Droit des personnes et profilage : les spécificités du secteur de l’assurance
Que le contrat soit signé ou non, il est essentiel d’informer les personnes et de respecter leurs droits. En outre, le profilage et la prise de décision automatisée, fréquents dans le secteur de l'assurance, font l'objet un encadrement spécifique.
Information des personnes concernées
Le responsable de traitement doit fournir à la personne concernée une information concise, transparente, compréhensible et aisément accessible des personnes concernées, comme prévu par le RGPD.
Dans certains cas, la mise à disposition de l’ensemble des informations en un seul bloc ne permet pas d’atteindre l’objectif de lisibilité et il convient donc de favoriser une approche en plusieurs niveaux : d’une part, les informations pouvant être qualifiées d’« essentielles », et d’autre part, les informations dites « complémentaires ».
Les mentions d’information « essentielles » communes à tous les traitements regroupent : l’identité et les coordonnées du responsable de traitement (les coordonnées du délégué à la protection des données s’il y en a un), les finalités du traitement, l’existence des droits, le droit d’introduire une réclamation auprès de la CNIL ainsi que ses coordonnées, enfin, l’existence du droit de retirer son consentement à tout moment lorsque le traitement a pour base légale le consentement.
Les mentions d’information « complémentaires » communes à tous les traitements regroupent : la durée de conservation des données ou les critères utilisés pour déterminer cette durée, lorsque le traitement est fondé sur l’intérêt légitime du responsable de traitement (en précisant les intérêts légitimes poursuivis), les destinataires, l’existence de transferts de données vers des pays hors UE, l’existence d’une prise de décision automatisée, y compris profilage (et informations sous-jacentes), des informations sur les autres finalités envisagées, enfin, les conditions de transferts de données vers un pays tiers. Lorsque les données ont été collectées indirectement, le responsable de traitement doit informer la personne concernée des catégories de données traitées ainsi que la source de la collecte.
L’information dans le cadre de la lutte contre la fraude
En matière de lutte contre la fraude, il existe 2 niveaux d’information :
- L’information générale des personnes concernées sur l’existence d’un dispositif de lutte contre la fraude pouvant conduire à l’inscription sur une liste des personnes présentant un risque de fraude.
- En cas de détection d’une anomalie, d’une incohérence ou d’un signalement susceptible de relever d’une fraude, le responsable de traitement a la possibilité d’inscrire une personne sur une « liste de personnes présentant un risque de fraude ». La personne concernée, susceptible d’être inscrite sur cette liste, pourra être contactée, selon le type de fraude suspectée (assuré, partenaire, salarié...), pour apporter des éléments complémentaires. Au terme des investigations, en cas de décision prise produisant des effets juridiques (ex. : refus de prise en charge, avertissement au salarié, rupture de contrat), une information écrite et individuelle doit être adressée, précisant les mesures prises par l’assureur et lui donnant la possibilité de présenter ses observations, sans préjudice des dispositions légales applicables.
Droits des personnes concernées
Le responsable de traitement met en œuvre les droits de la personne concernée gratuitement.
La personne concernée détient un droit d’accès, de rectification, d’opposition, un droit à la limitation du traitement, un droit à la portabilité des données, un droit d’obtenir une intervention humaine, un droit de retirer son consentement, un droit à l’effacement.
Focus sur le droit à la portabilité
Depuis l’entrée en application du RGPD, le droit à la portabilité confère aux personnes concernées le droit de recevoir les données personnelles portables dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement.
Les données peuvent être portables lorsqu’elles ont été fournies par la personne (par exemple les nom, adresse, âge, déclaration du sinistre… par opposition aux données anonymisées et aux données déduites ou dérivées comme les analyse des données brutes d’un boitier connecté, résultat d’une appréciation relative à la santé d’un utilisateur en assurance emprunteur), lorsque leur traitement est nécessaire à l’exécution d’un contrat (ou à l’exécution de mesures précontractuelles prises à la demande des personnes), ou que la personne y a consenti, et que les données sont traitées de manière automatisée (les fichiers papiers ne sont pas concernés).
Par exemple, peuvent être qualifiées de portables :
- les données relatives aux demandes de versements, aux avances, aux opérations de rachat, aux arbitrages ;
- les données nécessaires à l’appréciation du risque ;
- les données fournies par la personne concernée nécessaires à la détermination ou à l’évaluation des préjudices et des prestations telles que les déclarations de sinistre ; ou encore
- les données brutes issues des objets connectés.
À l’inverse, les données non portables, parce qu’elles sont déduites ou dérivées, sont notamment les statistiques, le profil élaboré au moyen notamment des données directement fournies ou de celles issues des objets connectés. D’autres données ne sont pas portables en raison de la base légale retenue (intérêt légitime ou obligation légale). C’est le cas des données relatives à la fraude (intérêt légitime).
En savoir plus : Professionnels : comment répondre à une demande de droit à la portabilité ?
Profilage et décisions individuelles automatisées
Le profilage un traitement utilisant les données personnelles d’un individu en vue d’analyser et de prédire son comportement, comme par exemple déterminer ses performances au travail, sa situation financière, sa santé, ses préférences, ses habitudes de vie, etc.
Un traitement de profilage repose sur l’établissement d’un profil individualisé, concernant une personne en particulier : il vise à évaluer certains de ses aspects personnels, en vue d’émettre un jugement ou de tirer des conclusions sur elle.
Le profilage est au cœur du secteur des assurances, notamment lorsqu’il implique l’évaluation des caractéristiques du risque assurantiel pour en déterminer la fréquence, le coût moyen, le coût maximum du sinistre potentiel, la tarification et vérifier l’assurabilité du risque. Il n’est donc qu’un moyen, non une finalité.
Tout traitement de profilage doit faire l’objet d’une attention particulière, car il soulève par nature des risques importants pour les droits et libertés des personnes. Le RGPD doit donc être appliqué à ces traitements en tenant compte de cette spécificité, par exemple en assurant la plus grande transparence et le respect des droits des personnes concernées par le profilage réalisé.
Le profilage s’intègre parfois dans un processus de prise de décision automatisée susceptible d’impacter la personne concernée. Les décisions entièrement automatisées sont soumises à un encadrement spécifique.