Qu'en pense la CNIL ?

Une juriste de la CNIL que nous avons rencontrée le vendredi 12 Mai nous a expliqué que la CNIL est un régulateur. Elle a pour objectif d'appliquer la loi informatique et libertés. Son rôle est d’autoriser les demandes de traitement de données (typiquement une demande de prélèvement de données soumise par un assureur) d’un point de vue juridique. L'étude de ces dossiers effectuée par des juristes est complétée par des experts qui travaillent de concert.

"Globalement, tout traitement de données est interdit mais il y a de nombreuses dérogations. Tout traitement des données personnelles est soumis à autorisation"

Sansot Isabelle - Juriste Service des affaires économiques à la CNIL^[0]

Dans le cadre de son activité d’innovation et de prospective, la CNIL met en place une veille pour détecter et analyser les technologies ou les nouveaux usages pouvant avoir des impacts importants sur la vie privée. Elle dispose d’un laboratoire lui permettant d’expérimenter des produits ou applications innovants tels que les programme d’ « assurance comportementale » qui concernent aussi bien le domaine de la santé que le domaine automobile.

La notion de consentement éclairé est fondamentale pour la CNIL. Il faut que le client soit très bien informé de ce qu’implique le traitement de ses données et surtout de sa finalité. Si on donne son accord pour une finalité, par exemple « être suivi par un algorithme de coaching santé », et que nos données de santé sont (aussi) utilisées pour renseigner une base de données privée ou deviennent des outils d’étude statistique, on appelle cela un détournement de finalité. Dans tous les cas il faut l’autorisation par écrit de la personne à qui appartiennent les données. Si on veut effectuer quelconque modification il faut redemander une autorisation écrite. En général, d’après la juriste, avec le consentement du client on peut tout faire. Ce qu’il faut bien vérifier c’est l’information de la personne. Donc, en théorie, les adhérents peuvent directement transmettre toutes les données qu’ils veulent à leur assureur. Toutefois, La CNIL est capable de rejeter un traitement même s’il enfreint de façon grave la loi informatique et libertés.

Lorsque les données sont stockées c’est pour une durée déterminée à l’avance. D’ailleurs, l’assureur n’a aucune raison de garder des données trop anciennes. Mais il faut qu’en amont, on ait assuré au client, la possibilité de demander la suppression de ses données ou le désabonnement à tout moment. Le nouvel article 40-1 de la loi Informatique et libertés permet justement aux personnes de donner des directives relatives à la conservation, à l'effacement et à la communication de leurs données. « L’important c’est qu’on ait toujours le choix de revenir sur sa décision. L’assureur a l’obligation d’effacer les données et de permettre à l‘assurer de changer de mode de fonctionnement », nous a expliqué la juriste.

C’est pourquoi dans le cas où une assurance proposerait une formule d’assurance comportementale, il faut absolument garantir une assurance classique pour les premiers entrants. Et faire en sorte qu’un mauvais conducteur paye le tarif de base. Surtout rien de plus cher. Cela irait à l’encontre de la mutualisation des risques.Au mieux le bon conducteur peut bénéficier d’une réduction. Dans le cadre de l’assurance santé, le sujet est bien plus délicat. D’après l’Article 8 de la loi information et liberté , tout traitement des données est interdit. A l’heure actuelle, les assurances n’interviennent qu’au niveau du remboursement. Donc l’accès aux données ne concerne pour l’instant que des données relatives au remboursement (transmises par les professionnels de la santé (sécu sociale etc…)). Si l’assurance désire avoir accès à des données en amont, c’est à elle de prendre les précautions nécessaires pour que les données prélevées ne deviennent pas des données de santé.

• Mot d’ordre : pragmatisme →

Références :