La concurrence sur le marché de la prévoyance collective a conduit les assureurs à proposer une « offre de services non assurantiels » afin de se différencier dans la réponse aux appels d’offres et de retenir la clientèle. Pour les assureurs, difficile d’évaluer la rentabilité effective de ces services, pas toujours facturés, et dont on connaît le coût sans pouvoir mesurer précisément les effets indirects. On peut toutefois penser qu’ils confèrent un avantage concurrentiel s’ils sont bien vendus.
À cet égard, la montée des obligations déclaratives des entreprises fournit vraisemblablement aux assureurs une occasion de valoriser les données de leurs clients dont ils disposent par une offre « servicielle » propre à présenter la politique de responsabilité sociale et environnementale de leurs clients. Par les données qu’ils possèdent sur les salariés, les assureurs santé et prévoyance peuvent contribuer de manière significative à l’élaboration des rapports en matière sociale ; par leur connaissance des activités physiques des entreprises, les assureurs de dommage et de responsabilité peuvent contribuer de manière significative à l’élaboration des rapports en matière environnementale ; enfin, les assureurs ont en principe des données d’autant plus riches qu’ils offrent des services supplémentaires à leurs clients.
Ces données d’assurance sont une mine que les entreprises d’assurance peuvent exploiter au bénéfice de leurs clients. Toutefois, pour en faire un élément déterminant de leur offre commerciale, les assureurs doivent surmonter un certain nombre d’obstacles qui ne tiennent pas seulement à la réglementation des données personnelles, mais aussi aux modalités de l’organisation de leur offre et aux attentes de leurs clients. Pour élaborer ces idées, nous allons rappeler d’abord les obligations de reddition de compte des entreprises en matière de RSE avant de montrer comment les assureurs peuvent les y aider et quelles difficultés compliquent le développement d’une relation de service de reddition de comptes en marge de l’activité d’assurance.
Au cours des dix dernières années, la loi a créé ou accru les obligations déclaratives pour les entreprises dans le domaine social et environnemental. Mentionnons notamment :
– la loi n° 2018-771 du 5 septembre 2018 pour la liberté de choisir son avenir professionnel. Dans son article 104, elle instaure des « mesures visant à supprimer les écarts de rémunération entre les femmes et les hommes dans l’entreprise ». C’est l’article L. 1142-8 du Code du travail : « dans les entreprises d’au moins cinquante salariés, l’employeur publie chaque année des indicateurs relatifs aux écarts de rémunération entre les femmes et les hommes et aux actions mises en œuvre pour les supprimer, selon des modalités et une méthodologie définies par décret... » ;
– la loi n° 2021-1018 du 2 août 2021 pour renforcer la prévention en santé au travail. Dans son article 3, elle institue un « document unique d’évaluation des risques professionnels » (DUERP) avec des obligations de reddition de comptes distinctes selon que l’entreprise a plus ou moins de cinquante salariés. Pour le DUERP, l’élaboration des rapports est en général confiée à la direction des ressources humaines (DRH), voire à la direction de la qualité ou des risques quand elle existe. Pour les entreprises de moins de cinquante salariés, les obligations sont plus légères. Mais la fonction DRH n’existe pas toujours ! C’est donc au chef d’entreprise ou à son directeur administratif de gérer un rapport technique et chronophage.
En matière environnementale, les obligations sont encore plus lourdes et les entreprises assujetties sont plus importantes :
– la directive 2014/95/EU dite NFRD (Non-Financial Reporting Directive, « publication d’informations non financières ») est entrée en vigueur en 2018 (décret n° 2017-1265 du 9 août 2017 pris pour l’application de l’ordonnance n° 2017-1180 du 19 juillet 2017 relative à la publication d’informations non financières par certaines grandes entreprises et certains groupes d’entreprises) : elle oblige les sociétés de plus de 500 salariés et les sociétés cotées sur les marchés d’actions à remplir une déclaration de performance extra-financière annuelle ;
– à partir de 2025, la directive (UE) 2022/2464, dite « CSRD » (Corporate Sustainability Reporting Directive) étend ces obligations aux entreprises de plus de 250 salariés. 6 500 entreprises françaises seraient concernées contre 1 500 pour NFRD, en prenant en compte les seuils de chiffres d’affaires et de bilan. Les obligations sont par ailleurs renforcées puisqu’il faut maintenant rendre un Rapport de durabilité qui doit en outre être certifié par les commissaires aux comptes ou des organismes tiers (voir avis de la H2A1). Les sanctions encourues sont désormais considérables tant pour l’entreprise, susceptible d’être exclue des marchés publics, que pour les dirigeants, avec des peines de prison ;
– enfin, la Directive (UE) 2024/1760 du Parlement européen et du Conseil du 13 juin 2024 sur le devoir de vigilance des entreprises en matière de durabilité, dite « CS3D » (Corporate Sustainability Due Diligence Directive) oblige les entreprises à s’assurer que leurs fournisseurs respectent les normes ESG en vigueur dans l’Union européenne (UE).
