#DPO_News #cyberisques Données personnelles : trois questions toujours sans réponses

AMRAE 2017

 

Données personnelles : trois questions toujours sans réponses

 

 

par Jean Philippe Bichard @DPO_NEWS

Phot-JPB-DPO NEWS

 

 

Début février 2017, à Deauville, les rencontres de l'AMRAE portent bien leur nom. De multiples échanges permettent d'avancer sur l'évolution de la gestion des risques coté marché comme coté risk managers. Quelle approche en pleine transformation numérique de leurs entreprises perçoivent les professionnels du risque ? Quelles protections pour les données à caractère personnel à moins de 400 jours de la mise en application du GDPR (Règlement Général européen sur la Protection des Données) et les lourdes sanctions qui l'accompagnent ?

 

 

Si l'évocation du GDPR reste relativement discrète lors de ces 25eme rencontres de l'AMRAE, ce qui peut surprendre, la protection des données notamment coté assureurs et courtiers représente un thème central. A ce titre, l'édition 2017 s'est montrée riche et constructive. Demeurent les questions sans réponses.

Dans cet article nous en posons trois et personne ne sait y répondre totalement parmi tous les professionnels interrogés à Deauville. C'est sans doute compréhensible. Précisons que ces trois questions ne constituent pas un « piège de journaliste ». Ces trois questions sont légitimes et placées au cœur de l'actualité. Des réponses apportées dépend le « business » futur des assureurs et surtout le respect de nos vies privées et de celles de nos enfants.

 

Le client connecté reste t-il maître de ses données et acteur de sa vie de citoyen 2.0 ?

 

Ces trois questions ont pour toile de fond les usages numériques et les risques qui pèsent sur les données à caractère personnel. Qui saura y répondre ? Dernier point : il y a urgence. Des institutions telles que CNIL (1) (cf Section BONUS), ANSSI, AFCDP, CIGREF alertent continuellement leurs membres sur ces problématiques situées comme pour le GDPR au carrefour de trois axes: organisationnels, juridiques, techniques. 

On sait que les conditions de collectes de données à caractère personnel posent déjà un un premier problème via vis des procédés utilisés. Le second problème tient aux conditions d'exploitation des données à caractère personnel. Il ne s'agit pas bien évidemment de déclencher dans l'opinion le syndrome « Big Brother » auprès d'acteurs à forte notoriété. Il faut sans doute mieux percevoir comment vont évoluer les services « particuliers » et « corporate » en pleine période de transformation numérique. Et dans quelles conditions ?

 

 

Au pays de Voltaire et Montesquieu, cette évolution ne semble pas comprise

Concernant les usages de données à caractère personnel par les "data analysts" les assureurs comme les banques et opérateurs Telco forment le premier front face a une opinion partagée. La crainte d'un « contrôle » permanent de nos comportements et usages via des objets connectés, traceurs « mouchards », frigos, pèse-personne... est fondée. Elle peut être négative si le cadre réglementaire du législateur ne se montre pas à la hauteur. Notons que les "grands comptes" traditionnels ne sont pas contrairement à ce que l'on peut lire les plus exposés. Une "data start-up" peut parfois traiter plus de flux de données "persos" qu'une institution bancaire 100 000 fois plus importante en taille humaine. L'économie 2.0 repose sur sa propre logique. Une logique qui interpelle de plus en plus les COMEX et administrations  (1)

Cette économie pose également de sérieux problèmes d'éthique particulièrement commentés dans l'actualité en ce début d'année 2017 (2) (cf Section BONUS). Certaines « marches arrières » existent déjà face aux services 2.0. Ainsi un pays scandinave refuse courant janvier 2017 de cautionner le vote électronique jugé peu fiable et décide de revenir pour les prochaines élections au vote "papier". Ces signaux tout comme le réglement européen GDPR/RGPD sont utiles. Ils illustrent une réelle « prise de conscience » qui oblige les acteurs concernés à prendre position au delà d'une « simple » charte de confiance.

