Données personnelles, vie privée et Big data, quels sont les risques ?
Nous avons vu dans un précédent article, que le Big data offre des opportunités fortes d’innovation et de transformation pour les assureurs : amélioration des campagnes marketing, réduction de la fraude, tarification à l’usage, etc.
Toutefois, les citoyens sont de plus en plus sensibles vis-à-vis de la manipulation de leurs données personnelles, en particulier dans le cadre du Big data. Des craintes émergent, notamment concernant la quantité, la variété et la confidentialité des données collectées. Le grand public s’interroge sur l’utilisation qui en sera faite, et se demande donc s’il doit s’en protéger.
En d’autres termes : Big data veut-il dire Big Brother ?
Cette crainte est d’ailleurs accrue dans le secteur des mutuelles et assurances, les bases de données constituée contenant une multitude d’informations sensibles : santé, habitudes de vie, patrimoine, … qui pourraient être utilisées en la défaveur du client.
Cette problématique doit être prise au sérieux. Car au-delà du défi technologique, le principal risque pesant sur le Big data repose certainement là !
Protéger les données à caractère personnel, une posture spécifiquement européenne !
Cette inquiétude est d’ailleurs révélatrice de la posture européenne où la donnée à caractère personnel est un bien à protéger, avant toute autre considération. Le citoyen doit pouvoir, par exemple, s’opposer à une collecte, modifier une donnée incorrecte voire même la faire supprimer. Cet exemple est aujourd’hui relativement peu suivi en dehors de l’Europe.
Au contraire, les USA, à l’image de beaucoup de pays dans le monde, considèrent que la donnée personnelle est un bien marchand pour lequel le consentement du citoyen quant à sa collecte est donné à priori. Les lois existantes visent essentiellement à favoriser l’économie ou à donner l’accès aux données aux institutions gouvernementales pour des raisons de sécurité.
Tout assureur Français voire Européen s’intéressant au Big data se doit donc de formaliser et de partager un contrat de confiance avec ses clients :
- Vous avez accès à toutes les données dont je dispose sur vous, principe du Vendor Relationship Management (VRM) (exemples : le projet MiData en Grande Bretagne ou les Blue & Green Button aux Etats-Unis) voire de l’Open Data. Les données sont partagées dans un format exploitable que le client/partenaire peut comprendre et utiliser pour améliorer ses « propres pratiques ».
- Je m’engage à n’utiliser ces données que pour améliorer mes services en votre faveur. Les règles responsabilisant l’entreprise sont ainsi à partager avec le client. Celui-ci doit pouvoir conserver un droit de veto quant à une ou plusieurs des utilisations faites de ses données, et l’utilisation à des fins de contrôle doit être expliquée et valorisée au regard des bénéfices attendus pour le client.
Comment prendre en compte la Loi Informatique et Libertés dans vos projets Big data ?
Cette inquiétude vis-à-vis de la manipulation des données à caractère personnel, relayée par l’ensemble des médias et prise en compte par les pouvoirs publics, est au cœur d’un dispositif législatif en pleine mutation.
En effet, en France, la loi Informatique et Libertés vise à garantir au citoyen qu’en cas de collecte de données à caractère personnel celui-ci est consentant, qu’il sait qui collecte quelles informations et pour en faire quoi. Le Big data visant par définition à collecter des données non structurées (à l’opposé des historiques formulaires de collecte), il remet en question ces 3 principes fondamentaux de la loi.
De plus, toute manipulation dite sensible (données médicales, à caractère religieux, politique, etc.) nécessite une autorisation en amont par les autorités de contrôle. De par sa nature, le Big data ne permet souvent pas de différencier ces catégories de données et donc de répondre aux exigences réglementaires.
Cette loi, et ses équivalentes dans les autres pays européens, servent aujourd’hui de base au futur texte communautaire visant à harmoniser ces dispositifs et améliorer la protection du citoyen (principe du guichet unique, droit à l’oubli, etc.).
À l’image du Privacy by Design, ces contraintes réglementaires sont à anticiper en amont de tout projet Big data. Quelques « orientations naturelles» liées au Big data sont notamment à prévenir :
- Je collecte des données diverses et variées, sans nécessairement connaître ma source :
Vis-à-vis de la Loi Informatique et Libertés, il est de mon ressort de garantir le droit d’information. Je dois donc m’assurer du consentement des clients et de ce fait de la source des données collectées.
- Je définis les analyses possibles en fonction des données collectées :
Vis-à-vis de la Loi Informatique et Libertés, je ne peux décider à postériori de ce que je ferai de mes données, Je me dois d’anticiper et de déclarer l’utilisation qui sera faite de ces données (le traitement effectué) et me conformer à la finalité déclarée.
- Je ne suis plus nécessairement à l’origine de la collecte des données ni en mesure d’associer une donnée à une personne :
Vis-à-vis de la Loi Informatique et Libertés, afin de pouvoir garantir le droits d’accès, de modification voire de suppression de la donnée, je me dois de conserver le lien entre la donnée collectée et la personne qualifiée.
Vie privée et Big data, un mariage possible
Les technologies Big data vont poursuivre leur évolution, les assureurs vont s’approprier les cas d’usage possibles et confirmer la pertinence de cette technologie.
Le Big data va, pour sûr, faire évoluer significativement notre économie et en particulier le secteur de l’assurance. La collecte des données clients, historiquement à l’aide de formulaires structurés, va de plus en plus être réalisée à l’aide de sources variées et déstructurées.
Il devient donc indispensable de prendre en compte dès à présent les inquiétudes que cela fait naître dans le grand public. Les contraintes réglementaires, et en particulier celles concernant la vie privée et les données à caractère personnel, sont à intégrer en amont de tout projet. De plus, une communication claire et transparente doit être réalisée auprès des clients afin d’instaurer un climat de confiance.