Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.

L’assurance face aux défis de la complexité et à l’incertitude

L’horizon qui se dessine devant nous est à la fois complexe et incertain. Complexe comme le monde qui nous entoure ; incertain parce que nous ne le préparons pas. Or l’incertitude est notre réalité, et pour les assureurs leur fonds de commerce.

La complexité du monde qui nous entoure fait qu’aucune solution ne peut être simple. Les évolutions de consommations, les aspirations des clients, l’irruption du digital modulent les marchés. La concurrence impose sa loi. Ceux qui s’en éloignent, déclinent. Les MSI voient leurs parts de marché se tasser à la mesure de leur redressement tarifaire, rendu nécessaire par la préservation de leurs équilibres techniques. Les Intermédiaires résistent et, bonne nouvelle, les agents généraux regagnent un peu de terrain. Les gagnantes sont les filiales de banque, plus présentes, sinon plus agressives commercialement. Elles dominent la distribution d’assurance vie et, bon an, mal an, grignotent des parts de marché en assurance non-vie. Il faut dire que, pour les réseaux bancaires, l’apport de l’assurance est vital, et la résistance des tenants des marchés n’est pas très vigoureuse.

Ces données sont maintenant bien installées. Enfin, jusqu’à la prochaine offensive de nouveaux acteurs qui ne manqueront pas de s’emparer des demandes non satisfaites. Car les acteurs sur le terrain le sentent bien, les situations sont mouvantes, difficiles à cerner. Certes, les clients ont toujours été plus ou moins instables, mais désormais nous sommes au-delà de simples mouvements d’humeurs. Les niveaux d’exigences croissent, les attentes sont portées par des comportements nouveaux auxquels les assureurs ont du mal à répondre. Leurs organisations sont lentes, lourdes et ils ne sont guère aidés par des réglementations ou plus exactement une mise en œuvre étouffante.

Cette attitude « nez sur le guidon » est préoccupante. Elle ne favorise pas l’anticipation. Nous restons largement dans le verbe. Les analyses descriptives ne sont pas absentes, mais les réalisations restent embryonnaires, et la vision partagée inexistante. Les banques, sous la pression des Fintech, font l’amère expérience d’une rupture qu’elles n’avaient pas anticipée. Les assureurs n’en sont pas à l’abri. Arrêtons de croire, également, que l’analyse et l’anticipation sont de la responsabilité exclusive des dirigeants. Tous ceux qui agissent dans le concert professionnel sont concernés.

Comment être agile, réactif, à l’écoute des clients et innovant lorsque l’évolution réglementaire est déclinée d’une manière aussi tatillonne et nous éloigne de l’analyse pondérée et du bon sens ? Comment gérer les exigences de profitabilité, aussi légitimes soient-elles, sans tomber dans la course à la performance la plus réductrice qu’il soit pour le service aux clients ? Comment intégrer la révolution numérique, sa vague d’opportunités et son lot de contraintes ? De fait, l’incertitude est à la mesure de notre faible lecture de l’avenir même le plus immédiat et à notre propension à rechercher des certitudes. Nous avons tous intérêt à admettre que l’incertitude est inhérente à notre fonctionnement. Nous devons apprendre à travailler avec elle et faire une place, la plus large possible, à la modestie et au pragmatisme. Personne ne sait ce qui fonctionnera demain. Essayons, faisons des expériences et surtout évitons d’en faire des leçons !

Sur ce plan, revenir aux réalités de terrain et à ce qu’attendent les clients sera salutaire. Réinstaurer l’écoute pour éviter de construire des offres, comme des normes, déconnectées des réalités et inefficaces.

Ceci est aussi vrai pour les législateurs, les fonctionnaires chargés de mettre en œuvre que pour les acteurs de l’assurance.

Henri DEBRUYNE