Eclairage

Protection des données personnelles : L’Union européenne adopte un nouveau règlement

Dans 12 mois, un nouveau dispositif de protection des données personnelles entrera en vigueur. Il donne de nouveaux droits aux citoyens et fixe un corps de règles qui s’impose à tous les acteurs de la sphère privée et publique. Les activités d’assurance sont particulièrement concernées.

Quatre années auront été nécessaire pour adopter le nouveau Règlement Général sur la Protection des données personnelles (RGPD en Français ou GDPR en Anglais). En France, il actualise et modernise la loi informatique et libertés du 6 janvier 1978. Ce règlement est un texte à application directe, c’est-à-dire qu’il n’y a pas besoin de le transposer. Il sera effectif sur l’ensemble de l’Union européenne le 25 mai 2018. Il reste donc une année aux entreprises pour procéder à sa mise en place.

Le règlement crée de nouveaux droits. Il impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données. Les utilisateurs doivent être informés de l’usage de leurs données. A travers un consentement explicite, ils doivent donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. Le droit à la portabilité des données est reconnu. Il permet à une personne de récupérer les données qu’elle a fournies, sous une forme réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux citoyens la maîtrise de leurs données, et de rééquilibrer l’asymétrie entre le responsable du traitement et la personne concernée. Des conditions particulières sont également prévues pour le traitement des données des enfants. Enfin, le principe des actions collectives est reconnu et un droit à réparation des dommages matériels ou moraux est institué.

La suppression des formalités préalables auprès des autorités de contrôle (la CNIL en France) constitue une simplification. Il n’y aura donc plus de déclaration ou de demandes d’autorisation préalable à la mise en place des traitements de données à caractère personnel. Par contre, les entreprises seront tenues de respecter un formalisme conséquent dans la mise en œuvre des traitements de données à caractère personnel. Ainsi, le « privacy by design » introduit par le Règlement impose des mesures techniques et organisationnelles appropriées aux enjeux et aux droits des personnes dont les données sont traitées. Et ce, dès la détermination des moyens du traitement, puis tout au long de ceux-ci.

Dans les faits, il s’agit d’instaurer une gouvernance des données. Celle-ci, devra mobiliser les moyens nécessaires à ses objectifs. Nommer un référent pour certifier la démarche, le préparer à ses missions, former les collaborateurs à la collecte des données, faire des audits pour vérifier la conformité des pratiques avec les nouvelles prescriptions, établir un plan d’actions, mettre en place des processus et s’appuyer sur des plateformes SI « sécurisées ».

Ce règlement a une application territoriale mondiale. Toutes les entreprises, y compris celles qui sont établies hors de l’Union européenne, doivent s’y conformer lorsque les traitements qu’elles mettent en œuvre sont relatifs à l’offre de biens ou de services à des personnes qui sont dans l’Union européenne ou lorsque les traitements sont liés au suivi du comportement de personnes « dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union européenne ». Les sanctions prévues pourront s’élever jusqu’à 20 000 000 d’euros, et, pour une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial ! Manifestement, les autorités européennes veulent faire en sorte que les nouveaux droits offerts aux citoyens soient gravés dans le marbre.

Chacun a compris que les activités d’assurance, grandes utilisatrices de données, sont directement concernées. Les organismes d’assurance, bien sûr, mais aussi les intermédiaires et les différents sous-traitants qui concourent à leur fonctionnement. Un nouveau chantier d’ampleur dont il est urgent de prendre la mesure des enjeux.

Henri DEBRUYNE

Ce que nous devons à l’Europe ! Vingt années de construction du marché unique de l’assurance

Depuis plus d’une vingtaine d’année, l’Europe construit progressivement le marché unique de l’assurance. Patiemment, elle institue un corps de règles pour protéger les consommateurs, ouvrir et réguler la concurrence.

La politique de concurrence, sur laquelle l’Europe a une compétence exclusive, a imposé des pratiques vertueuses qui étaient loin d’être partagées. Souvenons-nous que le marché français abritait des disparités énormes. Certains acteurs étaient exemptés des obligations du code des assurances pour la présentation d’opérations d’assurances, d’autres - près de 40% du marché - bénéficiaient d’exonérations fiscales importantes. Bref, la France, état de droit qui porte très haut l’étendard de l’égalité, faisait en sorte que certains étaient moins égaux que d’autres. Une situation que le droit européen assimile à des aides d’Etat.

Progressivement, ces inégalités de traitement ont régressé pour quasiment disparaitre. Non sans mal, parfois. Il a fallu l’action vigoureuse, au milieu des années 90, des organisations professionnelles (FFSA et FNSAGA aujourd’hui Agéa) auprès de la Commission européenne pour faire tomber les dernières résistances. Les gouvernements français successifs échouaient à instaurer ou faire respecter les mêmes règles pour tous. Certains intérêts s’avéraient trop puissants.

C’est donc l’Union européenne, forte d’une compétence exclusive en matière de concurrence et faisant preuve d’une volonté sans faille, qui a imposé une dynamique vertueuse. Les consommateurs en ont tiré un réel bénéfice. La compétition s’est accrue, particulièrement en France. Les professionnels aussi ont vu s’ouvrir de nouveaux espaces pour étendre leurs activités. Depuis le début des années 2000, le nombre d’acteurs a cru surtout dans les activités de distribution. Tels les CGPI ou les courtiers grossistes qui ont pu développer de nouvelles offres, le plus souvent performantes.