Comme les textes précédents, CS3D va entrer en application selon un calendrier priorisant en premier lieu les plus grandes entreprises, puis les moins grandes jusqu’aux entreprises de plus de 1 000 salariés en 2029. La nouveauté de CS3D ? On voit pointer une architecture qui n’est pas sans rappeler celle de la lutte contre le blanchiment et le financement du terrorisme : les entreprises du secteur financier font l’objet d’une surveillance par leurs organismes de contrôle et c’est à elle de s’assurer du respect de la réglementation par leurs relations commerciales.
Si cette architecture qui met les institutions financières au principe de l’exécution des normes ESG devait se confirmer, et si la tendance du législateur européen à généraliser l’application de ces normes à toutes les entreprises par l’abaissement des seuils comme on le voit dans le passage de NFRD à CSRD, alors les entreprises d’assurance seraient effectivement en situation de vérifier la publication par leurs clients d’informations... dont elles disposent déjà en tant qu’assureurs ! Car il paraît bien évident que l’assureur santé et prévoyance possède toutes les informations pour remplir un rapport social comme peut l’être le DUERP français. Pourquoi ne pas anticiper ces évolutions en proposant dès maintenant aux entreprises de les aider à remplir leurs obligations réglementaires – qui s’imposent en premier lieu aux entreprises d’assurance ? Comme on l’a vu, les obligations déclaratives dépendent de la taille des entreprises, ce qui exige de segmenter l’offre commerciale (voir tableau).
En complément de leur activité d’assurance santé et prévoyance, des entreprises du secteur ont déjà développé des services, soit en marque blanche, soit via des partenariats avec des sociétés de conseil pour accompagner les entreprises dans la production de statistiques pour les déclarations légales. Par exemple en offrant un portail d’accès aux données attendues dans les déclarations. Des services existent aussi dans la rédaction des documents eux-mêmes, par exemple les « fiches de pénibilité » et maintenant le DUERP. En effet, dans le cadre de la réalisation de la cartographie des risques professionnels, l’assureur dispose des données de gestion (Données Sociales Nominatives ou DSN, flux avec la Sécurité sociale et prestataires de tiers payant ou réseau de soins, canaux de communication) afin d’évaluer les risques liés à la santé des salariés. Il accède aux données concernant les arrêts travail, par âge, sexe, catégorie socioprofessionnelle, coefficient hiérarchique, ancienneté... et peut faire le lien avec le nombre d’hospitalisations, la durée, l’augmentation de certains soins...
1. Ce qu’il est possible d’apporter sur le volet social
Sur un autre aspect de la RSE, l’assureur peut également apporter une réponse aux entreprises par rapport aux conditions de travail. Exemple : l’égalité entre les hommes et les femmes, la lutte contre les discriminations, le harcèlement. Conformément aux articles L. 3221-1 à L. 3222-2 du Code du travail le droit du travail hexagonal contraint notamment les entreprises à faire preuve d’égalité salariale entre les femmes et les hommes et à publier des indicateurs sous peine d’être sanctionné financièrement. Avec des pénalités pouvant aller jusqu’à 1 % de la masse salariale par exemple !
En outre, l’assureur santé et prévoyance peut apporter son expertise en développant des actions, notamment sur le volet Social de RSE, qui vont avoir un impact positif sur les risques précédemment identifiés dans le cadre des études transmises, notamment sur les risques psychosociaux, les Troubles Musculo Squelettique (TMS), les chutes, les risques de blessures selon l’activité exercée, etc. Certains acteurs travaillent déjà ce type d’approche avec un objectif de réduction de l’absentéisme en agissant sur la fréquence et la durée des prestations avec des médecins experts, des bilans de santé, des actions pour réduire les risques.
