Les pays européens face à la digitalisation : La législation autour des données numériques

AccueilMémoiresL’utilisation des réseaux sociaux et du numérique dans l’assurance, [...] → Les pays européens face à la digitalisation : La législation autour des données numériques

Sommaire du Mémoire

1 — L’utilisation des réseaux sociaux et du numérique dans l’assurance, les entreprises françaises accusent elles un retard dans ce domaine vis-à-vis de leurs homologues européennes
2 — Introduction
3 — Le numérique et son développement dans le commerce
4 — Le numérique et son développement dans le commerce : Histoire du numérique
5 — Le numérique et son développement dans le commerce : Développement du numérique dans le commerce
6 — Le numérique et son développement dans le commerce : Son application dans le domaine de l’assurance
7 — Les pays européens face à la digitalisation : La législation autour des données numériques
8 — Les pays européens face à la digitalisation : Le cas de la France, de l’Allemagne et de l’Italie dans la transition numérique
9 — L’évolution future du digital dans l’assurance
10 — L’évolution future du digital dans l’assurance : Les nouvelles technologies s’implantent dans l’assurance
11 — L’évolution future du digital dans l’assurance : Les nouveaux acteurs du marché de l’assurance
12 — Conclusion
13 — Notes et bibliographie

En France

Le texte qui est à la base de la protection des données personnelles est la loi du 6 janvier 1978, appelée loi Informatique et Liberté. Elle intervient suite à la montée de l’informatique et du traitement des données fait sur Internet, afin d’en définir le cadre et les limites en créant la Commission Nationale de l’Informatique et des Libertés.

La loi définit les données personnelles dans son article 2 de la manière suivante :
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

Le traitement de ces données est aussi établi dans le même article :
« Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

Ce sont les deux notions clés qui définissent cette loi Informatique et Liberté. Elle fut modifiée en 2004 pour s’adapter aux évolutions informatiques et ainsi s’appliquer aussi au traitement de données automatisées. La volonté au travers de cette modification est d’harmoniser les législations de tous les pays membres de l’Union Européenne. L’application de ces nouvelles directives renforce la protection des données des utilisateurs et renforce également les pouvoirs confiés à la CNIL en alourdissant les sanctions qu’elle peut infliger

Pour les entreprises, les demandes de déclaration obligatoires faites à la CNIL sont simplifiées, puisque cette modification introduit la possibilité qu’un correspondant direct avec la CNIL soit présent en entreprise.

La CNIL est une Autorité Administrative Indépendante, ou AAI, qui agit pour le compte de l’Etat mais qui n’est pas sous l’autorité du gouvernement. Cette commission a quatre missions principales :

  • La première qui fait office de prévention est d’informer les différents acteurs et de les protéger si nécessaire. Que ce soit aux professionnels ou les particuliers, la CNIL se charge de répondre à leur questionnement, et dans le cas des professionnels, elle organise ponctuellement des formations auprès des salariés ou encore des réunions d’informations sur le développement de l’informatique et son implication dans la protection des données.
  • Sa seconde mission est de réaliser un travail d’accompagnement et de conseil vis-à-vis des entreprises et de leur méthode de gestion des données à caractères personnelles. La CNIL accompagne les sociétés qui cherchent à mettre en conformité le traitement de leurs informations sensibles. Elle donne aussi son autorisation sur des données jugées trop sensibles qui nécessitent son approbation. Cette commission a aussi émis ce que l’on appelle des « Packs de conformité » propre à chaque secteur pour pousser les entreprises à aller encore plus loin dans les démarches de protection des informations personnelles.
  • La troisième mission de la CNIL est d’effectuer des missions de contrôle et potentiellement de sanction en cas de non-respect de l’application de la loi, sanctions qui peuvent aller jusqu’au retrait de l’autorisation accordée par la CNIL.
  • La dernière mission de la CNIL est celle de l’anticipation des risques liés aux données personnelles. Elle effectue un travail de prévention avec les acteurs les plus pointus du domaine de l’informatique pour prévenir des potentiels risques lors du développement de nouveaux logiciels ou applications. Elle élabore avec l’aide d’experts extérieurs un programme recueillant des études sur le sujet et proposant une exploration du potentiel impact des usages des nouvelles technologies sur la vie privée. Elle se doit d’être en avance sur les questions éthiques et de société en lien avec le progrès de l’informatique et du numérique.

