Le 24 juin dernier, la dernière étape en vue de l’adoption du règlement européen sur la protection des données personnelles a enfin débuté. Les discussions devraient se conclure sur un compromis d’ici la fin d’année, soit près de 4 ans après la proposition initiale de la Commission Européenne. Une lenteur qui s’explique par l’importance des enjeux liés à cette réforme, et à son impact sur les grand acteurs de l’économie – et notamment les assureurs – qui voient dans cette réforme un frein à l’exploitation de la donnée, nouvel el dorado de la relation-client dans le monde de l’entreprise.

Une mesure nécessaire face aux évolutions technologiques 

Les évolutions technologiques et du numérique ont en quelques années considérablement modifié nos modes de vie. Les données personnelles collectées par les entreprises sont de plus en plus nombreuses. En effet, avec le développement des objets connectés, les assureurs disposent aujourd’hui de données de santé extrêmement sensibles et transmises en temps réel. Face à ces rapides changements et aux inquiétudes grandissantes qu’ils suscitent, il était donc nécessaire pour l’Union européenne de remplacer la Directive de 1995 par un nouveau texte, adapté aux enjeux actuels et uniforme pour les vingt-huit pays de l’UE.

C’est dans cette logique que la Commission Européenne a soumis en janvier 2012 une première proposition de réforme. Depuis, le texte a évolué, le Parlement ayant adopté une nouvelle version du texte en mars 2015 et le Conseil le 15 juin dernier. Ce texte devrait notamment apporter des progrès concernant le droit à l’oubli et à la portabilité et prévoit par ailleurs de nouvelles sanctions. Par ailleurs l’anonymisation des données, la notification en cas de violations de données et le contrôle d’accès aux données personnelles sont des mesures en discussions qui pourraient directement impacter les assureurs, les courtiers, et les délégataires.

Des enjeux de taille et un lobbying puissant

La mise en place de cette réforme se heurte à des nombreuses difficultés. La volonté de l’Europe d’uniformiser les pratiques pour l’ensemble de ses membres suscite en effet de nombreux désaccords entre les vingt-huit, et ralentit ainsi le processus d’adoption. Par ailleurs, cette réglementation souhaite concilier la protection des consommateurs et la compétitivité des entreprises. Un sujet complexe, nécessitant de nombreuses réflexions et groupes de travail afin d’aboutir à un accord.

Surtout, ce projet de règlement subit le lobbying d’acteurs variés et puissants, aussi bien de la part des géants de l’internet que des opérateurs télécoms et des institutions financières, ralentissant et complexifiant le processus de décision. Les acteurs de l’assurance ont notamment tenté de peser dans les négociations : le traitement de grandes quantités de données étant au cœur de leur activité, ils devraient être fortement impactés par la réforme mise en place. En effet, à l’heure de l’avènement du Big data, les assureurs voient dans cette protection accrue du consommateur européen un frein aux potentialités offertes par cette technologie. Une voix qui s’est d’ailleurs faite entendre depuis les Etats-Unis.

Une procédure d’adoption longue et complexe

Mais c’est le fonctionnement même des institutions européennes qui pose la plus grande difficulté. La Procédure Législative Ordinaire  est la principale responsable de la lenteur du projet. Ce processus, long et complexe est composé de trois phases : la première est la phase de première lecture, durant laquelle  le Parlement puis le Conseil approuvent, amendent ou rejettent la proposition législative. La phase de seconde lecture commence si le Conseil amende la proposition du Parlement. Cette étape est semblable à la première, à l’exception du fait que les parties disposent désormais d’un délai pour voter le texte (3 mois + 1 mois si nécessaire). Si le consensus n’est pas atteint, le texte rentre alors dans la dernière phase, la phase de conciliation.  Au cours de cette dernière étape, les trois parties disposent d’un délai de 6 à 8 semaines pour mettre en place un groupe de négociation, appelé « trilogue », qui disposera à son tour de 6 à 8 semaines pour parvenir à un accord.

Pour ce projet de règlement, la première phase, qui n’implique pas de délai maximum, a duré 3 ans et demi, et des désaccords persistent entre le Parlement et le Conseil. Lors d’un processus classique, les discussions auraient pu durer jusqu’à 12 mois supplémentaires avant un accord définitif ! Afin d’éviter de tels écueils, le Parlement a cependant annoncé que la phase de trilogue démarrerait de manière informelle dès le 24 juin pour réduire les délais.

 

Ainsi, la complexité des enjeux et du processus d’adoption expliquent en grande partie les 4 ans de discussions sur ce projet de réglementation. Cependant, dans une économie ou les changements sont rapides et nombreux, l’agilité du processus  d’adoption européen semble perfectible. Le texte, dont vous pouvez retrouver les principaux éléments ici, sera force de loi pour tous les pays de l’Union Européenne et remplacera dès son application les législations individuelles actuelles. Le cadre légal européen sera donc fixé et les assureurs, malgré leurs tentatives de lobbying en faveur d’une plus grande liberté dans l’exploitation de la donnée, devront s’y conformer : une condition indispensable s’ils souhaitent inspirer la confiance de leurs assurés….