2. Ce qu’il est possible d’apporter sur le volet environnemental
En matière environnementale, les assureurs de dommages sont mieux placés pour agir sur les risques physiques sur lesquels les textes demandent des comptes : les visites d’inspection préalables à la souscription ou périodiques permettent évidemment de collecter l’information nécessaire, et les collaborateurs des compagnies d’assurances possèdent une expertise technique assise sur l’expérience de clients et de prospects. Au-delà du risque physique, les assureurs peuvent également agir sur le risque de transition et de responsabilité. Le risque de responsabilité doit faire l’objet d’une attention particulière car il représente un risque de réputation et financier non négligeable. L’un des principaux réassureurs s’est d’ores et déjà positionné pour offrir du conseil sur ce segment. Il tire parti de son expérience et de son expertise internationale, pour proposer des études agissant sur les risques physiques actuels et prospectifs (sous la forme de scoring), un état des lieux sur la biodiversité et les services écosystémiques (BES) à n’importe quel endroit de la planète. Les livrables fournis sur les risques physiques sont réalisés par des actuaires. Concernant les risques de transition, l’évaluation des retombées sur la chaîne logistique et l’accompagnement sur la réalisation des livrables obligatoires sont réalisés par des spécialistes de l’environnement, et non par les seuls actuaires.
Si, comme le montre ce dernier exemple, la réalisation des missions de conseil nécessite parfois d’embaucher des collaborateurs et de mobiliser des intelligences artificielles spécialisées, il ne faut pas non plus négliger les obstacles au développement de cette offre de service ciblée sur les besoins de reddition de comptes des clients.
Les obstacles rencontrés par les assureurs dans la valorisation des données de leurs clients sont d’abord d’ordre réglementaire. Pour autant, il ne faudrait pas négliger les difficultés qui découlent de l’organisation même de l’activité des assureurs et des habitudes de leurs clients.
1. Obstacles réglementaires
En France, la protection des données personnelles est régie par un corpus législatif abondant : loi du 6 janvier 1978 dite « Informatique et Libertés » et Règlement Général sur la Protection des Données (RGPD) applicable en Europe depuis le 25 juin 2018. La mise en œuvre de ce texte a nécessité des investissements humains, organisationnels et financiers non négligeables pour les assureurs afin d’être en conformité et de pouvoir donc gérer le droit d’effacement et les oppositions, de rendre des comptes sur les limitations du traitement des données, etc. Les assureurs sont particulièrement surveillés sur leurs traitements et doivent s’engager à tenir un registre interne de traitement des données et avertir immédiatement la Commission nationale informatique et liberté (Cnil) en cas de violation. Ils sont notamment concernés par les articles 5 et 6 du RGPD relatifs au principe de minimisation des données et la durée de conservation maximale autorisée.
Sur les risques santé, l’exploitation des données par les assureurs est des plus complexe car régie aussi par le Code de la santé publique (droit des malades et usagés de la santé, secret médical). L’article 9 du RGPD prévoit par défaut l’interdiction de traitement des données sensibles avec néanmoins des dispositions dérogatoires si :
– la personne concernée a donné son consentement explicite ;
– le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ;
– le traitement est effectué, dans le cadre de leurs activités légitimes.
Au regard de ces risques et de ces contraintes, les assureurs choisissent généralement la prudence : ils optent pour le principe d’anonymisation des données de sorte qu’on ne puisse aucunement identifier les assurés. Les études réalisées sont ainsi globales sans jamais cibler tel ou tel salarié. Pourtant, une exploitation efficiente des données pour les assureurs reposerait également sur le principe de profilage en sus d’une approche collective, permettant des solutions adaptées aux profils de santé. Le profilage est défini par l’article 4 du RGPD et est autorisé à condition d’obtenir le consentement de l’assuré eu égard à l’article 22 du RGPD notamment.
Les organismes complémentaires d’assurance maladie (OCAM) qui récupèrent les données de santé via les accords de gestion mis en œuvre avec l’assurance maladie obligatoire (AMO) aimeraient disposer de données plus pertinentes. Mais ils se retrouvent confrontés à un certain nombre de barrières. Technico-administratives d’abord, car les actes transmis par l’AMO sont regroupés par famille de codes actes, ce qui ne permet pas d’avoir des informations précises. Législatives ensuite, car la Cnil refuse d’autoriser les OCAM à accéder à ces données affinées. Voire « culturelles » car les Français partagent volontiers leurs données avec les plateformes numériques mais pas avec les assureurs... Peut-être parce que ces derniers n’exploitent pas les biais cognitifs de leurs clients comme les GAFAM !
