Mise en conformité RGPD dans l’assurance : Quels défis dans les années à venir ?

Quelles sont les principales réalisations et quels travaux attendent encore ce secteur dans les années à venir ?

Notre accompagnement de longue date des assurances et mutuelles sur les problématiques de conformité en particulier RGPD, nos liens privilégiés avec les cercles et associations de la place et nos travaux conjoints avec deux start up spécialisées dans le RGPD (Smart Global Governance et Didomi) nous amènent au constat suivant : au-delà du respect de la réglementation à proprement parler, l’enjeu majeur pour les assurances est maintenant de réussir concrètement à transformer la contrainte en opportunité, chemin que les entreprises du secteur bancaire ou encore du retail ont déjà entamé.

Nous sommes convaincus que les assurances doivent opérer cette transformation pour rentabiliser les coûts de mise en conformité, pour pérenniser la conformité et garder les métiers mobilisés dans le temps, pour se différencier de leurs concurrents et pour générer de la confiance et gagner de nouveaux clients. Si la première étape de la mise en conformité consistait à répondre aux exigences du RGPD (étape pour la plupart déjà bien engagée), le défi principal aujourd’hui est de réussir à tirer profit de cette contrainte.

La data, un enjeu pour les assureurs.

Tous les secteurs ne sont pas égaux face au GDPR et aux données traitées. Les assureurs sont particulièrement concernés par ce sujet. En effet, ils traitent un volume important de données personnelles voire sensibles, dans le cas des assurances santé et prévoyance par exemple. Ce volume de données est positivement corrélé par ailleurs à la digitalisation croissante du secteur. Celle-ci est le fruit de plusieurs pressions, venant aussi bien du développement de la e-santé via les nouvelles technologies, que des nouvelles attentes clients (espace personnel en ligne, personnalisation…) vers un partage de données croissant entre partenaires et tiers, augmentant conséquemment les risques. Nous pouvons citer la digitalisation croissante des parcours, l’omnicanalité pour servir les clients efficacement, le recours à l’intelligence artificielle pour renouveler l’expérience client ou encore la « plateformisation » pour répondre au défi de « l’open assurance ».

Si le secteur est particulièrement exposé et par ailleurs habitué à gérer des problématiques de conformité, le recul de ces 2 dernières années a mis en exergue de nombreux freins venant ralentir l’adoption du RGPD. Le secteur est soumis à de nombreuses réglementations (Code des Assurances, code la mutualité, Sapin II, Solvabilité 2, Directive sur la distribution d’assurance, IFRS9, loi Eckert, AMLD4, Loi Pacte, RGPD pour n’en citer que quelques unes), entraînant souvent une priorisation au détriment du RGPD, plutôt que des synergies. En effet, la mise en conformité au RGPD représente un coût, qui s’avère constituer un réel frein d’autant que les gains restent difficilement mesurables.

Malgré la menace de sanctions, grande est la tentation de privilégier des règlementations métiers, face à des autorités de contrôle prudentiel particulièrement présentes. Amplifiés par des freins psychologiques, les changements induits par le RGPD sont encore avant tout perçus comme une contrainte. La faible culture Data dans l’assurance empêche les synergies entre les différentes mises en conformité. Enfin, le fractionnement et la complexité des SI, du fait de croissance souvent organique par rachats successifs, exacerbe les difficultés de mise en place du RGPD.

Une mise en conformité la plupart du temps bien engagée.

Malgré les freins rencontrés, la mise en conformité RGPD est cependant bien engagée chez les assureurs. Une étude du Capgemini Research Institute, datée de fin 2019, a mis en lumière les grands chantiers entrepris :

• Accountability : DPO désigné et bureau structuré, registre des traitements initié, formations mises en place, ainsi que de premières sensibilisations / actions de communication auprès des métiers, procédures rédigées
• Amélioration de la transparence : mise à jour des mentions, recueil du consentement
• Des chantiers tiers engagés : avec notamment la mise à jour des contrats
• Gestion des transferts de données hors-UE
• Ponts avec la sécurité pour améliorer la protection et réduire les risques
• Mise en application des principes dans d’autres domaines : par exemple en lien avec l’IA.

