L’intégration des données télématiques au cœur des programmes d’assurance auto, notamment pour la prévention, la tarification et la gestion des sinistres, représente une avancée significative. Cependant, cette innovation soulève des questions juridiques cruciales. Comment les assureurs peuvent-ils exploiter ces données tout en respectant le cadre légal strict, notamment le Règlement Général sur la Protection des Données (RGPD) ? 

Notre récent webinaire avec Maître Defieux a permis de démystifier ces enjeux. Nous avons exploré en détail des thématiques essentielles telles que la qualification des données personnelles, les exigences de consentement, les finalités de traitement, les principes de minimisation des données, ainsi que les considérations relatives à la non-discrimination et la mutualisation des risques. Ce récapitulatif offre un aperçu des points clés abordés pour naviguer dans ce paysage réglementaire en constante évolution. 

Nous vous invitons à lire un résumé détaillé et à découvrir des extraits vidéo de l’intervention.
Le webinaire complet est actuellement disponible ici

1- Existe-t-il des freins ou des limites juridiques à l’exploitation des données de l’assurance connectée?

L’exploitation des données télématiques en assurance automobile, pour des objectifs de prévention, de tarification ou de gestion des sinistres, soulève plusieurs enjeux juridiques majeurs. Maître Defieux aborde en premier lieu la qualification de ces informations comme données à caractère personnel, confirmant l’applicabilité stricte du RGPD. Un point crucial concerne les préoccupations liées à la vie privée, notamment l’utilisation sensible des données de géolocalisation, pour lesquelles la CNIL a exprimé une réticence marquée. La discussion met ensuite en lumière l’existence d’un cadre réglementaire en évolution, s’appuyant sur des lignes directrices européennes et des packs de conformité de la CNIL. Enfin, l’intervention détaille les exigences autour du consentement de l’assuré pour l’accès aux données, ainsi que la nécessité de définir des finalités de traitement spécifiques et leurs bases juridiques appropriées (consentement, exécution du contrat, intérêt légitime), avec une attention particulière aux distinctions en matière de tarification selon que le service est optionnel ou inclus d’office.

2- Quelles données peut-on collecter et pour quelles finalités ?

Concernant la question des données collectables en assurance connectée, la discussion souligne que chaque donnée doit correspondre à une finalité spécifique et ne peut être utilisée pour un autre objectif, sous peine de détournement de finalité. Ce principe est encadré par la minimisation des données, ou proportionnalité, qui exige que seules les informations strictement nécessaires à la finalité soient traitées. Par exemple, si les données de localisation sont requises pour une assistance en cas d’accident, leur accès ne doit être activé que lors de l’événement déclencheur et les données supprimées après la prestation. Un point crucial est l’impossibilité pour les assureurs (personnes morales ne gérant pas de service public) de traiter des données relatives aux infractions (comme les excès de vitesse ou les franchissements de ligne), même si elles sont associées à la géolocalisation, sauf dans le cadre strict de l’exercice des droits de la défense.

3- Comment faire pour utiliser les données liées à la vitesse conjuguée à la géolocalisation ? 

Pour permettre l’utilisation des données de vitesse combinées à la géolocalisation, tout en respectant les impératifs légaux, la CNIL opère une distinction clé entre les données brutes et les données de résultat. Les données brutes, collectées en temps réel par le boîtier ou l’application (localisation instantanée, vitesse), sont accessibles au prestataire de service qui les anonymise pour établir un score de conduite. En revanche, l’assureur n’a accès qu’aux données de résultat, comme ce score agrégé, afin de respecter le principe de minimisation des données. Cette approche garantit que l’assureur ne peut pas établir de lien direct entre une éventuelle infraction (comme un excès de vitesse) et un assuré identifiable, assurant ainsi un équilibre entre l’exploitation des données comportementales et la protection de la vie privée.

4- Quelles sont  les autres obligations pour le responsable de traitement ? 