Ceci dit, les choses bougent : créé à l’origine par la loi du 26 janvier 2016, élargi par la loi du 24 juillet 2019, « le hub de santé » permet, sous certaines conditions et notamment avec l’autorisation de la Cnil, d’accéder aux données du Système National de Données de Santé (SNDS), en vue de réaliser un traitement de données présentant un intérêt public. Cette source de données ouvertes est une fierté française : il représente pour les OCAM, une opportunité de sortir de la position « de payeurs aveugles » afin de lutter contre les dérives en santé, mieux maitriser les risques mais également développer des actions de prévention.
Les données issues du SNDS sont « pseudonymisées » afin de garantir la confidentialité pour les assurés. Toutefois, la nécessité de prouver l’intérêt public n’offre pas aux OCAM un accès permanent au hub car il faut notamment faire la preuve de l’impossibilité d’utiliser le SNDS pour des finalités interdites. Les bureaux d’études ou les organismes de recherche indépendants peuvent, eux, avoir un tel accès.
Comme on le voit, les assureurs santé et prévoyance connaissent de mieux en mieux l’univers des données de leurs clients, et la topologie des modalités d’accès à celles-ci. Ils peuvent donc réaliser pour leurs comptes des études de qualité des données, mettre à disposition les données que la réglementation les autorise à partager et mandater des organismes de recherche indépendants partenaires pour accéder aux données du SNDS, voire (faire) réaliser les enquêtes de terrain nécessaires à la récupération des données qui ne peuvent en être extraites.
La réglementation est toutefois loin d’être le seul obstacle à la mise à disposition des données des assureurs pour le service de leurs clients.
2. Complexité de l’organisation
La majorité des acteurs sont en retard sur la correcte exploitation des données. En effet l’exploitation des datas nécessite de prévoir des investissements informatiques dans les systèmes de gestion. Or étant contraints par un grand nombre de chantiers réglementaires nécessitant des développements informatiques, les assureurs fonctionnent et font évoluer leurs systèmes de gestion existants sans nécessairement planifier les besoins nés d’une nouvelle offre commerciale, ce qui explique le décalage et le retard constaté sur l’exploitation des datas.
En outre, les assureurs sont amenés très souvent à devoir déléguer la gestion des prestations : ils perdent ainsi l’accès aux données obtenues ou produites à cette occasion. En particulier, le développement de services non assurantiels ne s’est pas toujours accompagné de la récupération de données associées pertinentes puisque les assureurs sont contraints bien souvent de faire appel à des prestataires spécialisés dans leurs domaines respectifs (assistance, téléconsultation, objets connectés, etc.). Aucun flux d’information ne transitant par les assureurs, ceux-ci sont donc privés d’un précieux outil de gestion des coûts, de la satisfaction du client... mais aussi d’expertise.
Citons notamment l’exemple des services d’assistance santé pour lesquels il persiste des problèmes d’identification encore aujourd’hui pouvant entraîner un refus de prise en charge de la part de l’assisteur conduisant à un mécontentement, voire parfois à un contentieux, d’autant que la qualité d’une assistance réside bien souvent dans sa réactivité de prise en charge. Également l’assisteur ne fournit pas de statistiques comparatives de son portefeuille permettant à l’assureur de cerner le positionnement de telle ou telle entreprise cliente et d’agir sur le contrat.
Une solution consiste à redéfinir la relation contractuelle avec les prestataires : SwissLife a opéré un choix stratégique inédit, en internalisant via un partenariat avec l’acteur Europ Assistance, ses garanties d’assistance. Dans la même lignée, accéléré par les réglementations du 100 % santé, la généralisation du Tiers payant et notamment le projet ROC (remboursement des organismes complémentaires), a conduit certains assureurs à internaliser leur réseau de tiers payant. Ces évolutions peuvent requérir une évolution des formes juridiques : la plateforme Korelio (tiers payant de PRO BTP) est passée d’un statut associatif à celui de société anonyme, pour faciliter les prises de participation. Ces quelques exemples illustrent parfaitement de nouveaux changements chez les assureurs : ils reprennent la main sur les services pour en exploiter tout leur potentiel.
