Une compagnie d'assurance dispose d'une grande quantité d'informations sensibles. Depuis l’introduction de la législation RGDP en 2018, toute entreprise est contrainte de s’y conformer de manière stricte. Comment un assureur doit-il s'y prendre pour respecter le règlement RGDP lors du traitement de données à caractère personnel dans le cadre d'activités d'assurance ? Nous avons abordé la question avec Piet Diependaele, DPO (Data Privacy Officer) chez AXA Belgium.
La responsabilité comme base de la confiance
« La GDPR, General Data Protection Regulation, ou législation RGDP, n'est pas tombée du ciel », nous dit Piet Diependaele d'un air amusé. « Depuis les années 90, il existait déjà une directive européenne traduite dans la législation des États membres de l'UE. La Belgique avait suivi le mouvement. Le RGDP, règlement européen sur la protection des données, s'est essentiellement concentré sur une plus grande « accountability » ou responsabilisation pour toute personne traitant des données à caractère personnel, et a ajouté cet élément à la législation existante. La responsabilisation, c’est faire ce qui est demandé et être en mesure de prouver qu’on le fait. Mais le RGDP, ou GDPR, a également renforcé le rôle des autorités chargées de la protection de la vie privée : elles ont gagné en pouvoir et peuvent désormais infliger de lourdes amendes aux entreprises qui ne respectent pas les règles. C’est la raison pour laquelle les entreprises prennent les choses plus au sérieux qu’auparavant. »
Pour les compagnies d’assurance, l’introduction de la législation RGPD ou GDPR a eu un double impact, car les données des clients constituent leur principal et presque unique actif. Et les données sensibles en font également partie, notamment les données relatives à la santé.
La législation RGDP exige des entreprises qu’elles traitent correctement vos données, si elles ne le font pas déjà d’elles-mêmes. Vous devriez au moins savoir ce qu’une entreprise fait de vos données, et ce, en toute transparence. Vous devriez avoir un contrôle total à cet égard. On peut donc considérer le RGDP comme une question de confiance : comment construire une relation de confiance avec votre client afin qu'il puisse partager des données en toute sérénité ? Il doit également avoir la certitude que nous, en tant qu'assureur, gérons correctement ces données.
La transparence au cœur du règlement RGDP
Un assureur, pour protéger ses clients contre les risques, doit disposer de leurs données. C'est le cas pour une assurance auto, un sinistre, une proposition de prix dans une offre, etc. Lorsque les assureurs collectent des données, ils doivent non seulement assurer la transparence par rapport à ce qu'ils en font, mais aussi préciser les droits de la personne concernée afin qu'elle garde le contrôle sur ce qu'il advient de ses données. « Cette communication doit intervenir au moment de la collecte des données », nous dit Piet Diependaele. « En interne, nous devons ensuite nous assurer que nous traitons les données uniquement aux fins que nous avons communiquées. Et rien d'autre. Nous ne pouvons pas non plus les conserver plus longtemps que nécessaire. »
La législation RGDP attache une grande importance à l'« accountability » ou la responsabilisation. Piet Diependaele : « Nous devons être en mesure de montrer que nous respectons les règles. Faire ce qu'il faut, c'est bien. Mais il est également important et nécessaire de pouvoir prouver que vous le faites. Il s'agit là certainement du niveau supérieur dans la maturité d'une organisation, qui nécessite davantage de formalisation et de contrôle. Ainsi, vous travaillez consciemment à la protection des données. »
Formation et sensibilisation à la législation RGDP
Personne ne peut garantir une protection à 100 % des données à caractère personnel.
La plupart des violations de données que nous identifions résultent d'une erreur humaine. À cet égard, fournir une formation et une sensibilisation suffisantes peut en partie solutionner le problème, mais il n'est jamais possible d'éliminer complètement les erreurs. Rien ne vous empêche néanmoins d'essayer de les réduire au minimum. Et si une violation de données se produit, nous devons l'enrayer du mieux que nous pouvons. Car cela aussi fait partie des obligations relatives au GDPR : être capable d'identifier les violations de données dès que possible et les traiter le mieux possible, en communiquant avec les clients si nécessaire. Par exemple, il peut être important pour les clients de changer leur mot de passe dès que possible, s'il s'avère que ce dernier a été divulgué.
