Actualités juridiques et digitales

L'impact du RGPD dans le secteur de l'assurance

Rédigé par Gérard HAAS | Jan 20, 2020 8:55:41 AM

Par Gérard HAAS et Aurelie PUIG

En souscrivant à une assurance, l’assuré communique des « données à caractère personnel », le concernant. Ces données sont les informations qui permettent de l’identifier directement ou indirectement (nom, prénom, mais aussi : situation de famille et de couple, identifiant de sécurité sociale, références bancaires…)

Le règlement européen relatif à la protection des données à caractère personnel (RGPD) protège les personnes physiques contre l'utilisation abusive de ces données dans le cadre de traitements.

Désormais, dans le secteur de l’assurance, la multiplication des données impose aux acteurs économiques de s’adapter afin de rester conforme au RGPD. La CNIL a procédé à des contrôles dans le secteur des assurances, et a prononcé des sanctions. Dans son rapport de 2018, ce sont 49 mises en demeure prononcées qui ont concerné principalement le secteur des assurances.

Dans ce contexte, il convient de rappeler les points sur lesquels les entreprises d’assurance doivent rester vigilantes afin de rester conformes au RGPD.

1. Les sociétés d’assurances doivent respecter leurs obligations de « responsable de traitement »

L’entrée du RGPD a mis fin aux formalités préalables déclaratives. Désormais, la logique du règlement est de responsabiliser les acteurs du traitement. C’est le principe « d’accountability » qui consiste à prouver à la CNIL qu’on respecte bien le RGPD (en respectant le privacy by design et le privacy by default et en tenant un registre de traitement).

Par exemple, les sociétés d’assurance collectent des « données de santé » ; celles-ci sont des données sensibles au sens du RGPD. Elles impliquent donc le recueil du consentement explicite de la personne concernée. Les sociétés d’assurances devront prouver qu’elles ont préalablement recueilli ce consentement en cas de contrôle de la CNIL, à moins qu’elles ne justifient d’un motif légitime (le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, le traitement est nécessaire aux fins de l’exécution des obligations et des droits propres au responsable du traitement etc.[1])

2. Les sociétés d’assurances doivent respecter le principe de finalité de la donnée

La finalité de la collecte de données doit être déterminée, explicite et légitime. Le consentement de la personne concernée ne vaut que pour la finalité qui lui est annoncée et pour la durée nécessaire au traitement. Ainsi, les entreprises d’assurances ne peuvent pas, en principe, utiliser des données collectées pour une finalité ultérieure.

Or, dans la pratique, des sociétés d’assurance ont commis des détournements de finalités des données de leurs assurés afin de leur envoyer de la publicité ciblée. La CNIL a par exemple, mis en demeure les sociétés des groupes HUMANIS et MALAKOFF-MÉDÉRIC. Celles-ci utilisaient pour de la prospection commerciale des données personnelles de leurs assurés qui avaient pourtant été collectées exclusivement afin de payer les allocations retraite.

3. Les sociétés d’assurances doivent respecter le principe de sécurité de la donnée

La CNIL a prononcé une sanction de 180 000 euros à l’encontre de la société ACTIVE ASSURANCES pour avoir insuffisamment protégé les données des utilisateurs de son site web.

La société d’assurances, qui est responsable de traitement, doit prendre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité de la donnée personnelle. Le niveau de sécurité doit être adapté selon le risque lié au traitement de la donnée. D’ailleurs, il est nécessaire de faire une analyse d’impact pour tout traitement de données jugé « risqué » pour la vie privée des personnes concernées. Si le risque est significatif, les sociétés d’assurances doivent demander l’autorisation à la CNIL de réaliser un tel traitement.

4. Les sociétés d’assurances et les données de « quantified self»

Le quantified self (mesure de soi), est « un ensemble de nouvelles pratiques qui consistent à analyser son activité physique ou son mode de vie : poids, tension, calories consommées, nombre de pas dans la journée, rythme cardiaque, etc. »

Avec l’essor des objets connectés et notamment la technologie des traceurs portables et du traçage des données de consommation (bracelets connectés, compteur Linky qui révèle la composition du foyer et ses modes de vie), la convoitise naturelle des sociétés d’assurance serait de traiter ces données de santé liées aux objets connectés.[2] Ainsi, les données permettraient de « personnaliser à l’extrême les produits d’assurance en fonction de comportements observés [3]».

L’assemblée Nationale, le 23 janvier 2019 a fait une proposition de loi visant à interdire l’usage des données personnelles collectées par les objets connectés dans le domaine des assurances : « Le traitement de données à caractère personnel récoltées par un capteur de santé, relatives au mode de vie ou à l’état de santé du preneur d’un produit répondant aux définitions contenues dans le code des assurances ou du code de la mutualité est interdit. ».

***

Pour être accompagné dans vos démarches de conformité RGPD ou pour tout renseignement complémentaire, n’hésitez pas à contacter le cabinet HAAS Avocats. 

 

 

[1] Art 9 RGPD

[2] Les enjeux de la protection des données personnelles dans le secteur de l’assurance – Céline Béguin-Faynel

[3] L’économie de la donnée peut-elle se développer contre ses utilisateurs ? Falque-Pierrotin