La collecte et la manipulation des données personnelles sont devenues des enjeux pour les entreprises et un élément majeur de leur compétitivité. La production et la collecte massive des données ont reçu le nom générique de Big Data, facteur majeur d’un nouveau marketing d’une très grande efficacité.
1.1. Depuis les années 70, la question du contrôle de la collecte, de l’échange et du stockage des données (afférant aux personnes privées) est posée. En 1974, le projet « Safari »1 d’interconnexion des fichiers des différentes administrations au sein du ministère de l’Intérieur est abandonné, car perçu comme une entrave sérieuse à la liberté individuelle. En 1974, M. Poniatowski, ministre de l’Intérieur, reprend son projet ancien de Comité de surveillance de l’informatique. Le 6 janvier 1978, la loi crée la Commission nationale de l’informatique et des libertés (Cnil). Cette loi qui s’applique à tous les secteurs qui traitent des données personnelles, prévoit la déclaration de tous les fichiers, l’information des individus concernés, l’interdiction de collecter les données à caractère sensible et la sécurisation des données. Elle octroie certains droits aux personnes : information (sur l’existence d’un traitement les concernant), opposition, droit d’accès, droit de rectification.
La Cnil reçoit la mission d’informer les particuliers et les professionnels, mais surtout de contrôler les entreprises au titre de l’application de la Loi Informatique et Libertés
1.2. La Loi Informatique et Libertés paraît dépassée, à partir des années 2010, avec le « Big Data », par l’augmentation exponentielle de la digitalisation et par la mondialisation des données. Le Règlement Général de Protection des Données (RGPD) permet d’uniformiser la réglementation de la protection des données dans l’Union européenne et l’Espace économique européen et s’étend au-delà des frontières : il s’applique aux entreprises établies hors de l’Union qui traitent des données relatives aux citoyens européens.
Le RGPD renforce les droits des citoyens : portabilité des données, droit d’effacement, droit de limitation du traitement des données, droit de ne pas faire l’objet d’une décision exclusivement fondée sur un traitement automatisé.
Le règlement fixe des principes. Le consentement (libre, spécifique, éclairé et univoque) doit être recueilli ; la durée de conservation est limitée dans le temps ; la proportionnalité (limitation de la collecte au strict nécessaire), la sécurité et la confidentialité doivent être assurées ; la collecte des données est limitée à sa propre finalité : le processus de collecte et de traitement doit être transparent. Enfin, le règlement institue dans chaque entreprise, un Délégué à la protection des données qui contrôle les « responsables de traitement », également institués par le RGPD. À noter que les sanctions applicables, en cas de manquement, sont considérables : 10 à 20 M€ d’amendes ou 2 à 4 % du chiffre d’affaires mondial d’une entreprise.
Dans l’avenir, le RGPD s’appuiera sur la Directive sur l’e-privacy fin 2022 et donc, s’appliquera aux communications électroniques et aux « cookies » (qui orientent l’offre publicitaire au client pour l’avenir). La Cnil a décidé, pour sa part, à partir de mai 2021, de rendre obligatoires les Analyses d’Impact relatives à la Protection des Données (AIPD) pour tout traitement susceptible de créer des risques élevés pour les personnes concernées. Les sanctions se sont multipliées : 18 en 2021 dont une pénalité de 150 M€ pour Google et un total de 214 M€ (Cnil, 2022).
Quant aux consommateurs, il faut reconnaître que beaucoup ne savent pas concrètement ce qu’est le RGPD. En 2019, 60 % des Français ne comprennent pas comment les données sont utilisées, 47 % ne savent pas ce qu’est le RGPD et la moyenne européenne est à 60 %2. 77 % des internautes (Protais, 2019) ne lisent pas les politiques de confidentialité disponibles et obligatoires sur Internet (conditions d’utilisation des réseaux sociaux), dont la lecture, pour Instagram, requiert 86 minutes (de Fournas, 2018) !
