Les grands traitements du secteur de l’assurance et leurs bases légales
16 juillet 2021
Tout doit répondre à un objectif précis et se fonder sur une , qui doit être définie par le responsable pour chaque traitement en fonction de ses caractéristiques.
Le principe général
Tout traitement de données personnelles doit répondre à un but précis (finalité). La finalité doit être déterminée, explicite et légitime, ce qui signifie que l’objectif poursuivi par le fichier doit notamment être clair et compréhensible. Les responsables de traitement doivent veiller à ne traiter que des données pertinentes au regard de cette finalité, et à ne les conserver que pour la durée nécessaire à son accomplissement.
Pour chaque finalité poursuivie, le responsable de traitement doit également déterminer une base légale parmi celles prévues par le RGPD. Dans le secteur de l’assurance, les principales susceptibles d’être mobilisées sont :
- le consentement : lorsque la personne a consenti au traitement de ses données ;
- le contrat : lorsque le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;
- l’obligation légale : le traitement est nécessaire au respect d’une obligation incombant au , et résultant du droit national ou européen ;
- l’intérêt légitime : le traitement est nécessaire à la poursuite des intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées.
Lorsqu’un même traitement de données poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités. En revanche, il n’est pas possible de fonder un traitement sur plusieurs bases légales pour une même finalité : le responsable de traitement doit opter pour la plus pertinente.
Définir une finalité dans le secteur de l’assurance
Dans le secteur de l’assurance, la question du choix entre l’exécution du contrat et l’intérêt légitime se pose de manière récurrente.
L’une des manières d’y répondre est d’apprécier si le traitement en cause est strictement nécessaire à l’exécution du contrat de manière objective (le fait qu’une clause dans le contrat d’assurance prévoit ce traitement n’est pas suffisant).
Dans le cas contraire, l’intérêt légitime pourra être envisagé, notamment à condition qu’il soit formulé en des termes suffisamment précis, qu’il prévale sur les « intérêts ou libertés et droits fondamentaux des personnes » et que les traitements s’inscrivent dans les « attentes raisonnables » de ces personnes.
De manière générale, les données sont traitées dans le cadre de deux ensembles de finalités : pour la passation, gestion et l’exécution des contrats d’assurance (premier ensemble de finalités) ou pour la prospection commerciale par les organismes d’assurance (second ensemble de finalités).
Une grande partie de ces traitements repose sur « l’exécution du contrat ». Il s’agit notamment :
- de l’étude des besoins spécifiques et chaque assuré éventuel afin de proposer des contrats adaptés dans le cadre du respect de l’obligation de conseil du distributeur d’assurance ;
- de l’appréciation des risques assurantiels pour en déterminer une tarification et vérifier leur assurabilité ;
- de l’exécution des garanties contractuelles ;
- de la gestion des contrats et des clients ;
- de la gestion des réclamations et contentieux ayant pour objet l’application du contrat ;
- ou encore de l’exercice des recours pour lesquels l’assureur se trouve subrogé dans les droits de l’assuré en application du contrat.
La liée aux fins d’intérêts légitimes peut fonder les traitements suivants :
- l’élaboration des statistiques et études actuarielles ;
- la mise en place d’actions de prévention proposées par l’assureur ;
- la conduite d’activités de recherche et développement ;
- les opérations de communication et de fidélisation de la clientèle ;
- l’amélioration de la qualité du service ;
- les traitements de lutte contre la fraude.
Enfin, certains traitements sont nécessaires au respect d’une obligation légale, notamment : en matière de prélèvement à la source de l’impôt sur le revenu, de la lutte contre le blanchiment des capitaux et le financement du terrorisme, ou de la prise en compte de sanctions économiques et financières internationales.
Les traitements de lutte contre la fraude
La fraude peut se définir comme « tout acte ou omission commis intentionnellement par une ou plusieurs personnes physiques ou morales afin d’obtenir un avantage ou un bénéfice de façon illégitime, illicite ou illégale ». Bien que la lutte contre la fraude puisse revêtir un intérêt impérieux dans certaines conditions, il n’est pas possible de considérer qu’elle est pour autant strictement nécessaire à l’exécution du contrat.
Les traitements poursuivant cette finalité (comme l’ensemble des traitements fondés par un intérêt légitime) doivent donc présenter certaines garanties. En matière de lutte contre la fraude, une organisation en trois niveaux permet notamment de préserver les droits et libertés des personnes concernées :
- Les organismes d’assurance habilitent des gestionnaires à la lutte contre la fraude, distincts des services de gestion en charge de la passation ou de l’exécution des contrats, soumis à une obligation de confidentialité et ayant reçu des formations appropriées.
- Aucune décision entièrement automatisée ne peut être prise. Lorsque des requêtes ou alertes sont détectées automatiquement, des investigations complémentaires par le personnel habilité du peuvent être diligentées le cas échéant.
- La personne concernée doit être mise en mesure de présenter ses observations si une décision produisant des effets juridiques est prise à son égard dans le cadre de la conclusion ou de l'exécution d'un contrat.