Gestion des risques : les nouveaux usages des données à caractère personnel

L&rsquo;apparition des nouvelles technologies modifie profond&eacute;ment l&rsquo;usage qui est fait des donn&eacute;es au sein des entreprises. Toujours plus nombreuses et avec des algorithmes de plus en plus puissants pour les analyser, les donn&eacute;es &agrave; caract&egrave;re personnel constituent une opportunit&eacute; consid&eacute;rable pour les gestionnaires de risque que sont les banques et les assureurs. Les outils qui leur sont d&eacute;sormais propos&eacute;s entra&icirc;nent cependant l&rsquo;apparition de nouveaux risques qui ont &eacute;t&eacute; pris en compte par le l&eacute;gislateur. I. De nouvelles opportunit&eacute;s pour les gestionnaires de risques D&eacute;tenteur d&rsquo;un grand nombre d&rsquo;informations sur leurs clients, les banques et les assureurs sont naturellement dispos&eacute;s &agrave; &ecirc;tre s&eacute;duits par les possibilit&eacute;s d&rsquo;usages des donn&eacute;es &agrave; caract&egrave;re personnel qu&rsquo;offrent les nouvelles technologies. En effet, dans le cadre de la r&eacute;glementation B&acirc;le II et Solvabilit&eacute; 2, ces derniers sont soumis &agrave; des exigences qualitatives concernant les r&egrave;gles de gouvernance et de gestion des risques. &Agrave; ce titre, ils doivent proc&eacute;der &agrave; des &eacute;valuations de risque et peuvent &ecirc;tre tent&eacute;s d&rsquo;utiliser les outils d&rsquo;analyse du Big Data afin d&rsquo;optimiser leurs mod&egrave;les de calcul. En outre, cette m&eacute;thode pourrait servir &eacute;galement &agrave; proposer une tarification personnalis&eacute;e aux clients en fonction de leurs profils de risques. L&rsquo;usage du Big Data pour l&rsquo;octroi de cr&eacute;dit Les banques pr&ecirc;tent de l&rsquo;argent uniquement apr&egrave;s avoir &eacute;valu&eacute; la solvabilit&eacute; de leurs clients, &eacute;valuation qui se fait sur la base d&rsquo;une note qui est attribu&eacute;e &agrave; chaque candidat au cr&eacute;dit. Traditionnellement, la construction de ce que les professionnels appellent la note de score s&rsquo;&eacute;tablit en fonction d&rsquo;informations d&eacute;tenues par les banques sur leurs clients (montant &eacute;pargn&eacute;, historique de paiement, d&eacute;tention d&rsquo;un autre cr&eacute;dit, situation familiale&hellip;). D&eacute;sormais, outre ces informations, certaines soci&eacute;t&eacute;s proposent d&rsquo;utiliser des donn&eacute;es disponibles sur le Big Data pour le calcul de ce score. Ainsi, la soci&eacute;t&eacute; Am&eacute;ricaine Friendly Score octroie des cr&eacute;dits en se basant sur le nombre de &laquo; like &raquo; obtenus sur facebook par leurs clients et sur le nombre de relations observ&eacute;es dans les r&eacute;seaux sociaux. La soci&eacute;t&eacute; Chinoise BAIDU utilise quant &agrave; elle les historiques de consultation d'Internet afin d&rsquo;&eacute;valuer si cette personne remboursera ou non son cr&eacute;dit. Elle consid&egrave;re par exemple que le fait de se connecter entre minuit et 12 heures est un &eacute;l&eacute;ment qui, conjugu&eacute; avec d&rsquo;autres, permettra d&rsquo;affirmer qu&rsquo;une personne ne sera pas digne de confiance pour l&rsquo;obtention d&rsquo;un pr&ecirc;t. En France et en Europe, l&rsquo;utilisation des donn&eacute;es personnelles &eacute;tant davantage encadr&eacute;e, ces proc&eacute;d&eacute;s ne sont pas encore utilis&eacute;s. Ils n&rsquo;en constituent pas moins des pistes de r&eacute;flexions importantes pour les soci&eacute;t&eacute;s financi&egrave;res, toujours en qu&ecirc;te de nouveaux march&eacute;s. L&rsquo;usage des objets connect&eacute;s par les assureurs En mati&egrave;re d&rsquo;assurance, le prix de la souscription est propos&eacute; en fonction du risque couvert par les assureurs. Plus la probabilit&eacute; et la gravit&eacute; de ce risque sont importants, plus le prix sera &eacute;lev&eacute;. Ce risque, &agrave; l&rsquo;instar des banquiers, est calcul&eacute; de mani&egrave;re uniforme sur la base d&rsquo;informations d&eacute;tenues sur les clients par les compagnies d&rsquo;assurance (marque du v&eacute;hicule, ann&eacute;e de fabrication du v&eacute;hicule, date du permis de conduite&hellip;). Au regard de la richesse et de la masse de donn&eacute;es