Au-delà des finalités, bases juridiques et types de données, le responsable de traitement – l’assureur dans ce contexte – doit respecter d’autres obligations fondamentales du RGPD. Celles-ci incluent les durées de conservation des données, les mesures de sécurité robustes, et surtout une information complète et transparente des personnes concernées. L’assuré doit être clairement informé de l’identité du responsable, des finalités du traitement, des destinataires des données, de leur durée de conservation, et de l’ensemble de ses droits (accès, rectification, etc.). Un aspect crucial est l’obligation d’informer l’assuré de l’existence d’un profilage via les services télématiques et de ses conséquences potentielles sur la tarification de la prime, incluant l’éventualité d’une réduction. Toutes ces informations doivent être fournies au moment de la souscription du contrat, assurant ainsi que le traitement des données télématiques s’effectue dans le strict respect du consentement obtenu et des principes d’information.

5- Est ce que la pratique de tarification personnalisée peut être perçues comme discriminatoires?

La question de savoir si les pratiques de tarification personnalisée en assurance connectée peuvent être perçues comme discriminatoires est cruciale. Maître Defieux explique que si le principe de liberté tarifaire est fondamental en assurance, il doit impérativement respecter le principe de non-discrimination. La distinction clé réside dans la nature des critères utilisés pour différencier les primes. La loi interdit les discriminations basées sur des critères prohibés tels que l’origine ou le sexe. Cependant, la sélection des risques, inhérente au métier d’assureur, est parfaitement licite, à condition que les risques soient objectivement évalués. Ainsi, des critères comme le fait d’être novice, malussé, ou l’âge en assurance auto ne sont pas considérés comme discriminatoires car ils sont liés à une évaluation objective du risque. De même, les données télématiques (comportement au volant, kilométrage, vitesse) sont des critères non prohibés qui permettent d’affiner l’évaluation du risque, à l’instar d’un système bonus-malus plus sophistiqué. En somme, une différenciation tarifaire basée sur les données de conduite est permise, pourvu qu’elle repose sur des critères objectifs, pertinents et transparents pour l’assuré.

6- Est-ce que les réductions tarifaires aux “bons conducteurs” remettent en question le principe de mutualisation du risque en assurance auto ? 

Le fait d’accorder des réductions tarifaires aux “bons conducteurs” via l’assurance connectée ne remet pas juridiquement en cause le principe de mutualisation du risque en assurance auto. Bien que cela puisse conduire à une hyper-segmentation, la mutualisation est davantage un principe économique et statistique qu’une obligation juridique. Actuellement, aucune règle de droit n’interdit l’hyper-segmentation des risques ni les réductions tarifaires basées sur les données de conduite.

7- Existe-t-il des différences d’interprétation juridique selon que l’on soit une mutuelle, une société d’assurance ou un bancassureur ?

Concernant les programmes d’assurance connectée en assurance auto, il n’existe aucune différence d’interprétation juridique ou de marge de manœuvre entre les compagnies d’assurance, les sociétés d’assurance mutuelle, ou les bancassureurs. Les règles applicables sont uniformes pour toutes ces entités, à l’exception des mutuelles soumises au Code de la mutualité, qui ne sont pas autorisées à proposer de l’assurance automobile.

8- Peut-on utiliser les données télématiques d’un accident pour gérer le sinistre et détecter la fraude ?

L’utilisation des données télématiques collectées lors d’un accident pour la gestion des sinistres et la détection de fraude est permise, à condition de respecter le principe de minimisation et de justifier la nécessité de chaque donnée pour ces finalités. Bien que les données brutes (localisation ou vitesse instantanée) ne soient généralement pas transmises directement à l’assureur, la CNIL autorise leur communication ponctuelle si elle est strictement nécessaire à une finalité précise. L’assuré doit être informé des destinataires des données, y compris les experts mandatés. De plus, l’assureur peut insérer une convention de preuve dans le contrat d’assurance, permettant de définir contractuellement quelles données télématiques pourront servir d’éléments de preuve opposables entre les parties, notamment pour être communiquées à l’expert, renforçant ainsi l’information de l’assuré et limitant les litiges.