Devoir de transparence

Définitions et questions générales sur les données dans l'assurance

1. Comment définit-on les données à caractère personnel ?

La définition des « données à caractère personnel » englobe toutes les données liées à un individu et qui permettent de l'identifier par elles-mêmes ou en les reliant avec d'autres informations.
La définition est donc très large et comprend par exemple les noms, les numéros de téléphone, les adresses mails ou IP.

2. Qu'est-ce qu'une « donnée sensible » ?

Les données sensibles sont des informations sur un individu de nature privée et qui peuvent mener à une discrimination.
A cause de la confidentialité de ce type d'informations, le cadre réglementaire fournit une protection encore plus rigoureuse pour les données sensibles que pour les données à caractère personnel.

3. Dans quel but les assureurs collectent-ils des données ?

Le métier de l'assurance consiste à comprendre et mesurer les risques encourus par les assurés, afin de leur fournir des produits et services correspondant à leurs besoins (à titre d'exemple, une assurance conçue en fonction de la taille et du modèle de la voiture). Pour ce faire, les assureurs utilisent des données tout au long de la chaine de valeur, de la conception du produit (risques couverts, prix), à la vente (marketing mieux ciblé) et à la gestion des sinistres (meilleur lutte contre la fraude).
In fine, cela nous permet d'améliorer l'expérience client grâce à des procédures plus simples, de l'information mieux ciblée et des sinistres gérés plus rapidement.
Dans tous les cas, les données transmises aux assureurs le sont volontairement et de manière transparente.

4. Qu'est-ce que le "big data"? En quoi ce concept s'applique-t-il à l'assurance?

Le "Big" data est une expression forgée dans les années 1990 pour décrire une situation dans laquelle les nouvelles technologiques de l'information et de la communication nous fournissent non seulement des données sans cesse plus nombreuses et toujours plus riches, mais également les moyens de les analyser pour créer une plus-value pour les individus et les organisations.
Cela s'applique particulièrement dans l'assurance car les assureurs s'appuient sur l'analyse de données sur les risques pour proposer à leurs clients les offres les mieux adaptées à l'évolution de leurs besoins.
A titre d'exemple, AXA travaille à mieux cartographier les zones vulnérables aux catastrophes naturelles en croisant des données publiques avec des informations internes sur les sinistres, afin d'aider les autorités publiques à anticiper et réagir à ces risques. Dans un autre cadre, AXA s'appuie également sur l'analyse d'images satellite toujours plus précises pour fournir des solutions innovantes d'assurance paramétrique aux agriculteurs des pays en voie de développement et ainsi contribuer à la sécurité alimentaire.

La collecte et l'utilisation des données par AXA

5. Quelles données sont collectées?

AXA collecte et utilise des données personnelles dans la seule optique de proposer à ses clients des solutions de protection et de prévention de premier ordre.
Les données collectées dans ce cadre peuvent être rangées en trois catégories :

• Les coordonnées : nom, adresse mail, préférences de marketing ;
• Données sur le contrat, qui permettent de souscrire le contrat puis de le gérer : par exemple des données sur la situation financière du contractant, des données relatives à sa santé ou à son historique de conduite. Les assureurs peuvent également utiliser des données sur les sinistres passés, ou d'autres informations requises par la loi ;
• Les données disponibles dans le domaine public, par exemple des données sur les catastrophes naturelles nécessaires pour identifier les zones vulnérables afin de proposer des solutions adaptées de gestion des risques.

6. Comment les données sont-elles collectées? Quelles sont vos sources?

Il y a trois moments principaux au cours desquels les assureurs récoltent des données à caractère personnel:

• Au moment de la souscription, afin de mesurer le risque et ainsi calculer la prime d'assurance
• Pendant la durée de contrat
• Lors du traitement des sinistres, afin de déterminer le montant du dédommagement à verser
  

Les données peuvent être collectées de diverses manières, par écrit, oralement, au téléphone ou par le biais d'Internet. Les informations peuvent provenir des clients eux-mêmes (par exemple lors de discussions avec les agents, ou via des formulaires), ou indirectement (par le biais d'objets connectés à la voiture pour collecter les données de conduite par exemple).
AXA est particulièrement attaché à la nécessité d'obtenir les données équitablement, et donc que le client soit mis au courant des usages qui pourront être faits de ces données, ainsi que des catégories de personnes qui pourront y avoir accès.

7. AXA achète-t-il des données à des tiers? Si oui, quelles garanties demandez-vous à vos fournisseurs ?

Oui, par exemple dans le cadre de nos activités Direct nous achetons des informations de prospection commerciale à des bases de données.
Il existe deux types de bases de données, et nous avons établi pour chacune des règles destinées à garantir le droit au respect de la vie privée des individus :

• D'une part il existe des bases de données qui collectent et vendent des données nominatives, permettant donc d'identifier les individus. AXA ne travaille avec ce type de fournisseurs que s'ils garantissent que les individus ont fait le choix d'être inclus (mécanisme d' « opt-in ») dans ces bases de données.
• D'autre part il existe des bases données non-nominatives, qui fournissent des données complètement anonymisées. AXA ne travaille avec ce type de fournisseurs que s'ils fournissent un mécanisme d'«opt-out » permettant aux individus concernés d'être retirés des listes sur demande.

