Dans le cadre de leur activité, les mutuelles sont amenées à recueillir d’importants volumes de données personnelles. Ces informations, qui proviennent aussi bien des assurés eux-mêmes que des acteurs rencontrés pendant leur parcours de soins (via la Sécurité sociale), sont utilisées par ces organismes pour proposer des couvertures réellement adaptées aux besoins des adhérents sociétaires. Or, ceux-ci sont de plus en plus sensibles à l’usage qui est fait de leurs informations et aux garde-fous qui les entourent.
La protection de ces données est donc essentielle. Entre les mutuelles et leurs adhérents, c’est une question de confiance. Ceux-ci tiennent à la confidentialité de leurs informations. Ce faisant, ils exigent des complémentaires santé qu’elles garantissent leur sécurité ou, dans le pire des cas, qu’elles prennent au plus vite les mesures qui s’imposent. Ces exigences supposent d’adopter de bonnes pratiques dans le cadre de l’assurance et de la protection des données personnelles – d’autant plus urgemment qu’il s’agit d’une obligation légale renforcée par l’entrée en vigueur du RGPD en mai 2018. Explications.
Assurance et protection des données personnelles : quelles informations sont concernées ?
Lors de la souscription d’un contrat de complémentaire santé par un assuré, les mutuelles recueillent de nombreuses données personnelles. Celles-ci proviennent de trois sources principales :
- Les formulaires à remplir dans le cadre du contrat de complémentaire santé. Les organismes demandent aux souscripteurs de fournir des informations relatives à leur profil personnel (âge, sexe, domicile, profession), mais aussi à leur profil médical à travers un questionnaire de santé, afin de mieux évaluer le risque (antécédents de maladies graves, maladies chroniques, pratiques professionnelles ou sportives à risque, consommation d’alcool ou de tabac…). Ces données concernent aujourd’hui un grand nombre d’individus, eu égard à l’obligation des employeurs du privé de souscrire des mutuelles au profit de leurs salariés.
- La Sécurité sociale. Le parcours de soins de chaque individu donne lieu à une flopée de données médicales. Elles sont communiquées par les professionnels et les établissements de santé, par les organismes de recherche, par les patients et les associations de patients, par les compagnies d’assurance santé, par les autorités sanitaires. Elles contribuent à dresser un portrait psychosocial de chaque personne (niveau d’études, indice de masse corporelle, habitudes alimentaires, activités physiques pratiquées, tabagisme, consommation d’alcool…).
- Les objets connectés. Ils font partie du quotidien des Français : Smart Watches, bracelets intelligents, balances connectées – tous reliés à des applications mobiles qui monitorisent en temps réel l’activité physique et envoient des tonnes de données au sujet de la santé du porteur. Elles permettent aux assurances et aux complémentaires de se faire une idée de l’hygiène de vie de leurs assurés – avec le consentement de ces derniers – dans le but d’adapter leur tarification et/ou les conditions des contrats.
Toutes ces données sont hautement confidentielles. Le vol, l’altération ou la suppression de ces informations peut avoir des effets catastrophiques sur les assurés… et sur les mutuelles, dépositaires de la confiance de leurs adhérents. Voilà pourquoi, dans le cadre de l’assurance, la protection des données personnelles est déterminante.
À quoi servent ces données ?
On peut se demander pourquoi les mutuelles ont besoin de recueillir autant de données sensibles, compte tenu du risque représenté par leur collecte, leur utilisation et leur stockage. C’est que ces informations sont indispensables à l’évaluation du niveau de risque des assurés et à la fixation des tarifs des contrats. Plus elles sont précises (par exemple : communiquées en temps réel par les objets connectés), plus les contrats sont adaptés aux besoins réels des adhérents.
Ces données sont néanmoins très sensibles. Pour cette raison, leur utilisation est strictement encadrée : elles ne peuvent servir qu’à une finalité précise, annoncée en amont aux adhérents, et pour une durée limitée, fixée par la loi. Elles doivent être communiquées uniquement aux personnes et aux organismes intéressés (sous-traitants ou partenaires, personnels habilités de la mutuelle, délégataires, prestataires, réassureurs, organismes sociaux…). Et leur sécurité doit être garantie à tous les niveaux.
Mais c’est là que le bât blesse, car la protection des données personnelles dans l’assurance constitue un véritable défi pour les mutuelles. Un défi inscrit dans les textes de loi.
Protection des données personnelles : que dit la loi ?
Les mutuelles et les assurances santé sont soumises à la loi Informatique et Libertés du 20 juin 2018. Ce texte actualise la loi de 1978 afin de mettre en œuvre les préceptes du règlement général sur la protection des données personnelles (RGPD), adopté au niveau européen et entré en application le 25 mai 2018.
