Gestion des risques : les nouveaux usages des données à caractère personnel

La capacité à exploiter une masse toujours plus considérable de données personnelles peut conduire à un changement dans la gestion du risque, tant des banques que des compagnies d’assurance, et aboutir à des tarifications plus personnalisées de leurs offres de services. Jusqu’où peut-on aller dans cette voie ?

L'auteur

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°360

Les enjeux juridiques et technologiques des données personnelles

L’apparition des nouvelles technologies modifie profondément l’usage qui est fait des données au sein des entreprises. Toujours plus nombreuses et avec des algorithmes de plus en plus puissants pour les analyser, les données à caractère personnel constituent une opportunité considérable pour les gestionnaires de risque que sont les banques et les assureurs. Les outils qui leur sont désormais proposés entraînent cependant l’apparition de nouveaux risques qui ont été pris en compte par le législateur.

I. De nouvelles opportunités pour les gestionnaires de risques

Détenteur d’un grand nombre d’informations sur leurs clients, les banques et les assureurs sont naturellement disposés à être séduits par les possibilités d’usages des données à caractère personnel qu’offrent les nouvelles technologies. En effet, dans le cadre de la réglementation Bâle II et Solvabilité 2, ces derniers sont soumis à des exigences qualitatives concernant les règles de gouvernance et de gestion des risques. À ce titre, ils doivent procéder à des évaluations de risque et peuvent être tentés d’utiliser les outils d’analyse du Big Data afin d’optimiser leurs modèles de calcul. En outre, cette méthode pourrait servir également à proposer une tarification personnalisée aux clients en fonction de leurs profils de risques.

L’usage du Big Data pour l’octroi de crédit

Les banques prêtent de l’argent uniquement après avoir évalué la solvabilité de leurs clients, évaluation qui se fait sur la base d’une note qui est attribuée à chaque candidat au crédit. Traditionnellement, la construction de ce que les professionnels appellent la note de score s’établit en fonction d’informations détenues par les banques sur leurs clients (montant épargné, historique de paiement, détention d’un autre crédit, situation familiale…). Désormais, outre ces informations, certaines sociétés proposent d’utiliser des données disponibles sur le Big Data pour le calcul de ce score.

Ainsi, la société Américaine Friendly Score octroie des crédits en se basant sur le nombre de « like » obtenus sur facebook par leurs clients et sur le nombre de relations observées dans les réseaux sociaux.

La société Chinoise BAIDU utilise quant à elle les historiques de consultation d'Internet afin d’évaluer si cette personne remboursera ou non son crédit. Elle considère par exemple que le fait de se connecter entre minuit et 12 heures est un élément qui, conjugué avec d’autres, permettra d’affirmer qu’une personne ne sera pas digne de confiance pour l’obtention d’un prêt.

En France et en Europe, l’utilisation des données personnelles étant davantage encadrée, ces procédés ne sont pas encore utilisés. Ils n’en constituent pas moins des pistes de réflexions importantes pour les sociétés financières, toujours en quête de nouveaux marchés.

L’usage des objets connectés par les assureurs

En matière d’assurance, le prix de la souscription est proposé en fonction du risque couvert par les assureurs. Plus la probabilité et la gravité de ce risque sont importants, plus le prix sera élevé.

Ce risque, à l’instar des banquiers, est calculé de manière uniforme sur la base d’informations détenues sur les clients par les compagnies d’assurance (marque du véhicule, année de fabrication du véhicule, date du permis de conduite…).

Au regard de la richesse et de la masse de données collectées par les objets connectés (smartphone, bracelet électronique, capteur…), il peut être intéressant pour les assureurs de les utiliser, dans le but d’affiner la méthode de calcul de leurs risques.

Plus encore, l’étude de ces données collectées en temps réel permet d’identifier et d’analyser le comportement des clients. Il est dès lors fort tentant pour les assureurs de proposer une tarification personnalisée en fonction de ce comportement. Basé sur cette logique, le concept de « Pay how you drive », déjà fortement développé au Royaume-Uni et aux États-Unis, commence à voir le jour en France.

Le principe est simple : il est demandé aux souscripteurs d’assurance automobile d’installer une boîte noire dans leur véhicule ou une application sur leurs smartphones. Une fois activés, ces objets connectés vont collecter un certain nombre de données afin d’analyser le comportement du conducteur : position GPS, distance parcourue, temps de conduite sans arrêt, vitesse, manière de freiner, horaires de conduite, etc. Si la conduite du client est estimée comme n’étant pas dangereuse, celui-ci pourra alors bénéficier d’une réduction.

