«Si vous devez impérativement traiter des données à caractère personnel, ne collectez que celles dont vous avez besoin, pour une finalité précise, une durée déterminée et cohérente avec la finalité, avec le consentement des personnes dont vous traitez les données et en ayant soin de protéger celles-ci le mieux possible. »

En résumé, telle pourrait être l’esprit général du RGPD (Règlement européen sur la protection des données). Entré en vigueur le 25 mai 2018, ce texte a fait l’objet de nombreux commen­taires… Le montant des amendes prévues (jusqu’à 4 % du CA mondial), son champ d’application européen, l’actualité des piratages des comptes et autres randsomware en font un sujet particulièrement d’actualité.

Le secteur de l’assurance utilise et génère de nombreuses données personnelles. Dont certaines dites « à caractère particulier », comme les données de santé.

Parmi les (nombreuses) règles que les assureurs doivent respecter dans l’utilisation qu’ils font des données personnelles, le respect de la finalité des traitements mérite quelques développements spécifiques, ne serait-ce que parce que c’est sur cette base, le détournement de la finalité, que la Cnil a mis en demeure plusieurs assureurs de la place, fin 2018. La finalité d’un traitement est un principe cardinal du texte.

Article 5 b du RGPD : « Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes. Et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ».

Collecte de données et délai de détention

C’est notamment sur cette base que se déterminent :

• la pertinence des données collectées,
• et la justification de leur délai de détention.

Elle doit être clairement stipulée pour chacun des traitements dans le registre des activités de traitement (article 30 1.b).

L’utilisation des données pour une autre finalité que celle pour laquelle elles ont été collectées n’est donc pas autorisée, comme l’a rappelé la Cnil dans sa mise en demeure de plusieurs assureurs pour avoir réalisé de la prospection commerciale avec des données personnelles initialement collectées exclusivement afin de payer les allocations retraite.

---

RGPD et spécificités de l’assurance

D’un point de vue très opérationnel pour le secteur de l’assurance, la notion de finalité peut être délicate à gérer dans deux cas de figure.

RGPD – Cas 1

Dans le cadre des activités de prospection. Comment combiner prospection et respect du règlement ? Le considérant 47 du RGPD apporte un éclairage clé sur cette question en considérant que « les intérêts légitimes d’un responsable de traitement […] peuvent constituer une base juridique pour le traitement […] compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. […] Si la personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. ». En d’autres termes, la prospection s’avère possible dans un cadre raisonnablement cohérent et conforme à la finalité pour laquelle l’organisme collecte les données. On peut penser notamment à de la prospection de produits de prévoyance sur des portefeuilles santé. Ou bien encore de la prospection assurance scolaire sur des portefeuilles d’assurance habitation ou RC.

 

Dans le cas des données achetées ou transmises par des partenaires. Les processus de vente, notamment dans le courtage, peuvent s’appuyer sur des fichiers achetés. Apparaissent suivies avec soin les questions de :

• consentement,
• la preuve de ce consentement
• et de la finalité pour laquelle ces données font l’objet d’une collecte .

Par exemple, une personne ayant transmis des données dans le cadre d’un jeu télévisé. Donne-t-elle son accord pour se faire contacter ? Et proposer de l’assurance automobile ou un contrat santé ?