Nombreux sont ceux qui voient le Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) comme une simple contrainte avec des sanctions potentielles à la clé. L’objectif de cet article est au contraire d’expliquer l’opportunité qu’il peut représenter pour les entreprises. Quels sont donc ses objectifs ? Comment l’appréhender pour ne pas s’exposer à des sanctions et profiter des opportunités qu’il contribue à créer ? Le Cercle LAB a proposé sur ce sujet une matinée, avec une conférence et des échanges centrés autour des opportunités apportées par le GDPR et sur des expériences concrètes des acteurs du monde de l’Assurance.

Quelles données concernées ? Panorama et grands enjeux des données à caractère personnel

Toute information relative à une personne physique identifiée ou identifiable, directement (ex : Nom et Prénom…) ou indirectement (ex : adresse IP…) est considérée comme une donnée à caractère personnel. Parmi les données à caractère personnel, la CNIL distingue des données sensibles qui ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes (ex : origines raciales ou ethniques, données de santé…). Pour autant, selon une étude faite par Wavestone en 2016, toutes les données sont considérées comme étant sensibles pour le citoyen, même celles non considérées comme sensibles par le GDPR.

Que cache l’acronyme GDPR ? Quels en sont les principaux objectifs et opportunités ?

Il est important d’expliquer le texte du GDPR au regard des challenges opérationnels rencontrés par les entreprises pour son intégration dans leur stratégie digitale. Si le calendrier peut être difficile à respecter (mise en application en mai 2018), il est crucial d’être en capacité de montrer au régulateur que le sujet a été pris en main en interne et qu’une feuille de route claire est tracée.

Les objectifs recherchés par le législateur européen sont clairement les suivants :

– L’harmonisation de la protection des données personnelles entre les États membres, i.e. la création d’un marché européen de la donnée
– La sensibilisation et responsabilisation des acteurs sur l’ensemble de leurs projets en cours et à venir touchant aux données personnelles via le [1]Privacy by Design, [2]Privacy by Default
– Une responsabilisation des acteurs
– La traçabilité des actions mises en œuvre par les sociétés d’Assurance pour assurer le respect des données personnelles de leurs clients

Quelques pistes pour inclure le GDPR dans sa stratégie digitale et obtenir des premiers résultats rapides :

– Remettre à plat le traitement de la donnée, rationaliser l’utilisation de la donnée et permettre la mise en place de services plus efficients pour montrer aux clients que le service est différent de la concurrence
– Mettre en place une culture globale de la data via d’autres réglementations relatives à la donnée à mutualiser avec le GDPR (ex : BCBS 239, MIF2, IDD : toutes réglementations qui impliquent de collecter de la donnée personnelle)
– Inscrire les réglementations dans une gouvernance globale de la donnée ; ex : DPO
– Identifier les sujets prioritaires (ex : consentement…)

Comment s’y prendre concrètement pour une mise en œuvre fluide et pertinente ?

Les données sont au cœur du Business Model de la banque et de l’assurance. En combinaison avec l’évolution des comportements (niveau d’information, exigence de réactivité…), l’émergence de nouveaux concurrents tels que les Insurtechs et l’explosion du volume de données disponibles, le GDPR vient redéfinir les « règles du jeu » sur le marché de l’assurance.

Cette réglementation comportant de nombreux sujets à traiter, il faut commencer par organiser un programme réglementaire dont les priorités portent sur les risques majeurs et lancer au plus tôt les travaux de mise en conformité.

– Définir conjointement une cible opérationnelle précise et exhaustive (avec champ des possibles en cohérence avec le fonctionnement de l’organisation et la stratégie I.T)
– Convenir de l’étendue des travaux au regard de l’échéance
– Viser au plus tôt la pérennité dans un processus Run (process à ajuster au plus vite pour la mise en conformité, sensibilisation des partenaires…)
– Optimiser la mise en conformité car les sujets sont nombreux et différents (services transverses, …)

Quelles solutions IT pour améliorer la gestion des données personnelles dans le cadre du GDPR ?

Les éditeurs IT voient les solutions informatiques comme une réponse possible au GDPR, en complément des travaux menés par le juridique. 3 exemples de stratégie IT différentes pour répondre au GDPR :

– Gestion des données personnelles au sein de chaque système (ex : CRM) : cette stratégie a l’avantage de simplifier la collecte de l’information, d’avoir une visibilité immédiate et peu d’impact sur les processus existants. Il n’y aura donc pas d’impact sur les processus métiers mais sur les SI. La difficulté est que certains systèmes IT ne seront pas capables d’évoluer et des charges de maintenance sont à prévoir. Il faut noter aussi qu’il y a risque SI à ouvrir des systèmes transactionnels en externe

– Gestion de la métadonnée dans un système central : On n’aura pas de vision directe de l’information, dans ce cas. Le défaut est qu’il va falloir quand même ouvrir les SI vers l’extérieur car ils auront besoin des valeurs associées à son profil. Dans ce cas, il n’y aura pas de vision unifiée de l’information en termes de valeur mais de concept

– Système central de métadonnée et de données (Big Data) : Cette stratégie répond à la vision unifiée. Cette stratégie permet d’avoir une nouvelle vision Client 360. Il faut noter, cependant, la duplication de l’information et les impacts sur les processus existants

Au niveau IT, les enjeux du GDPR convergent sur l’importance de la relation de confiance dans le cadre d’un meilleur accès et maîtrise de ses données pour l’assuré et pour l’assureur d’une meilleure anticipation et maîtrise des risques de perte, d’altération, de fuite ou de non mise à jour des données…

Le GDPR permettra de manière plus explicite de :

– Clarifier les droits d’usage des informations
– Améliorer la transparence vis-à-vis du client [3]
– Instaurer une nouvelle forme de communication
– Renouer périodiquement le lien
– Adopter une approche pédagogique et didactique

Conclusion

Au-delà des aspects juridiques, ce challenge réglementaire touche à l’ensemble de l’organisation et à la culture de l’entreprise. Le point de départ consiste à identifier les données personnelles dont on dispose et la manière dont elles sont traitées. Où sont-elles localisées ? Le traitement est-il opéré en interne ou confié à un prestataire externe ? Et qu’est-ce que cela implique ? Outre l’obligation de mise en conformité, ce règlement constitue une opportunité de repenser la manière dont l’entreprise conserve et exploite les données. Ceci afin garantir la confiance des clients et de mobiliser l’entreprise dans la génération de valeur dans l’utilisation de données « utiles ».

[1] Privacy by design : Chaque nouvelle technologie traitant des données personnelles ou permettant d’en traiter doit garantir dès sa conception et lors de chaque utilisation, même si elle n’a pas été prévue à l’origine, le plus haut niveau possible de protection des données

[2] Privacy by default : Grâce à la protection de la vie privée par défaut (privacy by default), quiconque traite de données personnelles doit permettre aux personnes concernées d’obtenir rapidement et facilement le plus haut niveau de protection possible. La législation sur la protection des données doit obliger chaque personne ou entreprise traitant des données personnelles à garantir par défaut le plus haut niveau possible de protection des données.

[3] La principale cause des fraudes au sinistre est un sentiment de prime trop chère par rapport au service rendu.