collect&eacute;es par les objets connect&eacute;s (smartphone, bracelet &eacute;lectronique, capteur&hellip;), il peut &ecirc;tre int&eacute;ressant pour les assureurs de les utiliser, dans le but d&rsquo;affiner la m&eacute;thode de calcul de leurs risques. Plus encore, l&rsquo;&eacute;tude de ces donn&eacute;es collect&eacute;es en temps r&eacute;el permet d&rsquo;identifier et d&rsquo;analyser le comportement des clients. Il est d&egrave;s lors fort tentant pour les assureurs de proposer une tarification personnalis&eacute;e en fonction de ce comportement. Bas&eacute; sur cette logique, le concept de &laquo; Pay how you drive &raquo;, d&eacute;j&agrave; fortement d&eacute;velopp&eacute; au Royaume-Uni et aux &Eacute;tats-Unis, commence &agrave; voir le jour en France. Le principe est simple : il est demand&eacute; aux souscripteurs d&rsquo;assurance automobile d&rsquo;installer une bo&icirc;te noire dans leur v&eacute;hicule ou une application sur leurs smartphones. Une fois activ&eacute;s, ces objets connect&eacute;s vont collecter un certain nombre de donn&eacute;es afin d&rsquo;analyser le comportement du conducteur : position GPS, distance parcourue, temps de conduite sans arr&ecirc;t, vitesse, mani&egrave;re de freiner, horaires de conduite, etc. Si la conduite du client est estim&eacute;e comme n&rsquo;&eacute;tant pas dangereuse, celui-ci pourra alors b&eacute;n&eacute;ficier d&rsquo;une r&eacute;duction. Ce syst&egrave;me est susceptible d&rsquo;&ecirc;tre &eacute;tendu aux assurances sant&eacute; : apr&egrave;s l&rsquo;analyse des donn&eacute;es collect&eacute;es via un bracelet &eacute;lectronique (fr&eacute;quence cardiaque, performance sportive&hellip;), il est en effet possible de proposer une tarification personnalis&eacute;e en fonction de l&rsquo;hygi&egrave;ne de vie du client. Dans cette optique, plus le client mangera une nourriture saine, plus il pratiquera une activit&eacute; sportive et moins le prix de sa police d&rsquo;assurance sera &eacute;lev&eacute;. &Agrave; l&rsquo;inverse, la personne qui consomme de l&rsquo;alcool et du tabac pourra se voir financi&egrave;rement p&eacute;nalis&eacute;e. Propos&eacute; &agrave; l&rsquo;&eacute;tranger et malgr&eacute; un lobbying important, ce pas n&rsquo;a pas encore &eacute;t&eacute; franchi en France. Les compagnies d&rsquo;assurance fran&ccedil;aises se contentent pour le moment d&rsquo;octroyer des avantages en nature et non des avantages financiers. II. Les nouveaux risques et le cadre r&eacute;glementaire de protection des donn&eacute;es personnelles Si l&rsquo;utilisation des nouvelles technologies constitue de r&eacute;elles opportunit&eacute;s pour les banques et les compagnies d&rsquo;assurance, ces proc&eacute;d&eacute;s engendrent de nouveaux risques. Des risques que le l&eacute;gislateur europ&eacute;en a pris en consid&eacute;ration. Les nouveaux risques engendr&eacute;s par l&rsquo;usage des technologies num&eacute;riques Les technologies que les banques et les assurances vont utiliser et g&eacute;n&eacute;raliser dans le futur, les am&egrave;neront, encore plus qu&rsquo;aujourd&rsquo;hui, &agrave; d&eacute;tenir une masse colossale de donn&eacute;e et d&rsquo;informations. La connaissance qu&rsquo;elles auront de leurs clients repr&eacute;sente un risque certain pour le respect de la vie priv&eacute;e de ces derniers et de leurs libert&eacute;s individuelles. Sur ce point, on peut imaginer que ces professionnels leur imposent en effet un certain mode de vie afin de limiter leurs risques. Souhaitant b&eacute;n&eacute;ficier de prix avantageux ou d&eacute;sirant obtenir un cr&eacute;dit, les clients devront se conformer aux exigences des soci&eacute;t&eacute;s d&rsquo;assurance et de financement concernant la nutrition, les loisirs, les lieux de vacances, les heures consacr&eacute;es au sommeil, l&rsquo;heure &agrave; laquelle ils se connectent sur Internet&hellip; Or ces risques sont au cœur de leur m&eacute;tier et demeurent &agrave; la base de leurs interm&eacute;diations ; les limiter &agrave; l&rsquo;exc&egrave;s aurait pour effet de d&eacute;naturer par l&agrave; m&ecirc;me leur r&ocirc;le dans la soci&eacute;t&eacute;. Par ailleurs, il nous faut rappeler que les banques et les assureurs sont d&eacute;tenteurs de donn&eacute;es consid&eacute;r&eacute;es comme