGPD

Droit d’accès aux données

Tout individu a le droit de savoir quelles informations les administrations, les organismes publics ou privés et les sociétés commerciales détiennent sur lui dans leurs fichiers : c’est ce qu’on appelle le droit d’accès. La loi Informatique et Libertés prévoit que ce droit d’accès s’exerce soit directement, soit indirectement. (A lire : : Info CNIL)

Consentement explicite obligatoire

Toutes les données à caractère personnel doivent être obtenues avec l’accord préalable de l’individu, en BtoC comme en B-to-B (A lire : Info CNIL)

Restitution des données et portabilité

Toutes les données d’un individu doivent être facilement téléchargeables et transmissibles. Tout individu pourra demander à récupérer les données qu’il aura déclarées. Les données restituées devront l’être sous un format informatique exploitable (A lire : Info CNIL)

Droit à l’oubli / Droit à l’effacement des données personnelles

Toute personne peut réclamer un droit à l’oubli, ces données devront être intégralement effacées.

La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais. (A lire : Info CNIL)

Droit d’opposition

Sur simple demande d’un contact, l’entreprise devra lui garantir qu’il ne sera plus sollicité. En matière de prospection commerciale, ce droit s’exerce sans avoir à justifier de motifs légitimes. Exercer son droit d’opposition, c’est aussi s’opposer à ce que les données soient communiquées à d’autres sociétés commerciales. (à lire : Info CNIL)

Conservation des données

Les données pourront être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées. (A lire : Info CNIL)

Les démarches RGPD à mettre en œuvre 

Désignation du Délégué à la protection des données :

Toutes les entreprises effectuant du traitement de données à grande échelle devront se doter d’un délègué à la protection des données (DPD) (A lire : CNIL)

Constituer un registre de traitement de données justifiant la collecte de traitement de données :

Objectif poursuivi : Conseil en assurances, par exemple

  • Les catégories de données utilisées : nom, prénom, régime
  • L’identification des personnes habilitées à accéder aux données
  • La durée de conservation des données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

Ce document a pour objectif de justifier la pertinence des données collectées selon la légitimité des objectifs attendus.

A l’occasion de la mise en conformité RGPD, il peut être nécessaire de prévoir la suppression de données jugées inopportunes ou superflues.

Pour chaque fiche de registre créée, vérifiez que :

  • les données que vous traitez sont nécessaires à vos activités (par exemple, il est inutile de demander si vos interlocuteurs sont propriétaire ou locataire si vous n’envisagez pas de leur proposer d’assurance multi-risques habitation.
  • vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter (voir la fiche « Traitements de données à risque : êtes-vous concerné ? ») ; il convient d’être particulièrement attentif aux données bancaires par exemple ainsi qu’aux éventuels transmissions de documents comme les pièces d’identités….
  • seules les personnes habilitées ont accès aux données dont elles ont besoin ;
  • vous ne conservez pas vos données au-delà de ce qui est nécessaire.

Ce droit est à caractère rétroactif. Cela signifie que vous n’êtes pas censé conserver des données de personnes pour qui vous n’avez pas confirmation de consentement.

Conseil : Cette législation vous impose de purger la partie de votre base de données pour laquelle vous n’avez pas de consentement.

Renforcement du devoir d’information

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs, etc.).

A chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

Vérifiez que l’information comporte les éléments suivants :

  • Pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;
  • Ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;
  • Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;
  • Combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;

Respect des droits d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Vous devez donner à vos prospects les moyens d’exercer effectivement leurs droits.

  • Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée.
  • Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

Conseil : Vérifiez auprès de vos fournisseurs de leads que chacun de vos partenaires respecte la législation RGPD en la matière.

Demandez confirmation que chaque lead reçu a préalablement donné son consentement et que vous recevrez une notification en cas de demande d’opposition, suppression, portabilité de ses coordonnées.

Sécurisation des données

Les conditions de stockage des données doivent-être hautement sécurisées contre les risques d'intrusions et/ou de piratage.

Obligation de signalement à la CNIL des violations de données personnelles

Si votre entreprise subit une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données), vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL.

Si ces risques sont élevés pour ces personnes, vous devrez les en informer.

Les solutions offertes au courtiers avec le logiciel OGGO DATA

1/ Centraliser les données "Prospects, Clients, Documents, notes, échanges commerciaux, gestion" dans un outil unique pour simplifier les traitements RGPD

  • OGGO DATA est un outil « Tout en Un » qui centralise les fonctions commerciales et Gestion des courtiers.

  • OGGO DATA centralise la base de données, la GED (documents) les échanges emails, SMS des prospects

  • OGGO DATA importe en temps réel les leads des différents fournisseurs.

  • OGGO DATA relie les données Contacts / Projets / Contrats sur une base unique.

  • OGGO DATA peut-être relié à votre site web avec Formulaires Iframes incluant une coche opt’in de consentement.

Les données prospects et clients sont rassemblées dans un outil unique pour un traitement centralisé RGPD.

2/ Organiser un accès "sur-mesure" aux données 

OGGO DATA offre aux courtiers le confort d’une solutions SAS (Software as a service). Les données sont hébergées en lieu sécurisé et son accessibles partout via des accès sécurisés et personnalisés.

