Eclairage

Mise en conformité réglementaire : entre inquiétudes et volontarisme !

A moins de trois mois de la mise en conformité avec la Directive distribution, la pression monte*.

L’inquiétude est palpable. Elle gagne du terrain, d’autant que le répit de quelques mois, concédé par les autorités européennes, ne semble pas vraiment avoir été mis à profit. Les distributeurs, notamment les intermédiaires, sont sujets à une certaine fébrilité. Ils s’interrogent : comment faire ? quelles sont les priorités ? Comment les Assureurs vont-ils nous aider ? Quelle sera la position de l’ACPR ?

Une inquiétude, parfois teintée de paranoïa. Nous allons être mis en cause plus souvent, comment nous protéger ? Quels sont les outils adaptés ? Les explications et une clarification du formalisme lèvent très vite ce sentiment d’être assiégé par des exigences nouvelles. Le volontarisme l’emporte rapidement dès que la raison prend le dessus. Faisons-le, disent-ils, en se tournant vers les Assureurs dont ils pensent qu’ils peuvent les aider parce que cet enjeu est aussi le leur.

Ainsi, comme souvent, après le déni et la contestation, vient le temps de l’action. Pour les distributeurs, c’est le comment faire qui s’impose, bien éloigné des modalités juridiques, souvent rédigées par des juristes précis, voire tatillons qui in fine donnent l’impression de renvoyer la charge réglementaire sur les seuls intermédiaires. Le fait de ne pas avoir des interlocuteurs prompts à les soutenir accroît leur insécurité potentielle et cela n’est bon pour personne.

L’enjeu pour les Assureurs est donc triple. Il est, en premier lieu factuel, en expliquant les nouvelles contraintes pour dépassionner leur compréhension. Cela d’autant qu’il s’agit plus d’un approfondissement des règles existantes et donc, pas d’une révolution. Ensuite, en rassurant sur les procédures qui faciliteront le respect de la réglementation. Cet enjeu est, enfin et surtout, de bien mettre en avant que la conformité n’est pas un dispositif anti-business. L’activité restera soutenue à condition, toutefois, que les outils rendent les procédures gérables.

Bien au contraire, la formalisation, la prise en compte plus attentive des besoins des clients, la délivrance d’un conseil adapté concourent à mieux faire son métier de distributeur et à réaliser de meilleures affaires. Loin des esprits chagrins qui prétendent qu’avant c’était mieux, il faut mettre en avant la démarche de progrès, l’exigence de la protection des clients. Non, le métier n’est pas foutu, il se réinvente pour rester en harmonie avec les attentes des clients. C’est une perception largement partagée chez les distributeurs, il faut les aider à la faire vivre.

Henri DEBRUYNE

* MEDI a fait une quarantaine de réunions au cours des 8 derniers mois avec près de 600 distributeurs (agents, courtiers et collaborateurs commerciaux).

Ordonnance distribution : une redéfinition du devoir de conseil problématique et dangereuse

L’ordonnance et le décret qui transposent en droit français les modalités de la DDA sont donc publiés. Dans quatre mois, ces dispositions seront effectives. En fait, tout commence et en particulier il convient de bien cerner les impacts des nouvelles règles, en particulier sur le devoir de conseil qui paraissent trop interprétatives.

Le code des assurances va tout d’abord rappeler que chaque distributeur de produits d'assurance doit agir de manière honnête, impartiale et professionnelle et ce, au mieux des intérêts du souscripteur ou de l'adhérent (nouvel article L 521-1.-I). Cela va sans dire, pourrions-nous penser, mais en l’écrivant le législateur considère que cela définit une responsabilité aussi claire qu’incontournable et fixe une grille d’analyse des comportements comme des pratiques commerciales. Cela conduit chaque distributeur à se poser la question, avant chaque acte, ou proposition de savoir si celles-ci respectent bien ces principes professionnels.

Le devoir de conseil est la première expression de cette importante refondation des pratiques commerciales. Il en est la pierre angulaire. En premier lieu parce qu’il est une obligation générale du droit qui pose le principe que chaque professionnel doit conseiller ses clients, quel que soit le métier qu’il exerce. Ce devoir s’impose pour compenser la disparité d’information, de connaissance et de compétence entre un sachant (le professionnel) et un néophyte (son client). Le code des assurances en fixe les modalités.

La directive a défini le conseil comme une recommandation personnalisée, soulignant ainsi que chaque distributeur doit donner un avis circonstancié sur ce qu’il préconise à son client. La rédaction française reprise dans l’ordonnance de transposition limite ce devoir à l’obligation de conseiller un contrat cohérent avec les exigences et les besoins du client. Certes, cette cohérence est recherchée à travers une évaluation écrite des exigences et des besoins, mais la recommandation personnalisée devient une option pour ceux qui voudront bien la pratiquer.

Clairement la formulation de l’ordonnance est en retrait sur les dispositions imposées par la Directive. Ce qui est plus grave est que cette rédaction ouvre la voie à une mise en œuvre minimaliste de l’obligation de conseil. Sans trop étirer l’interprétation, d’aucuns pourront pratiquer un conseil réduit à sa plus simple expression, une justification de produit proposé. Dans les faits, une vente sans conseil pourra s’instaurer.

Cela est dangereux à plusieurs titres. L’intérêt du consommateur sera difficilement préservé. La responsabilité de l’intermédiaire sera, quoiqu’il en soit, exposée. En effet, il sera facile à un plaignant de démontrer que le conseil auquel il pouvait prétendre au mieux de ses intérêts ne lui a pas été délivré. Par contre, il faudra développer tout une argumentation technique pour expliquer la cohérence du contrat et, bien sûr, sous une forme compréhensible, exacte et non trompeuse. Enfin, si le devoir de conseil dans la nouvelle définition de l’article L 521-4.-I apparait affaibli, il est renforcé pour les produits d’assurances vie et capitalisation. Pour les cabinets ou les agences qui pratiquent ces deux activités la complexité sera accrue - au risque de la schizophrénie – pour gérer des obligations de niveaux différents !

Cette nouvelle formulation est problématique et risque de prêter à des interprétations que la jurisprudence et/ou l’ACPR ne manqueront pas de corriger.

Henri DEBRUYNE

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

 * RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.