particuli&egrave;rement sensibles par le l&eacute;gislateur (pi&egrave;ces d&rsquo;identit&eacute;, &eacute;tat de sant&eacute;, num&eacute;ro de s&eacute;curit&eacute; sociale, donn&eacute;es biom&eacute;triques, etc.). La divulgation ill&eacute;gitime de ces donn&eacute;es &agrave; des tiers mal intentionn&eacute;s pourrait s&rsquo;av&eacute;rer extr&ecirc;mement pr&eacute;judiciable : exposition diffamante sur Internet, chantage, usurpation d&rsquo;identit&eacute;, ralentissement de carri&egrave;re, etc., autant de dommages que les victimes auraient &agrave; subir. Les garanties apport&eacute;es par le RGPD Au regard de ces nouveaux risques, le l&eacute;gislateur europ&eacute;en est venu renforcer la protection des donn&eacute;es personnelles et imposer de nouvelles obligations aux entreprises. Les principes garantis par la loi informatique et libert&eacute;s (traitement licite et loyal des donn&eacute;es, transparence, limitation des finalit&eacute;s, exactitude, limitation de conservation, int&eacute;grit&eacute; et conservation des donn&eacute;es) ainsi que les droits accord&eacute;s aux personnes (droit &agrave; l&rsquo;information, droit d&rsquo;acc&egrave;s, droit de rectification, droit d&rsquo;opposition &hellip;) sont naturellement conserv&eacute;s et compl&eacute;t&eacute;s par le R&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es (RGPD). L&rsquo;innovation ne r&eacute;side pas l&agrave;, mais plut&ocirc;t dans la prise en compte de ces nouveaux risques par le RGPD. Parmi les mesures les plus innovantes, nous pouvons citer le principe de &laquo; privacy by design &raquo; qui impose aux responsables de traitement (et donc aux banques et aux assurances) de prendre en compte la protection des donn&eacute;es personnelles d&egrave;s la cr&eacute;ation de nouveaux produits. Nous devons &eacute;galement mentionner l&rsquo;obligation qui leur est faite d&rsquo;effectuer des analyses d&rsquo;impact sur la vie priv&eacute;e. Cette obligation renverse la logique traditionnelle en imposant d&eacute;sormais aux entreprises non plus d&rsquo;analyser les risques qui p&egrave;sent sur elles, mais d&rsquo;&eacute;tudier et de limiter ceux qui p&egrave;sent sur leurs clients. Soucieux de renforcer la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information, le r&egrave;glement renforce par ailleurs les obligations qui p&egrave;sent sur les responsables de traitement, en leur imposant notamment de notifier &agrave; l&rsquo;autorit&eacute; de contr&ocirc;le ainsi qu&rsquo;aux personnes concern&eacute;es les failles de s&eacute;curit&eacute; dont elles ont &eacute;t&eacute; victimes &ndash; obligation qui existe depuis plusieurs ann&eacute;es aux &Eacute;tats-Unis). Enfin, il doit &ecirc;tre mentionn&eacute; qu&rsquo;au regard du principe d&rsquo;accountability, les responsables de traitement doivent non seulement respecter le r&egrave;glement, mais &eacute;galement &ecirc;tre en mesure de le prouver. &Agrave; d&eacute;faut, une sanction pouvant atteindre 4 % du chiffre d&rsquo;affaires mondial consolid&eacute; pourra &ecirc;tre prononc&eacute;e, en sus des sanctions p&eacute;nales. Souvent consid&eacute;r&eacute;es comme contraignantes par les entreprises et par les pays anglo-saxons, les r&egrave;gles pos&eacute;es par le RGPD, en vigueur &agrave; partir du 25 mai 2018, restent pourtant absolument n&eacute;cessaires. Tout en laissant un espace important aux entreprises pour innover, elles permettent l&rsquo;int&eacute;gration des nouvelles technologies au sein d&rsquo;un environnement propice &agrave; leur croissance, &agrave; savoir un environnement s&eacute;curis&eacute; et respectueux des libert&eacute;s individuelles. Bien plus qu&rsquo;une contrainte, ces nouvelles obligations peuvent d&rsquo;ailleurs constituer de v&eacute;ritables vecteurs de d&eacute;veloppement commercial.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Gestion des risques : les nouveaux usages des données à caractère personnel

À retrouver dans la revue

Paiements

Chahuté, Worldline se bouge

Macro-économie

Dette et déficit publics : comment éviter le précipice

Paiements

DeluPay, une appli alternative aux cartes de paiement

Services financiers spécialisés

Le leasing, notre meilleur atout pour une mobilité décarbonée

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous