Risques émergents : bienvenue en terre inconnue Loi Sapin 2 : ce qui va changer dans le secteur de l’assurance
  • Assurance

La protection des données personnelles, une priorité pour les assureurs

PARTAGER
PARTAGER
31.01.2017

Les assureurs font face aujourd’hui à un double défi en matière de protection des données personnelles : se conformer aux nouvelles exigences légales tout en continuant à exercer leur activité dans le respect des attentes et des besoins de leurs assurés.

Quelle place pour la protection des données personnelles dans l’assurance ?

Le secteur de l’assurance est particulièrement concerné par la protection des données personnelles puisque la collecte et le traitement d’informations concernant les assurés sont indispensables à l’exercice du métier. En 2014, un Français sur deux se montrait déjà prêt à confier ses données personnelles à son assureur afin d’obtenir la meilleure offre en assurance de biens et responsabilités. La protection des données personnelles arrive donc logiquement en tête des actions prioritaires des assureurs au titre de leur Responsabilité Sociétale.

La loi pour une République numérique adoptée fin 2016 comporte une série de mesures consacrées à la protection des données personnelles et destinées à renforcer les droits des personnes concernées. Ces nouvelles dispositions, entrées en vigueur dès le 9 octobre 2016 (sauf exceptions), modifient partiellement la loi Informatique et Libertés pour anticiper l’application du nouveau règlement européen sur la protection des données qui entrera en vigueur en mai 2018. Le nouveau cadre législatif pose, certes, de nouvelles contraintes pour les assureurs mais, en apportant des garanties de transparence pour les assurés, ne peut que contribuer à renforcer leur confiance et à atténuer leurs craintes sur l'utilisation de leurs données personnelles.

Les assureurs s’adaptent aux nouvelles contraintes légales

La loi pour une République numérique renforce le principe suivant lequel toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant. En pratique, côté assureur, le responsable du traitement des données doit mettre en œuvre les mesures qui permettent l’exercice effectif de ce droit : un assuré doit avoir accès à ses données et l’assureur doit pouvoir répondre facilement aux demandes les concernant. Des outils tels que des tableaux de bord ou des consoles d’administration des données dans les espaces clients peuvent être des solutions adaptées. Et lorsque les données personnelles ont été collectées par voie électronique, le droit d’accès aux données, le droit d’opposition et de rectification doivent pouvoir être exercés par l’assuré par l’intermédiaire d’un formulaire en ligne ou par courriel.

La nouvelle loi complète également la liste des informations qui doivent être portées à la connaissance de la personne dont les données personnelles ont été recueillies. En particulier, celle-ci doit connaître la durée de conservation des catégories de données traitées. Les documents contractuels des assureurs vont donc être modifiés pour indiquer, dans la clause d’information relative aux données collectées, la durée de conservation de ces données.

Certaines mesures pourraient toutefois s’avérer d’application délicate

La loi crée un droit de maîtriser ses données post-mortem : toute personne pourra ainsi donner des directives relatives à la conservation, à l’effacement et à la communication de ses données après son décès. Cette mesure, prise à l’origine pour les opérateurs en ligne et les réseaux sociaux, ne s’applique pas, en principe, aux données que les assureurs peuvent justifier devoir conserver pour l’exécution du contrat et jusqu’au délai de prescription, afin de prouver qu’ils ont correctement exécuté le contrat. C’est en particulier le cas pour l’exécution des contrats d’assurance-vie : en effet, si l’assuré d’un contrat décède, il revient à l’assureur de faire appliquer le contrat à l’égard des bénéficiaires. En revanche, le droit à une « mort numérique » pourrait concerner les données recueillies via le Big data, et les espaces personnels. Concrètement, les assureurs doivent donner l’information sur les droits post-mortem et mettre en place les outils permettant de gérer les directives particulières données par les personnes dont les données sont collectées. Les assureurs restent encore, à ce stade, dans le flou concernant le champ d’application pratique de ces mesures.


Autre nouveauté source d’incertitude pour les assureurs : l’instauration d'un droit à l’effacement des données collectées lorsque la personne était mineure. Il s’agit d’un véritable droit à l’oubli des données des mineurs et non d’un simple droit au déréférencement des données sur les listes de résultats des moteurs de recherche. Sont visées les informations collectées sur les réseaux sociaux, les plateformes d’échange en ligne, les moteurs de recherche, les services d’annuaires et de référencement… En revanche, ce droit ne concerne pas les données recueillies pour la passation, l’exécution et la gestion des contrats d’assurance. Ce nouveau dispositif, ainsi que celui issu du règlement européen, va entraîner une augmentation des traitements informatiques chez les assureurs afin de se mettre dès à présent en conformité avec ces nouvelles dispositions.

Sources : Crédit Agricole Assurances – Baromètre RSE 2016 du Groupe Crédit Agricole (CSA) – Etude PwC 2014

ET aussi
08.09.2016
La nouvelle réglementation européenne sur la collecte et le traitement des données a été adoptée le 14 avril dernier et impose plus de transparence et de sécurité aux assureurs. Une contrainte qui est aussi un vecteur de renforcement de la (...)