1.3. RGPD et Assurances. Les données sont traitées par les assureurs, soit pour la prospection commerciale, soit pour la gestion et l’exécution des contrats. Le Code des assurances impose une obligation d’information précontractuelle à l’assureur (fiche d’information sur les prix, les garanties et un exemplaire du projet de contrat). Il crée un « devoir de conseil » pour l’assureur vis-à-vis du client, plutôt mal défini par la loi, mais précisé par la jurisprudence3. Cette collecte de données requiert impérativement le consentement du client. Elle est indispensable à l’assureur pour tarifer le risque, le gérer et indemniser le sinistre. Elle permet aussi la mise au point et l’évolution des contrats.
Concrètement, les grandes structures d’assurance ont informé les assurés de leur droit et formé leurs salariés aux procédures et obligations liées au RGPD. Il n’en est pas de même pour les entités plus petites, qui ne disposent ni des ressources, ni des moyens humains pour mettre en place les procédures nécessaires. De plus, la formation des commerciaux laisse souvent à désirer, notamment sur l’application concrète au contact avec le client.
Par ailleurs, l’assurance gère des données considérées comme sensibles, notamment les données de santé qui requièrent des précautions spécifiques, notamment des mesures de prévention des attaques cyber.
Enfin, le RGPD prévoit des mesures d’organisation : définition du rôle et des responsabilités du « responsable du traitement » et des « sous-traitants ». L’Agent général, mandataire de l’assureur, est un « sous-traitant », mais il devient « responsable du traitement » dans son activité de « courtage accessoire ». La tenue du « registre de traitement des données » est souvent très négligée, alors qu’il s’agit de la cartographie des traitements de données exploités au sein de la structure commerciale. Beaucoup d’agents et de courtiers, bien que connaissant l’existence du RGPD, négligent de l’appliquer, faute de moyens suffisants : l’ampleur de la tâche et la confrontation avec d’autres obligations font renoncer certains d’entre eux à sa mise en œuvre.
1.4. Traitement des données et archivage. Le traitement des données personnelles concerne toutes les données se rapportant à une personne physique identifiée ou identifiable, quelle qu’elle soit. Aujourd’hui, la digitalisation est la norme : 78 % des entreprises estiment que le numérique apporte un réel bénéfice4. L’Arrêté du 22 mars 2017 sur l’archivage « à valeur probante » confère une valeur juridique à des documents numérisés (contrôle fiscal ou Urssaf). Le RGPD autorise également l’archivage physique, mais celui-ci a un coût élevé (locaux, salariés, appareils dédiés à l’archivage et à la suppression des documents), auquel s’ajoute le coût de recherche et de reconstitution d’un document perdu.
D’une manière générale, les obligations d’archivage vont croissant : le RGPD prévoit la limitation (« proportionnalité ») de la conservation et les règlements sur la Lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB/FT) créent une obligation de conservation, de même que les obligations de preuve en cas de litige commercial.
Les entreprises tendent à recourir à l’externalisation qui n’est pas pour autant une décharge de responsabilité, mais peut être un facteur de sérénité sur la qualité de gestion. La gestion numérique et informatique des archives implique des coûts de préparation et des coûts de gestion pour éviter tout impact négatif. Enfin, la sécurité de l’archivage est primordiale : le RGPD rappelle que les entreprises sont responsables de la sécurité des données et doivent donc, plus que jamais, se prémunir contre le risque d’attaque cyber.
1.5. La cybercriminalité. Les entreprises sont visées par diverses formes de cybercriminalité. La plus connue est le cryptage du système informatique, en vue d’obtenir une rançon (le « rançongiciel »). L’hameçonnage vise à usurper l’identité d’une personne pour obtenir des coordonnées bancaires, l’usage de la Carte vitale ou des données sensibles. Les attaques ciblent désormais les assureurs qui disposent de bases de données clients très riches, utilisées quotidiennement et dont l’indisponibilité (déni de service) ou le vol sont évidemment source de profits illicites considérables. Les entreprises sont sensibles à la perte d’activité et, plus encore, au risque d’image. L’assureur est responsable, aux yeux du client et de la Cnil, de la sécurité des données personnelles, véritable obligation de résultat.