En demeurant pragmatique, on peut comprendre les avantages évidents que els acteurs économiques peuvent tirer de l'exploitation fine de toutes les données de leurs « big data ». Mieux protéger les biens et les actifs peut se traduire par exemple par davantage de connaissances « client ». Du point de vue des assureurs (et pas seulement cette profession) il faut créer via des traitements spécifiques de nouvelles données à caractère personnel pour obtenir plus de valeur « business ». Mais prudence, cette approche génère de la méfiance dans l'opinion (http://www.cyberisques.com/fr/mots-cles-7/635-cyberisques-dpo-news-64-de-francais-pensent-que-leurs-informations-sont-utilisees-dans-d-autres-buts-que-ceux-qu-ils-ont-approuve )

  

Implants médicaux futurs délateurs 2.0 ?

L’appréhension du risque cyber évolue. Comme pour les vaccins cette évolution questionne. D'après une étude réalisée en 2013, près de 40 % (38,2 %) des Français étaient défavorables à la vaccination en 2010, contre 8,5 % dix ans auparavant.

Qu'en sera t-il pour les données collectées via les IoT, boîtiers auto, caméras, pacemaker..?  Les implants médicaux futurs délateurs 2.0 ? Une fois encore, ce n'est pas un délire de salle de rédaction, c'est l'actualité. ( https://www.theregister.co.uk/2017/02/01/arsonists_pacemaker_data_tips_off_cops ) 

Comment les "assureurs 2.0 as a service" vont « positiver » ce paradoxe : plus de données pour de « meilleurs » services personnalisés tout en respectant la vie privée de chacun ? Faut il comme aux US faire une croix sur la notion de vie privée et estimer que seule la vie intime mérite la confidentialité et le respect ? Au pays de Voltaire et Montesquieu, cette évolution n'est pas comprise selon les sondages récents (lire notre enquête réservée aux abonnés).

Dans ces conditions, quel « deal 2.0 » peuvent proposer assureurs, banquiers, telco, construteurs automobiles ... pour "exploiter" les données personnelles de leurs millions de clients condition nécessaire à l’ère numérique pour affiner et développer de nouveaux services ?

Précisons que les tentations marketing « classiques » ne constituent pas toujours une solution. A la différence des GAFA, les compagnies d'assurance comme les banquiers et les telcos ne proposent pas (encore?) de services gratuits en échange d'une « ouverture » sur les accès aux données privées des utilisateurs (3) (cf Section BONUS). Pour un assureur il n'existe pas d’utilisateur, juste un client connecté.

 

 

D’où la première question : de quelle manière vont procéder les professionnels de l’assurance pour collecter les données personnelles en accord avec leurs clients et sans aucune discrimination?

Autre point, qui touche lui à la mutualisation, principe de fonctionnement des compagnies d'assurance du monde entier avant la digitalisation ou la dématérialisation des échanges. Il est évident qu'avec le développement de la collecte de données à caractère personnel, la connaissance de chaque assuré va créer une différence dans les offres de police désormais plus « customisées » ou personnalisées. C'est donc à terme la mort du principe de mutualisation en l'absence de mesures adéquates. Ces mesures doivent exister faute de quoi c'est la fin d'un autre principe lié à la mutualisation celui de la solidarité qui a fait la force des offres « substantielles » du moins avant qu'Internet devienne le vecteur incontournable des échos numériques de nos vies.

 

 

D’où la deuxième question : comment les métiers du risque dans le secteur de l'assurance vont migrer vers des offres personnalisées plus différenciées tout en préservant les principes de mutualisation et de solidarité ?

 

 

AMRAE2017-L-Parisot

Laurence Parisot 25eme rencontres AMRAE Deauville février 2017 

 

Le client connecté reste t-il maître de ses données et acteur de sa vie de citoyen 2.0 ?

Dernier point, dans un environnement multi-connecté quel rôle réserve t-on aux… clients ? Face à ces évolutions la propre vie connectée (parfois malgré eux) des clients va t-elle trouver de nouvelles « connexions » avec les assureurs ou s'en détourner ? « Je conduis bien donc je baisse ma prime auto merci voiture connectée » « Je m'alimente bien donc je baisse ma prime santé Merci frigo et centre commerciaux connectés  »  « je cours chaque week end, je vais baisser ma police santé merci montre connectée et service s de santé » Faut-il préciser que les « merci » peuvent parfois sentir l'ironie...

