Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.

La gouvernance des produits impose de nouvelles relations assureurs - distributeurs

La gouvernance des produits est l’une des principales innovations de la directive distribution d’assurances*. Elle instaure un dispositif de validation de chaque produit en fonction des besoins réels des clients. Un dispositif qui porte en germe une profonde évolution des relations entre les distributeurs et les entreprises d’assurance, particulièrement les intermédiaires.

Le POG** (product oversight and governance), impose aux concepteurs de produits (organismes d’assurances et intermédiaires) un ajustement permanent de leurs offres aux besoins des clients. Ils doivent mettre en place un processus pour vérifier que les produits répondent aux besoins réels des clients. Les distributeurs doivent maîtriser les produits et avoir une bonne connaissance du marché auquel ce produit est destiné. Ils ont donc un double rôle. D’une part, ils doivent satisfaire à leurs obligations d’information et de conseil, et, d’autre part, ils doivent s’impliquer dans le bon ajustement des produits aux besoins.Encadr bleu 105

Avant leur mise sur le marché, un processus doit valider que les produits imaginés correspondent bien aux besoins réels des clients auxquels ils sont destinés. Ce processus s’impose dès la conception de l’offre, il englobe les différentes phases d’élaboration, il détermine le marché visé et il choisit les canaux de distribution appropriés. Il indique également les consommateurs auxquels ces produits sont contre indiqués. Enfin, il s’agit d’un dispositif de révision régulière pour s’assurer que les conditions qui ont prévalu à la mise sur le marché restent actuelles, ou le cas échéant, nécessitent des adaptations. Il a donc vocation à être permanent. Le processus doit être écrit, ce qui souligne la volonté des autorités de formaliser les procédures.

La gouvernance des produits porte en elle deux orientations majeures. La première est celle du choix des réseaux de distribution et des distributeurs. En effet, les concepteurs de produits devront à la fois choisir le canal ou les canaux les mieux appropriés, mais aussi s’assurer que les distributeurs ont les compétences requises et mettent en œuvre les bonnes pratiques commerciales. Cela met fin à l’idée selon laquelle chaque distributeur peut ou pourrait commercialiser toutes sortes de produits. Une conception généraliste du métier disparait. Désormais, la faculté de commercialiser sera structurée par la compétence effective, vérifiée au moment où le produit va être vendu. La seconde évolution confirme une tendance à l’intégration des systèmes de distribution dans les processus des compagnies. La responsabilité accrue, de ces dernières, va conduire à faire évoluer leurs relations avec les distributeurs et particulièrement les intermédiaires. Elles devront objectiver le choix de travailler avec chacun d’entre eux, s’assurer de leur niveau de compétence et les contrôler, en particulier sur les pratiques commerciales. Inutile de souligner ici, l’ampleur du changement dans les relations entre les entreprises d’assurances et les distributeurs que cette évolution porte en germe.

Les distributeurs, en ce qui les concernent, doivent s’assurer que les produits qu’ils proposent répondent aux besoins de leurs clients. Cela ressort, en premier lieu, de leur responsabilité de conseil pour laquelle ils doivent avoir les moyens et l’autonomie suffisants pour ajuster leurs préconisations, mais également de l’obligation qui leur est faite d’informer le concepteur de l’ajustement de son produit aux besoins des clients.

Henri DEBRUYNE
Président du MEDI

*Publiée au JOUE du 2 février 2016. Cette directive sera applicable le 23 février 2018
**Article 25 de la directive sur la distribution des produits d’assurance – projet d’acte délégué publié le 27 juillet 2017