L’autre axe de développement possible concerne la création ou l’investissement dans des jeunes sociétés innovantes. Enfin, pour espérer internaliser les compétences, les assureurs ont dû se doter de moyens humains, financiers et revoir parfois même leur organisation. Ils ont ainsi largement embauché, en sus de leurs actuaires, dans des profils spécialisés dans les datas (souvent des profils d’ingénieurs informatiques, statisticiens) appelés notamment des experts en mégadonnées (datas scientists), intégrés souvent au sein d’une Direction Technique voire Marketing ou Services, ou encore au sein de laboratoires de données (data labs).
Quand toutes les relations avec les experts nécessaires à l’extraction et à l’élaboration des données seraient encadrées par des contrats satisfaisants, il resterait à convaincre le client...
3. Les attentes du client
L’histoire récente montre que l’offre de services non assurantiels pose un problème de modèle économique car les entreprises clientes ne sont pas toujours prêtes à payer le prix du service supplémentaire. Même si on segmente l’offre en fonction des besoins de reddition de comptes, alors il apparaît que le prix est un critère de choix d’autant plus important que l’entreprise est petite. Les TPE attendent les services d’interprétation de la réglementation de leur expert-comptable qu’elles instituent en guichet unique de l’accès au droit... Tandis que les plus grandes, et particulièrement les entreprises cotées, vont avoir recours à des auditeurs reconnus pour rassurer les investisseurs.
Si les assureurs veulent offrir du conseil et de la donnée mise en forme, ils doivent remettre en question ces habitudes. Par exemple, pour les plus petites entreprises (de 1 à 50 personnes), avec des documents types et un service de veille qui les informe du moment où ils doivent déclarer des changements de situation que l’assureur repère dans les flux de données. Pour les entreprises un peu plus grandes, il faut évidemment personnaliser l’offre. La possibilité de monétiser ces services ou d’en faire un argument de vente va dépendre de la culture propre aux spécialistes RSE qui vont être formés : s’ils s’apparentent aux spécialistes de la conformité, on pourra difficilement attendre d’eux un effort commercial décisif pour positionner l’entreprise sur des marchés émergents où la concurrence est forte. Idéalement, les spécialistes RSE – ou du moins une partie d’entre eux – feront preuve de charisme et de capacité d’entraînement, pour intéresser les dirigeants comme leurs salariés à concourir à l’image de l’entreprise par la satisfaction de ses objectifs RSE, notamment en acceptant de partager leurs données...
Si les entreprises d’assurance n’ont pas la main sur l’agenda législatif ni sur sa mise en œuvre, les rapports Letta et Draghi pourraient avoir pour effet de limiter l’inflation des comptes à rendre. Aussi, quelle que soit l’évolution de l’environnement réglementaire, la démarche RSE pourrait aussi s’avérer un véritable outil d’attractivité et de rétention des talents, car de plus en plus de salariés y attachent une importance décisive : après le désengagement discret (quiet quitting) post-pandémique, les entreprises découvrent le désengagement de conscience (conscious quitting), en particulier chez les jeunes diplômés qui recherchent l’exemplarité en matière de discours (et parfois aussi d’actes) environnementaux et sociaux. Également, les actionnaires deviennent sensibles à la démarche RSE qui rassure sur la capacité des dirigeants à anticiper les tendances. On peut donc penser que les experts RSE peuvent contribuer à vendre une offre de service valorisante pour les microentreprises et les petites entreprises.
Répondre aux attentes des entreprises en matière de RSE et aux obligations déclaratives associées pourrait être un véritable axe de différenciation pour les assureurs de personnes, mais aussi pour les assureurs de dommages en matière environnementale. Il est certes peu développé sur le marché, mais le besoin d’accompagnement chez les clients est certain, et les données que les assureurs collectent et savent analyser permettent d’obtenir un avantage décisif, notamment par rapport aux professionnels du conseil. S’il est d’autant plus aisé pour les assureurs d’identifier les données nécessaires à la reddition de comptes – puisqu’ils y sont eux-mêmes assujettis avant leurs clients – les obstacles à l’obtention, à la mobilisation de ces données, et à au développement d’une offre commerciale ne manquent pas. Pourtant, le choix de l’UE de faire du secteur financier un pionnier, et peut-être même (encore que cela reste à confirmer) le moteur de la mise en œuvre de la responsabilité sociale des entreprises, place les assureurs dans une position stratégique... dont il serait dommage de ne pas tirer tout le parti qui s’offre.
