Skip to Main Content
Service clientCommencer
Sélectionner une langue
Connexion de l’agent
30 septembre 2024

Ce que chaque assureur IARD doit savoir sur la protection des données et la confidentialité

Les violations de données ont fait les manchettes dans le monde entier en 2018. Des entreprises comme T-Mobile, Quora, Google, Orbitz et Facebook ont été touchées, exposant les informations personnelles de millions de personnes.

La protection des données et la confidentialité sont des problèmes sérieux dans le monde hyperconnecté d’aujourd’hui, et elles occupent le devant de la scène dans de nombreuses législatures d’État. Les risques et les défis de la sécurité des données devraient être au cœur des préoccupations des entreprises, des agents et des courtiers dans le domaine de l’assurance de dommages.

Principaux enjeux en matière de sécurité et de confidentialité des données d’assurance

Des questions de sécurité, de protection et de confidentialité des données se posent quotidiennement. Qu’est-ce qui cause ces attaques et comment y mettre fin ?

« Les violations de données peuvent se produire pour diverses raisons. Certaines entreprises sont piratées. Les données peuvent être mal traitées ou vendues à des tiers. Des failles dans le système de sécurité d’un site web peuvent laisser des informations sans protection », explique Paige Leskin de Business Insider.

Les entreprises sont confrontées à un besoin pressant de protéger les données des clients et de l’entreprise tout en rendant la communication simple et accessible à tous. L’année 2018 a été la première année au cours de laquelle de nombreux États ont pris des mesures réglementaires actives pour relever ce défi. À mesure que la législation sur la sécurité des données d’assurance augmente, les questions relatives à ces lois deviennent plus complexes pour les compagnies d’assurance.

Règlements disparates

L’un des plus grands problèmes auxquels sont confrontés les fournisseurs d’assurance est le manque d’exigences cohérentes en matière de sécurité et de confidentialité des données dans les différents États.

Les réponses des États aux préoccupations en matière de protection des données et de la vie privée sont apparues de manière disparate. Les 50 États ont actuellement des lois sur la notification des violations de données, mais la majorité n’a pas abordé la cybersécurité dans le contexte de l’assurance en particulier, disent Bindu Nair et Sean B. Hoar, avocats chez Lewis Brisbois Bisgaard & Smith LLP.

Par exemple, la loi californienne sur la confidentialité des données donne aux consommateurs un contrôle sans précédent sur leurs données personnelles, ce qui pose à la fois des défis et des opportunités pour les compagnies d’assurance qui opèrent dans l’État, explique Don Jergler dans Insurance Journal.

Ces lois varient actuellement d’un État à l’autre, mais l’idée d’une loi nationale sur les violations de données est approuvée par le département du Trésor américain, disent Nair et Hoar.

Coûts de la protection des données

Les modifications apportées à la réglementation sur la protection des données suscitent également des préoccupations en matière de coûts pour les assureurs de dommages, en particulier lorsque ces entreprises sont déjà confrontées au double défi de la baisse des souscriptions d’assurance automobile et de l’augmentation des réclamations pour dommages matériels.

« L’effet réel sera une énorme augmentation du coût de la conformité, ce qui ne fait probablement pas partie du budget actuel de l’institution », prédit Richard Fernandez, spécialiste de la cyber-responsabilité.

Le coût comprendra le besoin de personnel dédié à la cybersécurité et à la conformité, qui sont exigés par plusieurs lois d’État récemment promulguées. Alors que divers tribunaux ont rendu des décisions différentes sur des litiges civils impliquant des violations de données de clients, les compagnies d’assurance sont également confrontées à un paysage juridique de plus en plus complexe, explique l’avocate Kimberly Horn.

femme d’affaires mains analyser l’évaluation sur des documents de données

Les États prennent des mesures en matière de sécurité des données

En l’absence d’une réponse fédérale unifiée à la sécurité des données d’assurance, les États américains ont commencé à réglementer eux-mêmes la question. New York et le Rhode Island ont adopté des règles concernant la protection des données d’assurance et la vie privée, tandis que la Caroline du Sud, le Michigan et l’Ohio ont adopté une loi type en 2018.

D’autres États, dont la Géorgie, l’Illinois, le Kentucky, le Maryland et la Virginie, envisagent des lois sur la sécurité des données d’assurance. De tels changements initiés par l’État obligent les assureurs IARD locaux à faire face à un paysage réglementaire de plus en plus complexe, explique Christopher M. Brubaker de PropertyCasualty360.

New York

New York a ouvert la voie à une réglementation spécifique à la protection des données des assurances. Le Département des services financiers (DFS) de l’État a mis en œuvre une réglementation sur la cybersécurité en 2017. Elle exigeait des compagnies d’assurance qu’elles mettent en œuvre une authentification multifactorielle pour l’accès aux données et qu’elles signalent les incidents de cybersécurité dans les 72 heures. Cela impliquait également des exigences supplémentaires en matière de gouvernance et de responsabilité sous la forme d’un responsable de la sécurité de l’information (CISO), explique Larry Bianculli, directeur général de CCSI.

La loi type sur la sécurité des données d’assurance de la NAIC, publiée fin 2017, est basée sur la réglementation de New York. Plusieurs États ont adopté la loi type dans son intégralité, tandis que d’autres envisagent des projets de loi qui promulgueraient certaines des dispositions de la loi type.

