Les grands traitements du secteur de l’assurance et leurs bases légales

16 juillet 2021

Tout traitement de données personnelles doit répondre à un objectif précis et se fonder sur une base légale, qui doit être définie par le responsable pour chaque traitement en fonction de ses caractéristiques.

Le principe général

Tout traitement de données personnelles doit répondre à un but précis (finalité). La finalité doit être déterminée, explicite et légitime, ce qui signifie que l’objectif poursuivi par le fichier doit notamment être clair et compréhensible. Les responsables de traitement doivent veiller à ne traiter que des données pertinentes au regard de cette finalité, et à ne les conserver que pour la durée nécessaire à son accomplissement.

Pour chaque finalité poursuivie, le responsable de traitement doit également déterminer une base légale parmi celles prévues par le RGPD. Dans le secteur de l’assurance, les principales susceptibles d’être mobilisées sont :

  • le consentement : lorsque la personne a consenti au traitement de ses données ;
  • le contrat : lorsque le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;
  • l’obligation légale : le traitement est nécessaire au respect d’une obligation incombant au responsable de traitement, et résultant du droit national ou européen ;
  • l’intérêt légitime : le traitement est nécessaire à la poursuite des intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées.

Lorsqu’un même traitement de données poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités. En revanche, il n’est pas possible de fonder un traitement sur plusieurs bases légales pour une même finalité : le responsable de traitement doit opter pour la plus pertinente.

Définir une finalité dans le secteur de l’assurance

Dans le secteur de l’assurance, la question du choix entre l’exécution du contrat et l’intérêt légitime se pose de manière récurrente.

L’une des manières d’y répondre est d’apprécier si le traitement en cause est strictement nécessaire à l’exécution du contrat de manière objective (le fait qu’une clause dans le contrat d’assurance prévoit ce traitement n’est pas suffisant).

Dans le cas contraire, l’intérêt légitime pourra être envisagé, notamment à condition qu’il soit formulé en des termes suffisamment précis, qu’il prévale sur les « intérêts ou libertés et droits fondamentaux des personnes » et que les traitements s’inscrivent dans les « attentes raisonnables » de ces personnes.

De manière générale, les données sont traitées dans le cadre de deux ensembles de finalités : pour la passation, gestion et l’exécution des contrats d’assurance (premier ensemble de finalités) ou pour la prospection commerciale par les organismes d’assurance (second ensemble de finalités).

Une grande partie de ces traitements repose sur « l’exécution du contrat ». Il s’agit notamment :

  • de l’étude des besoins spécifiques et chaque assuré éventuel afin de proposer des contrats adaptés dans le cadre du respect de l’obligation de conseil du distributeur d’assurance ;
  • de l’appréciation des risques assurantiels pour en déterminer une tarification et vérifier leur assurabilité ;
  • de l’exécution des garanties contractuelles ;
  • de la gestion des contrats et des clients ;
  • de la gestion des réclamations et contentieux ayant pour objet l’application du contrat ;
  • ou encore de l’exercice des recours pour lesquels l’assureur se trouve subrogé dans les droits de l’assuré en application du contrat.

La base légale liée aux fins d’intérêts légitimes peut fonder les traitements suivants :

  • l’élaboration des statistiques et études actuarielles ;
  • la mise en place d’actions de prévention proposées par l’assureur ;
  • la conduite d’activités de recherche et développement ;
  • les opérations de communication et de fidélisation de la clientèle ;
  • l’amélioration de la qualité du service ;
  • les traitements de lutte contre la fraude.

Enfin, certains traitements sont nécessaires au respect d’une obligation légale, notamment : en matière de prélèvement à la source de l’impôt sur le revenu, de la lutte contre le blanchiment des capitaux et le financement du terrorisme, ou de la prise en compte de sanctions économiques et financières internationales.

Les traitements de lutte contre la fraude

La fraude peut se définir comme « tout acte ou omission commis intentionnellement par une ou plusieurs personnes physiques ou morales afin d’obtenir un avantage ou un bénéfice de façon illégitime, illicite ou illégale ». Bien que la lutte contre la fraude puisse revêtir un intérêt impérieux dans certaines conditions, il n’est pas possible de considérer qu’elle est pour autant strictement nécessaire à l’exécution du contrat.

Les traitements poursuivant cette finalité (comme l’ensemble des traitements fondés par un intérêt légitime) doivent donc présenter certaines garanties. En matière de lutte contre la fraude, une organisation en trois niveaux permet notamment de préserver les droits et libertés des personnes concernées :

  • Les organismes d’assurance habilitent des gestionnaires à la lutte contre la fraude, distincts des services de gestion en charge de la passation ou de l’exécution des contrats, soumis à une obligation de confidentialité et ayant reçu des formations appropriées.
  • Aucune décision entièrement automatisée ne peut être prise. Lorsque des requêtes ou alertes sont détectées automatiquement, des investigations complémentaires par le personnel habilité du responsable de traitement peuvent être diligentées le cas échéant.
  • La personne concernée doit être mise en mesure de présenter ses observations si une décision produisant des effets juridiques est prise à son égard dans le cadre de la conclusion ou de l'exécution d'un contrat.

La prospection réalisée par les organismes d’assurance suit le régime de droit commun en la matière.

Les traitements de prospection commerciale par voie électronique sont en principe soumis au consentement des personnes conformément au Code des postes et communications électroniques (CPCE).

L’intérêt légitime peut être envisagé en cas de prospection par d’autres moyens, ou lorsque la prospection porte sur des biens ou services analogues à ceux déjà fournis, à condition que la personne soit en mesure de s’opposer aisément et a priori au traitement.

Actions de prospection commerciale (messages publicitaires, jeux concours, parrainage, promotion, etc.). Base légale mobilisable
Par voie électronique (en vue de l’envoi de courriel, SMS, système automatisé de communication électronique sans intervention humaine, etc.), pour des biens ou services qui n’ont pas déjà été achetés par les personnes visées. Consentement (cf. art. L. 34-5 du CPCE)
Par voie postale ou système automatisé d'appels donnant lieu à intervention humaine et appels téléphoniques Intérêt légitime de l'organisme ou Consentement
Conformément au RGPD, il revient au responsable de traitement de déterminer, en fonction des caractéristiques du traitement mis en œuvre, la base légale la plus appropriée)
À destination de professionnels (par voie électronique, postale ou téléphone)
Par voie électronique, pour des biens et services analogues déjà achetés / souscrits auprès du responsable de traitement

 

Attention : Tout organisme mettant en œuvre une prospection commerciale par voie téléphonique doit retirer de sa liste les personnes inscrites sur la liste d’opposition BLOCTEL, en dehors des exceptions prévues par la loi.