Un assuré ne peut être réfusé au seul motif d’un traitement automatisé de données
jeudi 25 février 2016 ILB Visiter le site sourceL’assurance est le premier secteur réglementé à faire l’objet d’un pacte de conformité avec la CNIL sur l’utilisation des données personnelles. Quelle est l’origine de ce projet ?
La démarche a été initiée par la CNIL fin 2012 afin de mettre à jour certaines règles déjà en vigueur, et d’établir conjointement une série de bonnes pratiques. Durant deux ans, nous avons travaillé ensemble afin de construire un véritable outil de pilotage de la conformité. Ce processus a donné naissance à 5 délibérations qui recouvrent l’ensemble des données traitées par l’assurance.
Le pack constitue également pour les assureurs une étape importante pour anticiper les futures exigences du projet de règlement européen sur la protection des données.
Quelles sont les principales règles qui régissent les pratiques des assureurs ?
Le texte essentiel est celui de la norme 16 de la loi de 1981, qui vient d’être mis à jour pour le pack de conformité établi avec la CNIL. Cette norme porte sur la passation, la gestion et l’exécution des contrats d’assurance.
Elle définit notamment une liste de catégories de données pouvant être utilisées, ainsi que les finalités de leurs collectes. Quant à la durée de conservation, elle doit être cohérente avec les délais de prescription du contrat d’assurance. Concrètement, des informations liées à un dégât des eaux pourraient être conservées pendant 2 ou 3 ans après l’indemnisation, en l’absence de recours en responsabilité, tandis que des données portant sur des préjudices physiques, couverts par une responsabilité professionnelle, pourraient être sauvegardés durant plusieurs dizaines d’années.
Enfin, le texte reprend l’interdiction de refuser la souscription d’un contrat à une personne au seul motif « d’un traitement automatisé de données à caractère personnel.»
Des contraintes supplémentaires s’appliquent aux données de santé…
La nouvelle version de la norme 16 prend en compte le cadre juridique spécifique aux données de santé. Leur collecte et traitement doivent faire l’objet d’un consentement express de la part de l’intéressé, étant précisé qu’en matière d’assurance santé les contrats sont souscrits sans poser de questions médicales. Par ailleurs, ces données ne peuvent en aucun cas être utilisées dans le cadre d’actions commerciales vers les clients ou prospects (norme 56).
Le développement des pratiques big data ouvre de multiples opportunités aux assureurs mais pose quelques questions quant à leur encadrement et contrôle…
Tout d’abord, la masse de données disponibles ne change en rien les obligations réglementaires auxquelles sont soumises les compagnies d’assurance. Ensuite, nous ne savons pas encore quels nouveaux critères d’évaluation des risques seront effectivement utilisés. Le questionnaire rempli par l’assuré restera le canal privilégié. Les mesures de sécurité nécessaires sont prises afin d’accéder aux données, dans des conditions qui permettent de garantir la protection de la vie privée.