La libéralisation des marchés, bien que relative, est donc réelle. Elle s’accompagne de nouvelles règles parce que la régulation est indispensable, d’une part, et parce que la protection des consommateurs est devenue une préoccupation majeure, d’autre part. Ceci correspond à un mouvement de fond qui a été amplifié depuis la crise financière des années 2007 – 2010. Il n’est pas faux de constater que cette régulation est parfois tatillonne voire bureaucratique. D’où la nécessité d’améliorer les procédures et de les alléger. C’est d’ailleurs un des engagements de la commission Junker. Il serait en effet dommage que cette forme de bureaucratie contrarie la dynamique vertueuse impulsée par l’Europe. Car, si les bénéfices sont déjà bien réels, d’autres sont en gestation.

Les activités transfrontalières, aujourd’hui modestes, constituent de nouveaux territoires pour demain. La Commission s’est engagée à les promouvoir. La directive distribution va faciliter les formalités et nous pouvons imaginer sans peine que de nouveaux acteurs résolument européens vont chercher à se développer pour atteindre une taille critique qui leur permettra de se confronter aux concurrents américains qui pointent leur nez. L’économie digitale n’est freinée par aucune frontière, il faut que des champions européens émergent dans un cadre clair pour ne pas dire régulé.

Henri DEBRUYNE

Le devoir de conseil en question ?

Tout en promouvant le conseil la directive distribution de l’assurance ouvre la faculté de vendre des produits d’assurance sans conseil. Le choix qui en incombe aux Etats, soulève de multiples questions.

La directive n’exige pas la fourniture d’une recommandation personnalisée. Toutefois, elle impose une évaluation des exigences et des besoins des clients. Cette disposition limite fortement les ambitions initiales du texte, telles qu’elles avaient été présentées par le commissaire Barnier*. La recommandation personnalisée, ainsi formulée par la directive, est l’une des orientations fortes de ces nouvelles règles. Les Pouvoirs publics affichent ainsi l’ardente nécessité de proposer aux consommateurs des produits adaptés à leurs besoins et respectueux de leurs intérêts.

Cette orientation louable était confortée par les Pouvoirs publics français. Christian Noyer, Gouverneur de la banque de France affirmait le 4 novembre 2014** que l’ACPR, favorable au maintien du conseil intégré à la vente, veille à maintenir un socle d’exigences non détachables du produit lui-même afin d’éviter la généralisation de ventes non conseillées. Position claire et sans ambiguïté.

Au moment où s’amorce la transposition de la directive en droit français, il semble que les ambitions soient réduites. A tout le moins, qu’une version minimalisée du conseil soit possible ou favorisée, comme l’Allemagne semble en avoir fait le choix. Alors, conseil pas conseil ?

A l’évidence, l’obligation de conseil se marie difficilement avec certaines formes de vente, qu’elles soient accrochées à des objectifs forts de développement ou qu’elles s’appuient sur des moyens qui ne favorisent pas le temps nécessaire et incontournable pour délivrer un conseil digne de ce nom. Faut-il pour autant satisfaire à ces méthodes, par ailleurs décriées et que l’esprit de la directive envisage de contraindre ? C’est la question qui est posée aux Pouvoirs publics en même temps qu’aux professionnels du secteur ainsi qu’aux organisations de consommateurs.

Quoi qu’il en soit, trois questions se posent. Si des formes différentes de vente doivent cohabiter, comment le consommateur en sera-t-il informé ? Les distributeurs qui pratiqueront la forme « limitée » auront-ils l’obligation d’indiquer qu’ils ne délivrent pas de conseil et que la vente du produit est seulement assortie d’une information ou d’une règle d’adéquation ? Pour éviter une réelle distorsion de concurrence, assortie d’un manquement évident au devoir de clarté, cela serait la moindre des choses. Convenons qu’il ne sera pas facile de dire nous vous vendons un produit, mais nous le faisons sans vous donner de conseil ! Enfin, un distributeur pourra-t-il alternativement vendre avec ou sans conseil en fonction du moment ou des opportunités. Ou le choix de pratiquer l’une ou l’autre sera t’il formalisé, encadré et d’une certaine manière irrévocable ? La transparence l’imposera, sinon la confusion des consommateurs sera encore plus grande.

L’autre question est liée au différentiel économique. Une vente sans conseil devrait être logiquement moins onéreuse. Cette « économie » sera-t-elle obligatoirement affichée et répercutée vers le client ? Aujourd’hui, dans la situation actuelle du marché de l’assurance en France, rien ne permet d’affirmer que les systèmes de vente à distance ou dont les pratiques sont fondées sur des méthodes très rationnalisées sont moins consommatrices de frais généraux que les systèmes traditionnels.

Un débat qui ne fait que commencer, mais qui est vraiment important !

Henri DEBRUYNE

*Bruxelles Le 3 juillet 2012 ;
**ouverture du colloque de l’ACPR le 4 novembre 2014