03Les 20 dernières années ont été marquées par l’avènement du numérique et par de nombreuses évolutions technologiques (e-commerce, réseaux sociaux, objets connectés, smartphones…). Nos modes de vie s’en sont vus modifiés et la collecte de données n’a jamais été aussi facile. Nous communiquons chaque jour des données personnelles, des informations qui permettent de nous identifier directement ou indirectement. Les compagnies d’assurance ont bien compris les enjeux associés au numérique et tentent de mettre en place de nouvelles offres pour leurs clients grâce aux données collectées. Dans ce cadre, la CNIL (Commission Nationale de l’Informatique et des Libertés) accompagne les différents acteurs dans la transition numérique et a pour rôle de surveiller les éventuelles dérives qui pourraient en découler. Entre rôle de facilitateur de la révolution numérique et de protecteur des droits des assurés, quelle est la position de la CNIL face aux nouveaux enjeux soulevés par le numérique ?
De nouveaux modes de collectes de données qui intéressent les assureurs…
Le numérique a permis d’ajouter aux habituelles données de qualification (âge, lieu de résidence, genre…), des données de la vie quotidienne récoltées via les réseaux sociaux (géolocalisation, intérêts personnels…) ou les objets connectés (nombre de pas, qualité du sommeil, activité physique…). La donnée est la base du modèle économique de la plupart des éditeurs de services. Il est aujourd’hui courant d’avoir un accès gratuit à un service contre la récolte des données d’usage relatives aux utilisateurs qui pourront être réutilisées par la suite à des fins très larges. Pour les compagnies d’assurance, cela se traduit par la possibilité d’acquérir une meilleure connaissance de leurs assurés.
Plusieurs cas existent quant à la collecte de données pour les assureurs :
- Les assureurs récupèrent des données en achetant des fichiers sur des clients ou des prospects. Les personnes concernées doivent alors être informées que leurs données peuvent être cédées à des tiers ;
- Les assureurs récupèrent des données fournies par les assurées de manière spontanée. Les assureurs doivent par la suite informer les personnes du but de la collecte.
En 2014, la majorité des assureurs précisaient qu’ils n’étaient pas intéressés ou n’avaient pas de projets en particulier en lien avec les objets connectés. Pourtant dans une enquête menée par le cabinet Accenture en 2015, 4 assureurs sur 10 affirmaient avoir lancé une offre ou un pilote qui repose sur des objets connectés. Le partage de certaines données permettra à la compagnie d’assurance de mieux apprécier le risque de l’assuré de moduler en conséquence le montant de sa cotisation, comme le montre l’explosion des offres Pay as you Drive chez les assureurs automobiles. Pour les établissements d’assurance, l’enjeu est économique car si les assurés changent leurs habitudes de vie pour influer positivement sur leur santé, le niveau des remboursements de soins sera moins élevé.
Les inquiétudes se situent en grande partie sur les données auxquelles les assurances auront accès grâce au numérique. Selon la CNIL, les données récupérées via des « quantified self » sont considérées comme « sensibles », elles doivent donc faire l’objet d’une protection renforcée. La multiplication des initiatives des assureurs autour du numérique l’invite donc à rester vigilante..
…. qui nécessitent l’intervention de la CNIL
Rappelons que la CNIL a un pouvoir d’autorisation et non d’interdiction, elle se penche donc sur la proportionnalité de la collecte et la possibilité pour les utilisateurs de s’y opposer. Elle peut réaliser des contrôles auprès de tous les responsables de traitement et les missions qu’elle mène lui permettent de s’assurer que les principes de la Loi informatique et libertés sont bien respectés. Malgré des règles bien établies, toute la difficulté de sa mission réside dans l’application de lois écrites dans un monde numérique marqué par une agilité et une transformation constante, et détenu par des géants du secteur dont les pouvoirs de négociation ont une portée internationale.
