Le 27 Avril 2016 était voté le Règlement 2016/679  qui vient abroger la directive 95/46/CE. Aussi appelé GDPR (General Data Protection Regulation), il traite de la « protection des personnes physiques à l’égard du traitement des données à caractère personnel et de la libre circulation de ces données ». Cette réglementation vise à répondre aux évolutions technologiques récentes qui ont fait exploser le volume de données à caractère personnel échangées à travers le monde.

GDPR, une réglementation d’un nouveau genre

Le compte à rebours commence donc pour les entreprises de tous les secteurs. Seulement voilà, cette réglementation est très contraignante pour les entreprises et les sanctions encourues en cas de non-conformité sont plus que dissuasives : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Avant le 28 Mai 2018, elles devront, entre autres, être capable de :

–              Protéger les données dès la conception (Privacy by Design),

–              Signaler toute violation ou fuite de données,

–              Obtenir le consentement des personnes physiques quant à l’utilisation de leurs données personnelles,

–              Assurer la portabilité des données détenues,

–              Assurer le droit à l’oubli de toute personne physique qui en ferait la demande,

–              Adopter un comportement responsable dans la gestion des données à caractère personnel (Accountability).

La confiance qu’accordent les individus aux acteurs économiques quant à l’utilisation de leurs données personnelles devient un enjeu majeur à mesure que se développent les technologies digitales. L’étude Wavestone « La vie privée à l’ère du numérique »  pointe ainsi la prise de conscience de l’importance de la protection des données à caractère personnel : 52% des interrogés déclarent ainsi avoir pris des mesures pour limiter la propagation de leurs données personnelles (utilisation de fausses informations, limitation maximum du nombre d’informations communiquées, renforcement de la sécurité de leurs comptes en ligne, arrêt de l’utilisation de certains réseaux sociaux etc.).

La réglementation vient en réponse à cette prise de conscience et protège les individus contre les dangers que représentent les avancées technologiques. En parallèle, elle est aussi source de préoccupation pour les entreprises. A l’ère du digital, où, pour conserver leur position dominante, les entreprises se doivent d’investir dans les innovations qui conditionneront leur croissance et leur productivité future, quels sont les impacts des réglementations de plus en plus poussées sur la protection des données personnelles ? Cette façon de mieux protéger les données laisse-t-elle une place à la liberté d’innover ?

C’est tout le paradoxe de notre époque : une époque marquée par la prise de conscience du public de la vulnérabilité de ses données personnelles mais également par de nombreuses innovations technologiques (objets connectés, chatbots, intelligence artificielle, réseaux sociaux, …). Comment dès lors concilier protection de la vie privée et progrès technologiques dans le secteur assurantiel, lui-même fondé sur la connaissance de ses clients et donc l’utilisation de leurs données personnelles à des fins commerciales ?

« Un équilibre délicat à instaurer »

Ce paradoxe entre innovation et réglementation n’est pas nouveau et touche tout le secteur financier, bancaire et assurantiel. Dès 2013, Cyril Demaria soulignait « la difficulté réside dans la tentation de limiter l’innovation, alors que l’industrie [la finance] a besoin d’un cadre évolutif, un équilibre délicat à instaurer ». Mais il prend une ampleur bien plus importante aujourd’hui puisque le mode de vie des clients et des assurés évolue vers plus de connectivité et d’immédiateté. Cette clientèle plus volatile a des attentes toujours plus poussées envers ces entreprises qui se doivent de lui fournir des services personnalisés et mieux adaptés à ses besoins. Les assureurs notamment se doivent en fait d’évoluer au même rythme que celui de leurs clients.

D’une certaine manière, GDPR les accompagne dans cette ambition. Toute la force de cette réglementation est d’essayer de faire correspondre liberté créatrice et réglementation en rendant cette dernière plus en phase avec la réalité des entreprises. Une des particularités de la réglementation GDPR est d’ailleurs qu’elle donne peu de directives sur la mise en place des outils nécessaires à la protection des données. Elle laisse une relative liberté aux entreprises pour adapter la réglementation à la réalité de leur activité, à condition que les mesures prises soient « adéquates ».

