[DOSSIER] 2018 : le choc réglementaire 4/4

Josette Guéniau : « DDA ou RGPD... au dirigeant de choisir une ligne de conduite »

Josette Guéniau : « DDA ou RGPD... au dirigeant de choisir une ligne de conduite »
Josette Guéniau,conseil expert en assurance prévoyance et santé (Joxa)

Experte au sein du cabinet Joxa, Josette Guéniau explique en quoi les deux poids lourds de la réglementation 2018 – la directive sur la distribution d’assurances (DDA) et le règlement sur la protection des données personnelles (RGPD) – sont liés, et constate le peu d’engouement des acteurs de l’assurance pour ces sujets.

DDA implique de mieux connaître le client et RGPD de se limiter aux données essentielles. Ces règlements ne sont-ils pas en conflit ?
Mes interlocuteurs ne compren­nent pas le parallèle qui doit être fait entre les deux réglementations. Les travaux de réflexion à mener doivent être effectués à l’aune de ces deux dispositifs. DDA implique de mieux connaître ses clients – en collectant un plus grand nombre de données – alors que RGPD se ­limite aux données essentielles. Comment collecter et conserver les données marketing inutiles à l’exécution du contrat, mais ­nécessaires à justifier le fait que le produit vendu est adapté aux besoins du client. Ensuite, une question stratégique et de conformité doit être soulevée : les informations utiles à l’exécution du contrat doivent-elles être recueil­lies durant le processus d’avant-vente ou au moment de la vente, voire une fois le contrat conclu ? Toutes ces questions ne sont abordées ni par RGPD, ni par DDA. Rien n’est recomman­dé. Il faut réfléchir à tous les types de données et aux différents cas d’usages en fonction du niveau d’atteinte de confiance dans la relation client de chaque société et du réseau de distribution.

Comment appréhender le recueil des données nécessaires à la souscription d’un contrat collectif ?
Le sujet est le suivant : la personne concernée par l’exécution du contrat n’est pas la personne qui contracte directement. L’entreprise souscriptrice devra redoubler de vigilance et se prémunir contre le fait que des informations personnelles sur ses salariés vont transiter dans ses réseaux infor­matiques pour être transmises à la complémentaire. Elle devra également veiller à modifier a mini­ma les bulletins d’adhésion sur lesquels, généra­lement, il n’y a qu’une formule Cnil. Autre point litigieux : les contrats d’entreprises standards seraient assujettis à DDA alors que les contrats sur mesure en seraient exclus.

L’application de la DDA et du RGPD est imminente… Les acteurs de l’assurance sont-ils prêts ?
La profession n’est pas prête. En discutant avec nos clients, nous constatons qu’ils se sont emparés du sujet RGPD beaucoup plus tôt que celui de DDA. Concernant cette dernière, certains ne s’y sont d’ailleurs pas encore mis. Elle n’est jamais que la description d’un processus normal de ­réfle­xion et de mise en œuvre marketing pour l’élaboration et le lancement d’un produit. Les ­mar­keteurs doivent s’emparer de cette contrainte réglementaire pour améliorer leurs outils et leurs procédures internes. Je ne constate malheureusement pas d’engouement des gens du métier sur DDA.

Et en ce qui concerne le règlement européen ?
Pour RGPD – qui repose sur le principe Privacy by design (NDLR : protection de la vie privée dès la conception) – ce que beaucoup d’acteurs n’ont pas saisi, et qui était déjà présent dans l’esprit de la loi de 1978, ce n’est pas la donnée en tant que telle qu’il faut protéger, mais l’usage que l’on en fait (autorisé ou non). Les professionnels, qui engagent leur respon­sabilité péna­le, ne doivent pas minimiser les contrôles de la Cnil qui risquent de croître à compter de mai 2018 (le nouveau dispositif implique des contrôles a posterio­ri ; il ne sera plus nécessai­re d’obtenir une autorisation a priori).

Quelles sont vos recommandations ?
Je n’ai pas vu les acteurs réagir de manière stratégique. Il est impératif de raisonner en termes de risque/opportunité. Comme souvent ces sujets réglementaires sont accaparés par les DSI, ou les juristes, alors que ce sont en fait les métiers qui sont en capacité de rédiger des cahiers des charges adaptés. Ensuite, c’est au dirigeant qu’il revient de choisir une ligne de conduite. C’est de sa respon­sabilité de définir les mesu­res qui amèneront l’entreprise à prendre le moins de risque et à saisir les opportunités contenues dans chacun des deux textes. Même philosophie que dans Solvabilité 2 ; identifier les risques et prendre ensuite des mesures pour les limiter… le risque zéro n’existe pas. Enfin, il est primordial de ne pas agir dans la précipitation pour ne pas avoir par la suite à détricoter ce qui a été fait.

Emploi

SIACI

Gestionnaire Sinistres Construction H/F

Postuler

KAPIA RGI

Chef de Projet Assurance-Vie H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Prestations de service d'assurances.

Ville de Guenin

22 mars

56 - GUENIN

Consultant juridique.

Fondation Agir Contre l'Exclusion

22 mars

93 - FONDATION AGIR CONTRE L'EXCLUSION

Mission de Délégué à la Protection des Données - groupement de commandes.

Communauté d'Agglomération Epinal

22 mars

88 - GOLBEY

Proposé par   Marchés Online

Commentaires

Josette Guéniau : « DDA ou RGPD... au dirigeant de choisir une ligne de conduite »

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié