Philippe Léglise (Allianz France) "Nous avons mis en place des systèmes d'effacement de données personnelles"

Alors que la Nuit du data protection officer approche, le DPO de la filiale de l'assureur allemand raconte la mise en place du droit à l'effacement dans le cadre de RGPD.

Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.

JDN. Quel projet significatif avez-vous mené dans le cadre de RGPD en 2018 ?

Philippe Léglise. L'effacement des données personnelles au-delà des périodes de conservation obligatoire. C'est aussi ce qu'on appelle le droit à l'oubli. Nous avons des délais de conservation minimaux, c'est-à-dire nécessaires à la finalité de la gestion des contrats et à la conservation réglementaire des données. Le code des assurances nous impose de conserver des pièces pendant un certain temps. Tout dépend de la nature des processus, des données, de l'environnement... Par exemple, pour l'assurance-vie décès, nous sommes obligés de conserver les dossiers 30 ans après le décès de la personne. Avec le RGPD, il n'est plus possible de conserver les données qui ne sont plus utiles aux finalités pour lesquelles elles ont été traitées, collectées ou stockées. Nous devons donc effacer les données non nécessaires.

Qu'est-ce qu'une donnée non nécessaire ?

On parle de données non nécessaires par rapport à un moment donné. Prenons l'exemple d'un client qui a détenu un contrat d'assurance auto pendant une certaine période qui l'a résilié et n'a toujours pas repris de nouveau contrat d'assurance chez nous depuis plusieurs années. Sommes-nous légitimes à conserver les données de ce client résilié dans le système d'informations ou dans des archives papiers ? Ces archives ont-elles une légitimité à être conservées éternellement ? Selon le RGPD c'est non.

Quand avez-vous commencé à effacer certaines données personnelles ?

Dès mai 2018. Nous avons mis en place des systèmes d'effacement en commençant par les systèmes qui contenaient les données les plus risquées et sensibles, principalement les données d'état de santé. Puis nous avons continué vers des typologies de données moins prioritaires. Nous n'étions pas strictement conformes le 25 mai 2018 pour l'ensemble de l'effacement, mais nous sommes sur les rails pour l'être. C'est un challenge car en matière de préparation c'est compliqué, long et coûteux. Chez Allianz France, il y a plus de 150 systèmes informatiques répertoriés contenant des données personnelles. Au-delà de l'informatique, il y a aussi tout l'archivage papier qui nécessite des méthodes d'effacement par destruction.

Comment détruisez-vous ces données ?

Chez Allianz France, nous avons mis en place un ensemble de référentiels qui définit pour chaque typologie de processus et de données des délais de conservation au-delà desquels des procédures d'effacement automatisés sont mis en œuvre dans les systèmes. A noter qu'en informatique, effacement ne veut pas dire destruction des données mais anonymisation. Ce qui est irréversible. Une fois que la donnée est anonymisée, on ne peut plus identifier la personne à l'origine.

"Chez Allianz France, il y a plus de 150 systèmes informatiques répertoriés contenant des données personnelles"

Mais on peut conserver la donnée pour des raisons techniques. Les actuaires peuvent par exemple avoir besoin d'informations liées aux sinistres, à la souscription de contrats pour analyser les résultats, segmenter les portefeuilles… Ce besoin statistique qui repose sur des historiques longs ne veut pas dire qu'on ait besoin des données personnelles. Mais en revanche on a besoin de données techniques anonymes.

Quelles difficultés avez-vous rencontrées dans la mise en place de ce système d'effacement ?

Il y a une architecture système très complexe avec des systèmes interconnectés. Plus largement, dans la mise en conformité avec le RGPD, nous avons dû relever quelques challenges. Comme tout projet d'envergure, il y a beaucoup de personnes autour de la table : au total il y a 21 groupes de travail sur le RGPD avec des équipes projets qui doivent gérer des livrables et des budgets. Il ne faut pas oublier qu'Allianz France, c'est 12,6 milliards d'euros de chiffre d'affaires en 2017, 9 000 collaborateurs, de nombreuses lignes de produits et de métiers différentes. Nous avons même une activité bancaire, de l'asset management… Il y a également un enjeu autour des priorités du RGPD. Une fois qu'elles ont été définies, il faut les appliquer concrètement. Même s'il y a toujours des cas qui n'ont pas été prévus. Enfin, il faut aussi arriver à diffuser les nouveaux processus au sein du réseau, expliquer aux agents pourquoi nous mettons en place tous ces nouveaux procédés pour le RGPD. Nous avons donc fait de la  communication et des formations pour les aider à mieux comprendre ce sujet complexe.

Quels sont vos objectifs en termes de mise en conformité RGPD ?

Nous voulons avoir une maison en ordre, pas seulement pour la Cnil mais pour garder la confiance de nos clients. Evidemment, tout n'est pas parfait, il y a toujours des éléments qui peuvent être améliorés. Mais nous pensons être assez en avance puisque nous avons commencé le chantier RGPD, que nous appelons APRP (Allianz Privacy Renewal Program), en 2016. C'est un sujet important. Nous voulons principalement veiller à la sécurité des données personnelles de nos clients et de nos salariés.

Résumé du projet :

En quoi ce projet est-il fédérateur pour le groupe ?

"L'effacement des données personnelles est géré par une équipe projet qui doit faire des choix financiers, politiques et techniques. Elle doit notamment coordonner le travail des informaticiens, du DPO, les spécialistes métiers et les actuaires qui peuvent demander à ne pas détruire certaines données dans le cadre de leurs statistiques"

En quoi ce projet est-il innovant ?

"Nous avons mis en place un ensemble de référentiels qui définit pour chaque typologie de processus et de données des délais de conservation au-delà desquels des procédures d'effacement automatisés sont mis en œuvre dans les systèmes. Concrètement, une fois que la machine est lancée, elle tourne toute seule"

En quoi ce projet est-il ambitieux ?

"Allianz France compte 150 systèmes informatiques répertoriés contenant des données personnelles. Sans compter tout l'archivage papier accumulé depuis des années. Il ne faut pas oublier qu'Allianz France comporte beaucoup de lignes de produits et de métiers différents, qu'elle a même une activité bancaire, de l'asset management…"