RGPD, Qualité de Données SII et encadrement des externalisations : quels points communs ?

RGPD, Qualité de Données SII et encadrement des externalisations : quels points communs ?

RGPD, Qualité de Données SII et encadrement des externalisations : quels points communs ? 2560 1707 Asigma

1. Introduction

Le Règlement Général sur Protection des Données, les exigences en matière de qualité des données pour les organismes et groupes d’assurance soumis à la Directive Solvabilité II et les orientations de l’EBA sur l’encadrement des externalisations (précisées par les orientations de l’EIOPA relatives à la sous-traitance à des prestataires de services Cloud) répondent à des enjeux différents et mobilisent l’ensemble des acteurs du secteur de l’assurance depuis de nombreuses années.

Les autorités de contrôle apportent régulièrement, selon le niveau de maturité constaté au gré des enquêtes et analyses, des précisions en vue de permettre aux acteurs du secteur d’affiner leur stratégie de mise en œuvre opérationnelle. C’est ainsi que la CNIL enrichit et propose régulièrement des supports en vue d’améliorer la sensibilisation des acteurs, de clarifier les exigences et d’apporter un outillage méthodologique. En fin d’année 2023, l’ACPR a publié une notice concernant les exigences en matière de qualité des données.

Malgré les différents objectifs poursuivis par ces réglementations, nous pouvons nous interroger sur l’existence de principes directeurs similaires, notamment en termes de responsabilisation, d’exigences en matière de recensement, d’encadrement des risques et de gouvernance. De la similitude de ces principes directeurs, il est possible d’identifier un socle d’exigences similaires et de proposer une approche concrète de mise en conformité réglementaire.

2. Des principes directeurs similaires

Alors que le RGPD adresse des enjeux de protection des personnes et de leur vie privée, que l’encadrement des externalisations adresse notamment des enjeux de résilience opérationnelle et que la qualité des données adresse des enjeux de maîtrise de l’ensemble des composants impactant le calcul du SCR, ces 3 réglementations présentent des caractéristiques communes :

  • Elles formalisent des responsabilités au sein des organismes d’assurance et intègrent les sous-traitants dans la chaîne de responsabilités
  • Elles nécessitent des travaux de recensement et la formalisation de référentiels nouveaux
  • Elles nécessitent des dispositifs de pilotage
  • Elles impliquent une transformation de la culture d’entreprise

En matière de responsabilisation des acteurs, dans le prolongement de la loi Informatique et Libertés de 1978 en France, le RGPD étend au niveau européen la notion d’interlocuteur dédié aux questions de protection de la vie privée au travers de la fonction de Délégué à la Protection des Données (ou Data Protection Officer), précise la notion de Responsable de Traitement et définit la responsabilité du sous-traitant. Les exigences en matière de qualité des données introduisent la fonction de Responsable Qualité de Données qui dispose d’une vision transversale sur les données SII ainsi que des relais au sein des fonctions opérationnelles, i.e. les Propriétaires de données et les Gestionnaires de Données. L’encadrement des externalisations implique également l’identification d’une personne responsable de la supervision du dispositif et de son bon fonctionnement.

En matière de recensement et de cartographies, le respect du RGPD implique de poser clairement les données à caractère personnel collectées et nécessaires à l’exercice de l’activité, les finalités de traitements de données, le patrimoine applicatif et l’analyse du cycle de vie des données. La qualité de données se construit notamment autour des données entrant dans la chaîne de calcul du SCR, des processus, du patrimoine applicatif, du lignage, du suivi des transformations des données et du référentiel de contrôles. L’encadrement des externalisations repose sur le recensement des prestataires de services et l’analyse des activités, fonctions ou services délégués.

En matière de risques, le RGPD exige l’identification et l’analyse des risques en termes d’impacts sur la vie privée, l’encadrement des externalisations nécessite l’analyse des différents risques liés à l’activité des sous-traitants tout au long de l’externalisation et la définition d’un plan de contrôle. Les exigences en matière de qualité des données impliquent la mise en place de contrôles de pertinence, d’exhaustivité et d’exactitude.

En matière de dispositif de pilotage, ces 3 réglementations nécessitent un corpus documentaire, une gouvernance dédiée et des livrables clés visant à rendre compte du niveau de conformité des activités à la réglementation.

