Le 28 janvier, c’est la Journée internationale de la protection des données. Garantir la confidentialité des données est bien plus qu’une obligation légale... Chez Fédérale Assurance c’est une engagement envers nos clients. Comment procédons-nous ? Nous avons posé la question à nos expertes internes : Amandine Rouvroy, notre Chief Data Officer, et Véronique Mangon et Anne-Sophie Hombert, toutes deux Data Protection Officers chez Fédérale Assurance. 

Pourquoi la protection des données est-elle si importante pour Fédérale Assurance ? 

Amandine : « Chez Fédérale Assurance, tout repose sur la confiance. Nous avons accès aux données personnelles de nos clients, qu’il s’agisse d’informations financières ou, par exemple, de données médicales. Il est donc essentiel de respecter les normes les plus élevées en matière de protection des données. Nos clients doivent pouvoir avoir confiance en la sécurité de leurs données, et nous devons mériter cette confiance au quotidien. » 

Véronique : « Par ailleurs, les exigences légales sont de plus en plus strictes. Nous devons nous conformer non seulement aux réglementations nationales et européennes, comme le RGPD, mais aussi à de nouvelles obligations comme DORA et les rapports ESG. Cela signifie que nous devons continuellement améliorer nos processus pour répondre à ces exigences. Mais cela va au-delà de la simple conformité : la protection des données doit faire partie intégrante de la culture de l’entreprise. Sans cette sensibilisation, nous restons vulnérables. » 

Comment assurons-nous une protection qualitative des données ? 

Amandine : « Cela repose sur trois grands piliers : la sensibilisation, l’optimisation des processus et le renforcement de notre infrastructure IT. Ces éléments fonctionnent de manière complémentaire. Si les collaborateurs ne sont pas conscients des risques, les solutions techniques ne servent à rien. Et sans processus pertinents, il n’y a pas de base pour une sécurité efficace. 

La protection des données doit être ancrée dans la structure de l’organisation. C’est pourquoi nous avons mis en place un cadre de gouvernance des données. Celui-ci constitue les fondations qui nous permettent de gérer les données de manière sécurisée et contrôlée, tout en nous offrant une feuille de route concrète pour les années à venir. » 

Comment sensibilisons-nous nos collaborateurs ? 

Anne-Sophie : « Nous voulons que la protection des données devienne un réflexe. C’est pourquoi nous organisons, par exemple, des formations en ligne obligatoires sur la cybersécurité. Celles-ci font partie des KPI de l’ensemble du groupe, ce qui signifie que les bonus des collaborateurs en dépendent en partie. Par ailleurs, nous collaborons avec tous les départements qui traitent des données personnelles pour améliorer leurs processus. Notre rôle en tant que Data Protection Officer est avant tout d’être présents. Nous visitons les départements, analysons leur gestion des données et faisons des propositions pour les sécuriser et les rendre plus efficaces. Ce n’est pas seulement une question de conformité, il faut que chacun comprenne pourquoi c’est crucial. » 

Quelles mesures avons-nous prises pour optimiser nos processus ? 

Véronique : « La collaboration est essentielle. Autrefois, nous travaillions souvent en silo, ce qui entraînait des malentendus et des inefficacités. Aujourd’hui, nous essayons de travailler de manière plus transversale en utilisant les mêmes outils et processus, et en réunissant toutes les parties prenantes autour de la table. 

Une autre étape importante est notre approche basée sur les risques. Plutôt que de tout aborder en même temps, comme nous le faisions auparavant, nous donnons la priorité aux risques les plus élevés. Cette méthode nous permet de travailler plus efficacement et de réaliser de véritables progrès. » 

Qu’en est-il de l’infrastructure IT et des mesures de sécurité ? 

Amandine : « Sur le plan technique, nous avons lancé un projet entièrement dédié au renforcement de notre infrastructure de cybersécurité. Cela comprend la sécurisation des systèmes, des réseaux et des appareils. De plus, nous testons en continu la sécurité de nos systèmes afin d’identifier rapidement les vulnérabilités et d’améliorer notre résilience. » 

Et l’intelligence artificielle (IA) ? 

Anne-Sophie : « L’IA offre certainement des opportunités, mais elle comporte aussi des risques, notamment en matière de confidentialité. Des outils comme ChatGPT gagnent en popularité, mais ils ne sont pas intégrés dans nos systèmes sécurisés. Si vous partagez (involontairement) des données personnelles ou des informations sensibles via ces outils, vous enfreignez les règles de confidentialité et de sécurité. Nous travaillons activement sur des solutions pour éviter ce genre de situation. L’IA peut aider à optimiser les processus, mais en matière de protection des données, nous restons prudents pour l’instant. » 

Véronique : « Nous avons récemment créé un groupe de travail composé d’une vingtaine d’experts issus de différents départements pour examiner et coordonner tous les projets et priorités liés à l’IA. Ne pas implémenter l’IA n’est plus une option, mais il faut le faire avec prudence. » 

Qu’en est-il de l’avenir ? 

Amandine : « Notre priorité est de continuer à renforcer nos capacités en matière de données. Notre travail n’est jamais terminé. Les hackers évoluent constamment, et avec l’arrivée de l’IA, leurs méthodes deviennent de plus en plus sophistiquées. Nous devons toujours garder une longueur d’avance. La clé réside dans un investissement continu dans la sensibilisation, la technologie et la collaboration. Comme je l’ai déjà dit : la protection des données n’est pas seulement une question IT, c’est une responsabilité partagée. »