Caroline du Sud

La Caroline du Sud a fait la une des journaux en mai 2018 en devenant le premier État à adopter la loi type sur la sécurité des données d’assurance NAIC.

La loi de la Caroline du Sud exige que les particuliers et les entreprises titulaires d’une licence en vertu des lois sur les assurances de la Caroline du Sud respectent de nouvelles exigences en matière de sécurité des données. Au cœur de la loi se trouve l’obligation de créer un programme écrit complet de sécurité de l’information (WISP), explique Nameir Abbas, avocat chez Alston & Bird.

En cas d’atteinte à la protection des données, les assureurs sont tenus d’enquêter sur l’événement, d’en évaluer la nature et la portée, d’identifier les renseignements compromis et de « prendre des mesures raisonnables pour rétablir la sécurité des renseignements compromis », affirment Joshua Mooney, Richard Borden et Sedgwick Jeanite de White & Williams LLP. Les assureurs sont également tenus de signaler certains événements au département des assurances de l’État.

Michigan et Ohio

Le Michigan et l’Ohio ont également promulgué des lois sur la sécurité des données d’assurance en décembre 2018, adoptant la loi type sur la sécurité des données d’assurance NAIC. Les nouvelles lois s’appliquent à toute personne ou entreprise agréée par les départements d’assurance des États respectifs.

La loi du Michigan intègre également plusieurs dispositions de la loi sur la prévention du vol d’identité de l’État, explique Kate Hanniford, avocate et membre de l’équipe d’intervention en cybersécurité chez Alston & Bird.

La loi de l’Ohio ne couvre que les assureurs, les agences et les courtiers qui font des affaires dans l’Ohio. « Les réassureurs domiciliés en dehors de l’Ohio ainsi que les groupes de rétention des risques et les groupes d’achat agréés dans un autre État sont exclus de la loi », déclarent Edward R. McNicholas et Thomas D. Cunningham, avocats et associés chez Sidley.

Deux hommes d’affaires discutent d’un contrat au bureau

Comprendre la loi type sur la sécurité des données d’assurance

La loi type sur la sécurité des données d’assurance de la NAIC « établit un cadre juridique pour exiger des organisations d’assurance qu’elles mettent en œuvre des programmes de cybersécurité complets », explique Matt Franko, directeur de la sécurité, de la confidentialité et des risques chez RSM. Ce cadre couvre un large éventail de questions de sécurité des données, allant des tests de cybersécurité et de la surveillance du conseil d’administration aux plans d’intervention en cas d’incident et aux procédures de notification des atteintes.

La loi type a déjà été adoptée par plusieurs États et elle est à l’étude dans d’autres législatures d’État. Sa popularité fait qu’il vaut la peine d’être pris en considération par les compagnies d’assurance de dommages, les agents et les courtiers.

Trois dispositions notables définissent cette législation, disent Andreas Kaitsounis et Shea M. Leitch, avocats chez Baker Hostetler. Premièrement, la loi type définit les informations non publiques de manière large, y compris non seulement les informations personnelles des clients, mais aussi certains types d’informations commerciales sensibles.

« À titre d’exemple, cela signifie qu’un événement de ransomware qui paralyse les opérations commerciales d’une entité déclencherait probablement une obligation de préavis, même si l’événement n’impliquait pas d’informations personnelles », expliquent Kaitsounis et Leitch.

La loi type fixe également des exigences strictes pour les programmes de sécurité de l’information, y compris des programmes écrits, des plans d’intervention en cas d’incident et des exigences de surveillance à la fois au sein de l’organisation et dans les relations avec les tiers.

Enfin, les dispositions de confidentialité de la loi type sont assez larges, protégeant les informations liées aux événements de cybersécurité contre les demandes de documents publics, les citations à comparaître ou l’utilisation dans des litiges civils privés.

Bien que la NAIC ait activement encouragé l’adoption de sa loi type par divers États, la loi type elle-même n’a aucun effet tant qu’elle n’est pas promulguée par une législature d’État. À ce jour, plusieurs États ont promulgué la loi type avec des modifications pour s’adapter à leurs propres systèmes de réglementation des assurances existants.

Par exemple, alors que la loi type ne donne aux assureurs qu’un an pour se conformer à ses règlements, le Michigan a adopté un système permettant d’échelonner les exigences sur une période plus longue. La loi entre en vigueur le 20 janvier 2021, ce qui donne aux assureurs un an pour se conformer à la plupart des dispositions et deux ans pour se conformer aux exigences des fournisseurs de services tiers, selon Lawrence R. Hamilton, Jeffrey P. Taft et Matthew Bisanz de PropertyCasualty360.

La loi type exige que les assureurs respectent les exigences générales d’un État en matière de notification des violations de données. Pourtant, l’Ohio et le Michigan ont remplacé ce langage par des exigences spécifiques de notification des violations de données qui s’appliquent uniquement aux agents d’assurance, aux courtiers et aux sociétés couvertes par la loi, explique l’avocate et actionnaire Josephine Cicchetti.

Alors que les États continuent de tester leurs propres itérations de la loi type, les compagnies d’assurance devront prendre note de la nature changeante des réglementations sur la confidentialité des données, tant dans toutes les régions que dans le temps.

Images par : Sergey Nivens/©123RF.com, swollowpp/©123RF.com, stylephotographs/©123RF.com