Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.

Les Distributeurs et les compagnies d'assurances vont devoir bâtir de nouvelles relations !

La directive distribution*, qui entrera en application le 23 février 2018 clarifie les rôles, fonctions et responsabilités des distributeurs d’assurances. Ce faisant, elle redessine les contours d’une fonction clé et les responsabilités qui en découlent.

En premier lieu, elle harmonise les deux modes de distribution de l’assurance : les entreprises d’assurances, dans les faits leurs salariés, et les intermédiaires. Leurs obligations seront désormais identiques. De ce point de vue la clarification est réalisée. Les salariés des entreprises d’assurance comme les intermédiaires doivent s’approprier et respecter un nouveau cadre réglementaire car ils se trouvent plus que jamais comptables de la manière dont les clients sont orientés dans leurs choix.

Depuis DIA1, la fonction d’intermédiation a supplanté les anciennes activités d’agent général et de courtier. Cette fonction peut être exercée par des acteurs totalement indépendants ou bien ayant des relations exclusives avec les assureurs ou encore installées dans des relations d’affaires avec des compagnies, ce que l’on appelle des mandataires liés. Ce qui caractérise l’exercice de l’intermédiation ce n’est plus un mode d’exercice revendiqué, mais la situation de facto dans laquelle la fonction est exercée. La simple observation de la réalité confirme que l’immense majorité des intermédiaires en France, mais aussi en Europe, sont soit dans des relations quasi exclusives, soit ayant conclu des relations d’affaires. L’indépendance au sens de la directive apparaît donc le fait d’un tout petit nombre d’acteurs.

Encagre 1 nl87Quoi qu’il en soit, cette fonction de distribution, a fortiori si elle est exercée par un intermédiaire, est désormais inscrite dans un nouveau cadre de responsabilité. Le devoir de conseil, ainsi que le renforcement des informations pré-contractuelles et contractuelles donnent une dimension nouvelle à ces métiers. Il ne s’agit plus de vendre des produits, mais de trouver une bonne solution aux questions mises en évidence lors de la phase de conseil et qui sont traduites par une recommandation personnalisée. Il serait dangereux de ne pas prendre la mesure de cette orientation réglementaire, qui est de surcroît portée par une jurisprudence désormais constante.

Encagre 2 nl87

Les professionnels de la distribution de l’assurance vont donc devoir développer une attitude critique, contestaire dans le bon sens du terme, pour assumer leur responsabilité vis-à-vis de chaque client. Ils vont devoir s’interroger pour savoir si la solution proposée est la mieux adaptée, même si celle-ci émerge d’une procédure de gouvernance produit. Ce qui peut les conduire à ne pas proposer le produit du catalogue de la compagnie. Une situation moins confortable que de répondre aux injonctions de la hiérarchie qui détermine à l’avance les produits et les objectifs commerciaux. Tel un leitmotiv, la question  à se poser perpétuellment est : est-ce respectueux des intérêts du client ?

Un positionnement qui n’est pas nouveau pour les intermédiaires qui sont consusbtanciellement proches du client qui les paye, même si la rémunération est perçue indirectement. Quoiqu’il en soit, les uns et les autres vont gagner en autonomie. Il s’ensuit la nécessité de rebatir de nouvelles relations avec les entreprises d’assurances afin que les distributeurs bénéficient d’un cadre clair qui leur permette de respecter leurs nouvelles obligations. Ce cadre doit également permettre aux entreprises d’assurance d’exercer l’accompagnement nécessaire des distributeurs et leurs responsabilités de contrôle des intermédiaires sans ingérence dans le fonctionnement des structures de ces professionnels indépendants.

Henri DEBRUYNE

*La Directive Distribution d’assurance qui entrera en application le 23 février 2018.