Assurance – La Cnil a répondu aux besoins du secteur de l’assurance en matière de traitements des données sensibles, en facilitant les formalités préalables aux traitements auprès de la Cnil. Par deux délibérations du 23 janvier 2014, la Cnil autorise tous les organismes d’assurance, de capitalisation, de réassurance, d’assistance, les intermédiaires d’assurance et par l’AGIRA, à accéder aux données personnelles de leurs assurés pour répondre certains besoins d’informations en matière d’assurance de personnes et d’automobile.
La norme d’Autorisation Unique n°014 concerne les traitements de données à caractère personnel relatifs à la consultation du Répertoire National d’Identification des Personnes Physiques (RNIPP) et à l’utilisation du Numéro d’Inscription au Répertoire (NIR ou numéro de sécurité social) mis en œuvre par les organismes précités.
Les finalités du traitement de données à caractère personnel sont la passation, la gestion et l’exécution des contrats d’assurance, de capitalisation, et réassurance et d’assistance nécessitant la collecte et le traitement du NIR par le responsable du traitement notamment pour :
- Leurs activités d’assurance maladie, maternité, invalidité, retraite supplémentaire;
- Leurs activités d’assurance pour les garanties perte d’exploitation et perte d’emploi uniquement à des fins probatoires ;
- Les relations avec les professionnels, les établissements et les institutions de santé ;
- Les déclarations sociales des entreprises souscriptrices de contrats d’assurance ;
- L’indemnisation des accidents ;
- La gestion des rentes ;
- Pour l’exécution des dispositions légales, réglementaires et administratives en vigueur ;
- L’accès aux données du RNIPP ;
- Et les traitements mise en œuvre par l’AGIRA ayant des objets prédéfinis.
L’Autorisation Unique n°15 concerne les traitements de données à caractère personnel relatifs aux infractions, condamnations ou mesures de suretés qui influencent la souscription ou la vie du contrat ou qui sont utiles pour la gestion des contentieux, mis en œuvre par les organismes précités.
Le responsable du traitement doit informer préalablement les personnes concernées:
- de son identité,
- de la finalité du traitement,
- du caractère obligatoire ou facultatif des réponses,
- des conséquences éventuelles d’un défaut de réponse,
- des destinataires des données, de leur droit d’accès, de rectification et d’opposition et
- de l’éventuel transfert de données personnelles à destination d’un Etat non membre de l’UE.
S’agissant de la durée de conservation des données collectées, ces dernières doivent être conservées par le responsable de traitement pour la durée nécessaire à l’exécution du contrat.
Les entreprises concernées disposent d’un délai de 18 mois à compter de la publication des autorisations uniques pour se mettre en conformité, soit jusqu’au 7 août 2015.