Le média de la transformation digitale

Big Data : comment respecter la vie privée des consommateurs ?

Face aux enjeux du Big Data et des objets connectés, les assureurs sont confrontés à de nouveaux défis pour rester en conformité avec la loi informatique et libertés qui protège les données à caractère personnel. Interview avec David Bensadon, juriste au sein d’une filiale du groupe COVEA, Assistance Protection Juridique. 

Le digital, le Big Data et les objets connectés posent de nouvelles problématiques sur la protection de la vie privée. Quelles sont les préoccupations des assureurs sur ces questions ?
Pour toutes les entreprises, et notamment pour les assureurs, les données personnelles représentent désormais un actif de grande valeur. Pendant longtemps, les dirigeants ne se préoccupaient pas trop de la conformité de leur activité à la loi informatique et libertés. Non pas qu’ils ne voulaient pas la respecter, mais cela ne faisait pas partie de leurs enjeux. Aujourd’hui, la donne a changé, notamment avec le Big Data. Et ils demandent à mieux connaître la loi et à savoir comment la respecter face aux nouveaux défis qu’impose le digital. Les assureurs, comme les autres, sont confrontés à une double difficulté : technique et éthique. Technique, car ils doivent traiter les données pour créer de la valeur. Ethique, car ils doivent respecter la vie privée des individus. Ce qui, avec le Big Data, devient plus complexe, en raison du volume, de la variété et de la vitesse de production des données.

Lorsqu’elles sont collectées par des géants comme Google ou Facebook, elles peuvent être ensuite fournies et utilisées par des tiers à des fins très larges. Il n’y a pas de problème tant que les données sont anonymisées et qu’elles servent à faire de la prospection grâce à des études de masse. La difficulté surgit lorsqu’il s’agit de personnaliser un produit ou un service en fonction des données personnelles d’un individu, comme avec les objets connectés et l’évolution vers une assurance personnalisée et adaptée aux comportements ou aux modes de vie des clients.

Par ailleurs, plus le volume de données sera conséquent et plus les bases de données constituées attiseront la convoitise de concurrents ou de pirates informatiques. Les assureurs devront donc se protéger et mettre en place des dispositifs de sécurité importants et efficaces, pour éviter tout risque de hacking ou de cyber-attaque.

Que prévoit la loi informatique et libertés aujourd’hui ?
La loi prévoit la protection des données à caractère personnel. Celles-ci doivent être collectées et traitées de manière loyale et licite, avec le consentement de la personne concernée qui dispose par ailleurs, à tout moment, d’un droit d’accès, d’opposition, de rectification. Les personnes doivent connaître la finalité de la collecte des informations qui les concernent.

Les assureurs ne sont pas propriétaires des objets connectés. Les données qu’ils récupèrent seront cédées par les constructeurs de ces objets, en leur qualité de responsables de traitement. Deux hypothèses doivent être distinguées :

– la première est celle où les assureurs récupèrent des données en faisant l’acquisition de fichiers pouvant porter sur des clients ou de simples prospects. Ici, il appartient aux responsables de traitement d’informer les personnes concernées que leurs données peuvent être cédées à des tiers.

– la seconde est celle où les assurés remettent spontanément leurs données personnelles à leurs assurances. Aux assureurs ensuite d’informer les personnes de la finalité de la collecte, au sens large : marketing, commerciale, etc.

Tant qu’il s’agit de clients, nous sommes dans une relation contractuelle, donc des solutions peuvent être envisagées dans les conditions générales des contrats d’assurance. En revanche, lorsqu’il s’agit de prospects, la protection des données à caractère personnel devient plus difficile. Certes, les conditions générales d’un objet connecté peuvent informer les consommateurs de la cession des données produites via l’objet. Mais une information, qui plus est, inscrite dans des conditions générales souvent complexes que peu de personnes lisent et comprennent, sera-t-elle suffisante ? Je ne pense pas. A mon avis, il faudrait une démarche active du consommateur pour donner son consentement exprès à la collecte et au traitement de ses données personnelles via un objet connecté.

Justement, la loi est-elle adaptée aux défis actuels ?
Aucune loi ne peut prévoir toutes les problématiques que soulève le Big Data. Des évolutions juridiques doivent avoir lieu, mais je ne suis pas certain que la voie législative soit la meilleure face à l’évolution technologique et aux défis à venir. Nous avons besoin de souplesse dans les normes légales pour faire en sorte que l’esprit de la loi soit respecté, sans entraver les évolutions technologiques.

Quelle est la position de la CNIL face à ces évolutions technologiques ?
La CNIL a changé de position. Elle est passée d’une mission de contrôle et  de sanctions en cas de non-conformité à la loi informatique et libertés, à une action plus préventive pour accompagner en amont les entreprises qui souhaitent adapter leur activité à la loi. L’exemple du Pack de conformité Assurance signé récemment montre qu’aujourd’hui il s’agit plus d’accompagner le changement plutôt que de sanctionner à tout prix. Encore une fois, au regard de la vitesse des évolutions technologiques et des défis à relever, l’information et la prévention permettront de parvenir à une acception large de la Loi informatique et libertés, qui représente, à ce jour, un socle juridique suffisamment fort.

 Interview réalisée par L.K

Messages connectés

2 Commentaires

  1. Pingback: Big Data : comment respecter la vie priv&eacute...

  2. Pingback: Big data et métiers de l’assurance : l’heure de la reconversion ? - Insurance speaker

Poster une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *