Mercredi 17 février 2021
Article de Nessim BEN GHARBIA interrogeant notamment Maître Pierre CRAPONNE, responsable du département Protection des Données et Cyber-Risques , pour la Tribune de l’Assurance
L’assurance s’est adaptée à la digitalisation exponentielle du secteur des services. En parallèle, le cadre juridique censé garantir la sécurité et la confidentialité des données partagées aux assureurs s’est lui aussi étayé. Quels sont les principes qui guident le traitement des données en assurance ? Et comment les acteurs s’y sont adaptés pour respecter aussi bien le RGPD que les recommandations de la Cnil ? Éléments de réponse.
La sécurité des données, c’est l’énorme marché de risque qui est en train d’émerger et sur lequel les acteurs de l’assurance devront se positionner », prophétise François-Xavier Combe, CEO de l’AssurTech EasyBlue. En effet, et face à une numérisation croissante des services, l’assurance s’est digitalisée à vitesse grand V, et il est possible désormais de souscrire (ou résilier) une police d’assurance en ligne, tout comme le fait de déclarer un sinistre à son assureur depuis son smartphone. Les AssurTech proposent même un modèle 100 % en ligne qui permet de gérer son contrat d’assurance sans avoir à se déplacer dans une agence. Mais face à cette déferlante numérique, des craintes sont vite apparues quant au sort des données numériques transmises à l’assureur (sur la situation personnelle de l’assuré, ses données de santé, son adresse, ses identifiants bancaires…). La possibilité d’une cyberattaque comme celle de l’utilisation « malveillante » de ces données a rendu indispensable d’édicter des règles à suivre pour tous les acteurs.
Prenant le taureau par les cornes, la Commission nationale de l’informatique et des libertés (Cnil) a publié en 2014 (bien avant l’entrée en vigueur du RGPD) un Pack de conformité assurance (1) détaillant les grandes lignes à suivre quant au traitement des données transmises par les assurés. Le RGPD, en vigueur depuis le 25 mai 2018, étoffe ce dispositif.
Grands principes de traitement des données en assurance
Depuis l’instauration du RGPD, les sociétés d’assurance sont tenues de respecter leurs obligations de « responsables de traitement ». C’est le principe d’accountability (responsabilisation) qui désigne selon la Cnil l’obligation pour les entreprises de mettre en place des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. En cas de contrôle, les sociétés d’assurance devront prouver via de la documentation qu’elles l’ont bien respectées. Aussi, les entreprises d’assurance doivent respecter le principe de finalité des données : « Le consentement de la personne concernée ne vaut que pour la finalité qui lui est annoncée et pour la durée nécessaire au traitement. Les entreprises d’assurance ne peuvent, en principe, utiliser des données collectées pour une finalité ultérieure », explique Gérard Haas, avocat spécialisé en protection des données personnelles.
