Dans un paysage réglementaire de plus en plus complexe, les compagnies d’assurance sont confrontées à de multiples réglementations en matière de confidentialité et de sécurité, souvent superposées.
Dans cet article, obtenez une analyse approfondie des mesures et des tendances réglementaires les plus récentes et les plus actuelles qui s’appliquent – ou pourraient bientôt s’appliquer – aux assureurs.
Il s’agit notamment de Loi californienne sur la protection de la vie privée des consommateurs (CCPA), son amendé Loi californienne sur les droits à la vie privée (CPRA), le Loi Gramm Leach Bliley (GLBA), le Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA), les lois des États comme (NYDFS) et New York SHIELD, Modèle de loi sur la sécurité de la NAIC et ses changements à venir — ainsi que de nombreuses autres mesures qui sont actuellement en place et à venir.
De plus, découvrez comment la CCPA et la CPRA offrent des exemptions aux assureurs adhérant à la GLBA, à la HIPAA et à d’autres réglementations existantes, et ce que vous pouvez faire dès maintenant pour créer un programme de données complet qui garantit la conformité réglementaire.
Comment la CCPA affecte les organismes d'assurance
La CCPA — en plus de sa loi modifiée sur les droits à la vie privée en Californie (CPRA), adoptée par référendum en novembre 2020 — est la première législation complète sur la confidentialité des États à régir la collecte, l'utilisation, la vente et le partage des informations personnelles des consommateurs (IP).
En vertu de la CCPA, les informations personnelles sont définies au sens large comme toute information qui identifie, concerne, décrit, est raisonnablement susceptible d'être associée ou pourrait raisonnablement être directement ou indirectement liée à un individu ou à un ménage particulier.
Le prochain CPRA ajoute la nouvelle définition de informations personnelles sensibles (IPS). SPI est un sous-ensemble de PI et comprend des données telles que les identifiants gouvernementaux, les informations de compte et de connexion, les données génétiques, les informations biométriques, etc., qui sont toutes soumises à un ensemble plus strict de responsabilités en matière de transparence, de partage et d'atténuation des risques.
La CCPA s'applique aux « entreprises » (définies comme des entités à but lucratif qui déterminent la finalité et les moyens de traitement des données des consommateurs) exerçant leurs activités en Californie et répondant à certains seuils d'applicabilité. Les assureurs exerçant leurs activités en Californie et répondant à ces seuils sont soumis à un certain nombre d'obligations, notamment en matière de divulgation et de droits sur les données.
GLBA, HIPAA et lois nationales sur la confidentialité applicables aux assureurs
Les assureurs fournissant des produits ou des services à des particuliers à des fins personnelles, familiales ou domestiques peuvent être soumis à la loi sur la portabilité et la responsabilité des informations de santé (HIPAA) et à la loi Gramm Leach Bliley (GLBA) aux niveaux fédéral et étatique.
Les lois sur la confidentialité des assurances des États peuvent également représenter un défi pour les assureurs qui tentent de se conformer à des obligations et restrictions similaires mais subtilement différentes dans plusieurs États.
Nombre de ces lois étatiques s'appuient sur le Règlement type 670 de la National Association of Insurance Commissioners (NAIC) relatif à la confidentialité des informations financières et de santé des consommateurs. Cependant, certaines lois étatiques imposent des restrictions allant au-delà du GLBA ou du Modèle 670.
Les obligations imposées aux assureurs par la GLBA et les lois des États comprennent, entre autres, les obligations de notification et les exigences liées à partage d'informations personnelles avec des tiersCertaines lois d’État prévoient également des droits d’accès, de correction et de suppression des données collectées par l’assureur.
Exemptions en vertu de la CCPA pour les compagnies d'assurance
La grande majorité des données collectées, traitées et conservées par de nombreux assureurs peuvent bénéficier d'une exemption au CCPA. La CCPA prévoit des exemptions pour :
- Informations personnelles collectées, traitées, vendues ou divulguées conformément à la loi Gramm-Leach-Bliley (GLBA)
- Informations personnelles collectées, traitées, vendues ou divulguées conformément à la loi californienne sur la confidentialité des informations financières (CalFIPA)
- Informations personnelles sur la santé collectées par une entité couverte ou un partenaire commercial tel que défini dans la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA)
- Informations médicales collectées par une entité couverte ou un partenaire commercial tel que défini dans la loi californienne sur la confidentialité des informations médicales (CCMIA)
- Entités couvertes (telles que définies dans la loi HIPAA), dans la mesure où l'entité conserve les informations sur les patients de la même manière que les informations personnelles sur la santé
Commencez par connaître vos données
Le premier défi auquel sont confrontés les assureurs soumis à la CCPA et aux autres lois étatiques sur la confidentialité des assurances est de déterminer l'étendue de leurs obligations. Cela implique de catégoriser toutes les données collectées, traitées et divulguées.
