Le secteur de l’assurance repose fondamentalement sur la collecte et l’analyse de donnees personnelles. Evaluation des risques, tarification, gestion des sinistres, lutte contre la fraude : chaque etape du cycle de vie d’un contrat d’assurance implique des traitements de donnees soumis au RGPD. Les compagnies d’assurance, mutuelles et courtiers doivent concilier performance actuarielle et protection de la vie privee.
Les donnees personnelles dans l’assurance
Les assureurs traitent des categories de donnees particulierement sensibles. Les donnees d’identification et de contact sont la base de tout contrat. Les donnees de sante sont incontournables en assurance maladie, prevoyance et deces. Les donnees relatives aux infractions interviennent en assurance automobile. Les donnees financieres sont necessaires pour l’evaluation du patrimoine et la tarification.
Les questionnaires de souscription collectent des informations detaillees sur la situation personnelle, professionnelle et medicale des assures. Les declarations de sinistres ajoutent des donnees contextuelles parfois tres intimes. L’ensemble de ces donnees beneficie d’une protection renforcee au titre du RGPD.
Donnees de sante et assurance
Les donnees de sante sont des donnees sensibles au sens de l’article 9 du RGPD. Leur traitement est interdit par principe, sauf exceptions limitativement prevues. En assurance, le traitement repose generalement sur le consentement explicite de l’assure ou sur l’execution du contrat pour les garanties sante et prevoyance.
Le droit a l’oubli en matiere d’assurance, inscrit dans la convention AERAS, permet aux anciens malades du cancer de ne plus declarer leur pathologie apres un certain delai. Ce dispositif illustre la convergence entre le RGPD et les droits des assures en matiere de protection des donnees de sante.
Profilage et tarification automatisee
La tarification en assurance repose sur le profilage des assures : age, profession, lieu de residence, antecedents, comportement de conduite (assurance auto connectee). Ce profilage est encadre par l’article 22 du RGPD qui protege les personnes contre les decisions automatisees produisant des effets significatifs.
L’utilisation croissante de l’intelligence artificielle et du big data dans la tarification souleve des questions de discrimination et de transparence. Les assureurs doivent pouvoir expliquer les criteres de tarification, garantir l’absence de discrimination illicite et permettre aux assures de contester les decisions qui les affectent.
Gestion des sinistres et donnees personnelles
La gestion des sinistres implique la collecte de donnees supplementaires : constats, rapports d’expertise, certificats medicaux, temoignages, photos. Ces donnees sont souvent partagees avec des tiers : experts, reparateurs, professionnels de sante, avocats. Chaque partage doit etre encadre et l’assure doit etre informe des destinataires de ses donnees.
La lutte contre la fraude a l’assurance est un interet legitime reconnu, mais les traitements mis en oeuvre doivent respecter le principe de proportionnalite. Les fichiers de fraudeurs, les systemes de detection automatique et les enquetes doivent etre encadres par des garanties appropriees.
Courtiers et intermediaires d’assurance
Les courtiers et intermediaires d’assurance sont responsables de traitement pour les donnees qu’ils collectent aupres de leurs clients. Ils doivent tenir leur propre registre des traitements, informer leurs clients et securiser les donnees, y compris lors des echanges avec les compagnies d’assurance.
Les comparateurs d’assurance en ligne collectent des donnees personnelles pour generer des devis. Le consentement a la transmission des donnees aux assureurs partenaires doit etre specifique et eclaire. Les donnees des prospects qui ne souscrivent pas doivent etre supprimees dans un delai raisonnable.
Durees de conservation specifiques
Les durees de conservation dans le secteur de l’assurance sont encadrees par le code des assurances et le code civil. Les contrats et pieces justificatives doivent etre conserves pendant toute la duree du contrat plus la duree de prescription applicable (generalement deux ans en assurance, dix ans en assurance vie). Les donnees de sinistres sont conservees pendant la duree de gestion du sinistre plus la duree de prescription.
Vers une assurance plus transparente
Le RGPD pousse le secteur de l’assurance vers plus de transparence et de respect des droits des assures. L’information claire sur les traitements de donnees, la possibilite de contester les decisions automatisees, le droit d’acces aux donnees de son dossier et la portabilite des donnees d’assurance sont autant d’avancees qui renforcent la confiance entre assureurs et assures. Les acteurs qui embrassent cette evolution se positionnent favorablement dans un marche ou la confiance est un atout decisif.
