Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.

Transposition de la Directive distribution : Vers un conseil minimaliste ?

Le projet d’ordonnance de transposition* de la directive sur la distribution de l’assurance instaurerait un devoir de conseil tellement minimaliste qu’il évite même d’utiliser le mot.

L’esprit de la directive est brocardé par la disparition du mot « conseil », présent partout et essentiel dans son texte, au profit du mot recommandation dès l’article L 511-1 définissant la distribution d’assurance, éventuellement « recommandation personnalisée » dans l’article L 520-1-2 II. Ce qui fait que la future rédaction du nouvel article L 520-1-2 du code des assurances serait une sous-transposition ou une mé-transposition de la DDA. La pierre angulaire de la protection des consommateurs s’estomperait en balançant entre trois options effectives dont un ersatz de conseil.

Un service minimum de principe, plus proche du simple contrôle d’adéquation (vraisemblablement automatisé) impose de vérifier que le produit proposé est cohérent avec les besoins du souscripteur.

L’autre faculté prévue est une recommandation personnalisée précisément définie (ce que ne fait pas la DDA) comme un service consistant à expliquer au souscripteur pourquoi parmi plusieurs contrats ou plusieurs options au sein d’un contrat, un ou plusieurs contrats ou options correspondent le mieux à ses exigences ou à ses besoins. Une qui seule mérite la qualification de conseil.

Enfin, pour être complet, la précision prévue à l’article 20-3 de la Directive dans le cas d’une recommandation personnalisée (elle doit être fondée sur l’analyse d’un nombre suffisant de contrats offerts sur le marché de façon à pouvoir recommander… le ou les contrats qui seraient les mieux adaptés aux besoins du souscripteur) ne figure pas dans le projet d’ordonnance de transposition.

Le mot conseil a donc disparu de la rédaction de ce projet. Ce qui est surprenant, car de tous temps le conseil est une « opinion donnée à quelqu’un sur ce qu’il doit faire ». De plus, le devoir de conseil est une obligation générale du droit sans cesse confortée par la jurisprudence. La transposition n’a d’autre fonction que d’en fixer les modalités et il y a fort à parier que les magistrats qui auront à se prononcer seront constants dans leurs décisions alors même que les distributeurs seront faussement rassurés par une rédaction insuffisante.

Deux propositions concrètes sont donc offertes. La recommandation personnalisée et la simple recherche de cohérence. A tout prendre, il serait plus clair de saisir la faculté offerte par la directive de vendre sans conseil, à condition d’être transparent pour le client et de lui dire qu’il aura un produit, mais pas de conseil. Ce serait plus clair que de faire croire à un conseil qui de fait n’en sera pas un.

Le projet de transposition ne fait pas progresser l’intérêt du consommateur en favorisant la diffusion d’une forme dégradée de conseil. Ce qui reste l’objectif de la directive. L’expérience de la Grande Bretagne montre que l’on ne bouleverse pas impunément les pratiques professionnelles. La réforme RDR** a raréfié l’accès au conseil pour de larges pans de marché, instituant une sélection financière brutale que les pouvoirs publics britanniques cherchent maintenant à corriger.

Il n’est pas trop tard pour revenir à l’esprit et à la lettre de la directive et de permettre aux distributeurs d’être en harmonie avec leur obligation d’agir de manière honnête, impartiale, professionnelle et dans le meilleur intérêt de leur client. Ce que reprend textuellement le projet de transposition.

Henri DEBRUYNE

*Version du 7 décembre 2017
**RDR (Retail Distribution Review) a interdit au premier janvier 2013 les commissions en assurance vie. Chaque conseiller devant convenir de ses honoraires avec chacun de ses clients. Une mesure qui a détourné du conseil près de 40% du marché.