Mise en conformité GDPR des assureurs : "sprint final" ou "nouveau départ" ?

Alors que le business model assurantiel est fondé sur l’utilisation des données personnelles, de nombreuses questions se posent : Comment le métier de l’assurance est-il impacté par le GDPR ? Comment continuer à gérer les risques tout en protégeant au mieux les données personnelles ? Quelle évolution dans la relation de confiance avec le client ? Comment poursuivre le développement commercial de l’entreprise tout en respectant les obligations réglementaires ?

Les équipes assurance de Mazars se sont intéressées à quelques semaines du 25 mai 2018 à l'avancement de la mise en conformité des acteurs de l'assurance vis-à-vis du GDPR. Cette étude a été menée auprès d'un échantillon représentatif des grands acteurs européens, a priori plus en avance que les acteurs nationaux car concernés par l'uniformisation à l'échelle continentale et sensibilisés par les nouveaux niveau de sanctions (jusqu'à 4% du chiffre d'affaires annuel mondial).

Les données personnelles : au cœur du business model assurantiel

Impacts sur l'actuariat

Impacts sur le marketing

Impacts sur la relation de confiance

Analyse des grands acteurs

Maturité de la démarche

Les assureurs internationaux ont démarré leur anticipation à des dates très variables allant de mi-2016 au dernier trimestre 2017 mais pour la plupart avant mi-avril 2017 malgré un calendrier réglementaire déjà très chargé (IDD, PRIIPS, etc). La nomination du DPO (Data Protection Officer) est à la fois le résultat de la réflexion sur la nouvelle gouvernance Protection des Données interne, qui n'a parfois été finalisé que tardivement début 2018 et un processus habituel de recrutement. Les assureurs internationaux ont majoritairement identifié des profils en interne, quant aux assureurs de petite taille, ils doivent parfois faire appel à un DPO externalisé de transition.Le rôle de DPO a généralement été rattaché à la direction Conformité et dans 40% des cas, le DPO provient du département juridique.