Loi PACTE : Epargne retraite et ses enjeux opérationnels
Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Vente de produits d’assurance accessoire - Une responsabilité accrue pour les assureurs

La Directive distribution ne s’applique pas aux intermédiaires d’assurance à titre accessoire. Néanmoins, les entreprises d’assurances ou les intermédiaires qui travaillent avec ces distributeurs doivent veiller à ce que leurs pratiques commerciales soient respectueuses du client.

En complément de leur activité, certains professionnels proposent à leurs clients de souscrire un contrat d’assurance pour couvrir les dommages (casse, vol, annulation…) pouvant affecter les services et/ou les biens qu’ils vendent. Sous réserves qu’ils remplissent des conditions strictes, la Directive distribution considère que ces distributeurs n’ont pas à satisfaire à toutes les conditions imposées aux intermédiaires d’assurance (pas d’inscription à l’ORIAS, …).

Néanmoins, pour ne pas affaiblir la protection des consommateurs, l’intermédiaire d’assurance à titre accessoire doit dans tous les cas respecter les obligations des articles 17 & 24 de la directive ( L. 513-2 du Code des Assurances). A savoir, communiquer au client les mentions légales ainsi que la procédure de réclamation, lui fournir le document d’information sur le produit d’assurance (IPID) et lui remettre une fiche d’information et de conseil adaptée à ses besoins et au produit proposé. Sans oublier que le client doit avoir été avisé de manière explicite qu’il peut ne pas acquérir ces garanties.

Les entreprises d’assurance ou les intermédiaires qui distribuent par le canal de ces distributeurs sont responsables de la mise en œuvre de ces obligations. Les considérants n°15 et 28 de la DDA le précisent sans ambages, soulignant également que ces intermédiaires doivent avoir un niveau de connaissance adapté aux produits d’assurance qu’ils proposent. Il faut retenir que les assureurs ou les intermédiaires qui recourent à ces distributeurs sont responsables de leurs pratiques commerciales. Les régulateurs y sont de plus en plus vigilants à l’instar du régulateur britannique la Financial Conduct Authority (FCA).

Celui-ci a condamné une société de vente de téléphones à une amende de 29 millions de livres sterling (35M€) pour vente abusive d’assurances. Le régulateur a constaté que l'entreprise n'avait pas formé son personnel de manière à conseiller les clients sur l'achat d'une assurance pour téléphone portable. Mark Steward, directeur exécutif à la FCA, a déclaré: « Cette société et son personnel ont persuadé les clients d'acheter un produit qui, dans certains cas, n’était pas ou peu justifié, car le client avait déjà une couverture d'assurance. Le nombre élevé d’annulations aurait dû être un indicateur clair de la gestion des ventes abusives ».

La FCA reproche également de ne pas avoir donné aux conseillers commerciaux la formation nécessaire pour délivrer des "conseils appropriés". Ainsi, elle a constaté que le personnel avait été formé pour recommander une garantie spécifique à des clients déjà couverts par leur assurance habitation ou leurs comptes bancaires.
La FCA a déclaré qu'une grande partie des produits vendus via ces pratiques abusives avaient été rapidement résiliés. Un taux d'annulation élevé constitue un indicateur qui pointe un risque de vente inadaptée. « Il n'a pas été pris en compte », selon la FCA. A noter que les faits reprochés sont antérieurs à la mise en œuvre de la Directive distribution qui réhausse le niveau des obligations. Dans ce cas d’espèce, l’assureur ne semble pas avoir été inquiété. Sous l’égide de la DDA il en sera autrement.

Les pratiques commerciales font désormais l’objet d’une attention particulière des Pouvoirs publics, en France comme ailleurs en Europe. Le niveau des sanctions souligne l’importance que ceux-ci attribuent aux respects de ces normes.

Henri DEBRUYNE

Protection des données personnelles : L’Union européenne adopte un nouveau règlement

Dans 12 mois, un nouveau dispositif de protection des données personnelles entrera en vigueur. Il donne de nouveaux droits aux citoyens et fixe un corps de règles qui s’impose à tous les acteurs de la sphère privée et publique. Les activités d’assurance sont particulièrement concernées.

Quatre années auront été nécessaire pour adopter le nouveau Règlement Général sur la Protection des données personnelles (RGPD en Français ou GDPR en Anglais). En France, il actualise et modernise la loi informatique et libertés du 6 janvier 1978. Ce règlement est un texte à application directe, c’est-à-dire qu’il n’y a pas besoin de le transposer. Il sera effectif sur l’ensemble de l’Union européenne le 25 mai 2018. Il reste donc une année aux entreprises pour procéder à sa mise en place.

Le règlement crée de nouveaux droits. Il impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données. Les utilisateurs doivent être informés de l’usage de leurs données. A travers un consentement explicite, ils doivent donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. Le droit à la portabilité des données est reconnu. Il permet à une personne de récupérer les données qu’elle a fournies, sous une forme réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux citoyens la maîtrise de leurs données, et de rééquilibrer l’asymétrie entre le responsable du traitement et la personne concernée. Des conditions particulières sont également prévues pour le traitement des données des enfants. Enfin, le principe des actions collectives est reconnu et un droit à réparation des dommages matériels ou moraux est institué.

La suppression des formalités préalables auprès des autorités de contrôle (la CNIL en France) constitue une simplification. Il n’y aura donc plus de déclaration ou de demandes d’autorisation préalable à la mise en place des traitements de données à caractère personnel. Par contre, les entreprises seront tenues de respecter un formalisme conséquent dans la mise en œuvre des traitements de données à caractère personnel. Ainsi, le « privacy by design » introduit par le Règlement impose des mesures techniques et organisationnelles appropriées aux enjeux et aux droits des personnes dont les données sont traitées. Et ce, dès la détermination des moyens du traitement, puis tout au long de ceux-ci.

Dans les faits, il s’agit d’instaurer une gouvernance des données. Celle-ci, devra mobiliser les moyens nécessaires à ses objectifs. Nommer un référent pour certifier la démarche, le préparer à ses missions, former les collaborateurs à la collecte des données, faire des audits pour vérifier la conformité des pratiques avec les nouvelles prescriptions, établir un plan d’actions, mettre en place des processus et s’appuyer sur des plateformes SI « sécurisées ».

Ce règlement a une application territoriale mondiale. Toutes les entreprises, y compris celles qui sont établies hors de l’Union européenne, doivent s’y conformer lorsque les traitements qu’elles mettent en œuvre sont relatifs à l’offre de biens ou de services à des personnes qui sont dans l’Union européenne ou lorsque les traitements sont liés au suivi du comportement de personnes « dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union européenne ». Les sanctions prévues pourront s’élever jusqu’à 20 000 000 d’euros, et, pour une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial ! Manifestement, les autorités européennes veulent faire en sorte que les nouveaux droits offerts aux citoyens soient gravés dans le marbre.

Chacun a compris que les activités d’assurance, grandes utilisatrices de données, sont directement concernées. Les organismes d’assurance, bien sûr, mais aussi les intermédiaires et les différents sous-traitants qui concourent à leur fonctionnement. Un nouveau chantier d’ampleur dont il est urgent de prendre la mesure des enjeux.

Henri DEBRUYNE