Les assureurs devront notifier les violations de données dès que le RGPD sera applicable, le 25 mai 2018. Insurance Europe, la fédération européenne de l’assurance et de la réassurance, a récemment publié un modèle afin d’aider les assureurs à satisfaire à cette obligation. Une initiative qui serait bénéfique pour les PME ainsi que les autorités de contrôle.
Selon l’article 33 du RGPD, le responsable du traitement doit notifier à l’autorité de contrôle compétente toute violation de données dans les plus courts délais et, si possible, sous 72 heures après en avoir eu connaissance. Cette obligation s’applique à toutes les violations de données, sauf celles qui ne sont pas susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification n’est pas faite sous 72 heures, elle est accompagnée des raisons de ce retard.
Pour rappel, le RGPD définit la violation de données à caractère personnel comme « une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
Insurance Europe a mis au point un modèle de notification divisé en trois sections :
- Section 1 : Informations et coordonnées de l’entreprise affectée ;
- Section 2 : Information concernant la violation de données conformément à l’article 33 du RGPD ;
- Section 3 : Cette section doit être complétée après la période de 72 heures, quand plus d’informations concernant la violation sont disponibles. Cela inclura des données complémentaires permettant d’en apprendre plus sur la violation.
Les données des Sections 2 et 3 figurent sous forme de questions à choix multiples ou de champs numériques. Selon Insurance Europe, cela permettrait de rendre les informations anonymes et faciliterait la comparaison d’information par les autorités compétentes entre les secteurs et les entreprises.
De plus, selon Insurance Europe, les petites et moyennes entreprises pourraient utiliser ce modèle au lieu de procéder à une description exhaustive, alors qu’elles sont en pleine violation de données. Les autorités de contrôle pourraient bénéficier d’un format standardisé, leur permettant de partager les informations concernant l’incident au-delà des frontières, afin de mieux détecter les grandes tendances et acquérir des informations quant à la meilleure façon de combattre les cyber menaces en Europe.