Notons que ces services connectés peuvent aussi sauver des vies. Pour l'heure de nombreuses questions demeurent. Exemple : reprenons le cas du conducteur « connecté ». Qui va garantir la bonne conduite sur quelles bases ? Qui sera « propriétaire » des données récoltées à bord du véhicule ? Le propriétaire conducteur assuré ? Le constructeur installateur de la boite noire connectée ? L'assureur - exploitant parmi d'autres – des données du boîtier "intelligent" parait-il parce que connecté à Internet ?

 

 

D’où la troisième question : dans un environnement multi-connecté par des objets et des services basés sur l'analyse de données à caractère personnel le client reste t-il maître de ses données et acteur de sa vie d'assuré ?

Ne risque t-il pas de glisser vers un rôle « Personnal data victim » comme il existe des « fashion victim » depuis l'intensification du « shopping » ? Cela dit reconnaissons que les « fashion victim »... si elles culpabilisent... consomment sans trop de problèmes. Exemple à l'appui: aux Etats-Unis début 2017 les données de visionnage "récupérées" par le fabricant de TV Visio , couplées à d’autres informations personnelles, étaient revendues à des régies publicitaires. Le fabricant a été condamné à 2,2 millions de dollars d'amendes suite à la plainte déposée par suite d’une plainte de la Federal Trade Commission (FTC), le régulateur américain du commerce (4BIS) 

Ces fait interviennent alors que moins de 10% des utilisateurs  estiment avoir le contrôle sur l’utilisation de leurs données personnelles selon la dernière étude KPMG (4TER)

 

On voit bien avec ces trois questions que l'essentiel de la problématique posée aux professionnels des risques c'est encore et toujours la confiance. Si elle existe avec nos proches, nos enfants, nos collègues, notre hiérarchie, et même les politiques tout est envisageable. Si la méfiance s'installe, le lien précieux et fédérateur risque de rompre. A nos trois questions, un début de réponse peut être avancé avec une idée : demain abonnement, forfaits et autres transaction d'un autre temps seront remplacés par des services numériques vraisemblablement basés sur une « partie » de nos données personnelles. Mais ces services ne trouveront réellement une résonance chez les clients-connectés que s'ils sont basés sur trois choses : l'éthique sécuritaire (4) (cf Section BONUS), la confiance 2.0 et l'imagination dans les nouveaux services "ethiques". Trois petits mots pour trois grandes questions. C'est un début.

Cyberisques NEWS et @DPO_NEWS se tiennent prêts a publier vos réponses.

@jpbichard

 

 A propos de l'auteur: 

 

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En plus de cyberisques  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

En plus d'animations (avec compte-rendu) et d'enquêtes "marché", Jean Philippe rédige à la demande de nombreux « white papers » sur les différenets facetets du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

@cyberisques @jpbichard @DPO_NEWS

 

  

Abonnemnt-2017

 

BONUS :

1- http://www.cyberisques.com/fr/component/content/article/93-categorie-3/sous-categorie-3-1/621-interview-dpo-news-cyberisques-albine-vincent-chef-service-des-cils-au-sein-de-la-cnil

    http://bit.ly/2lLcVFe

2 - http://www.cyberisques.com/fr/component/content/article/137-mots-cles-30-reglementation/636-dpo-news-cyberisques-dpo-un-cil-2-0

3- http://www.lesechos.fr/tech-medias/hightech/0211762194535-protection-des-donnees-trump-seme-le-trouble-en-europe-2062224.php

4 - http://www.cyberisques.com/fr/mots-cles-5/625-dpo-news-cyberisques-gdpr-gdpr-faits-et-chiffres-infographies

4 bis : http://www.lemonde.fr/pixels/article/2017/02/08/l-entreprise-americaine-vizio-epinglee-pour-ses-televisions-connectees-trop-intrusives_5076643_4408996.html )

4 ter : https://home.kpmg.com/fr/fr/home/media/press-releases/2017/02/protection-des-donnees-personnelles-frein-consommateur.html

 

https://www.youtube.com/watch?v=7psJR-tcOxk&feature=share

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires