La RGPD : de quoi parle-t-on ?

La RGPD (Règlement Général sur la Protection des Données Personnelles) constituera le cadre réglementaire européen de la protection des données personnelles à compter du 28 mai 2018. Directement applicable dans les états, elle a vocation, en France, à se substituer progressivement à la loi Informatique & Liberté actuellement en vigueur, sous l’autorité de la CNIL (Commission Nationale de l’Informatique et des Libertés).

Quelles sont les nouvelles exigences apportées par la réglementation RGPD ?

Multiples, elles touchent différents registres (légal, IT, organisation, RH…) et se concentrent sur quelques points-clés à retenir :

1 – Des sanctions revues sensiblement à la hausse, avec des amendes maximales de 20 M€, ou 4% du Chiffre d’Affaires consolidé.

2 – Un champ d’application aux partenaires et sous-traitants : le responsable de traitement des données à caractère personnel (DCP) étend le champ d’application aux acteurs externes en charge des DCP.

3 – Remplacement du principe de déclaration par le principe de responsabilisation.

4 – Intégration des règles de la RGPD dans le système informatique dès la phase de conception

5 – Facilitation et encadrement du devoir d’information à la personne. Toute personne ayant confié ses données personnelles doit pouvoir autoriser explicitement le traitement de ses données, retirer cette autorisation, obtenir la correction de ces DCP ou leur suppression.

6 – Alerte de l’autorité de contrôle en cas de détection de faille de sécurité, dans les 72 heures.

Sommes-nous tous égaux devant la RGPD ?

A priori, non. Il y en a qui sont plus égaux que d’autres… Si les clients estiment « inévitable », voire « légitime », la collecte de données effectuée (plus ou moins) à leur insu par les GAFA, la méfiance est de mise lorsqu’une demande de données personnelles émane d’un banquier ou d’un assureur. Cette différence de perception peut s’expliquer par diverses raisons. En premier lieu, depuis la crise financière, les acteurs du secteur banque / assurance souffrent d’un déficit de confiance, au point que, en 2016, le secteur de la banque-assurance ne recueillait que 52% de moyenne de confiance selon une étude Opinion Way. Plus spécifiquement, les clients comprennent le sens et l’utilité de la captation des données par les GAFA car ils voient les bénéfices clients qui en découlent : amélioration des services, offres personnalisées et exclusives… Ce n’est pas évident pour le secteur de la banque et de l’assurance.

Au-delà de la perception du sens par les clients, l’avancement dans la mise en conformité est très contrasté au sein des entreprises. Une étude récente signalait que dans le premier trimestre 2017, 45% des entreprises françaises ne connaissaient pas les principes de la RGPD et encore moins sa date de mise en application.

La RGPD, un point pivot pour la prévention

Le site de la Fédération Française de l’Assurance annonce que « La prévention fait partie intégrante du métier d’assureur ». Si la prévention en question a longtemps reléguée au second plan derrière les « mois gratuits de cotisation » pour attirer ou fidéliser les clients, à la lumière des initiatives prises par des acteurs du secteur (par exemple le « pay how you drive »), on peut penser qu’elle est enfin amenée à prendre une autre dimension. En effet, la transformation digitale de la société réduit les risques des principales « matières assurables ». Ce phénomène doit inciter les assureurs à repenser leur business model autour de la prévention, avec un impact fort sur les données : quelles sont les données à collecter ? Quelles sont les modalités associées ? Pour que cela puisse se faire, un travail « d’évangélisation » des clients doit être conduit, pour leur expliciter le « pourquoi » de la captation de données c’est-à-dire les bénéfices qu’ils peuvent légitimement en attendre, afin de faciliter l’adhésion.

Au-delà, la mise en conformité peut être vue comme une véritable opportunité permettant de mieux valoriser les données personnelles actuelles et futures de ses clients : mieux maîtriser les données personnelles collectées et enregistrées permet tout naturellement de mieux les exploiter et donc de mieux connaître le client, son environnement familial et patrimonial et l’usage de ses produits d’assurance et donc, d’anticiper ses attentes et besoins.

La fourniture des données personnelles ne doit plus être vue comme une formalité administrative mais comme un geste d’assuré permettant d’abord de mieux le connaître et de lui proposer des services « gagnant-gagnant » avec, par exemple, des avantages et des offres de réduction sur prestation. Cela permet également de lui proposer des services et des tarifs ajustés à sa consommation des produits ou à ses risques (bonus/malus sur l’ensemble des prestations). Ce cercle vertueux peut conduire à fournir de nouvelles données personnelles collectées automatiquement à l’aide d’objets connectés (smartwatch, caméra embarquée, …) venant enrichir la connaissance du client.

En complément, la mise en conformité peut être une opportunité pour proposer des services qui peuvent s’avérer différenciants comme l’hébergement sécurisé des données et documents personnels confiés, ou le rappel des pièces justificatives à fournir ou à renouveler, qui de toute façon, auraient dû l’être dans la vie de l’assuré.

La RGPD peut donc constituer une véritable opportunité de différenciation par rapport au client. Au-delà, elle peut donner un coup d’accélérateur à certains chantiers. La première opportunité par ses gains économiques potentiels est la lutte contre la fraude. Chaque année, on estime à 2,5 Md€ la fraude non détectée en assurance IARD.

Si la grande majorité des acteurs a déjà engagé des programmes  de lutte contre la fraude, un certain flou juridique demeurait sur le champ des possibles en termes de collecte et d’exploitation des données. Par exemple, les solutions Big Data, en croisant des données permettent de détecter des « signaux faibles » révélateurs éventuels de fraudes mais encore faut-il que l’assureur ait prévenu en amont ses clients de l’utilisation des données à ces fins. La RGPD et les actions à conduire pour être en conformité vont contribuer à sensibiliser les acteurs de l’assurance à l’importance de certaines obligations et donc à sécuriser juridiquement de nouvelles actions de lutte contre la fraude.

Par ailleurs, sur un plan technique, une étude récente indiquait que 47 % des organisations laissent au moins 1 000 fichiers sensibles accessibles à tous leurs employés. La RGPD donne une nouvelle occasion de renforcer la sécurité d’accès aux fichiers, notamment ceux embarquant les données personnelles.

La RGPD véhicule des valeurs bien connues des compagnies : qui prétend à la protection des personnes et des biens doit également se positionner dans la protection rigoureuse des biens immatériels, à savoir les données personnelles. Ce message de probité qui accompagne la mise en œuvre du programme a tout intérêt à être propagé à l’extérieur, auprès des clients actuels et potentiels.

La RGPD, entre réglementation et opportunités

S’engager dans l’application de la RGPD constitue un engagement dans la durée avec une forte mobilisation : les processus mis en place vont devoir cadrer la collecte des données personnelles mais également leurs évolutions jusqu’à la destruction, pendant la durée de vie des contrats et de la durée de conservation. Au-delà de cette dimension réglementaire, la RGPD offre des formidables opportunités, allant du renforcement de la relation client à la lutte contre la fraude. Le champ des possibles reste très vaste, des opérations de cartographie des DCP et d’élaboration d’une trajectoire au regard d’une échéance imminente, s’avèrent indispensables.

Publié initialement dans Point Banque.