Pour que les assureurs puissent déterminer leurs exigences d’applicabilité, il est essentiel qu’ils établissent un inventaire complet des données qui évalue les catégories, les sources et les utilisations des informations qu’ils collectent, ainsi que les catégories de données qu’ils partagent avec des tiers.
Sans un inventaire complet des données, il peut être presque impossible pour un assureur de déterminer si les IP relèvent d’une exemption CCPA.
Déterminer quelles données sont soumises au CCPA et au CPRA
Lors de la catégorisation des données, les assureurs doivent prêter une attention particulière à l’identification des types de données qui ne sont pas couverts par GLBA, CalFIPA, HIPAA ou CCMIA — et qui sont donc soumis au CCPA.
Par exemple, les données personnelles ou les informations de sécurité des candidats, des employés et des entrepreneurs indépendants, ainsi que celles des visiteurs de sites web, seront probablement soumises à la CCPA. Dans la perspective de la CPRA, les nouvelles exigences de désactivation du partage de publicité comportementale pourraient s'appliquer. Si les assureurs obtiennent des pistes ou des prospects, ces informations pourraient également être soumises à la réglementation CCPA.
Déterminer les obligations en matière de droits sur les données au-delà du CCPA
Le CCPA introduit de nouveaux droits en matière de confidentialité des consommateurs pour les résidents de Californie, tels que :
- le droit d'accéder à leurs données et d'en obtenir une copie
- le droit de demander la suppression de leurs données
- le droit de refuser la vente ou le partage de leurs données
Bien qu'un assureur puisse être exempté de répondre à certaines demandes du CCPA, il est toujours tenu de se conformer aux droits sur les données garantis par GLBA, CalFIPA, HIPAA et CCMIA.
De plus, les assureurs seront probablement tenus de respecter les droits d'accès, de rectification et de suppression prévus par les lois des États autres que la Californie. Il est donc essentiel qu'ils mettent en œuvre une méthode de suivi et de réponse à ces demandes, conformément aux exigences des différentes lois des États, et pas seulement à la CCPA.
La nécessité d'examiner les flux de données
La loi californienne comprend des réglementations strictes concernant la « vente » ou le « partage » des PI et des SPI.
Pour toute information soumise au CCPA, les assureurs doivent revoir les flux de données qu’ils partagent avec des tiers et, si nécessaire, réviser leurs contrats afin d’éviter que les données soient considérées comme une « vente » ou un « partage » au sens de la loi.
Les assureurs doivent également savoir que la future CPRA impose de nouvelles dispositions contractuelles aux prestataires de services. Cela signifie que les compagnies d'assurance soumises à la CPRA doivent s'assurer que leurs partenaires disposent également de mesures de sécurité appropriées pour se conformer à la GLBA, aux lois des États mettant en œuvre la GLBA et à toute nouvelle loi sur la sécurité des données propre au secteur de l'assurance.
Exigences en matière de conservation des données
Le prochain CPRA comprend de nouvelles exigences concernant minimisation des données et conservation des données, les assureurs devraient donc adopter un programme de gestion des dossiers qui définit la durée de conservation des données.
Pour se conformer à la CPRA — ainsi qu’à d’autres exigences réglementaires des États concernant la durée de conservation de certains dossiers — les assureurs seront tenus de divulguer la durée pendant laquelle ils conservent les données et de s’assurer que la durée est seulement aussi longue que « raisonnablement nécessaire ».
Compte tenu de la diversité des couvertures proposées par les assureurs, le type de police ou de plan devient crucial pour déterminer ce qui peut être préservé et ce qui peut être abandonné. Par exemple, les polices d'assurance basées sur les événements, qui offrent une protection à long terme et couvrent tout sinistre survenant pendant la durée du contrat, quelle que soit la date de déclaration du sinistre, peuvent devoir être conservées indéfiniment.
En revanche, les « polices d’assurance fondées sur les réclamations », qui couvrent les réclamations faites ou déposées pendant que la police est active — et peuvent inclure une « queue » prolongeant la couverture après l’expiration de la police — sont moins susceptibles d’avoir des implications à long terme et peuvent être définies avec une période de conservation adéquate une fois que la police n’est plus active.
Exigences de sécurité des données au-delà du CCPA
Outre les exigences en matière de confidentialité auxquelles les assureurs doivent se conformer, il existe un nombre croissant de lois et de réglementations nationales sur la sécurité des données qui s'adressent au secteur des assurances.
Les exigences de cybersécurité pour les sociétés de services financiers (partie 500) du Département des services financiers de l'État de New York (NYDFS), qui sont pleinement entrées en vigueur le 1er mars 2019, sont l'une des premières réglementations de cybersécurité destinées aux sociétés de services financiers, y compris les compagnies d'assurance, à, entre autres, adopter des programmes écrits de sécurité de l'information qui traitent de la protection des informations non publiques et des systèmes d'information.
La loi SHIELD de New York prévoit également un large champ d'application pour les entreprises concernées, ainsi qu'une dimension extraterritoriale, ce qui signifie que la plupart des compagnies d'assurance seraient soumises aux exigences de sécurité prescriptives de la loi. Ces exigences comprennent des mesures de protection administratives, techniques et physiques.