De nombreuses informations sont échangées dans le cadre des assurances. Le risque c'est qu'un décalage survienne entre le contenu des informations et celui qui reçoit les informations en question. « Dans la mesure où il s'agit d'êtres humains, une erreur peut toujours se produire et faire que quelqu'un reçoive des informations qui ne lui étaient pas destinées », explique Diependaele. « Dans ce contexte, on parle de trusted parties et non-trusted parties. Par exemple, si un courtier reçoit des informations de clients autres que les siens, cela pose généralement moins de problèmes que si une personne mal intentionnée reçoit des données personnelles qui ne lui sont pas destinées par le biais d'un envoi postal erroné : après tout, le courtier se rend compte qu'il ne peut pas utiliser ces données et qu'il doit les détruire immédiatement. Heureusement, les envois postaux erronés sont plutôt rares. »
Clause de confidentialité
« Le secteur des assurances est déjà parfaitement conscient de la problématique de la protection de la vie privée », affirme Diependaele. « Nous nous efforçons toujours de traduire nos mesures de manière aussi transparente que possible pour nos clients, en particulier par le biais de notre clause de confidentialité. Nous présentons ces informations de manière compréhensible, y compris via notre site web. Les clients qui ont une inquiétude particulière et souhaitent exercer leurs droits peuvent toujours retrouver facilement ces informations. Bien sûr, tout est perfectible : nous pourrions fournir des informations encore plus détaillées sur ce qu'AXA fait avec les données à caractère personnel, et des outils encore plus précis permettant aux clients d'indiquer ce qu'AXA est ou n'est pas autorisée à faire avec leurs données. Mais il faut aussi se montrer prudent avec ces options supplémentaires, afin de ne pas créer trop de confusion chez les clients. Un bon suivi est essentiel. »
Un assureur a bien évidemment besoin de certaines données à caractère personnel afin de conclure des contrats et de les exécuter. Sans données, c'est impossible. Les clients doivent le comprendre également. L'assureur doit toutefois veiller à ne pas collecter plus de données que nécessaire.
La détection des fraudes, quant à elle, est l'une des finalités pour lesquelles un assureur peut traiter des données à caractère personnel sans le consentement du client, et ce pour des raisons évidentes.
L'intelligence artificielle dans le contexte de la législation RGDP
Toutes les lignes directrices du règlement RGDP ou GDPR demeurent applicables dans un contexte où l'IA est amenée à travailler avec des données à caractère personnel. En règle générale, les systèmes d'IA fonctionnent sur la base d'un modèle qu'il faut former à l'aide de données. De vraies données, pas des données fictives. Jusqu'à présent, cela n'était pas courant dans les applications informatiques. Les entreprises sont dès lors confrontées à la question des « biais » ou préjugés: si les données utilisées pour former un modèle ne sont pas suffisamment représentatives, il se peut que le modèle génère des biais.
En outre, la transparence ne coule pas non plus de source. Un client a le droit de savoir pourquoi une décision particulière a été prise, mais il n'est pas toujours évident de savoir pourquoi un modèle d'IA a fait un choix en particulier. En effet, il n'est pas toujours possible de comprendre la logique sous-jacente d'un modèle d'IA.
La transparence devient également un concept clé dans ce qu'on appelle « l'IA générative » (qui génère du contenu) : les assureurs doivent rester clairs avec les clients en indiquant explicitement où et quand ils utilisent l’IA. Un human oversight (ou intervention humaine dans le système) doit également être prévu afin que tout comportement anormal du système soit détecté à temps.
Actuellement, les assureurs utilisent des IA sécurisées capables de reconnaître du texte, par exemple dans un constat d’accident rempli par des personnes. L’IA interprète ensuite ce qu’il contient et travaille en soutien. Une intervention humaine est toujours prévue en cas d’erreur du système. Et les gens peuvent aussi se tromper. Donc en soi, rien ne change par rapport à avant. Tant que nous en sommes conscients, les systèmes d’IA peuvent jouer un rôle de soutien intéressant.
Bien entendu, la protection de la vie privée implique également une protection adéquate des données. Les cyberattaques constituent un risque majeur. Chaque jour, les particuliers et les organisations sont assaillis par des cyberattaques visant à s’emparer de leurs données à caractère personnel. Lisez attentivement notre article « Cybersécurité : que faire après une cyberattaque ? » afin de protéger vos données le mieux possible.