Le RGPD encadre la collecte et le traitement des données à caractère personnel dans les pays de l’Union européenne, avec pour objectif de renforcer les droits des personnes et de responsabiliser les professionnels qui recueillent et utilisent ces informations. Entreprises privées et publiques, collectivités, associations – tous les professionnels sont concernés par ces nouvelles obligations dès lors qu’ils utilisent des données personnelles, recueillies sur des supports numériques ou papier. De sorte que l’obligation de protection des données personnelles touche aussi l’assurance et la complémentaire santé.
La notion de « données personnelles », au cœur du RGPD, renvoie aux informations permettant d’identifier une personne, directement ou non : nom, prénom, date de naissance, identifiant, numéro de téléphone, ainsi que toute donnée physique, physiologique, génétique, culturelle, sociale, etc. Dans le cadre des assurances, il faut ajouter les informations associées aux assurés, comme des numéros de contrats ou des données concernant l’état de santé ou le parcours médical, ainsi que toute information relative à la famille de l’assuré ou à des bénéficiaires tiers.
En tant que mise en application du RGPD, la nouvelle loi Informatique et Libertés contraint les organismes d’assurance à garantir la protection des données personnelles, mais aussi leur bonne utilisation. Concrètement, les mutuelles doivent veiller…
- À obtenir le consentement des adhérents en vue de la collecte et de l’utilisation de leurs données (consentement qui peut être retiré à tout moment et sans motif).
- À préciser la finalité du traitement des données, à respecter cette finalité, et à limiter le délai d’utilisation au strict nécessaire.
- À répondre aux demandes des adhérents concernant la consultation, la modification, la suppression, la récupération ou le transfert de leurs données.
Attention, car la Commission nationale de l’informatique et des libertés (chargée de faire appliquer le RGPD en France) ne transige pas avec le respect de cette loi au regard de l’assurance et de la protection des données personnelles. En 2018, la Cnil a rendu publiques des mises en demeure à l’encontre de cinq sociétés d’assurance au prétexte du détournement de la finalité de l’exploitation des données de leurs assurés. Ces sociétés utilisaient les données personnelles collectées dans le cadre des contrats-retraite dans une optique de prospection commerciale. Elles ont dû se mettre en conformité rapidement pour éviter d’être sanctionnées (l’histoire est relatée sur le site de la Cnil). L’assurance est d’ailleurs en cinquième position des secteurs les plus touchés par les notifications de violations des données personnelles reçues par la Cnil en 2018.
Quelles sont les bonnes pratiques à mettre en place pour protéger les données des adhérents ?
On peut citer 7 bonnes pratiques à adopter pour garantir la protection des données personnelles dans le domaine de l’assurance santé complémentaire.
Sensibiliser le personnel aux pratiques de gestion des données et de sécurisation des systèmes informatiques. Les pertes, vols et altérations des données personnelles des utilisateurs ont souvent pour origine de simples négligences. Un peu de pédagogie peut faire beaucoup pour instiller de bonnes pratiques de sécurité : changer régulièrement les mots de passe, ne pas consulter de données sensibles sur des réseaux publics ou non sécurisés, etc.
Mettre en place des processus internes inspirés des directives du RPGD : cartographie des données, identification des risques, amélioration des systèmes d’alerte en cas de vol ou d’altération des informations, mise en œuvre de process pour réponse aux demandes des utilisateurs concernant leurs données (portabilité, modification, droit à l’oubli…).
Tenir compte de la durée de conservation des données. La protection des données personnelles dans l’assurance santé passe par le respect des règles relatives aux délais de conservation, ceux-ci étant limités à « une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées » (article 6 de la loi Informatique et Libertés dans sa version de 1978).
Sécuriser les accès des personnels et de toutes les personnes intéressées. Cela, afin de limiter le nombre d’individus ayant accès aux données sensibles et de contrôler leurs opérations. Cette sécurisation peut passer notamment par la mise en place d’un système d’authentification forte dans le cadre de l’accès aux systèmes d’information.
Assurer la conformité des outils de collecte et de traitement des données avec les exigences du RGPD : obtention du consentement des utilisateurs, avertissement quant aux finalités de leur usage, indication quant à leur durée de conservation, etc. Cela suppose, par exemple, d’avoir des sites web et des serveurs sécurisés par le biais de certificats électroniques.
Stocker les données personnelles des adhérents dans des serveurs installés sur le territoire européen. C’est la meilleure façon d’éliminer les risques d’atteinte à la confidentialité liés à l’expression de certains droits nationaux (comme aux États-Unis où l’accès aux informations personnelles est autorisé par la loi dès lors que la sécurité nationale est en jeu).
Nommer un Data Protection Officer. C’est une obligation dans le cadre de la protection des données personnelles d’assurance, car ces informations concernent la santé des individus.
Ces bonnes pratiques permettent de garantir la protection des données personnelles utilisées dans le secteur de l’assurance santé, données qui sont hautement sensibles. Mais, au-delà du cadre légal, qui confère des obligations aux mutuelles, elles contribuent surtout à renforcer la confiance des sociétaires à l’égard des complémentaires et à optimiser l’image de marque de ces organismes.