Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.

La révolution du conseil

Le conseil est consubstantiel à la distribution des produits d’assurance et d’investissement, au moins en France. La révision réglementaire (MIF 2 et DDA) le renforce et lui donne un relief particulier. Il devient une réalité en soi, déconnectée de l’acte commercial. Ce qui constitue une évolution notable.

Conseiller et informer n’est pas la même chose. Conseiller, c’est assister l’autre dans ses choix. Cela formalise une « opinion exprimée pour engager à faire, ou à ne pas faire » (dictionnaire Littré, 1873). Informer, c’est partager des données objectives, sans émettre d’avis quant aux conséquences de ces informations. Conseiller, c’est orienter le choix en formulant des préconisations argumentées. En réalité, nous sommes passés d’une notion de bonnes pratiques professionnelles (« soft law ») à une obligation formelle et encadrée qui se détache du simple devoir d’information. Un niveau supplémentaire s’est d’ailleurs installé : l’obligation de mise en garde.

En France, le code des assurances comme le code monétaire posent le principe qu’il n’y a pas de vente de produits d’assurance et/ou d’investissement sans conseil. Une affirmation qui prend en compte le fait que le devoir de conseil occupe déjà une place croissante dans le contentieux de la cour de cassation, singulièrement dans le contentieux de l'assurance et de la banque.

Eclairage v71Le devoir de conseil se distingue donc de l'obligation d'information. Tandis que cette dernière consiste en un simple renseignement n'impliquant pas d'appréciation personnelle. Le conseil suppose de celui qui le fournit de guider le contractant dans ses choix, d’orienter sa décision et de le mette en garde chaque fois que l'opération envisagée comporte un risque. En droit des assurances, comme dans le code monétaire, le devoir de conseil pèse naturellement sur l’institution financière (de banque et d’assurance) et les intermédiaires financiers, auxquels il faut ajouter les souscripteurs d'un contrat d'assurance de groupe et ceux qui ont souscrit un contrat d'assurance de dommages destiné à des assurés pour compte. Tous ces acteurs sont redevables de conseil à l'égard des clients.

La novation dans l’obligation de conseil, telle qu’elle sera imposée par les textes européens, réside dans la formalisation d’une recommandation personnalisée et préalable à l’acte de vente. Ce qui implique une approche neutre à défaut d’être objective. C’est d’ailleurs ce que l’ACPR* a cherché à faire en précisant les bonnes pratiques** et notamment les modalités de recueil des informations sur les clients : leur profil, leur aversion au risque et la traçabilité de leurs données. Cette formalisation, marque une révision profonde des pratiques commerciales.

De fait, prodiguer un conseil de qualité nécessite une démarche d’appréciation du contexte du client, de ses besoins et de ses exigences, qui va bien au-delà d’une simple évaluation de l’adéquation d’un produit à une demande plus ou moins bien formulée. D’autant que le dispositif s’inscrit désormais dans la durée, au moins celle de la vie du contrat. Ce qui se profile est donc la nécessité de formaliser un conseil éclairé pour le client et pas une simple explication pour améliorer la présentation d’un produit.

Le devoir de conseil se complète d’un devoir de mise en garde dans l’hypothèse où le souscripteur ne donnerait pas toutes les informations nécessaires à l’exercice du conseil. Le devoir de conseil se conjugue, également, avec la lutte contre les conflits d’intérêts. Celle-ci vise à renforcer la protection des clients en étendant le champ des informations qui devront leur être obligatoirement révélées (transparence statutaire, de rémunération, etc.). Elle vient compléter le dispositif de contraintes qui, désormais, va peser sur tous ceux qui interviennent dans la commercialisation des produits d’assurances. En effet, les autorités européennes, en imposant une clarification de la réalité du conseil, ont tiré les leçons des errements du passé, mais aussi et surtout, elles transcrivent de profondes aspirations des consommateurs parfaitement relayées par la jurisprudence***.

Henri DEBRUYNE
Président du MEDI


*ACPR : Autorité de Contrôle Prudentiel et de Révision C2013-R-01 du 8 janvier 2013
**Recommandation 2013-R-01 du 8 janvier 2013
***Selon la CGPA, leader de l’assurance de responsabilité civile des professionnels de l’assurance en France, Le devoir de conseil est invoqué dans 75% des mises en cause.