Données personnelles : les assureurs s'approprient les codes

Par - Publié le

,

Après un travail de longue haleine, la Cnil, en collaboration étroite avec les assureurs, a publié les textes réglementaires du « pack assurances ». Une démarche empreinte de pragmatisme qui permet d'envisager l'avenir avec sérénité.


Hiroshi Watanabe/GettyImages

Plus fort que le « e-constat » ! Le « pack assurances », qui regroupe désormais l'ensemble des normes applicables aux assureurs en matière de traitement des données à caractère personnel, a fédéré l'ensemble de la profession, de la production à la distribution. Pour preuve, la FFSA et le Gema réunis au sein de l'Association française de l'assurance (AFA), le CTip, la CSCA et la FNMF ont accompagné la Commission nationale de l'informatique et des libertés (Cnil) dans ses travaux normatifs qui ont duré deux ans, faisant ainsi de l'assurance le premier secteur réglementé à disposer d'un tel corps de règles. Le pack doit ainsi permettre aux assureurs d'envisager les traitements de données dans un environnement juridiquement sécurisé. Pas moins de cinq textes en sont issus (lire l'encadré ci-contre). Ils sont transversaux pour toutes les familles de l'assurance et concernent toutes les branches, tant en assurances de personnes qu'en dommages.

Le bon timing

C'est au début de l'année 2012 que la Cnil a pris l'initiative de s'intéresser de près aux données personnelles collectées par les assureurs et à ce qu'ils en font. Il était temps. En effet, la « NS 16 » datait du 20 janvier 1981 et était circonscrite à la passation, à la gestion et à l'exécution des contrats. Entre-temps, la vague de fond numérique n'a eu de cesse de déferler dans toutes les procédures métiers des assureurs. Et l'heure du Big Data a sonné. Sur bien des aspects les assureurs devaient donc faire sans autre support que la loi Informatique et Liberté de 1978 (loi I&L) qui fixe les grands principes mais ne contient pas d'approche pratique. Raison pour laquelle la Cnil est dotée d'un pouvoir réglementaire.

Travaux préparatoires

Pourtant la partie n'était pas gagnée d'avance. En effet, les discussions européennes sur le contenu du futur règlement en matière de données personnelles, d'application directe en France, s'éternisent. Alors, pourquoi ne pas attendre ? Pas le temps au regard des enjeux. Comme l'explique Philippe Poiget, directeur des affaires juridiques, fiscales et de la concurrence à la FFSA, « les travaux en cours sur le projet de règlement européen relatif à la protection des données personnelles sont complexes et prendront encore du temps avant d'aboutir. Il était souhaitable que la Cnil apporte la sécurité juridique des traitements de données qui est un impératif pour nos métiers ». Il faut préciser que bien qu'adopté en première lecture le 12 mars 2014 devant le Parlement européen, le texte du règlement est pourtant loin d'être finalisé. Il fait actuellement l'objet d'un trilogue entre le Conseil, la Commission et le Parlement européen. De plus, sur le plan national, la grande loi sur le numérique continue de se faire attendre. Aux dernières nouvelles, la phase de concertation thématique lancée par le Conseil national du numérique (CNNum) se terminera le 15 janvier 2015. Dans ce contexte incertain, il est apparu aux assureurs qu'il « fallait y aller ». Le business n'attend pas. Oui, mais comment ?

La méthode qui a conduit à l'adoption du pack assurances est sans doute le point le plus remarquable du travail réalisé. En effet, dès 2012, la Cnil et les professionnels ont travaillé main dans la main, en ayant en tête les préoccupations opérationnelles : d'où « un dialogue approfondi, fondé sur l'échange avec les praticiens », poursuit Philippe Poiget. De plus, la Cnil a publié pour chaque texte une fiche pratique (1) qui fourmille de cas concrets permettant une mise en oeuvre plus aisée de la conformité. Enfin, pour parfaire cette approche pratique, il est convenu que les assureurs et la Cnil se retrouvent régulièrement au sein du « Club conformité » (voir l'interview de Sophie Nerbonne), pour faire vivre le pack assurances en prenant en compte les évolutions métier. Sur un plan général, c'est aussi une posture qui met la Cnil en position d'être un acteur favorisant l'économie. Comme l'explique Édouard Geffray, son secrétaire général : « En aucun cas la Cnil ne freine l'innovation, elle l'accompagne en intégrant dès le départ les préoccupations qui sont les nôtres » (2). Ces préoccupations sont sous-tendues par des principes de la loi I&L qui structurent la collecte et le traitement des données. En tête de ces principes, on trouve l'usage légitime. Pour les assureurs ce point n'a pas été difficile à prouver : « les données sont omniprésentes dans nos métiers. C'est toujours dans le cadre d'une obligation réglementaire que l'assureur est amené à les collecter » souligne Philippe Poiget.

