La donnée est une composante essentielle du business model des assurances. « C’est le cœur des contrats », déclarait d’ailleurs François Rosier, directeur adjoint des affaires juridiques de la Fédération Française de l’Assurance, en introduction à une conférence de l’ École nationale d'assurances sur le RGPD en avril 2018, « Et la connaissance client qui est attendue de nous est très importante ! ».
Une connaissance client – et une évaluation des risques qu’ils encourent – qui va s’affiner avec l’avènement des objets connectés dans l’univers quotidien et professionnel, et le volume de données personnelles associées...
Par donnée à caractère personnel, on entend toute donnée qui, isolée ou associée à d’autres, peut être reliée à un-e prospect ou à un-e assuré-e. Il en va ainsi des numéros de carte bancaire, références bancaires, statut marital, nombre de personnes qui composent un foyer, numéro d’acte de décès, données de santé ou médicales…
Pouvoir piloter la conformité
A cause de la complexité des processus de traitement des données dans l’assurance, les acteurs de la place regardent de près le règlement européen sur la protection des données à caractère personnel entré en application le 25 mai 2018. Certes, la plupart des sociétés d’assurance, mutuelles, institutions de prévoyance, délégataires de gestion et autres considèrent le RGPD comme une évolution des lois françaises préexistantes, plus qu’une révolution...
Certes, le RGPD va permettre à ceux qui opèrent dans plusieurs pays de l’Union Européenne de travailler plus facilement grâce à l’uniformisation de règles qui variaient d’un état membre à l’autre. Reste que le RGPD impose aux assureurs – ainsi qu’à leurs partenaires – la mise en œuvre d’un véritable pilotage de la conformité aux différentes obligations qu’il contient.
Modéliser les processus pour les passer en revue
Pour savoir précisément quels processus utilisent quelles données, qui a accès à quelle information personnelle et avec quels droits, une description précise du traitement des données s’impose avant de pouvoir adapter les processus existants ou d’en mettre en place de nouveaux, conformes au RGPD. D’après le cabinet d’analyse CXP, 35 % des entreprises (tous secteurs confondus) utilisent des outils de modélisation pour décrire leurs processus.
Grâce à ce type d’ applications, les équipes métier et informatique peuvent formaliser de façon collaborative les processus, en tenant compte des données associées (circulation, stockage…) et des intervenants impliqués. Cet exercice de modélisation facilite la définition précise des responsabilités et co-responsabilités en matière de traitement des données personnelles entre l’assureur et ses partenaires – au premier rang desquels figurent les délégataires de gestion, courtiers, agents généraux… – et l’élaboration d’une cartographie des risques en matière de protection des données.
Modéliser les processus pour faciliter leur adaptation et leur automatisation
La modélisation est clé dans l’adaptation des processus existants en vue de respecter le RGPD ou la définition de nouveaux processus spécifiques RGPD. Parmi ces derniers figure celui assurant la portabilité des données – un nouveau droit pour l’assuré-e, l’autorisant à récupérer les données qu’il-elle avait fournies (soit pour son propre usage, soit pour celui d’un autre assureur ou d’un autre organisme). Grâce à cette modélisation, il est ensuite plus facile de réfléchir à l’automatisation des processus définis, puis de gérer ces processus, les accès aux données et les interfaces associées, grâce à une solution de gestion des processus métier (BPM). L’exécution des processus apporte, outre la distribution des tâches vers les différents intervenants, une traçabilité fine des actions servant de base à la constitution de pistes d’audit.
Enfin, la modélisation des processus est un formidable outil pédagogique sur lequel s’appuyer pour sensibiliser tous les corps de métier aux obligations du RGPD. Lors de sa conférence de presse Bilan 2017-Perspectives 2018 (en mars dernier), la Fédération Française de l’Assurance présentait le RGPD comme « un facteur de confiance pour les assurés, de responsabilisation accrue des assureurs et de renforcement des garanties de sécurité. » Ce qu’a confirmé la responsable Data d’une société de la place lors de l’édition 2018 de Décid’Assur : « Si le RGPD constitue une opportunité commerciale grâce aux apports du profilage, c’est également une opportunité d’afficher plus de transparence vers l’assuré ». Ce qui pourrait faire de la conformité audit règlement un véritable avantage compétitif…
Lecture 3 mins
