Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.

Les rémunérations au cœur des conflits d’intérêts !

La fixation des systèmes de rémunérations des activités commerciales est sensible. Elle a toujours été marquée par une extrême prudence pour éviter de déstabiliser « le fer de lance » du développement. Or, la directive distribution (IDD inspirée par MIFID) impose des principes qui contestent les pratiques actuelles. Il va falloir les repenser !

Désormais, le distributeur d’assurance a une règle impérative. Il doit toujours agir « de manière honnête, impartiale et professionnelle, et ce au mieux des intérêts de son client ». Une obligation qui trouve sa place dans la prévention des conflits d’intérêts. Elle impose une ligne de conduite (article 17 de la DDA), en particulier dans la délivrance du conseil, guidée par le seul intérêt du client ! Tout élément de nature à contrarier cet objectif est donc banni. En effet, la rémunération que les distributeurs retirent de leur activité ne peut, à aucun moment, remettre en cause l’objectivité attachée à la formulation de la recommandation personnalisée. Ceci pour ne pas entraver leur capacité à agir au mieux des intérêts des clients, ni ne les dissuadent de faire une recommandation adaptée ou de présenter l’information de manière impartiale, claire et non trompeuse (considérant 46 de la DDA).

Sont donc visés les escomptes, les précomptes, les dispositifs trop directement quantitatifs, les rémunérations différentes pour des produits répondant à des besoins identiques, les bonus et surprimes liées à des objectifs, les commissions excessives, etc. Il en est de même pour la fixation des objectifs, même sans incidence directe sur la rémunération, dans la mesure où ils peuvent être une contrainte incompatible avec l’objectivité nécessaire au respect des intérêts du client. La directive a ainsi placé les systèmes de rémunération au cœur de la prévention des conflits d’intérêts.

En prohibant les comportements non respectueux, la directive a renforcé la responsabilité des distributeurs. Désormais, leur mode de rémunération peut qualifier un comportement anormal ou prohibé et contraire aux intérêts du client. Dans ce cas, le distributeur pourrait être inquiété sur le plan disciplinaire dès qu’il sera constaté qu’un comportement est effectivement déloyal envers le client. Ce qui est encore plus important pour les intermédiaires qui ont une responsabilité accrue et personnelle dans la délivrance du conseil.

Pour compléter le dispositif, la directive précise (article 17.3) que « les États membres veillent à ce que les distributeurs de produits d’assurance ne soient pas rémunérés (…) d’une façon qui aille à l’encontre de leur obligation d’agir au mieux des intérêts de leurs clients ». Elle indique également qu’« un distributeur de produits d’assurance ne prend en particulier aucune disposition sous forme de rémunération (…) qui pourrait l’encourager (…) à recommander un produit d’assurance particulier à un client alors que le distributeur de produits d’assurance pourrait proposer un autre produit qui correspondrait mieux aux besoins du client ».Le législateur fixe un cadre précis afin d’interdire toute rémunération qui pourrait engendrer un tel risque pour le client.

Ainsi, deux niveaux d’obligations sont posés, d’une part, auprès du distributeur, et, d’autre part, de l’entreprise. Le législateur a voulu rendre le système vertueux en pesant sur l’action du distributeur et en renforçant la responsabilité de celui qui l’encadre. Bien sûr, il convient d’attendre la transposition de la directive dans le code des assurances, mais les principes sont désormais gravés dans le marbre. D’ores et déjà, nous pouvons retenir que l’incitation commerciale ne doit pas se faire au détriment du client et que rien ne doit entraver le devoir de loyauté envers le client.

Henri DEBRUYNE