Règlements européens de protection des données personnelles : le secteur funéraire aussi concerné

Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen (applicable sans transposition en droit national) à respecter à partir du 25 mai 2018, qui impose aux entreprises d’organiser dans un management de système de traitement des données personnelles numériques récoltées au cours de leurs activités.
Le règlement electronic IDentification, Authentication and trust Services (eIDAS) n° 910/2014 du 23 juillet 2014 a pour ambition d’accroître la confiance dans les transactions électroniques au sein du marché européen. Il établit un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques.

Nicolas Pomiès, directeur d’Obsèques Prévoyance.

La réglementation

Comme toutes les entreprises, les organismes du secteur funéraire seront impactés par la gestion des données numériques aussi bien de leurs salariés que de celles utilisées pour établir des devis clients, des contrats obsèques ou toutes autres prestations comportant des informations nominatives.
Le règlement RGPD stipule, entre autres, la "sécurité par défaut". Cette règle impose de disposer d’un système d’information ayant les fonctionnalités minimales requises en matière de sécurité à toutes les étapes (enregistrement, exploitation, administration, intégrité et mise à jour). En gros, les données personnelles stockées sur disque dur, intranet ou extranet devront être hébergées sur des systèmes adossés aux outils et à des procédures de sécurisation évitant le piratage.
Les entreprises disposant d’un site Internet vitrine et récoltant des informations par formulaire devront être particulièrement vigilantes. La sécurité du système d’information devra être assurée dans tous les éléments informatiques, physiques ou logiques (contrôle d’accès, prévention contre les failles de sécurité, etc.).
Par ailleurs, le règlement implique que l’état de la sécurité du système d’information puisse être connu à tout moment, par rapport aux spécifications du fabricant, aux aspects vulnérables du système et aux mises à jour.

Le règlement impose :
- la démarche de "Privacy by design" (respect de la protection des données dès la conception) (Règlement RGPD, art. 25 §1) ;
- la démarche de "Security by default" (sécurité par défaut) (Règlement RGPD, art. 25 §2) ;
- les règles d’accountability (obligation de documentation) (Règlement RGPD, art. 24) ;
- l’étude d’impact avant la mise en œuvre de certains traitements (Règlement RGPD, art. 35) ;
- la désignation obligatoire d’un Data Protection Officer (DPO) (Règlement RGPD, art. 37) ;
- les nouveaux droits fondamentaux des personnes (droit à l’oubli, droit à la portabilité des données, etc.).
En résumé, on ne pourra plus utiliser impunément, ni à l’infini, des données personnelles sans accord de leur propriétaire.

La protection des données en matière funéraire

Concrètement, ce règlement "introduit la notion de protection des données à plusieurs niveaux : protection en amont, protection analysée, protection documentée, protection en chaîne, mais aussi renforcement du droit des personnes". Par exemple, pour pouvoir utiliser ses données, il faudra "un consentement exprès de la personne, et après son décès celui de son ayant droit, tout au moins en cas de contentieux (ce qui peut arriver dans nos métiers).
Les entreprises devront intégrer la protection de la vie privée dès la construction de leur base de données, et mettre en place un processus permettant de prouver qu’elles gèrent leurs données de manière conforme. À cela s’ajoute, pour les salariés, un droit à la portabilité de leurs données et à leur effacement.
Alors que le texte européen a été adopté par le Parlement européen le 14 avril 2016, il est aujourd’hui notoire que les entreprises françaises sont en retard pour la mise en œuvre des systèmes conformes aux RGPD.
"En France, seules 43 % des entreprises ont commencé les démarches pour se mettre en conformité avec le Règlement européen sur la protection des données personnelles (RGPD)", a souligné en juin 2017 Alain Le Corre, directeur métier Risk management chez Optimind Winter, lors d’un récent petit déjeuner organisé par le cabinet de conseil sur les impacts du règlement sur les Systèmes d’Information (SI).
Les assureurs, qui sont les partenaires incontournables des entreprises de pompes funèbres par la prévoyance obsèques, ne font pas exception. Leurs services juridiques et de conformité ont commencé bien en amont à étudier les impacts de ce règlement, mais sa déclinaison opérationnelle n’est un sujet que depuis peu. "Les directions des systèmes d’information viennent de s’emparer du sujet, et commencent seulement à en voir les impacts. La difficulté est la traduction du RGPD en termes de système d’information. Cela ne se cantonne pas à mettre une couche de sécurité en plus. C’est tout le système de production qui est touché", a déclaré Alain Le Corre.
Aussi, "être conforme au RGPD d’ici à mai 2018 semble difficile. La transformation des SI va durer au minimum 3 ans. L’enjeu aujourd’hui n’est pas d’être conforme en mai 2018, mais d’être capable, à cette date, de démontrer à l’autorité de contrôle qu’on a une feuille de route, que l’on sait comment faire pour le devenir", a conclu Alain Le Corre.
Or les assureurs doivent, conformément à la réglementation issue de la directive européenne 2002/92/CE sur l’intermédiation en assurance, sécuriser et gérer aussi les systèmes d’information de leurs intermédiaires que sont les opérateurs funéraires. Aussi, l’assureur de contrats obsèques devra incorporer l’entreprise de pompes funèbres prescriptrice dans son système de respect de la RGPD !
On peut aussi se demander comment les assureurs feront appliquer la norme européenne elDAS(*) qui impose la signature électronique sécurisée dite avancée (correspondant au référentiel français RGS) pour les contrats et échanges de données personnelles numérisées…