Cependant, ces chantiers ne couvrent pas l’ensemble du périmètre du RGPD, et tous n’ont pas le même niveau de maturité.

Limites de la mise en conformité actuelle.

Pour sortir de la logique de contrainte réglementaire et se pérenniser, nous sommes convaincus que la mise en conformité doit s’incarner davantage dans les process et la culture d’entreprise. C’est pourquoi dans le cadre de nos projets d’accompagnement, nous associons systématiquement et intimement les fonctions de gestion dans nos travaux, propriétaires des données personnelles, de manière à diffuser les bonnes pratiques dès le départ. Le volet conservation / effacement des données / limitation constitue un bon exemple. L’attachement à la donnée est tel qu’il est primordial de laisser aux métiers le temps de mûrir et de se réorganiser autour de ces nouvelles contraintes.

Nous pensons également le dispositif pérenne dès le démarrage d’un projet de conformité RGPD : quelles seront les actions à pérenniser dans le futur au-delà de la phase projet, qui seront les acteurs clés, quels seront les processus et les outils à mettre en place. Nous constatons que le contrôle interne est souvent négligé et que la conformité a tendance à s’arrêter à la fin de la phase projet ou tout du moins à se limiter à des actions ponctuelles. La mise en place d’un réseau DPO solide peut aider en ce sens, surtout s’il est soutenu par une gouvernance solide et centralisée. Cette gouvernance et ce réseau sont d’autant plus nécessaires que certains sujets porteurs de risques sont difficiles à encadrer, notamment la gestion des sous-traitants.

Comment répondre aux défis présents et à venir ?

Pour répondre aux enjeux RGPD, Capgemini Invent, en lien avec Smart Global et Didomi a identifié trois leviers sur lesquels ils offrent une approche groupée et complémentaire.

1. Un programme de transformation

Capgemini Invent propose une aide à la mise en conformité qui va du cadrage des travaux à réaliser jusqu’à l’implémentation de pratiques “Trust in AI” dans les projets innovants d’une entreprise, en passant par le diagnostic, la mise en place d’outils d’aide à la gestion de la conformité et la préparation de la gouvernance pérenne. L’approche end-to-end permet de maîtriser l’ensemble des risques et de bâtir un programme de transformation en profondeur, en cohérence avec les projets autour de la Data (ex. Data Record Management, Mise en qualité des données, Cybersécurité…).

2. La digitalisation et la transversalité

Automatiser, digitaliser et professionnaliser la gestion de la Privacy au sens large : telle est la vocation de son partenaire Smart Global sur lequel Capgemini Invent s’appuie en tant qu’outil complet de gestion de la Privacy. De la réalisation de PIA jusqu’à la gestion des sous-traitants en passant par les demandes d’exercice de droit et le suivi de la conformité dans le temps, la plateforme de Smart Global s’adapte aussi bien à la réglementation française qu’aux spécificités régionales, internationales et sectorielles. Souple, elle est compatible avec chaque contexte en particulier informatique, et permet de créer les ponts et les synergies entre domaines de conformité en s’appuyant sur une approche data centrée.

3. L’opportunité plus que la contrainte

Le consentement, sujet d’actualité à quelques mois de l’échéance sur la mise en place des recommandations CNIL en matière de cookies et traceurs, constitue quant à lui une belle opportunité de créer de la valeur pour une entreprise. C’est la philosophie portée par Didomi : proposer une solution dédiée, centralisée et intégrée aux besoins marketing.

L’offre Didomi en matière de consentement repose sur quatre piliers : recueillir les consentements et préférences de manière conforme à la réglementation, conserver et prouver le consentement d’un utilisateur, analyser et augmenter le taux de consentement et distribuer les consentements là où cela est utile. Placer le consentement des clients au cœur de la stratégie d’entreprise est gagnant-gagnant.

Au-delà de la simple conformité, la confiance des utilisateurs augmente par un impact positif sur l’image de marque et la fluidité de l’expérience client. Economiquement, un utilisateur confiant est un utilisateur qui sera à même de consommer davantage. Enfin, l’efficacité opérationnelle est améliorée par l’automatisation, l’intégration et la digitalisation d’un certain nombre de tâches.