Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.

La conformité : un enjeu de développement

L’accumulation de réglementations, qui s’abat sur les acteurs des services financiers et en particulier sur le secteur de l’assurance, est une occasion rare de réviser les modes de fonctionnement et les objectifs des organisations des compagnies comme des intermédiaires.

La mise en conformité prend des allures de parcours du combattant. La directive distribution bénéficie d’un court répit de quelques mois*, mais le règlement de protection des données personnelles (RGPD) entrera en application dès le 25 mai prochain. Il faut donc conduire la mise en œuvre de ces nouvelles dispositions dans les mois qui viennent, c’est-à-dire maintenant. Les acteurs les plus structurés ont déjà commencé, parfois depuis longtemps. Mais l’immense majorité des PME et des TPE de l’assurance se demande encore par où commencer.

Tout d’abord, il faut de la méthode. Il n’est pas possible de tout faire en même temps et surtout pas dans le désordre. Ces deux règlementations ont des objectifs partagés. En effet, à y regarder de plus près, ces deux textes s’attachent à la même finalité de protéger les intérêts des consommateurs. Ce qui conduit à ordonner les moyens de le faire autour de la personne du client. De fait, la conformité n’est pas une abstraction juridique imposant des règles, mais l’ensemble des moyens mis au service du client dans le respect de son identité et ses intérêts.

Ce qui permet de dégager quelques recommandations. La première est de partir de la stratégie de l’entreprise, même pour une agence et/ou un cabinet de courtage, en clarifiant ses ambitions, c’est-à-dire les clients qu’elle entend servir, les moyens qui y sont consacrés sur le plan humain et des compétences comme sur celui des apports technologiques. Ce qui permet de se poser quelques bonnes questions sur les objectifs poursuivis, les ressources qui y sont dédiées et la manière de la faire. Autrement dit, est-ce que les moyens sont alignés sur les ambitions.

La deuxième recommandation porte sur le processus de mis en place, l’agenda et les priorités. Certes, les textes fixent des délais, mais les autorités tant l’ACPR pour la DDA que la CNIL pour le RGPD, ont indiqué qu’elles seraient conciliantes pour ceux qui ont commencé à faire. Il est donc loisible d’insérer de la souplesse à condition toutefois que la démarche de mise en conformité soit initiée et qu’un calendrier crédible y soit associé. Il faut donc planifier en hiérarchisant les priorités.

La troisième est plus une observation. Le recours à des sachants, avocats, consultants, etc. est utile et le plus souvent indispensable. Leur apport d’expertise est déterminant, leur expérience peut éviter de nombreux tâtonnements et permet de gagner du temps. Pour autant, ils ne peuvent se substituer totalement aux dirigeants, qui doivent assumer les impacts sur l’organisation de l’entreprise, et gérer les leviers du changement que cette évolution réglementaire apporte. Par exemple, adapter un système de rémunération ou le dispositif de fixation des objectifs sont à l’évidence du ressort exclusif du management, même s’il se fait conseiller.

Enfin, ce changement est porteur d’une dynamique. Il concerne donc toutes les collaboratrices et tous les collaborateurs et pas seulement à celles et à ceux qui portent le projet de la « compliance ». C’est particulièrement vrai de la directive sur la distribution particulièrement qui implique l’interrelation entre chaque commercial et chacun de ses clients. De plus, l’expérience montre combien leurs réflexions sont riches, efficientes et le plus souvent forgées par le bon sens, autant les écouter.

La mise en conformité impose une gestion du changement car elle sera tout sauf indolore. Elle va casser certaines habitudes, contester des pratiques et nécessiter de nouvelles approches. De plus, une fois conforme, il faudra le rester. En réalité, c’est l’axe de développement qui est concerné.
*La mise en application est reportée du 23 février au 1er octobre 2018.

Henri Debruyne