La France en retard

Il est de coutume en France d’appliquer avec retard la réglementation générée au niveau européen, et particulièrement lorsqu’elle concerne la protection des données personnelles. Les imprécisions et retards dans le déploiement provoquent d’ailleurs souvent des écarts entre les pratiques des entreprises et la loi. Ce qui provoque parfois de coûteux contentieux qui finissent par créer des jurisprudences aux échelles française et européenne, ayant pour effet de renforcer les contraintes. On citera par exemple les deux procès gagnés par une TPE de la région lilloise de vente de signatures électroniques contre les Chambres de commerce (pourtant établissements publics).
Les CCI (Chambres de commerce et d’industrie) pendant des années ont laissé s’entretenir l’idée auprès des entreprises ou de tous publics qu’elles détenaient une sorte de monopole dans le déploiement des signatures électroniques RGS nécessaires pour répondre à des appels d’offres, alors que l’Europe avait organisé la pluralité des acteurs du marché. Les CCI, pensant disposer d’une mission de service public, se sont fourvoyées dans des pratiques monopolistiques in fine condamnées.
En ce qui concerne la RGPD et la norme eIDAS, la France semble avoir cette fois mieux anticipé les écueils, les retards et autres cafouillages, car les organisations liées à l’État sont bien prêtes pour faire appliquer les exigences de ces réglementations. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a établi une série de recommandations sur l’externalisation des systèmes d’information et la maîtrise de l’infogérance.
S’y trouve par exemple un chapitre sur les hébergements mutualisés des bases de données, qui se conclut par : "L’hébergement sur une machine spécifique doit être privilégié." En cas d’hébergement mutualisé, l’ANSSI préconise la mise en place de procédures de prévention.
L’ACPR (Autorité de Contrôle Prudentielle et de Résolution) est chargée du contrôle de la qualité et des procédures de sécurisation du système informatique dans le domaine des banques et des assurances.
La CNIL (Commission nationale de l’informatique et des libertés) est prête. Sa présidente Isabelle Falque-Pierrotin expliquait en mars 2017 que : "Ce règlement ne souffre pas de retard." Elle promet d’aider les entreprises à atteindre les objectifs requis.
Ces nouveaux règlements européens impactent donc le rôle de la CNIL : "Une partie de l’activité de la CNIL va disparaître, mais son pouvoir de sanction va se renforcer", déclare sa présidente.
Il est donc hautement prévisible que les entreprises de pompes funèbres seront impactées par les contrôles de ces organismes tant sur la partie informatisée de leurs ressources humaines que sur la collecte et gestion des données personnelles des futurs défunts. De même, toute la nouvelle technologie arrivant dans le funéraire, comme les plaques funéraires avec QRcodes avec films, photos et autres documents reliés et hébergés sur Internet, devra prendre en compte la réglementation RGPD.
Le chef d’une entreprise de pompes funèbres devra donc être soucieux de connaître la manière dont ses données informatiques seront utilisées en interne, mais aussi par ses fournisseurs et ses sous-traitants. En cas de manquement, sa responsabilité pourrait être engagée. Plusieurs organismes et sites Internet ont vu le jour pour informer les entreprises.
On retiendra particulièrement le site https://www.ressources-rgpd.com

Nicolas Pomiès
Directeur d’Obsèques Prévoyance
www.obsequesprevoyance.com

Résonance n°133 - Septembre 2017