01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Actuariat & Big Data : quels enjeux juridiques ?

big data enjeux juridiques

Par Gérard HAAS, Avocat à la Cour et Stéphane ASTIER, Avocat à la Cour

Big data, objets connectés, boîtiers dans les voitures favorisent la personnalisation des tarifs et la possibilité de générer des contrats d’assurance à la carte. Où se place l’actuaire dans ce bouleversement technologique radical ?

En effet, si la notion de Big Data entre dans le vocabulaire courant des stratégies marketing des entreprises confrontées à ce type d’offre, elle pose toujours un certain nombre de questions quant à son appréhension. Ainsi au-delà du périmètre Vitesse / Volume / Vélocité généralement tracé pour définir le Big Data, la sphère juridique vient directement impacter cette définition avec la notion de Validité juridique des traitements opérés et de Valorisation des données obtenue à l’aide de cette technologie (1) .

Or, parmi les nombreux domaines concernés par le Big Data pris dans cette acceptation générale, l’actuariat trouve une place essentielle. Les enjeux juridiques associés à la révolution technologique générée par les algorithmes de l’offre Big Data se trouvent en effet ici décuplés.

1. Le « Big data » – moteur de l’analyse prédictive de l’actuaire

Les actuaires sont des professionnels ayant pour mission d’assister les services opérationnels des entreprises pour l’évaluation des risques. Sociétés d’assurances, caisses de retraite et de prévoyance, sociétés de bourse, institutions financières ou services d’études économiques des banques et des grandes entreprises sont ici concernées.

A titre d’exemple, en matière d’assurance, l’actuaire doit calculer le montant des réserves monétaires dont la compagnie d’assurance doit disposer pour être capable d’honorer ses contrats vis-à-vis de ses assurés. Il en est donc le pivot. La stratégie marketing de l’entreprise et sa marge découlent de son travail d’analyse.

Au-delà des compétences en mathématique, en statistique et en finance, l’actuariat ne se conçoit qu’avec le recueil d’informations. En effet, la matière première permettant la constitution de statistiques réside dans la compilation et l’étude de données.

A partir des sinistres passés, l’actuaire détermine ainsi la probabilité des sinistres à venir, capacité qui se trouve décuplée grâce au Big Data et plus précisément grâce aux algorithmes de traitements de données non structurées recueillies en masse. La technologie Big Data est ici le moteur de l’analyse prédictive.

2. L’impact de la sphère juridique

Pour tarifer les garanties proposées en fonction de la sinistralité potentielle, l’actuaire utilise les données collectées qui lui sont fournies.

Plusieurs questions se posent à ce stade :

• D’où proviennent ces informations ?
• Ces informations incluent-elle des données à caractère personnel ?
• Quel type de consentement a été donné par les personnes concernées ?
• Les informations données à la personne au moment de la collecte respectent-t-elles l’article 32 de la loi informatique et libertés ?
• La technologie utilisée pour leur analyse permettrait-elle de « désanonymiser » les données collectées ?
• etc.

En effet, des réponses à ces questions dépendra la légalité des traitements opérés au regard de la loi informatique et libertés du 6 janvier 1978 modifiée et, par voie de conséquence, des utilisations qui pourraient être faites de ces données.

L’actuaire, dans ce système de traitement industrialisé, pourra trouver son rôle amplifié : plus qu’un rôle de certification de la qualité des données traitées il pourra ainsi être amené à vérifier et anticiper leurs usages.

A titre d’exemple, la compagnie d’assurance, en sa qualité de responsable de traitement au sens de l’article 2 de la loi informatique et libertés, pourra décider de mettre en œuvre une solution dite de Big data pour collecter et analyser des informations sur ses clients. En cas d’externalisation de la solution technologique, le sous-traitant fournisseur de cette solution devra intervenir sur instructions de la compagnie d’assurance et de l’actuaire en charge du projet pour assurer notamment la confidentialité et la sécurité des données.

Dans tous les cas, l’actuaire pourra être désigné pour procéder au contrôle de l’origine et de la nature des données, soit directement, soit via le fournisseur de solution en cas de sous-traitance. Il pourra également avoir pour attribution d’en contrôler l’usage.

3. Limites & perspectives au regard de la protection de la vie privée

Dans sa délibération n°2013-212 du 11 juillet 2013 concernant les traitements automatisés de données à caractère personnel relatifs à la passation, la gestion et l’exécution des contrats mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par leurs intermédiaires, la CNIL prévoit parmi les finalités autorisées « l’élaboration des statistiques et études actuarielles ».

