Tirer profit de l'industrie de la data

Les possibilités ouvertes par le Big Data pour utiliser les données personnelles étaient inconcevables il y a quelques années encore, mais elles doivent être nuancées par les barrières réglementaires érigées par la Cnil et l’Union Européenne. Le pack de conformité assurance établi en juillet 2014 et l’adoption par le Parlement européen du règlement (2016/679) général sur la protection des données (RGPD) en avril 2016 sont d’importants cadres juridiques sur la protection des données qui restreignent l’utilisation effective des données personnelles sans le consentement de l’individu. Comment alors tirer alors profit de la data dans un cadre juridique de plus en plus contraignant ? À travers cet article nous essaierons de répondre à cette question tout en exposant les principales nouveautés apportées par le RGPD.

Les nouvelles exigences du règlement général sur la protection des données (RGPD)

Le cadre réglementaire de la protection des données en France est celui de la loi Informatique et Libertés du 6 janvier 1978 qui a évolué ensuite pour tenir compte de la directive européenne n° 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Ce cadre réglementaire a connu une évolution majeure, l’adoption de le RGPD qui entrera en vigueur le 25 mai 2018, abrogeant la directive 95/46/CE de 1995. Ce texte renforce le contrôle des citoyens/consommateurs européens sur l’utilisation de leurs données personnelles tout en simplifiant et harmonisant la réglementation pour les entreprises. Ainsi, en plus des trois droits reconnus à la personne par la loi Informatique et Libertés – droits d’accès, de rectification et d’opposition –, plusieurs mesures viennent protéger davantage l’individu :

• le consentement clair et explicite à la collecte des données ;
• l’accès facilité de l’individu à ses données : la rectification, l’effacement des données et l’oubli (article 17) ;
• la réalisation d’une analyse d’impact avant la mise en place d’un traitement de données (article 35) pouvant présenter des risques pour la protection des données personnelles ;
• la notification à la CNIL dans les 72 heures de toute faille de sécurité en rapport avec les données personnelles (articles 33 et 34) ;
• la responsabilisation, à travers la possibilité d’infliger de lourdes sanctions financières (article 83) allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’entreprise, le montant le plus élevé étant retenu ;
• à l’intérieur de l’entreprise, la création et la maintenance d’un registre des traitements de données personnelles ;
• la création des délégués à la protection des données (article 37), les Data Protection Officers ;
• la restriction du profilage automatisé servant de base à une décision (article 22) ;
• à l’international, le transfert de données hors UE ne peut être imposé par les lois et règlements d’un pays tiers à l’UE. De plus, le transfert des données vers des États tiers ne nécessite plus d’autorisation de transfert par la CNIL, mais exige la signature d’un contrat de transfert (article 44 et 45)…

Tirer profit des données dans un cadre réglementaire contraignant

Le traitement des données à l’ère du Big Data fait face à trois enjeux contradictoires :

• d’une part, celui des assureurs et autres professionnels, qui rêvent d’accéder au maximum de données personnelles pour les valoriser en améliorant leurs offres de produits et services ;
• d’autre part, celui du régulateur dont le but est de veiller sur la protection des libertés individuelles en encadrant l’utilisation des données privées ;
• enfin, celui du citoyen/consommateur qui veut bénéficier de services plus pertinents tout en gardant le contrôle de ses données.

Mais, comme le souligne Patrick Thourot, président de Forsides, «  les anciens élèves des écoles d’état-major savent tous que dans la lutte technologique entre l’obus et la cuirasse, l’obus a toujours gagné la partie ». En effet, le Big Data repose sur une technologie en évolution permanente et une évolution des usages permanente, ce qui contraste avec les textes réglementaires qui ont pour essence de définir des lois stables et prévisibles pour une utilisation commune. Dans ce contexte, les textes réglementaires peuvent être perçus comme des freins à l’innovation mais cette affirmation est à relativiser, car de bonnes pratiques peuvent permettre de respecter les contraintes réglementaires (RGPD) tout en assurant le développement pérenne de l’innovation dans le domaine numérique.

Finalité, confidentialité et sécurité des données

Le premier principe à respecter est celui de la finalité et de la pertinence des données collectées. La littérature nous a habitués au terme data lake, où l’on « déverse » des téraoctets de données sur un serveur pour y faire des analyses savantes avec une armée de data scientists et découvrir des corrélations cachées entre les données. Mais ce discours est assez éloigné des pratiques réelles : un projet de Big Data réussi doit avoir des objectifs et une finalité bien identifiée pour orienter la collecte des données et les algorithmes à utiliser.

Ensuite se pose le problème de la confidentialité des données à analyser. Des solutions techniques d’anonymisation (article 25 RGPD) des données personnelles existent. De plus, en ce qui concerne les traitements statistiques, il n’est pas toujours utile pour la construction d’un modèle de chercher à identifier précisément un client. Un identifiant anonyme est suffisant pour conserver les informations utiles aux analyses. Ainsi, dans une base tarifaire constituée pour construire un modèle, il n’est pas nécessaire d’identifier précisément l’assuré. Il suffit par exemple de le désigner par un identifiant alphanumérique ALB1235, peu importe son nom.

Pour assurer la sécurité des données et prévenir toute intrusion et failles de sécurité dans le stockage des données, les directions des systèmes d’informations (DSI) devront acquérir/inclure de nouvelles compétences, un délégué à la protection des données (Data Protection Officer) comme stipulé dans le RGPD. Le rôle du délégué à la protection des données sera de garantir la conformité du stockage et des traitements de données avec les principes de protection de la vie privée, tels que fixés par le RGPD, ainsi que de gérer les relations entre la compagnie d’assurance et les autorités de surveillance (CNIL). Les data scientists, actuaires, informaticiens, etc. devront avoir des connaissances réglementaires afin de comprendre et mettre en œuvre les bonnes pratiques en matière de protection des données personnelles lors des différents traitements de données.

Innovation et conformité

L’innovation est le moteur qui permet à toute entreprise de survivre à l’ère de la digitalisation de l’économie et des changements d’usage des assurés. Mais la rigidité réglementaire imposée par les régulateurs limite souvent l’utilisation des données à caractère personnelles qui sont une source d’enrichissement considérable pour affiner la conception des produits et proposer de nouveaux contrats plus adaptés et de nouveaux services à des clients qui en demandent toujours plus en matière de personnalisation des prestations. Afin de répondre aux exigences des régulateurs et des consommateurs tout en innovant, les entreprises devront mettre en place des process en accord avec les lois en vigueur et disposer en leur sein des compétences nécessaires pour appliquer ces démarches (Data Protection Officer, professionnels de l’assurance formés sur les questions de conformité en matière de traitement de données personnelles).