L'Association nationale des commissaires aux assurances (NAIC), qui préparait séparément une loi type sur la cybersécurité, a adopté la loi type sur la sécurité des données d'assurance (loi type sur la sécurité), très proche de la NYDFS. Bien que la NYFDS soit plus prescriptive que la loi type sur la sécurité, toutes deux établissent des normes de sécurité des données dans le secteur de l'assurance, notamment des obligations d'enquête et de notification en cas d'incident de sécurité des données.
Outre les lois et réglementations nationales spécifiques au secteur de l'assurance, les assureurs sont également soumis aux lois générales sur la sécurité des données des États où ils exercent leurs activités. Ces mesures couvrent les données collectées par les assureurs en dehors du contexte de l'assurance, comme les informations personnelles des employés.
À ce jour, 13 États ont adopté la loi type sur les sûretés, et chaque État l'adapte à ses propres spécificités. Malgré quelques différences entre le NYFDS, la loi type sur les sûretés et les versions étatiques de cette loi, elles sont toutes sensiblement similaires.
Toutes ces mesures obligent les assureurs à :
- effectuer une évaluation des risques
- mettre en œuvre et maintenir un programme de cybersécurité basé sur les risques identifiés
- élaborer, mettre en œuvre et maintenir un plan de réponse aux incidents de violation
- assurer la surveillance des prestataires de services tiers
- enquêter et signaler les incidents de sécurité des données
- certifier la conformité à la loi/au règlement type concerné
NAIC et la future loi type sur la protection de la vie privée
Au cours de l'année écoulée, la NAIC a travaillé à la mise à jour d'un modèle de loi sur la confidentialité qui vise à s'aligner sur les approches actuelles en matière de confidentialité reflétées dans la loi modèle sur la sécurité, le CCPA et le règlement général sur la protection des données (RGPD) de l'UE.
Le groupe de travail chargé des mises à jour a été chargé de recommander si, et dans quelle mesure, une « actualisation » est nécessaire. Cinq points clés sont examinés :
- types de collecte, de partage et d'utilisation des données spécifiques aux assureurs
- comment le risque de confidentialité affecte les consommateurs d'assurance
- lacunes dans la législation fédérale et étatique
- obligations que les assureurs devraient avoir envers les consommateurs
- quels droits les consommateurs devraient avoir pour contrôler leurs informations personnelles
Lors de la dernière réunion, le groupe a discuté d'un premier projet d'analyse des lacunes des problèmes de consommation qui comprend :
- notifications
- portabilité
- opt-ins/opt-outs
- divulgations
Bien qu'aucune date limite n'ait été fixée pour les commentaires et les mises à jour du modèle de loi sur la protection de la vie privée, la récente réunion montre que le secteur des assurances doit être prêt à se conformer à tout ce que le groupe de travail publiera en fin de compte.
Ce que les compagnies d'assurance peuvent faire maintenant pour rester conformes
Les compagnies d’assurance sont confrontées à des défis complexes lorsqu’il s’agit de sécuriser les données et de se conformer à la réglementation.
Les assureurs doivent prendre des mesures concrètes pour mettre en place un programme de données complet qui ne néglige aucune donnée et offre une visibilité totale sur les informations personnelles et sensibles de leur organisation, sur l'ensemble des systèmes et sources de données. Voici quelques points que les compagnies d'assurance devraient pouvoir cocher :
- Connaissez vos données: Combiner l’identification des données personnelles et la classification des données sensibles.
- Définir PI et SPI : Automatisez la découverte, l'identification et la cartographie de tous vos PI et SPI, où qu'ils se trouvent : sur site, dans le cloud et en mode hybride.
- Données d'étiquettes et de marquage à des fins juridiques : Veiller à ce que les données soient identifiées et étiquetées de manière appropriée conformément aux diverses réglementations applicables aux assureurs.
- Donner la priorité aux données vulnérables: .
- Rationalisez la réponse aux violations et les notifications : Déterminez avec précision les utilisateurs impactés suite à une violation de données et simplifiez la réponse aux incidents
- Définir et appliquer les règles de conservation des données: Mettez en place des flux de travail automatisés et découvrez les données en double, dérivées et similaires pour la confidentialité, la gouvernance et la création de rapports efficaces.
- Automatiser l'exécution des droits d'accès aux données: Automatisez l’exécution manuelle des demandes d’accès et de suppression de données individuelles.
- Détecter les transferts de données transfrontaliers hors politique: Suivez les violations d'accès, d'utilisation et de transfert des données dans toute l'organisation pour une action immédiate.
Apprenez comment Les organismes d'assurance peuvent exploiter BigID pour créer un inventaire de données complet qui offre une visibilité complète sur les PI et SPI dont vous disposez - et prendre des mesures pour gérer les risques qui y sont associés dans l'ensemble de l'organisation.
Auteur