Enfin, les professionnels de l’assurance sont tenus de respecter le principe de la sécurité de la donnée. Des mesures techniques et organisationnelles (demande de mot de passe par téléphone, ou vérification de l’adresse IP, etc.) doivent être prises pour garantir la confidentialité des informations transmises par les assurés. Pour Pierre Craponne, avocat associé du cabinet Choisez et DPO certifié par la Cnil : « L’assurance a compris qu’il y a un vrai risque à ne pas se mettre en conformité avec le RGPD. Sur un autre volet, il y a un fort enjeu commercial qui consiste à pouvoir garantir à leurs clients la parfaite sécurisation de leurs données, notamment personnelles. »
La Cnil tape fort
Cette prise de conscience a été accélérée par la sanction prononcée par la Cnil en 2019 à l’encontre du courtier Active assurances pour un montant élevé de 180 000 €. Le gendarme des données personnelles reprochait au courtier d’avoir insuffisamment protégé les données de ses clients (il s’agissait en l’espèce de copies de permis de conduire, de cartes grises, de relevés d’identité bancaire ainsi que des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite), qui de fait se sont retrouvées à la portée d’autres utilisateurs du site. Bien que peu médiatisée par rapport à d’autres sanctions de la Cnil à l’instar de l’amende infligée à Google, la sanction n’est pas moins importante, comme le détaille Pierre Craponne : « Si on met en parallèle l’amende prononcée à l’encontre d’Active assurances avec les autres sanctions prononcées par la Cnil entre 2018 et 2020, celle à l’encontre du courtier fait partie des sanctions les plus lourdes en termes de pourcentage puisqu’elle s’élevait à 1,7 % du chiffre d’affaires annuel. Cette sévérité s’explique par le fondement juridique retenu, à savoir les manquements à la sécurité des données et à la confidentialité, et le nombre de personnes concernées. La Cnil se montre en général intransigeante sur ce fondement. »
Aussi, la Cnil a mis en demeure en 2018 les IP Humanis et Malakoff Méderic pour détournement de finalité des données collectées. En l’espèce, il était reproché aux deux organismes d’utiliser les données personnelles qu’elles détiennent dans le cadre de leur mission d’intérêt général de mise en œuvre des régimes de retraite complémentaire afin de faire de la prospection commerciale pour des produits et services de prévoyance (notamment des contrats obsèques). La Cnil n’est pas allée plus loin, les groupes de protection sociale s’étant mis en conformité.
Enfin, la Cnil a prononcé le 7 décembre dernier deux amendes de 3 000 € et 6 000 € à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients. Pour Pierre Craponne, des parallèles sont à opérer entre ces sanctions et de possibles actions contre les assureurs : « À travers ces sanctions, la Cnil démontre qu’elle ne se contente plus de sanctionner de grands groupes ou de grandes structures, mais qu’elle est capable de venir contrôler de plus petits opérateurs. C’est un message à tout le tissu économique français, dont au premier plan l’assurance, particulièrement concernée car traitant d’importantes quantités de données. » Cette gradation des sanctions (mise en demeure pour Humanis et Malakoff Méderic, sanction à l’encontre d’Active assurances…) illustre la volonté de « pédagogie » de la Cnil. Après avoir laissé du temps aux acteurs pour se mettre en conformité, le gendarme des données personnelles durcit le ton. En somme, plus la date d’entrée en vigueur du RGPD s’éloigne dans le temps, plus les contrôles devraient être rigoureux, et les sanctions alourdies.
L’assurance en ordre de marche
Particulièrement exposées au risque de cyber attaque ou de détournement de données de par leur fonctionnement 100 % digital, les AssurTech redoublent d’efforts pour garantir une bonne protection des informations de leurs clients. Easy Blue, comme le souligne son CEO François-Xavier Combe, « a eu la chance de faire naître sa plate-forme alors que le RGPD était déjà en application. Tous nos standards de collecte de données sont absolument calqués sur le RGPD. Notre politique de gestion des données s’inscrit dans une très grande transparence, nous expliquons à chaque étape pourquoi on pose cette question, pourquoi on récupère cette donnée, en quoi elle va servir. Nous n’avons pas d’exploitation commerciale des données, elles sont complètement transparentes. Le client a un compte rendu total des données qu’il nous a fournies et il peut les modifier à tout moment ».
Du côté de l’AssurTech Lovys, on a plutôt misé sur les tests de sécurité, comme l’explique son fondateur et CEO Joao Cardoso : « Après le lancement de chaque produit, nous effectuons des tests de sécurité à différents niveaux, pour protéger au maximum les données client. On a également mis en place des processus pour déterminer si on est face à un prospect ou face à un robot. Nous sommes parfaitement conscients des enjeux du RGPD et la protection des données personnelles de nos clients est une priorité. »
D’autres acteurs de l’assurance choisissent de s’appuyer sur des fournisseurs, comme DreamQuark, qui intervient régulièrement pour le compte d’assureurs : « Nous proposons des logiciels qui, via des mécanismes de chiffrement, empêchent que les données récoltées par les assureurs ne soient utilisées à d’autres fins que celles pour lesquelles elles ont été récoltées notamment lorsqu’elle sont envoyées dans le cloud », souligne Nicolas Méric, CEO de DreamQuark. Enfin, sur la question du recueil du consentement, des start-up interviennent également pour le compte d’assureurs. C’est le cas de Commanders Act, un fournisseur de logiciel qui travaille notamment avec Axa, Allianz et Covéa. « Parmi les solutions proposées, on trouve le déploiement d’une bannière qui permet de s’assurer du recueil du consentement de l’utilisateur », souligne à cet égard Michael Froment, directeur et cofondateur de Commanders Act.