Fraude et NIR-RNIPP

Certains sujets ont tout de même été âprement discutés. Il en va ainsi de l'AU 39 sur la lutte contre la fraude. En effet, les mécanismes de détection de la fraude flirtent avec les principes de la loi I&L. François Rosier, directeur adjoint aux affaires juridiques de la FFSA, en donne une illustration : « pour encadrer l'interconnexion de fichiers, la Cnil, qui est particulièrement vigilante sur ce sujet, a prévu que les alertes qui concerneraient un salarié dans le cadre de la lutte contre la fraude interne devraient faire l'objet d'une requête individuelle ». L'autre sujet sur lequel les assureurs auraient souhaité obtenir davantage concerne la très actuelle question des contrats d'assurance vie non réclamés. Seulement voilà, le numéro de Sécu, NIR pour les initiés, jouit d'une inviolabilité quasi-pontificale, justifiée par son appartenance à la sphère sociale. Selon Maud Schnunt, responsable assurances de personnes et affaires européennes au Gema, « il est vrai qu'au regard des obligations que nous impose la législation sur les contrats d'assurance vie non réclamés, nous aurions aimé avoir accès au NIR, seule source absolument fiable pour attester du décès des assurés. Le RNIPP (Répertoire national d'identification des personnes physiques) auquel les assureurs ont aujourd'hui accès présente des imperfections».

Quoi qu'il en soit, sur un sujet aussi prometteur que le numérique, il est louable de constater que l'on peut lier une approche concrète sans transiger sur les principes et aboutir à un résultat opérationnel. Dans le jargon, c'est « gagnant-gagnant ».


1. À télécharger sur : www.cnil.fr
2. Lire l'interview dans L'Argus de l'assurance du 20 juin 2014.

LES MOTS DE L'ASSOCIATION FRANÇAISE DE L'ASSURANCE


« Pour les particuliers (habitation, automobile), la connaissance statistique des risques assurés permet de les évaluer avec un minimum de données. Cependant, un élargissement des données disponibles donne la possibilité d'affiner la connaissance des différentes catégories de risques et conduit à des offres plus adaptées. »

« La donnée est un élément compétitif, donnant un avantage décisif aux assureurs qui ont un meilleur accès et une meilleure capacité de traitement des données. Les assureurs doivent défendre, en évitant une utilisation excessive des données disponibles, une certaine conception de la solidarité, qui s'incarne en assurance par la notion de mutualisation des risques. »

Bernard Spitz, président de la FFSA et de l'AFA, et Pascal Demurger, président du Gema et vice-président de l'AFA

LES « AU » ET « NS » ASSURANCES


Les autorisations uniques (AU) servent à définir le régime juridique applicable aux fichiers ou traitements de données personnelles sensibles ou à risques, qui visent une même finalité et des catégories de données et de destinataires identiques. Le pack assurances en contient trois :
  • AU du 17 juillet 2014 : lutte contre la fraude à l'assurance ;
  • AU du 23 janvier 2014 : infractions, condamnations ou mesures de sûreté ;
  • AU du 23 janvier 2014 : répertoire national d'identification des personnes physiques (RNIPP) et numéro d'inscription au répertoire (NIR).


Les normes simplifiées (NS) servent à définir le régime juridique applicable aux fichiers ou traitements de données personnelles courants qui ne portent pas atteinte à la vie privée ou aux libertés. Le pack assurances en contient deux en date du 11 juillet 2013 :

  • NS sur la gestion commerciale de clients et de prospects ;
  • NS sur la passation, la gestion et l'exécution des contrats.



Effectuer une autre recherche

Rechercher

article extrait de l’argus de l’assurance

Tous les vendredis, l’information de référence
des institutionnels et des réseaux
 Contactez la rédaction
 Abonnez-vous