Josette Guéniau : « DDA ou RGPD… au dirigeant de choisir une ligne de conduite »
Experte au sein du cabinet Joxa, Josette Guéniau explique en quoi les deux poids lourds de la réglementation 2018 – la directive sur la distribution d’assurances (DDA) et le règlement sur la protection des données personnelles (RGPD) – sont liés, et constate le peu d’engouement des acteurs de l’assurance pour ces sujets…
DDA implique de mieux connaître le client et RGPD de se limiter aux données essentielles. Ces règlements ne sont-ils pas en conflit ?
Mes interlocuteurs ne comprennent pas le parallèle qui doit être fait entre les deux réglementations. Les travaux de réflexion à mener doivent être effectués à l’aune de ces deux dispositifs. DDA implique de mieux connaître ses clients – en collectant un plus grand nombre de données – alors que RGPD se limite aux données essentielles. Comment collecter et conserver les données marketing inutiles à l’exécution du contrat, mais nécessaires à justifier le fait que le produit vendu est adapté aux besoins du client. Ensuite, une question stratégique et de conformité doit être soulevée : les informations utiles à l’exécution du contrat doivent-elles être recueillies durant le processus d’avant-vente ou au moment de la vente, voire une fois le contrat conclu ? Toutes ces questions ne sont abordées ni par RGPD, ni par DDA. Rien n’est recommandé. Il faut réfléchir à tous les types de données et aux différents cas d’usages en fonction du niveau d’atteinte de confiance dans la relation client de chaque société et du réseau de distribution.
Comment appréhender le recueil des données nécessaires à la souscription d’un contrat collectif ?
Le sujet est le suivant : la personne concernée par l’exécution du contrat n’est pas la personne qui contracte directement. L’entreprise souscriptrice devra redoubler de vigilance et se prémunir contre le fait que des informations personnelles sur ses salariés vont transiter dans ses réseaux informatiques pour être transmises à la complémentaire. Elle devra également veiller à modifier a minima les bulletins d’adhésion sur lesquels, généralement, il n’y a qu’une formule Cnil. Autre point litigieux : les contrats d’entreprises standards seraient assujettis à DDA alors que les contrats sur mesure en seraient exclus.
L’application de la DDA et du RGPD est imminente… Les acteurs de l’assurance sont-ils prêts ?
La profession n’est pas prête. En discutant avec nos clients, nous constatons qu’ils se sont emparés du sujet RGPD beaucoup plus tôt que celui de DDA. Concernant cette dernière, certains ne s’y sont d’ailleurs pas encore mis. Elle n’est jamais que la description d’un processus normal de réflexion et de mise en œuvre marketing pour l’élaboration et le lancement d’un produit. Les marketeurs doivent s’emparer de cette contrainte réglementaire pour améliorer leurs outils et leurs procédures internes. Je ne constate malheureusement pas d’engouement des gens du métier sur DDA.
Et en ce qui concerne le règlement européen ?
Pour RGPD – qui repose sur le principe Privacy by design (NDLR : protection de la vie privée dès la conception) – ce que beaucoup d’acteurs n’ont pas saisi, et qui était déjà présent dans l’esprit de la loi de 1978, ce n’est pas la donnée en tant que telle qu’il faut protéger, mais l’usage que l’on en fait (autorisé ou non). Les professionnels, qui engagent leur responsabilité pénale, ne doivent pas minimiser les contrôles de la Cnil qui risquent de croître à compter de mai 2018 (le nouveau dispositif implique des contrôles a posteriori ; il ne sera plus nécessaire d’obtenir une autorisation a priori).
Quelles sont vos recommandations ?
Je n’ai pas vu les acteurs réagir de manière stratégique. Il est impératif de raisonner en termes de risque/opportunité. Comme souvent ces sujets réglementaires sont accaparés par les DSI, ou les juristes, alors que ce sont en fait les métiers qui sont en capacité de rédiger des cahiers des charges adaptés. Ensuite, c’est au dirigeant qu’il revient de choisir une ligne de conduite. C’est de sa responsabilité de définir les mesures qui amèneront l’entreprise à prendre le moins de risque et à saisir les opportunités contenues dans chacun des deux textes. Même philosophie que dans Solvabilité 2 ; identifier les risques et prendre ensuite des mesures pour les limiter… le risque zéro n’existe pas. Enfin, il est primordial de ne pas agir dans la précipitation pour ne pas avoir par la suite à détricoter ce qui a été fait.