Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.

La Gouvernance « produit » : une innovation structurante !

La Gouvernance des produits, instituée par la directive distribution*, crée un nouvel équilibre entre les distributeurs et les concepteurs de produits.

Ce fut une surprise. L’insertion d’un dispositif de contrôle des produits dans la directive distribution n’était pas annoncée. Elle a fait son apparition dans les derniers jours de la procédure d’adoption de la directive. Inspiré par les négociateurs britanniques, ce « business  conduct » impose une nouvelle approche de la mise sur le marché des produits, et il fait des distributeurs les garants du respect de cette procédure.

Encadr bleuNL88v2Les concepteurs, c’est-à-dire les entreprises d’assurances et les intermédiaires qui conçoivent des produits - tels les courtiers grossistes – vont devoir formaliser leurs procédures d’élaboration des produits. Ils doivent le faire à travers l’identification d’une cible de clients et l’ajustement le plus fin possible des garanties aux besoins réels de ces clients. Nous entrons dans une nouvelle dimension du marketing-produit puisqu’il va falloir justifier de l’adéquation de l’un à l’autre, notamment par des tests de validation. Une procédure formelle, désormais transparente, dont l’objectif affiché est de respecter le plus strictrement possible les intérêts des clients. Dans cette phase, le concepteur du produit devra sélectionner les canaux de distribution les mieux adaptés et choisir les distributeurs en faisant preuve d’un soin particulier. Enfin, il doit mettre à leur dispositon toutes les informations nécessaires sur le produit, le marché cible ainsi que les résultats des tests de validation. Il doit également préciser les clients pour lesquels ces produits ne sont pas compatibles.

Notons que pour le législateur, tous les canaux ne sont pas forcément adaptés à la distribution de tous les produits et tous les distributeurs ne répondent pas aux exigences de compétences et de savoir faire exigées pour proposer ce produit-là. Ce qui est une réalité. Désormais, cette évidence devient une règle. Ce qui est vrai pour les canaux, l’est aussi pour les distributeurs. Ils devront être choisi en fonction de leurs compétences et de leurs savoir-faire. Ce qui signe la fin du distributeur généraliste capable de proposer tous les produits sans restriction.

De leur côté, les distributeurs doivent obtenir du concepteur tous les renseignements sur le produit d’assurance, le processus de validation et le marché cible. Ce qui est assez proche des pratiques actuelles à un différence de taille près, mais elle est de taille : les distributeurs devront vérifier le processus de validation et, en particulier, que les tests d’adéquation des produits aux besoins ont été conduits de manière satisfaisante. Nous sommes au cœur de l’activité historique des distributeurs et, spécifiquement, des intermédiaires qui sont à l’origine de nombreux produits et ont toujours eu le souci de leur amélioration régulière. Cette attitude fait partie de leur ADN. Elle est désormais reconnue. Le corollaire est que ces derniers doivent faire remonter au concepteur les informations sur le fait que le produit ne correspond pas ou ne correspondrait plus aux objectifs et aux caractéristiques du marché cible. Ce qui renforce la nécessité d’une collaboration étroite entre les concepteurs et les distributeurs.

Par ailleurs, bien que la directive soit muette, EIOPA considère que le défaut de fourniture des informations ou des tests de validation non concluants constituent de facto un argument pour la non-distribution du produit concerné. Ainsi les distributeurs deviennent les garants du respect de la gouvernance des produits.

Il reste, toutefois, une question. Que se passe t-il en cas de conflit entre la préconnisation personnalisée délivrée lors d’une phase de conseil et le produit issu du processus de gouvernance ? En d’autres termes, si le conseil débouche sur la proposition d’un produit dont la procédure de Gouvervance dit qu’il n’est pas compatible avec les caractéristiques du client, que faut-il faire ? la lecture donnée par l’ACPR* est que la démarche de conseil s’impose. Ce qui est un peu court. Il serait judiceux que les textes reconnaissent la primauté du conseil.

Henri DEBRUYNE

*La Directive Distribution d’assurance qui entrera en application le 23 février 2018.
**ACPR (Autorité de contrôle prudentiel et de résolution) convention du 25 novembre 2016.