A l’article 7 de cette délibération, la Commission précise toutefois les éléments suivants :

« L’appréciation du risque comprend l’examen et l’évaluation des caractéristiques du risque pour en déterminer en particulier la fréquence, son coût moyen, le coût du sinistre maximum possible, en établir la tarification et en vérifier l’assurabilité. Les conditions d’acceptation et les conditions tarifaires sont fixées dans le cadre de la politique d’acceptation des risques établie conformément au code des assurances à partir notamment de critères actuariels.

Aucune décision refusant un contrat à une personne ne pourra avoir pour seul fondement un traitement automatisé de données à caractère personnel, les personnes concernées devront être mises en mesure de présenter leurs observations. »

Cette délibération, qui consiste à fixer le périmètre d’application de la norme simplifiée n°16, est assez éloquente quant au cadre juridique susceptible de limiter une utilisation débridée de solutions technologiques pour la fixation de primes d’assurance ou encore pour l’accès à tel ou tel type de contrat.

Il serait inconcevable au regard de la protection de la vie privée – même si cela est aujourd’hui permis par la technique – que l’élaboration des statistiques et études actuarielles s’appuient sur une collecte massive de données permises provenant d’objets connectés ou encore de messages sur les réseaux sociaux sans, naturellement, que la personne concernée n’ait été informée d’une telle collecte ou ait donné son consentement. A titre d’exemple, un client qui « like » des marques d’alcool et qui se géolocalise régulièrement dans des établissements possédant une Licence IV, pourrait voir son assureur tenir compte de ces données dans son offre de contrat d’assurance automobile…

A contrario, certains clients pourront accepter d’embarquer dans leur véhicule des boîtiers enregistrant leurs données de conduite (vitesse, distance parcourue, habitude de freinage…) afin de bénéficier de primes d’assurance tenant compte de leurs bonnes pratiques de conduite.

Encore faudra-t-il, pour assurer la légalité de ce type de solution, veiller à respecter les dispositions de la loi informatique et libertés afin d’assurer la protection de la vie privée des clients concernés (information, recueil d’un consentement explicite, limitation des données traitées et des personnes destinataires, limitation de la durée de conservation des données etc.)

*****

Jusqu’à présent le système de bonus/malus donnait un avantage ou une pénalité a posteriori. Avec le Big Data, la compagnie d’assurance sera en mesure d’appliquer cet avantage ou cette pénalité, en temps réel dans le cadre du contrat et de la réglementation (dispositions du Code des assurances et du Code de la Consommation) ou par anticipation.

La masse de données issue du Big Data est donc de nature à profondément changer l’actuariat dans son processus de traitement des données mais également dans la relation client que les entreprises vont élaborer à partir des préconisations en résultant.

En offrant la possibilité de personnaliser ses offres à des entreprises travaillant jusque-là sur des grands ensembles et des tendances plus ou moins générales, la stratégie marketing et commerciale de ces dernières est amenée à profondément évoluer.

Le droit est ici un rouage essentiel pour assurer la légalité de ce type d’opération.
L’enjeu est ici de taille : Si chacun est libre de donner ses données pour bénéficier d’avantages contractuels qu’il estime supérieurs à la confidentialité desdites données, il conviendra d’encadrer strictement l’utilisation de celles-ci et de veiller notamment à assurer l’obtention d’un consentement éclairé sur les modalités des traitements effectués à partir de ces données… dans le présent mais également à l’avenir.

En effet, il convient dès aujourd’hui d’anticiper l’adoption du projet de Règlement Européen et notamment son article 23 intégrant le concept anglosaxon de « Privacy by design ». En application de ce principe, les Sociétés d’assurances et autres entités utilisant des Solutions de Big data dans le domaine de l’actuariat auront pour obligation de mettre en place en amont les actions juridiques et techniques adéquates afin de diminuer les risques sur les données à caractère personnel.

Lorsque l’on parle d’anticipation, on repense à cette citation de Rabelais qui n’a sans doute jamais été autant d’actualité : « Science sans conscience n’est que ruine de l’âme »…

Affaire à suivre donc.

[1] Cf. article : L’offre BIG DATA, entre casse-tête juridique et défi éthique). https://www.haas-avocats.com/actualite-juridique/loffre-big-data-entre-casse-tete-juridique-et-defi-ethique/
ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com