En introduction d’une conférence sur le RGPD en avril dernier à l’ENASS, François Rosier, directeur adjoint des affaires juridiques de la Fédération Française de l’Assurance, déclarait que la connaissance client attendue de la part des professionnels du secteur est très importante et que la donnée est « le cœur des contrats ». En effet, la donnée est une composante essentielle du business model des assurances puisqu’elle permet de connaitre le client, et donc d’évaluer les risques qu’il encourt. Avec les évolutions technologiques, notamment l’avènement de l’IoT (et le volume de données personnelles associées), cette connaissance va désormais pouvoir être affinée.

Ce que l’on appelle « donnée à caractère personnel » est une information qui, seule ou associée, peut être reliée à un prospect ou à un assuré. Cela peut être par exemple un numéro de carte bancaire, un statut marital, le nombre de personnes qui composent un foyer, des données de santé…

La sensibilité de telles informations couplée à la complexité de leur traitement, en particulier dans le domaine de l’assurance, conduisent les professionnels du secteur à s’intéresser de près aux nouvelles obligations induites par le RGPD. La plupart d’entre eux ne voient dans le règlement qu’une simple extension à l’échelle européenne de dispositions qui existaient déjà dans l’Hexagone depuis la Loi Informatique et Libertés. Et ceux qui opèrent dans plusieurs pays européens y trouve un avantage certain grâce à l’harmonisation de règles qui, jusqu’ici, variaient entre les États membres.

Qui fait quoi et comment ?

Décrire de manière détaillée le traitement des données est un prérequis à la mise en conformité au RGPD. Il s’agit de savoir avec précision quels processus utilisent quelles données, qui a accès à quelle information personnelle et avec quels droits. La modélisation des processus s’impose donc avant de pouvoir soit les adapter, soit en mettre en place de nouveaux qui seront conformes au RGPD.

Selon le cabinet d’analyse CXP, 35 % des entreprises (tous secteurs confondus) s’appuient sur des outils de modélisation afin de décrire leurs processus. Ces applications permettent aux équipes métier et aux équipes informatiques de collaborer sur la formalisation des processus en tenant compte des données associées (comment circulent-elles ? où sont-elles stockées ? etc.) et des intervenants internes et externes impliqués (qui sont-ils ? quel est leur périmètre d’intervention sur ces données ? etc.).

Grâce à cet exercice de modélisation, les entreprises d’assurance simplifient l’identification des responsabilités et co-responsabilités en matière de traitement des données personnelles entre l’assureur et ses partenaires, au premier rang desquels figurent les délégataires de gestion, courtiers, agents généraux…. Par ailleurs, ces outils de modélisation facilitent le travail d’élaboration d’une cartographie des risques en matière de protection des données, requise par le RGPD.

La modélisation : un prérequis à l’automatisation

Lorsqu’il s’agit d’adapter des processus existants pour qu’ils respectent le RGPD ou d’en définir de nouveaux, spécifiques à cette nouvelle réglementation, la modélisation est une étape clé. Par exemple, le RGPD intègre la notion de portabilité des données : un nouveau droit pour l’assuré, qui peut prétendre à la récupération des informations qu’il avait fournies, soit pour en faire usage lui-même, soit pour les transmettre à un autre organisme, y compris son nouvel assureur.

Dans un cas comme celui-ci, la modélisation des processus va faciliter la réflexion sur la façon dont on peut les automatiser, puis les gérer, en termes d’accès aux données et d’interfaces associées, grâce à une solution de gestion des processus métier (BPM-Business Process Management). Outre la distribution des tâches vers les différents intervenants, l’exécution des processus apporte, une traçabilité fine des actions qui peut servir de base à la constitution de pistes d’audit.

Enfin, la modélisation des processus est un formidable outil pédagogique sur lequel s’appuyer pour sensibiliser tous les corps de métier aux obligations du RGPD.

Lors de sa conférence de presse Bilan 2017-Perspectives 2018, la Fédération Française de l’Assurance présentait le RGPD comme « un facteur de confiance pour les assurés, de responsabilisation accrue des assureurs et de renforcement des garanties de sécurité. ». Des propos confirmés par la responsable Data d’un acteur majeur du secteur lors de la dernière édition de Décid’Assur : « Si le RGPD constitue une opportunité commerciale grâce aux apports du profilage, c’est également une opportunité d’afficher plus de transparence vers l’assuré ». La mise en conformité au RGPD pourrait alors devenir un véritable avantage compétitif…

______
Thierry Moncoutié est Product Marketing Manager chez Itesoft