| Titre : | Doctrine: La conformité au RGPD des activités de prévention et sanction de la fraude en assurance (2024) |
| Auteurs : | Laure-Anne Nyssen, Auteur |
| Type de document : | Article : texte imprimé |
| Dans : | Bulletin des assurances (28, Dossier 2024) |
| Article en page(s) : | p.161-214 |
| Langues: | Français |
| Sujets : |
IESN Doctrine juridique ; Dol (droit) ; Omission intentionnelle ; Règlement Général sur la Protection des Données |
| Résumé : |
Les mesures de prévention et de répression de la fraude à l’assurance sont indispensables pour l’équilibre du secteur. Il est primordial que les garanties offertes soient en adéquation avec la réalité du risque. Il en va non seulement de la stabilité de l’activité économique des assureurs en tant que telle, mais aussi de l’intérêt de l’ensemble de la communauté des assurés : les cas de fraude non détectés ayant un impact sur la sinistralité et portant donc atteinte aux bases statistiques sur lesquelles repose l’institution, ils ont nécessairement pour effet de faire augmenter les primes payées par l’ensemble des clients. La lutte contre la fraude est donc essentielle afin de maintenir un système de répartition des risques juste, mais aussi accessible à l’ensemble des assurés de bonne foi. Lorsqu’ils déploient les mesures de lutte contre la fraude, les assureurs doivent tenir compte du RGPD. En effet, ces mesures vont toujours impliquer de traiter des don- nées à caractère personnel au sens de cette réglementation. Or, les contraintes découlant de celle-ci ne s’accordent pas toujours de façon harmonieuse avec les besoins opérationnels des compagnies. Le RGPD, norme générale applicable à l’ensemble des traitements de données au sein de l’Union européenne, est parfois mal ajusté aux contraintes particulières du secteur de l’assurance, qui mêlent des intérêts strictement économiques avec des enjeux sociétaux (l’on songe à l’importance que chacun puisse bénéficier d’une couverture d’assurance à un juste tarif). Il y a donc lieu de s’interroger sur la mise en conformité des traitements de données à caractère personnel dans le cadre de la lutte contre la fraude par les assureurs, en identifiant de façon plus spécifique la manière dont certaines obligations doivent être respectées dans ce contexte. Il s’agira aussi de soulever l’une ou l’autre questions qui restent, à l’heure actuelle, sans réponse évidente. La démarche débute par un exercice de définition du traitement de données étudié en examinant la finalité de celui-ci, les données impliquées (en ce compris les données de santé et les données relatives à des condamnations pénales et infractions) et les personnes concernées. Cet exercice s’avérera nécessairement incomplet dans la mesure où les traitements mis en oeuvre ont pour but de détecter les cas de fraude, dont la diversité est uniquement limitée par l’imagination de l’homme. Sur la base de la définition du traitement, il s’agira d’analyser les possibilités qui s’ouvrent à l’assureur quant au choix de la base de licéité au sens de l’article 6.1 du RGPD. Si la base de licéité retenue est l’intérêt légitime – ce qui est vraisemblable dans le cas de la prévention et la répression de la fraude –, l’assureur devra vérifier, au cas par cas, que les droits et libertés des personnes concernées ne prévalent pas sur ledit intérêt légitime. Il devra, le cas échéant, adopter les mesures compensatoires requises pour garantir l’équilibre. Se pose ensuite la question de la qualification, au sens du RGPD, des acteurs impliqués dans le traitement des données liées à la lutte contre la fraude, et ce sur la base des rôles déterminés par le RGPD : les détectives privés, médecins conseils et autres experts sont-ils des sous-traitants ou des responsables conjoints de l’assureur ? Les assureurs doivent également prendre en compte la manière dont s’articulent les droits que confère le RGPD aux personnes avec les impératifs des traitements liés à la détection et la démonstration de la fraude. Ces droits sont-ils absolus ? Est-il possible d’éviter une instrumentalisation du RGPD par les fraudeurs qui tenteraient par ce biais d’échapper aux conséquences de leurs actes illicites ? La nature des traitements que l’assureur choisit de mettre en place pour lutter contre la fraude aura par ailleurs un impact sur ses obligations plus « formelles ». L’on pensera notamment à l’obligation de nommer un délégué à la protection des données – qui sera potentiellement obligatoire si l’assureur dispose d’un service interne de recherche privée – ou encore celle de réaliser une analyse d’impact sur la protection des données, préalablement à la mise en oeuvre d’un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Enfin, il est intéressant d’examiner, au regard de la jurisprudence Antigone, dans quelle mesure un éventuel manquement en matière de traitement des données peut affecter la validité de la preuve collectée en vue de démontrer un cas de fraude. L’analyse révèle que plusieurs zones d’incertitude persistent quant à la latitude dont les assureurs disposent pour mettre en oeuvre certains traitements destinés à lutter contre la fraude. Il s’agit en particulier, en l’absence d’une habilitation légale claire à cet égard, des traitements impliquant des données relatives à la santé. L’on ne peut qu’espérer qu’il soit mis un terme rapide à l’insécurité juridique prévalant à ce sujet. Dans l’attente d’une intervention législative ou d’une clarification jurisprudentielle à cet égard, il est recommandé que les assureurs veillent à documenter de façon précise leur processus décisionnel en matière de mise en conformité des traitements au RGPD : ils démontreront, de cette manière, qu’ils ont été attentifs aux enjeux de protection des droits des individus et à limiter autant que possible les traitements de données à ce qui est nécessaire à la détection et à la sanction des cas de fraude. (Extrait de Bulletin des assurances, dossier 28, p.161) |
| Note de contenu : |
Bases juridiques pour le traitement licite des données à caractère personnel, généralités Dol (vice de consentement), généralités Omission ou inexactitude intentionnelles (assurances terrestres) Sanctions (exécution du contrat d'assurance terrestre) |
Exemplaires (1)
| Localisation | Section | Support | Cote de rangement | Statut | Disponibilité |
|---|---|---|---|---|---|
| Bibliothèque IESN | _Périodiques | Périodique | 34 BA 28 | Non empruntable | Exclu du prêt |
