La Commission nationale de l’informatique et des libertés (CNIL) a, suite à la délibération n° 2014-312 du 17 juillet 2014,  mis en place une nouvelle Autorisation Unique (AU) dans le domaine de l’assurance. Cette autorisation, qui fait suite aux deux autorisations uniques parues le 23 janvier dernier, vient renforcer les possibilités des assureurs en matière de lutte contre la fraude.

La CNIL autorise mais encadre les processus de détection de fraude des assureurs

En effet, la délibération prend acte du fait que la lutte contre la fraude constitue pour les organismes d’assurance, de capitalisation, de réassurance, d’assistance et les intermédiaires d’assurance un enjeu prioritaire. Cette lutte contre la fraude pouvant être menée à la souscription du contrat, au cours de la vie de celui-ci ou de la gestion des contentieux, la nouvelle autorisation unique couvre l’intégralité du périmètre. Tous les contrats sont concernés (et non uniquement automobiles, comme pour l’AU-0032), et les fraudes externes (assurés) comme internes (collaborateurs) sont concernées.

En définitive, et à condition de respecter les principes édictées dans l’AU (finalités, données collectées, durée de conservation, destinataires des données, mesures de sécurité, etc.), un assureur est désormais autorisé à croiser ses données pour lutter globalement contre la fraude. En particulier, la détection est autorisée au travers des interconnexions suivantes :

  • la gestion commerciale de clients et de prospects telle qu’elle est prévue par la norme simplifiée n° 56 ;
  • la passation, la gestion et l’exécution des contrats prévue par la norme simplifiée n° 16 ;
  • la lutte contre le blanchiment et le financement du terrorisme telle que prévue par l’AU 003, pour les cas de fraude relevant également de cette finalité ;
  • la collecte et le traitement des données relatives aux infractions, aux condamnations et mesures de sûreté prévus par les dispositions légales, règlementaires et administratives en vigueur, ainsi que dans le cadre des contentieux liés à l’activité et permettant notamment à l’entreprise d’assurer la constatation, l’exercice ou la défense de ses droits en justice ou la défense des personnes concernées ;
  • la gestion des relations contractuelles avec les intermédiaires, les prestataires, les sous-traitants, les délégataires, et les partenaires.

À noter toutefois, “qu’aucune décision produisant des effets juridiques à l’égard des personnes concernées par des données traitées dans le cadre de la lutte contre la fraude à l’assurance ne peut être prise sur le seul fondement de ces traitements automatisés”. Une analyse non automatisée devra alors être réalisée, et la personne concernée en mesure de présenter ses observations.

Vers une généralisation des autorisations de lutte contre la fraude ?

Cette autorisation, qui fait suite à l’AU-0032 pour l’assurance automobile, va certainement être accueillie avec beaucoup d’enthousiasme dans le monde de l’assurance. En allant au-delà, on remarquera qu’une autorisation de traitement est parue le 03 juillet pour l’URSAFF. Celle-ci concerne la prévention et la détection des fraudes en matière de recouvrement des cotisations et contributions sociales.

La CNIL démontre donc une nouvelle fois qu’elle ne cherche pas à interdire par principe les traitements utiles au bon fonctionnement des organismes et entreprises françaises (dont la lutte contre la fraude fait partie), mais bien à encadrer au mieux ceux-ci au travers d’un mécanisme d’autorisation aujourd’hui bien rodé.