Dans leurs efforts de mise en conformité avec le RGPD, les professionnels de l’assurance ont eu la chance de voir l’entrée en vigueur du règlement européen coïncider avec celle d’un autre texte important : la Directive sur la distribution de l’assurance (DDA). Pour Pierre Craponne, la concomitance a facilité la formation conjointe : « La double entrée en vigueur de la DDA et du RGPD a permis de dispenser une vague de formations un peu plus complètes aux professionnels en confrontant les besoins d’information de la DDA à la nécessité de limiter et de sécuriser la collecte de données du réglement. »
Problématique des données instantanées
Dans cette course à la data, les professionnels de l’assurance s’intéressent de près aux données dites quantified self, qui visent à mieux se connaître en utilisant les données relatives à son corps et à ses activités physiques. Selon les paramétrages effectués, l’opérateur du service peut récolter des données sur le poids, la tension, les calories quotidiennement consommées, les distances parcourues, le rythme cardiaque, etc. Pour les assureurs, la possibilité de récolter un maximum de données pour mieux quantifier/calculer le risque est séduisante. Dans l’idéal, tout assureur santé rêverait de disposer d’objets connectés (tels une montre ou un bracelet connectés) qui lui fournirait un panorama complet sur la situation du client. Et beaucoup s’y essaient en dépit des risques de dérives.
Jusqu’auboutisme réglementaire ?
Dans ce cadre, et pour tenter d’anticiper ces risques, un groupe de députés a déposé début 2019 une proposition de loi (2) visant à « interdire l’usage des données personnelles collectées par les objets connectés dans le domaine des assurances ». Par le visa d’un article unique, la proposition de loi énonce que « le traitement de données à caractère personnel récoltées par un capteur de santé, relatives au mode de vie ou à l’état de santé du preneur d’un produit répondant aux définitions contenues dans le Code des assurances ou du code de la mutualité est interdit ». Pour l’heure, ce texte qui fait figure d’épouvantail pour les assureurs, est resté lettre morte et les données quantified self restent au regard de la réglementation considérées comme les autres. Pour Pierre Craponne, l’utilisation de cette technique de mesure n’est pas mauvaise en soi, à condition d’être accompagnée par un cadre réglementaire rigoureux : « Les assureurs se plaignent souvent d’un manque d’informations sur leurs assurés, et l’utilisation des données quantified self peut constituer une solution. Cela étant, il est nécessaire d’être vigilant sur les données collectées. Une totale transparence sur leur finalité est indispensable, et un cadre réglementaire et contractuel clair doit organiser cette pratique, afin justement d’éviter toute dérive. »
Même son de cloche pour François-Xavier Combe d’Easy Blue : « Rien n’est mauvais en soi, tout dépendra de la transparence que nous sommes capables de mettre en face du traitement de chaque donnée, pour que le deal soit clair avec le client. Demain, nous pourrons optimiser beaucoup de choses dans les contrats d’assurance grâce à l’Open Data et à l’Open Banking dès lors que le client autorise ce recours à ses données et pour que ça marche, il faut que je sois capable de dire à mon client qui me partage sa donnée : je vais en faire ça, et seulement ça, et voilà le bénéfice que tu vas en tirer. » Vaste programme.
(1) https://www.cnil.fr/sites/default/files/typo/document/PACK_ASSURANCE_complet.pdf
(2) https://www.assemblee-nationale.fr/dyn/15/textes/l15b1603_proposition-loi