Comme nous l’avions évoqué précédemment, la CNIL a mis en place des packs de conformité, réalisés avec les acteurs des différents secteurs pour établir des lignes de conduite qui s’inscrivent dans la loi Informatique et Liberté. Ces packs ont été créés dans le but d’appliquer la loi de 2004 à tous les domaines professionnels sans pour autant qu’il n’y ait qu’une interprétation unique qui pourrait défavoriser un secteur ou tout simplement le rendre impraticable. Le pack de conformité assurance de la CNIL fut créé en 2014 et se compose de deux normes et de trois autorisations.

Les normes portent sur la simplification des procédures dans le cadre des déclarations obligatoires auprès de la CNIL. Les autorisations régissent quant à elles la collecte des informations comportant le numéro de sécurité sociale, les données recherchées via le registre national des personnes physiques ou encore toutes informations relatives à des condamnations passées, infractions.

L’assurance est le premier domaine qui a travaillé en collaboration avec la CNIL pour mettre au point le pack de conformité. Les assureurs prouvent leur envie de s’intégrer durablement dans le numérique et l’informatique sans pour autant négliger la protection de leurs assurés.

En mai 2018, un nouveau pack auquel les assureurs ont participé sera mis en place, il concerne les véhicules connectés ainsi que leurs données personnelles. Débuté en 2016, ce pack va permettre la mise en conformité des tous les acteurs travaillant de près ou de loin avec les voitures connectées et plus récemment les voitures autonomes.

Trois façons de traiter les données ont donc été mises en évidence, la première consiste à analyser les informations de conduite en temps réel sans que celles-ci quittent le véhicule pour faire un retour instantané à l’usager. Une autre méthode consiste en l’exploitation de ces données, en les transmettant hors du véhicule afin de les analyser puis de transmettre le résultat à l’usager et autres voitures connectées par le biais de l’écran de bord par exemple.

Le dernier scénario imaginé en termes d’utilisation de données nous intéresse plus car il peut concerner directement les assurances. En effet, avec un véhicule connecté, il serait possible de suivre l’évolution kilométrique de la voiture en temps réel, cela pourrait donc rentrer dans le cadre des assurances au kilomètre introduites sur le marché il y a peu.

Plutôt que de demander à l’assuré un relevé annuel, cette automatisation éviterait les risques d’oubli ou même de dépassement, puisque l’on peut imaginer que si l’assureur est prévenu en temps réel, il aurait la possibilité d’avertir son assuré sur sa « consommation » kilométrique.

En Europe

Il y a eu en 2018 deux dates importantes vis-à-vis du secteur de l’assurance, celle du 1er octobre, avec la mise en application de la DDA, pour Directive sur la Distribution d’Assurance et le 25 mai avec l’entrée en vigueur du RGPD, pour Règlement Général sur la Protection des Données.

Cette première directive a pour but une nouvelle fois de consolider la protection des consommateurs en passant par plus de transparence de la part des intermédiaires vendeurs de produits d’assurance. Son application s’étendant à tous les pays membres de l’Union Européenne, on devrait observer d’ici la fin d’année à une harmonisation des méthodes de distribution de l’assurance qui gagneront en clartés et qui seront plus transparentes pour les consommateurs.