Ce système est susceptible d’être étendu aux assurances santé : après l’analyse des données collectées via un bracelet électronique (fréquence cardiaque, performance sportive…), il est en effet possible de proposer une tarification personnalisée en fonction de l’hygiène de vie du client. Dans cette optique, plus le client mangera une nourriture saine, plus il pratiquera une activité sportive et moins le prix de sa police d’assurance sera élevé. À l’inverse, la personne qui consomme de l’alcool et du tabac pourra se voir financièrement pénalisée. Proposé à l’étranger et malgré un lobbying important, ce pas n’a pas encore été franchi en France. Les compagnies d’assurance françaises se contentent pour le moment d’octroyer des avantages en nature et non des avantages financiers.

II. Les nouveaux risques et le cadre réglementaire de protection des données personnelles

Si l’utilisation des nouvelles technologies constitue de réelles opportunités pour les banques et les compagnies d’assurance, ces procédés engendrent de nouveaux risques. Des risques que le législateur européen a pris en considération.

Les nouveaux risques engendrés par l’usage des technologies numériques

Les technologies que les banques et les assurances vont utiliser et généraliser dans le futur, les amèneront, encore plus qu’aujourd’hui, à détenir une masse colossale de donnée et d’informations. La connaissance qu’elles auront de leurs clients représente un risque certain pour le respect de la vie privée de ces derniers et de leurs libertés individuelles. Sur ce point, on peut imaginer que ces professionnels leur imposent en effet un certain mode de vie afin de limiter leurs risques. Souhaitant bénéficier de prix avantageux ou désirant obtenir un crédit, les clients devront se conformer aux exigences des sociétés d’assurance et de financement concernant la nutrition, les loisirs, les lieux de vacances, les heures consacrées au sommeil, l’heure à laquelle ils se connectent sur Internet… Or ces risques sont au cœur de leur métier et demeurent à la base de leurs intermédiations ; les limiter à l’excès aurait pour effet de dénaturer par là même leur rôle dans la société.

Par ailleurs, il nous faut rappeler que les banques et les assureurs sont détenteurs de données considérées comme particulièrement sensibles par le législateur (pièces d’identité, état de santé, numéro de sécurité sociale, données biométriques, etc.). La divulgation illégitime de ces données à des tiers mal intentionnés pourrait s’avérer extrêmement préjudiciable : exposition diffamante sur Internet, chantage, usurpation d’identité, ralentissement de carrière, etc., autant de dommages que les victimes auraient à subir.

Les garanties apportées par le RGPD

Au regard de ces nouveaux risques, le législateur européen est venu renforcer la protection des données personnelles et imposer de nouvelles obligations aux entreprises.

Les principes garantis par la loi informatique et libertés (traitement licite et loyal des données, transparence, limitation des finalités, exactitude, limitation de conservation, intégrité et conservation des données) ainsi que les droits accordés aux personnes (droit à l’information, droit d’accès, droit de rectification, droit d’opposition …) sont naturellement conservés et complétés par le Règlement général sur la protection des données (RGPD). L’innovation ne réside pas là, mais plutôt dans la prise en compte de ces nouveaux risques par le RGPD.

Parmi les mesures les plus innovantes, nous pouvons citer le principe de « privacy by design » qui impose aux responsables de traitement (et donc aux banques et aux assurances) de prendre en compte la protection des données personnelles dès la création de nouveaux produits.

Nous devons également mentionner l’obligation qui leur est faite d’effectuer des analyses d’impact sur la vie privée. Cette obligation renverse la logique traditionnelle en imposant désormais aux entreprises non plus d’analyser les risques qui pèsent sur elles, mais d’étudier et de limiter ceux qui pèsent sur leurs clients.

Soucieux de renforcer la sécurité des systèmes d’information, le règlement renforce par ailleurs les obligations qui pèsent sur les responsables de traitement, en leur imposant notamment de notifier à l’autorité de contrôle ainsi qu’aux personnes concernées les failles de sécurité dont elles ont été victimes – obligation qui existe depuis plusieurs années aux États-Unis).

Enfin, il doit être mentionné qu’au regard du principe d’accountability, les responsables de traitement doivent non seulement respecter le règlement, mais également être en mesure de le prouver. À défaut, une sanction pouvant atteindre 4 % du chiffre d’affaires mondial consolidé pourra être prononcée, en sus des sanctions pénales.

Souvent considérées comme contraignantes par les entreprises et par les pays anglo-saxons, les règles posées par le RGPD, en vigueur à partir du 25 mai 2018, restent pourtant absolument nécessaires. Tout en laissant un espace important aux entreprises pour innover, elles permettent l’intégration des nouvelles technologies au sein d’un environnement propice à leur croissance, à savoir un environnement sécurisé et respectueux des libertés individuelles. Bien plus qu’une contrainte, ces nouvelles obligations peuvent d’ailleurs constituer de véritables vecteurs de développement commercial.

 

Sommaire du dossier

Les enjeux juridiques et technologiques des données personnelles

Sur le même sujet