Selon Zataz, site d’information traitant principalement de la délinquance informatique, en 2020 et 2021, sept assureurs auraient été attaqués. Le paiement de rançons (et leur indemnisation par l’assurance) fait désormais l’objet de débats : Generali France ne garantit plus les demandes de rançons (B. Duterque : « Nous ne voulons pas alimenter un système délinquant », in De Meyer, 2021a). L’ANSSI et le Parquet de Paris reprochent aux assureurs d’encourager les rançongiciels en faisant connaître la couverture de ces délits (hasard moral) et d’augmenter ainsi les cotisations des assurés. Hiscox et d’autres assureurs préfèrent conserver la garantie des rançons. La question est de savoir si cette garantie produit ou non du « hasard moral » dans les entreprises, en les décourageant d’investir dans la sécurité informatique et la protection des données.
On peut penser que les dispositions du RGPD suffisent à maintenir la pression sur l’amélioration de la sécurité des données. À l’issue d’une attaque cyber, la Cnil pourrait sans doute effectuer des contrôles pour juger de la qualité des mesures de sécurité mises en place et sanctionner l’entreprise, si elle les considère comme insuffisantes. L’ACPR s’est également emparée du sujet, notamment à propos du recours au télétravail lors de la pandémie de Covid.
Au total, en 2020, CyberRisk Alliance Businessc indiquait que les attaques avaient un coût financier moyen de 3,45 M€ par attaque5. M.B. Meyers (2021a) estime que le total des rançons payées en 2020 atteignait 130 M€, toutes entreprises confondues.
2.1. Le RGPD crée des freins à l’efficience des entreprises d’assurance. Le principe du « droit d’opposition » est un obstacle au développement de la prospection commerciale. Les prospects peuvent légitimement rejeter les possibilités de « prospection à froid », via notamment le procédé Bloctel. Le risque, pour les sociétés de marketing, est de voir ces procédés se multiplier, ce qui pénaliserait les salariés payés à la commission et menacerait la pérennité de cette prospection.
Le principe de transparence et le consentement plus ou moins éclairé du prospect au partage de données avec des partenaires de l’entité qui démarche le client. La limitation de ces pratiques, pas toujours appréciées des clients, notamment par le renforcement des dispositions concernant le consentement ou les possibilités de démarchage des partenaires pourrait limiter l’activité commerciale.
Le droit d’effacement donné au client peut limiter la connaissance des besoins exprimés par le client, d’en avoir l’historique et de promouvoir la vente de produits adaptés. Ce droit peut aussi limiter la possibilité d’analyser et d’exploiter les données utiles pour l’activité actuarielle.
Le droit de ne pas faire l’objet d’une décision automatisée est évidemment un obstacle à l’obtention rapide d’une décision d’acceptation du risque et à la tarification (désormais automatisée) du risque. Or, c’est le lot commun pour la grande majorité des risques de particuliers (Auto, MRH, Santé). Nombre d’assureurs préfèrent ne pas donner suite à la relation commerciale, compte tenu du coût administratif de l’examen « manuel » du risque.
La durée de conservation des données : avant le RGPD, il n’existait d’autres normes de conservation des archives que jurisprudentielles. Les entités d’assurance utilisent désormais des logiciels de Gestion électronique des données (GED), mais ce n’est pas toujours le cas des entités commerciales qui sont souvent de petites structures. Les GED permettent souvent une gestion automatique de la non-conservation des données. La nécessité de préciser les délais de conservation n’en demeure pas moins, tant pour des raisons juridiques que d’opportunité commerciale ou, simplement, de coût d’archivage. La CNIL reste sur ce point peu claire dans ses instructions.
