Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.

Intermédiaires et Assureurs à la recherche d’un équilibre profitable

Un environnement économique difficile, des clients plus exigeants, une profitabilité des opérations tendue et une réglementation contraignante forcent les intermédiaires et les assureurs à faire évoluer leurs relations.

Le modèle de l’assurance change, constatent à l’unisson les assureurs et les intermédiaires. Les contraintes économiques, les clients et la réglementation forcent ces partenaires historiques à adapter leurs relations. La question centrale tourne autour de la complémentarité et de la performance de ce couple aussi vieux que l’assurance. Certes, le système affiche de bons résultats. Mais Incontestablement, les lignes bougent. Les assureurs sont sous la pression de leurs résultats techniques et donc de la performance de leur gestion des risques. En clair ils veulent des affaires rentables tout de suite. Ils ne peuvent plus compter sur les profits financiers ou sur le temps pour arrondir les angles. Ils le disent d’ailleurs sans détour : la marge potentielle des affaires est une exigence qui supplante le volume des primes. En cela, le changement de modèle induit des relations différentes : une plus grande sélectivité des apporteurs, de nouvelles exigences dans la qualité de la gestion et dans le formalisme des opérations. In fine, les délégations de souscription comme de gestion seront réduites. Du coup, les questions liées à la rationalisation des chaînes de traitement, le partage de sort et de la valeur ajoutée reviennent avec une nouvelle acuité. Manifestement, les assureurs ne cachent pas leur volonté de travailler avec moins d’intermédiaires, mais plus de partenaires ! C’est-à-dire, d’une certaine manière, plus intégrés et avec lesquels le partage de la rentabilité sera le mode commun de fonctionnement. Sous cet angle, c’est un changement de modèle économique qui se profile.

La réglementation (Solvabilité 2 et DDA), impose un meilleur encadrement des procédures et des engagements. La maîtrise des risques exige un contrôle strict et permanent, par les assureurs, des délégations concédées aux intermédiaires. Un contrôle qui s’étend au respect des pratiques commerciales. En effet, le législateur européen considère désormais qu’un assureur qui confie la distribution de ses produits à un intermédiaire doit s’assurer que ce dernier opère dans le strict respect des règles. Ce qui ne peut pas s’envisager autrement que par des procédures partagées. Une forme d’intégration qui pose deux questions. La première est celle de l’autonomie nécessaire pour assurer les fonctions de conseil, d’ajustement et d’accompagnement des clients. Et, la seconde est celle de la valeur ajoutée intrinsèque de l’intermédiaire dans la chaîne de distribution.

Deux questions qui sont au cœur de l’évolution. Autant les réflexions sur l’adaptation des relations à une nouvelle configuration économique progressent et semblent s’inscrire dans une réalité positive, autant le débat sur la place même de la valeur ajoutée de l’intermédiaire dans la chaîne reste évanescent. En fait, cette valeur ajoutée est régulièrement évoquée, mais elle reste largement une abstraction. Pourtant, elle est bien réelle dans ce qu’elle apporte aux clients, bien évidemment, mais aussi aux compagnies. Et c’est bien sur ces aspects que la réglementation va imposer des clarifications et que vont porter, principalement, sur les obligations de transparence et de contrôle.

Cela ne sera pas, d’ailleurs, suffisant. C’est un trilogue qui est de plus en plus évoqué par les assureurs. Ils considèrent l’intermédiaire comme leur partenaire, et le client final comme « leur client partagé ». Signe que le débat est à peine posé.

Henri DEBRUYNE
Président du MEDI