En termes de culture d’entreprise, ces 3 réglementations ont une portée transversale en impactant de nombreux domaines et nécessitent une sensibilisation de l’ensemble des secteurs de l’entreprise, une compréhension et une prise en compte des exigences réglementaires par l’ensemble des acteurs, tant au niveau des processus existants que dans le cadre des projets, ceci dès la phase de conception (« compliance by design »).

3. Des dispositifs reposant sur un socle d’exigences similaires

Dans le prolongement des principes directeurs et d’une portée transversale au sein de l’entreprise, les points communs au niveau du socle d’exigences peuvent être synthétisés comme suit :

ThématiquesRGPDQualité de donnéesEncadrement des externalisations
Qualification et évaluation de la criticitéDonnées à caractère personnel
Données sensibles
Données éligibles
Données critiques (ou données clés)
Externalisations
Externalisations importantes ou critiques
Recensement et cartographieRegister de traitements
Registre de violations
Registre de demandes d'exercices de droits
Répertoire des données
Référentiel de contrôles
Cartographie des systèmes d'informations
Cartographie des flux
Cartographie des processus
Registre des externalisations
Analyse de risquesAIPD/DPIAImpliciteEffectuée dans le cadre du cycle de vie de l'externalisation
Renforcement du cadre contractuelClauses d'information (clients, prospects...)
Clauses d'encadrement de la sous-traitance
Exigences spécifiques dans le cadre des données externes (i.e. méthodes, métriques, sûreté, modalités de transmission)Clauses d'encadrement de la sous-traitance
Exigences renforcées pour les externalisations importantes ou critiques
Notification de l’autorité de contrôleViolations de donnéesN/AExternalisations importantes ou critiques :
Avant l'entrée en vigueur du service,
En cas de requalification,
A l'échéance du contrat,
En cas de sortie,réinternalisation ou transfert d'activité vers une tierce partie
Intégration dans le plan de contrôles et de l’audit interneImpliciteOuiOui
Corpus documentaire : politique et procédureImplicitéOuiOui
Gouvernance : définition de rôles dédiés/ responsabilités avec reporting Direction GénéraleDPO
Responsable de traitement
Responsable Qualité de Données
Propriétaire de données ("Data Owner")
Pilote des externalisations
Gouvernance : définition de rôles dédiés/ responsabilités – accompagnement opérationnelImplicite
"Référents RGPD" (i.e. points de contact au sein des directions, départements ou services selon la taille de l'entreprise
Gestionnaire fonctionnel de données ("Data Steward")
Gestionnaire technique de données ("Data Custodian")
Implicite
"Correspondants externalisations" (i.e. points de contact au sein des directions, départements ou service selon la taille de l'entreprise)
Gouvernance : définition d’instances/ comitologie spécifiqueImpliciteOuiOui
Compliance by DesignPrivace by designImpliciteImplicite (dans le cadre du cycle de vie de l'externalisation)

Ainsi, malgré les spécificités de ces réglementations, leur déclinaison opérationnelle suppose la définition et la mise en œuvre d’un cadre de référence s’appuyant sur des démarches similaires. En termes de traçabilité, les solutions de Data Management permettent de référencer, documenter et visualiser l’ensemble des référentiels et métadonnées induits par ces réglementations.

4. Proposition d’approche

Dans le cadre de notre accompagnement dans la mise en conformité réglementaire des activités de nos clients, nos experts peuvent vous aider à structurer les différents chantiers avec l’expérience des thématiques rencontrées et la constitution de kits de conformité.

Concernant la définition du périmètre éligible, la qualification et l’évaluation de la criticité, celle-ci peut notamment être formalisée au travers d’arbres de décision afin d’expliciter l’ensemble des critères et proposer une piste d’audit dans l’évaluation réalisée. Selon les cas, la calibration de seuils de matérialité avec analyses d’impacts permet également de répondre aux enjeux de proportionnalité.

Concernant les travaux de cartographie, les nombreux référentiels et métadonnées nécessitent une mise en cohérence parfois fastidieuse à maintenir dans un cadre non industrialisé. L’implémentation de solutions de Data Management permet de réduire le risque opérationnel et de maintenir cette cohérence dans le temps.