2.2. Les injonctions de mise en conformité demeurent contradictoires. La multiplicité des réglementations applicables à l’assurance (Solvency II, Directive sur la distribution d’assurances, LCB-FT, obligations liées à la protection de la clientèle dans le Droit du contrat, règles de sous-traitance et externalisation) peut créer des « zones grises ».
Selon un responsable des MMA, le RGPD exige une « conformité lourde et difficile à mettre en place ». Si les grandes entreprises peuvent s’y adapter au jour le jour, c’est beaucoup plus difficile pour les « sous-traitants » (au sens RGPD, donc les agences), pour lesquels il faut développer des processus clairs et durables et surtout adaptés aux différents services.
Par ailleurs, les réglementations sont contradictoires. Les règles LCB-FT imposent une identification précise du prospect et des « bénéficiaires effectifs ». Or le RGPD prône la minimisation des données récoltées. Les durées de conservation imposées par la LCB-FT sont de cinq ans après la fin d’un contrat avec un client, contre trois ans pour le RGPD. L’ACPR demande que les données relatives à un sinistre soient conservées jusqu’à sept ans ou plus, en fonction des garanties en jeu.
Les sous-traitants ne savent pas clairement comment agir, d’autant plus que les sanctions leur sont applicables et que les sanctions, en cas de manquement aux règles LCB-FT, sont plus élevées que celles qui résultent de l’application fautive du RGPD. Les assureurs sont donc incités à conserver (et à faire conserver par leurs « sous-traitants ») la totalité des archives pour répondre aux instructions de l’ACPR.
Or, les sanctions sont sévères. AG2R La Mondiale a été sanctionnée par la Cnil à hauteur de 1,75 M€ (Cnil, 2021a) pour n’avoir pas respecté la limitation des durées de conservation et conservé des données, sans information des clients.
2.3. Le coût de la conformité. Les coûts se traduisent d’abord dans la mobilisation d’effectifs pour la mise en place d’un registre de traitement des données, la mise à jour des bases de données, les procédures mises en place et la création d’un poste de cadre supérieur, le « délégué à la protection des données ».
Sur le plan financier ou de frais généraux, Blockproof, société spécialisée dans la mise en conformité, cite 900 €/jour/homme pour la formation des collaborateurs, 900 €/jour pour l’ensemble des prestations juridiques (audit, cartographie des traitements, mise à jour des contrats, etc..) et la mise à jour (révision) des processus. La réalisation d’une Étude d’impact sur la protection des données (EIPD) s’élève à 3 000 € HT, etc. L’estimation globale se chiffre rapidement à plusieurs millions d’euros (source : MMA).
2.4. Les assurés, obstacles à la conformité. Au quotidien, les assurés sont, par leur ignorance même de leurs droits tirés du RGPD, des obstacles à la conformité au RGPD. Dans de nombreux cas, les personnes ne maîtrisent pas les dispositifs numériques qui sont adaptés aux obligations RGPD. C’est l’« illectronisme »6, notamment pour les personnes âgées de plus de 75 ans. Beaucoup ne sont pas conscients du caractère confidentiel et protégé des données de santé, désormais centralisées dans un service habilité à les recevoir. En réalité, les assurés estiment souvent que leurs démarches et les processus sont devenus plus complexes : le RGPD a donc un effet de détérioration de la relation client, particulièrement sensible pour des agents et courtiers, dont la raison d’être et la vocation sont d’assurer aux clients un service de proximité, fondé sur la confiance du client dans l’assureur, professionnel de l’assurance. Le RGPD tend donc à entretenir une incompréhension vis-à-vis de clients peu sensibles à la protection de leurs données personnelles.
Nous sommes là très loin des démêlés judiciaires de Facebook avec la Cnil britannique, en raison de l’utilisation de données personnelles à des fins électorales par Cambridge Analytica.