Un des points de cette directive concerne le renforcement du devoir de conseil et se traduit par la diffusion de documents précontractuels aux futurs assurés. Le premier est le IPID, Insurance Product Information Document, qui informe le consommateur sur les produits d’assurance non-vie. Le second est le KID, Key Information Document, qui lui portera sur les produits d’investissement et d’assurance vie. Ces documents devraient permettre aux clients de posséder toutes les informations nécessaires et de comprendre le fonctionnement des produits qu’ils souhaitent contracter.

Le RGPD se charge de définir le nouveau cadre réglementaire pour ce qui concerne le traitement des données personnelles ainsi que leur circulation dans l’Union Européenne. Le but de ce règlement est de devenir le document de référence sur le sujet tout en remplaçant les précédentes directives, dont la plus récente dans le domaine datait de 1995, et étaient devenues obsolètes. L’évolution du numérique et de l’informatique ont poussé à la création de ce nouveau règlement pour continuer le travail de protection des consommateurs.

Pour les internautes les changements ne se feront pas nécessairement ressentir. En revanche, leurs droits s’agrémentent notamment d’un droit à l’oubli dans le cas d’une atteinte à la vie privée.

Ce dernier permet l’effacement total des données du site ou de l’application, ce qui avant n’était pas le cas puisque les entreprises conservaient les données même lorsque les internautes se désinscrivaient.

Dans le cadre de la transparence de l’utilisation de ces informations à caractère personnel, il faudra que les sociétés recueillent le consentement écrit des personnes dont elles souhaitent exploiter les données mais aussi les informer de la durée de conservation de ces informations.

En assurance, les données clients sont essentielles pour répondre mais surtout anticiper les besoins des assurés. Le développement de nouveaux produits repose sur l’exploitation des données récoltées afin de dégager un risque à couvrir, une tendance ou un besoin à combler. De plus les assureurs travaillent quotidiennement avec ces informations à caractère sensible ou à risque, que ce soit en proposant un devis ou en réalisant la gestion d’un sinistre.

Les nouvelles technologies ont permis aux assureurs de développer le secteur de la santé au travers de produits comme la télésurveillance ou encore le maintien à domicile. L’explosion du marché du mobile à lui ouvert les portes à ce que l’on appelle la m-santé, comme la mréputation, il s’agit ici de produits ou services connectées mis à disposition sur les smartphones, tablettes et autres montres connectées. Ces évolutions dans le domaine de l’esanté ont été rendus possible grâce à la collecte et l’analyse de données clients, toujours dans le but d’améliorer les services proposés et d’amener de plus en plus de personnalisation dans les contrats.

Avec le RGPD, l’exploitation des données sera donc plus contrôlée et cela pourrait freiner voire entraver le travail d’analyse de la part des assureurs. Cependant, selon une enquête Optimind Winter, réalisée au cours de l’année 2017, plus de 50 % des acteurs du secteur de la bancassurance se disent confiants face à la mise en conformité exigée par le RGPD.

Néanmoins, les assureurs devront redoubler d’effort puisque la directive DDA et le règlement RGPD doivent entrer en application cette même année 2018. Il s’agira alors de concilier les attentes de ces nouvelles règlementations bien que dans certains cas des contradictions puissent survenir. C’est notamment le cas lorsque l’assureur se renseigne sur le client dans le cas de la vente d’un produit d’assurance vie. Aux yeux de la DDA, ce dernier peut chercher à vérifier le profil de risque que représente le client, mais en revanche du point de vue du RGPD, il ne devrait pas en avoir le droit puisque cette information n’est pas essentielle à la finalisation du contrat.

Ces directives devant être transposées à tous les pays de l’Union Européenne, nous allons par la suite nous intéresser à trois pays aux profils différents, la France, l’Allemagne et l’Italie, afin d’observer d’une part le marché de l’assurance d’un point de vue local, puis en nous penchant sur la place que prend le numérique dans ce dernier.

icone téléphone Être rappelé


En envoyant ma demande j'accepte la politique de protection des données personnelles