De nombreuses opportunités à saisir en assurance

La mise en conformité reste une préoccupation pour les assureurs, tant en termes de coûts qu’en termes de difficultés d’implémentation des solutions. Par ailleurs le spectre des sanctions financières pour non-conformité plane sur un marché déjà surchargé par les règlementations.

Pourtant si on s’intéresse au cadre particulier mis en place par GDPR, les assureurs devraient percevoir l’opportunité de développer un avantage concurrentiel, d’adapter leurs processus à la réalité de l’environnement numérique dans lequel ils évoluent et de renforcer le lien de confiance qui les lie à leurs clients.

Les nouvelles normes introduites par GDPR comme le droit à la portabilité et l’obligation de tenir un registre des traitements vont ainsi créer de nouveaux paradigmes de concurrence sur les marchés et favoriser la confiance des assurés envers les entreprises respectueuses de GDPR. Elles constituent d’incroyables opportunités de gagner en efficacité grâce à une meilleure connaissance des flux de données traitées et de renforcer la confiance de l’assuré grâce à plus de transparence sur la gestion de leurs données personnelles et l’utilisation de nouvelles technologies. D’ailleurs, certains acteurs se démarquent déjà par le déploiement de parcours clients profondément revus pour faire correspondre expérience client et nouvelles obligations réglementaires en termes de transparence et de recueil de consentement notamment.

D’autre part, ces progrès passent parfois par le choix des partenariats plutôt que par le développement « in house » de solutions personnalisées. Ainsi, en se tournant vers de nouveaux acteurs de la Fintech et de l’Insurtech, les assureurs peuvent profiter de plus de flexibilité dans leur travail de mise en conformité et d’un accès facilité aux technologies telles que l’Intelligence Artificielle (IA) ou la blockchain pour favoriser plus de sécurité et de fluidité.

Ces partenariats sont la clé de l’adaptation aux nouveaux défis de l’ère digitale. Et le marché ne s’y trompe pas, puisque les acteurs de l’Insurtech ont généré à eux seuls près de 900 milliards de dollars d’investissement en moins d’un an en 2016. Avec des business models fondés sur le digital, ces nouveaux acteurs disruptent le secteur tout entier grâce à une offre plus fluide, plus personnalisable et donc plus attractive surtout pour les générations Y et Z.

De plus, ces entreprises partenaires (RegTech, Insurtech ou FinTech) bénéficient d’un environnement réglementaire particulier et d’un accompagnement des organismes de contrôle qui cherchent à intégrer les nouveaux usages digitaux et les innovations dans leur mission de réglementation. L’ACPR  a ainsi créé un pôle dédié aux FinTech (ACPR FinTech Innovation) et à l’innovation financière et anime en collaboration avec l’AMF  le Forum FinTech (qui réunit l’ACPR, l’AMF mais aussi les Pouvoirs Publics) dans le but d’analyser les opportunités en termes de digitalisation des entreprises du secteur financier en France. L’AMF (Autorité des Marchés Financiers) et l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) se prêtent donc au jeu de l’innovation et participent à la création d’un équilibre entre innovation et réglementation au sein du secteur bancaire et assurantiel.

 

Pour conclure, on assiste aujourd’hui à une profonde mutation de l’ensemble du modèle d’innovation du secteur financier, notamment assurantiel. Il s’agit de parvenir à se dégager de l’appareil réglementaire et du carcan qu’il peut créer dès la création de l’innovation. S’entourer d’acteurs innovants plus souples et bénéficiant d’un cadre réglementaire plus favorable pour penser le produit ou le service de manière évolutive. Sous la pression des nouveaux entrants et des géants tels que les GAFA qui envisagent ou commencent à pénétrer le marché, il s’agit de repenser le modèle des assurances pour promouvoir un modèle plus proche du client et capable de fournir des services à forte valeur ajoutée plutôt que des services standards ou trop traditionnels.

Dans le cadre particulier de GDPR il faudra garder en tête les mots d’ordres d’anticipation, d’agilité et de mobilisation pour créer ce nouvel environnement qui permettra aux assureurs de disposer d’une connaissance plus approfondie des technologies disponibles, d’améliorer les offres en termes de responsabilité, d’adaptabilité et de scalabilité et de proposer une utilisation plus efficace des données avec, à terme, la promesse d’une offre client parfaitement adaptée à la demande.