Face à ces difficultés, l’adoption en décembre 2015 du règlement européen sur la protection des données personnelles est venu renforcer ses pouvoirs. La CNIL va devoir désormais intégrer la dimension européenne dans ses travaux. Désormais, les « CNIL » européennes auront la possibilité de prendre des décisions communes pour prononcer un avertissement ou une sanction pécuniaire qui peuvent être rendus public. La CNIL peut avec ce nouveau règlement prononcer des sanctions administratives qui pourront aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise (20 millions d’euros au maximum contre 150 000 euros auparavant et 300 000 euros en cas de récidive, cf la récente sanction prononcée à l’encontre de Google). Cela va donc lui permettre de peser plus lourd dans la balance face aux mastodontes du numérique. À cette possibilité d’avertir et de sanctionner financièrement, s’ajoute un pouvoir d’injonction de cesser le traitement des données ou de retrait de l’autorisation qu’elle avait accordée au préalable.
Vers une mission de prévention et d’accompagnement
Dans un univers numérique caractérisé par l’explosion de la donnée, la CNIL est passée d’un rôle de contrôles et sanctions à une mission plus préventive, pour accompagner les entreprises et utilisateurs dans l’entrée dans le monde du numérique. Un certain nombre de recommandations ont été publiées en ce sens, sous forme de « packs de conformité », labels, et autres boîtes à outils.
Si auparavant, la CNIL surveillait principalement le recueil des données pour de mauvais usages, c’est désormais l’interopérabilité des données qui est au cœur de son activité. En atteste son dernier cahier IP sur « Vie privée à l’horizon 2020 », dans lequel elle expose des paroles d’experts sur les données personnelles. Selon eux, il est réducteur de parler de données personnelles car cette notion ne colle plus à la réalité ; il serait plus judicieux de parler de données relationnelles, voire transactionnelles. Ce terme désigne la capacité des données à circuler en permanence et à dialoguer entre elles, bien que de sources différentes.
La CNIL propose aux acteurs du numérique d’anticiper la protection des données dès la conception de leur produit : c’est le privacy by design. Le respect de la vie privée est un gage de confiance pour les utilisateurs, la mise en conformité et l’approbation par la CNIL peut donc devenir un avantage concurrentiel. Elle défend la position de nouveaux modèles numériques construits autour de l’utilisateur de manière durable. Selon plusieurs études menées par la Commission européenne, 90% des européens s’inquiètent du fait que des applications mobiles collectent leurs données sans leur consentement. L’idée est donc de renforcer la capacité des citoyens à contrôler l’usage de leurs données.
Les compagnies d’assurance doivent donc faire preuve de vigilance pour la collecte et l’exploitation de ces données. Elles en ont conscience et traitent en général ces données avec précaution car le respect de la vie privée a un impact direct sur la relation-client, au cœur des préoccupations des assureurs aujourd’hui. A titre d’exemple, Allianz a établi son programme (« pay how you drive ») en collaboration avec la CNIL afin d’être en conformité avec les règlements existants. A ces questions éthiques s’ajoute le problème de la sécurité des données. Les assureurs devront se protéger et mettre en place de dispositifs de sécurité performants pour éviter tout risque de hacking, risque autour duquel la CNIL propose un acommpagnement. Lorsqu’il s’agit de créer de la valeur autour des données personnelles, les assureurs sont confrontés à des problématiques de mise en conformité et d’éthique.
La CNIL et ses 192 agents vont, aux côtés de 29 autorités dans le monde entamer dès ce mois de mai une opération visant à examiner l’impact sur la vie privée des objets connectés. Elle va également lancer les travaux du pack de conformité véhicules connectés. Son avis aura un impact non négligeable pour les compagnies d’assurance et leurs clients.
Alors la CNIL, frein à la révolution numérique ? Pas nécessairement, car si son rôle principal est de protéger les assurés et de vérifier qu’il n’y a pas de dérives lors de la collecte et l’exploitation de leurs données, elle accompagne également les acteurs du numérique dans leur mise en conformité et se positionne de plus en plus comme un partenaire dans la mise en place de dispositifs de sécurisation des données et de respect de la relation-client.