Dans le monde du Big Data, de l’Intelligence artificielle, des réseaux sociaux et de la cyber piraterie ou du marketing comportemental agressif, le RGPD est évidemment nécessaire. En revanche, pour l’assurance au quotidien, qui gère les bases de données nécessaires à la gestion de sa clientèle de particuliers, à l’indemnisation des sinistres et au paiement des prestations, il est un lourd fardeau de « conformité » généralisée. D’autant plus qu’il s’ajoute à d’autres réglementations nouvelles, elles aussi consommatrices d’efforts coûteux de « mise en conformité » des processus et des organisations, voire qu’il les contredit. Enfin, et surtout, avec la notion de « sous-traitants », il fait peser de nouvelles responsabilités sur des structures dont le niveau de compétences dans le domaine de la protection des données est difficile à satisfaire, générant parfois de lourdes sanctions.
Bibliographie
Bellot J. (2018), « De la CNIL au RGPD : 40 ans de protection des données », lhistoire.fr, 25 mai : https://www.lhistoire.fr/entretien/de-la-cnil-au-rgpd%C2%A0-40-ans-de-protection-desdonn%C3%A9es
Carrère M. (2021b), « Cyberattaques : les assureurs étrillés sur le paiement des rançons », Argus de l’assurance, 20 avril : https://www.argusdelassurance.com/les-assureurs/compagnies/cyberattaques-les-assureurs-etrilles-sur-le-paiement-des-rancons.181539
Cnil (2021a), « Sanction de 1,75 million d’euros à l’encontre d’AG2R La Mondiale », 22 janvier.
Cnil (2021b), « La qualification des acteurs du secteur de l’assurance au regard du RGPD », 16 juillet : https://www.cnil.fr/fr/la-qualification-des-acteurs-du-secteur-de-lassuranceau-regard-du-rgpd
Cnil (2022), « Cookies : la CNIL sanctionné GOOGLE à hauteur de 150 millions d’euros », 6 janvier.
De Fournas M. (2018), « Voilà pourquoi personne ne lit en entier les conditions d’utilisation de Twitter, Facebook ou Instagram », 7 mai.
Gniengue A. (2021), « Avez-vous pensé à évaluer vos coûts d’archivage ? », Xelians, 13 juillet : https://www.xelians.fr/blog/archiviste/avez-vous-pense-a-evaluer-vos-couts-darchivage/
Grandmontagne Y. (2014), « La DSI face à la donnée – Volumes, coût du stockage et Big Data », Its social, 3 juin : https://itsocial.fr/articles-decideurs/la-dsi-face-a-la-donnee-volumes-coutdu-stockage-et-big-data/
De Meyer B. (2021a) « Les assureurs du risque cyber se divisent sur le paiement des rançons », 5 mai.
De Meyer B. (2021b), « Les assureurs deviennent des cibles de choix pour les cyberattaques », Agefi, 1er décembre : https://www.agefi.fr/banque-assurance/actualites/quotidien/20211201/assureurs-deviennent-cibles-choix-cyberattaques-333178
Protais M. (2019), « Un an après le RGPD : les Français n’y comprennent toujours rien », L’ADN, 31 mai : https://www.ladn.eu/tech-a-suivre/data-big-et-smart/rgpd-etude-bilancomportements-utilisateurs/
Saquet G. (2022), « RGPD : le véritable coût de la conformité », Blockproof, 21 mai : https://blockproof.fr/blog/conformite-rgpd-le-veritable-cout
Viel L. (2021), « Cybercriminalité, une menace croissante dans l’assurance », L’Argus de l’assurance, 24 mars : https://www.argusdelassurance.com/les-assureurs/cybercriminalite-unemenace-croissante.179964
Zitouni A. (2020b), « À quoi
ressemblera le RGPD demain ? », Indexel, 15 juillet : https://www.indexel.com/data-performances/a-quoi-ressemblera-le-rgpd-demain
Baromètre RGPD 2021 : 3 ans après, quel bilan pour les entreprises ?, Éditions Francis Lefebvre, 17 juin 2021 : https://www.efl.fr/actualite/barometre-rgpd-2021-3-ans-bilanentreprises_fd06be4ae-ec56-4fa7-b937-73564a6e9c85