Les données sont hébergées dans le data center OVH Site de Graveline, France dans un cadre hautement sécurisé.

Une solution de sauvegarde a été mise en place avec un archivage des backups sur le datacenter OVH de Francfort, triple réplication.

Le logiciel OGGO DATA intègre d’importantes procédures de sécurité telles que : certificat SSL, accès sécurisé au compte via des mots de passes avec règles renforcées, une protection optionnelle de filtrage IP ainsi qu’une restriction d’accès des données via le paramétrage des rôles utilisateurs.

3/ Respecter pleinement les droits d’accès, de rectification, d’opposition, d’effacement ou de portabilité des données clients.

Droit d’opposition et d’effacement des données de chaque client

Les utilisateurs du logiciel OGGO Data disposent de la faculté de respecter la demande d’anonymisation ou de suppression des données contact, de façon individuelle ou par lots de contacts.

Suppression de coordonnées et documents sensibles :possibilité de supprimer nom / Email / Téléphones/ Documents en GED.

Tout utilisateur peut effacer les noms, numéros de téléphones, courriels, documents en GED puis enregistrer la page pour valider la mise à jour. (Attention, l’historique est conservé).

Il est possible de supprimer des contacts en masse sur la base de la date de création du lead par exemple.  (coche principale – Sélectionner tous les contacts souhaités) Puis choisir une opération (en bas de page) / Cliquer sur Supprimer puis valider

La fonction Suppression est réservée aux utilisateurs de type Administrateur et Suppléant.  La fonction est irréversible.

anonymiserAnonymisation d’un contact ou d’un ensemble de contacts pour conserver des statistiques fiables !

L'anonymisation correspond à l’effacement des données nominatives d’un contact sans entrainer la perturbation des statistiques du cabinet.

La fiche contact est ainsi conservée mais anonymisée. Les statistiques du cabinet conservent ainsi les informations sur l’achat du lead, sa date de création, son statut.

L’anonymisation permet aux courtiers de conserver des statistiques fiables de leur activité, notamment en matière de suivi de performance des commerciaux dans le temps, de l’analyse qualitative des fournisseurs de leads etc.

Effectuer une purge des données personnelles selon les délais légaux

RGPD  exige que les données personnelles d’un prospect soient supprimées au plus tard au bout de 3 années.

Avec OGGO Data, cette opération est simplifiée. Il suffit d’utiliser les filtres pour sélectionner les contacts concernés et de les anonymiser en masse.

Transmettre à chaque envoi d'email le rappel du droit au refus de démarchage

Tous les mails générés depuis OGGO DATA contiennent un lien en bas de page avec la mention suivante : "Si vous ne souhaitez plus recevoir de communication de notre part, vous pouvez vous désinscrire à tout moment."

En cliquant sur le lien, le système génère un flag "Refus courriel" affiché sur la fiche contact.

Toutes les fonctions d'envoi d'email sont alors désactivées pour ce contact et on affiche un message "Ce contact refuse d'être contacté par email"

Pour les campagnes emailing, l'email n'est pas envoyé aux contacts refusant les emails, on le trace dans le tracking.

Droit à la portabilité des données

Les champs d’information d’un contact peuvent être recueillis sur un fichier Excel via la fonction export Excel réservée à l’utilisateur ayant le rôle « Administrateur ».

En complément de ces champs d’information, les documents Clients stockés en GED peuvent être téléchargés et renvoyés au client. La procédure est à appliquer par le Client « Responsable du traitement des données ».

Obtention du consentement des prospects internautes via la coche opt’in

OGGO DATA propose aux courtiers de disposer de 10 formulaires de devis sur leur site web permettant aux internautes d’effectuer un devis en ligne et de comparer les tarifs et garanties en direct sur le site web.

Ces formulaires de devis sont proposés sous forme d’iframe. Ils intègrent une coche opt-in de validation des CGU.

  • Les CGU du site doivent intégrer l’ensemble des mentions RGPD notamment :
  • La charte de protection des données
  • Les informations sur les finalités et bases légales du traitement de données
  • Les destinataires des données personnelles
  • La conservation des données
  • Les mesures de sécurité
  • Les informations en matière de transfert de données hors Union européenne
  • Le doit d’accès et de rectification et de portabilité des données

3 versions logicielles avec OGGO DATA

OGGO DATA a conçu 3 versions de son logiciel pour répondre aux besoins de tous les courtiers :

  • OGGO DATA Primo, dès 49 euros HT/mois pour les courtiers qui souhaitent disposer d'un CRM dédié au courtage prêt à l'emploi 

  • OGGO DATA Facility dès 99 euros HT/mis pour les courtiers qiu veulent associer à leur socle CRM un tarificateur d'assurances avec souscription en ligne + le possibilité de placer le comparateur sur leur site web

  • OGGO DATA Target dès 149 euros HT/mois pour les courtiers qui veulent disposer d'un outil CRM avec 10 tarificateurs en ligne (Santé, prévoyance, Assurance prêt, chien chat etc.