Concernant la gestion des risques, celle-ci constitue la majeure partie de l’enjeu d’acculturation et de sensibilisation. L’identification des risques, leur cotation, la définition des mesures préventives et correctives, l’évaluation du risque net et l’intégration des nouveaux risques dans la cartographie constituent le cœur du dispositif. Elle nécessite une analyse humaine prenant en compte la culture de risques propre à l’entreprise et les enjeux stratégiques liés au développement des activités, selon une méthodologie et un process de validation clairement définis.

Concernant le renforcement du cadre contractuel, l’ajout de clauses ou d’annexes et leur intégration dans le cadre contractuel existant constituent les principaux enjeux des remédiations contractuelles. La définition et la mise en place de processus d’escalade, pour faire face à des partenaires insuffisamment réactifs ou à des situations de blocage, est un élément indispensable pour le bon avancement de ce chantier.

Concernant le document de politique, nous préconisons d’adresser a minima les éléments suivants : réglementations applicables, définitions, champ d’application, cadre de gouvernance (rôles et responsabilités, comitologie), livrables clés du dispositif, cadre de suivi et de remédiation, gestion des risques et contrôle permanent.

Concernant les différents rôles, nous proposons la formalisation de fiches de postes incluant notamment les missions, actions et livrables avec un RACI au niveau des différents acteurs au sein de chaque dispositif. Ces éléments permettent de faciliter la conduite du changement et le on-boarding de nouveaux intervenants au sein du dispositif.

Concernant la mise en place et l’animation de la gouvernance dédiée, une cartographie claire des différentes instances distinguant les niveaux de suivi opérationnel et les instances de pilotage est indispensable.

Enfin, concernant la compliance by design, l’enjeu est de maîtriser les « nouveaux flux » (ex. : nouveaux traitements pour le RGPD, nouvelles données/sources pour la qualité de données, nouveaux partenariats dans le cadre des externalisations…). La mise en place de grilles d’éligibilité, l’adaptation des livrables de la méthodologie projet pour intégrer les spécificités réglementaires (ex. : durées de conservation et anonymisation des environnements de recette dans le cadre du RGPD) et la définition d’instances ad hoc de validation sont des éléments essentiels pour atteindre cet objectif.

En conclusion

Ainsi, le cadre de référence de certaines réglementations comporte des composants similaires : la qualification et l’évaluation de la criticité, l’analyse et l’évaluation des risques, les travaux de cartographie, le renforcement du cadre contractuel, les interactions avec l’autorité de contrôle, la gouvernance, le corpus documentaire (politique et procédures), la mise à jour du plan de contrôles et du plan d’audit ainsi que la « compliance by design ».

A travers l’analyse de ces différents éléments, il apparaît évident que la qualité des analyses d’impacts et la co-construction de solutions proportionnées et adaptées au contexte constituent des facteurs clés de succès de la mise en conformité des activités. C’est dans la continuité de cette approche que nous abordons le Digital Operational Resilience Act pour préparer 2025.

UN ARTICLE RÉDIGÉ PAR…

Cintya Marneau
Co-Directrice de Practice Réglementaire et Conformité

UN ARTICLE RÉDIGÉ PAR…

Eyal Juran
Co-Directeur de Practice Réglementaire et Conformité

ALLER PLUS LOIN

AUTRES ACTUALITÉS EN
RÉGLEMENTAIRE & CONFORMITÉ

Préférences de confidentialité

Lorsque vous visitez notre site Web, il peut stocker des informations via votre navigateur à partir de services spécifiques, généralement sous la forme de cookies. Ici, vous pouvez modifier vos préférences de confidentialité. Il est à noter que le blocage de certains types de cookies peut avoir une incidence sur votre expérience sur notre site Web et sur les services que nous sommes en mesure d’offrir.

Pour des raisons de performance et de sécurité, nous utilisons Cloudflare
required
Activer / désactiver le code de suivi Google Analytics dans le navigateur
Activer / désactiver l'utilisation des polices Google dans le navigateur
Activer / désactiver l'intégration de vidéos dans le navigateur
Politique de confidentialité Préférences
Notre site internet contient des services tiers pour son bon fonctionnement. Définissez vos préférences et/ou agréments pour notre utilisation de cookies.