8. Est-ce qu'AXA utilise des cookies? A quelle(s) fin(s) ?

Les cookies sont de petits fichiers textes placés sur votre ordinateur par les sites web et/ou applications que vous visitez. Ils sont principalement utilisés pour rendre les sites web et/ou applications plus efficaces ainsi que pour fournir des informations aux propriétaires du site web et/ou de l'application en question.
AXA utilise les cookies pour mieux identifier les besoins potentiels des clients et pouvoir ainsi mieux y répondre. Notre politique de confidentialité des données à caractère personnel permet à l'ensemble des utilisateurs de choisir s'ils souhaitent ou non la collecte de leurs données via une option claire.
Vous pouvez refuser les cookies en paramétrant les préférences de votre navigateur Internet. Par exemple, sur Microsoft Internet Explorer : sélectionner « Outils » puis « Options Internet », puis cliquer sur « Confidentialité » et sélectionner le niveau désiré en utilisant le curseur.

9. Combien de temps le Groupe AXA conserve-t-il les données ?

Il n'y a pas de réponse unique en termes de durée précise de conservation car celle-ci dépend du type de données, de contrat et de la législation du pays concerné. Les obligations réglementaires et contractuelles d'AXA envers ses clients nécessitent que nous gardions certaines données plusieurs années ; comme par exemple pour les contrats d'assurance santé, car les réclamations peuvent avoir lieu plusieurs années plus tard.

10. Qu'entendez-vous par "s'engager" à ne pas vendre de données à caractère personnel sensibles ?

Par « données à caractère personnel sensibles », nous entendons tout type de données à caractère personnel confidentielles/non-publiques que nous fournissent parfois nos clients lors de leur souscription initiale à une couverture d'assurance et durant la vie de leur contrat.
Ceci inclurait, par exemple, des informations médicales ou des habitudes de vie (par exemple, fumeur/non-fumeur, habitudes sportives, etc...), comportement au volant (par exemple, les accidents ou infractions passées) qu'un assuré peut nous fournir dans le cadre de sa souscription à une police d'assurance ou lors du processus administratif lié à l'assurance santé, vie, auto ou d'autres types de couvertures que nous lui fournissons.
Nous sommes pleinement conscients que ce type d'informations est personnel, sensible et nous est confié par nos assurés dans un but très spécifique et ciblé. Nous nous considérons comme les gardiens de ces données et les traitons en conséquence. De notre point de vue, elles ne sont pas des "produits" à vendre et nous ne les vendons donc pas aux tierces parties externes au Groupe AXA.
Nous pouvons être amenés à commercialiser des produits conjointement avec d'autres entreprises lorsque nous sommes convaincus qu'ils apportent une réelle valeur ajoutée à nos assurés et clients. Dans ce contexte, nous pouvons être amenés à échanger certaines données clients et autres informations avec une organisation partenaire pour la bonne mise en oeuvre d'initiatives marketing communes, mais nous mettrons alors en place les dispositifs de confidentialité appropriés et ne vendrons aucune des données personnelles sensibles de nos assurés.

Accès des clients aux données

11. Quelle est la démarche pour demander une copie des fichiers qu'AXA possèdent me concernant ? A quoi ressemble le résumé de ces informations ?

Les clients ont un droit d'accès et de modification de leurs données, et peuvent se désabonner à tout moment des listes d'envois marketing.
Chaque entreprise appartenant au Groupe AXA précise sur son propre site internet comment les clients peuvent lui adresser leur demande, incluant :

• Questionnaires de satisfaction
• Adresse mail
• Adresse postale
• Numéro de téléphone

La requête est alors traitée par le département des réclamations clients et, si nécessaire, avec le soutien de leurs équipes locales de traitement des données pour les requêtes plus complexes. La réponse pourra être validée par le responsable de la confidentialité des données de l'entité concernée. Si nécessaire, la réponse pourra être validée par le département juridique.
La réponse sera donnée dans un délai d'un mois à partir de la date de réception de la demande, à moins que la preuve de la difficulté particulière de fournir l'information nécessaire à l'enquête ne soit apportée (en accord avec la législation).

12. A quoi ressemblent les réponses faites aux clients ? Avez-vous des exemples ?

Les réponses varient selon les dispositifs réglementaires locaux. Par exemple, en France, il s'agit d'un exemplaire papier de chaque document comportant des données à caractère personnel. En Allemagne, les données à caractère personnel sont extraites de ces documents et fournies au client dans un document agrégé.

13. Est-ce gratuit ?

Oui dans la majorité des pays mais pas dans tous.

14. Quel est le nombre de violations de données personnelles des clients en 2022 ?

Le nombre de violations de données personnelles des clients en 2022 est 37.

15. Est-ce possible d'effacer tout ou partie de mes données possédées par AXA ?

Oui, à moins que nous ayons besoin de les conserver pour des raisons légales ou contractuelles, notamment si les données sont indispensables à la gestion d'un contrat en cours. Par exemple, en France, le dispositif réglementaire en place sur la conservation des données exige que les assureurs conservent certaines données à caractère personnel sur des périodes très longues.

Sécurité Informatique

16. Pouvez-vous donner plus de détails sur les procédures liées à la sécurité ? Pouvez-vous garantir que les données du client sont en sécurité ?

La Politique de Sécurité de l'Information d'AXA est conforme aux normes internationales et fournit un cadre qui s'applique à l'ensemble des entités AXA. Elle vise à atteindre et maintenir des niveaux de confidentialité, d'intégrité, de disponibilité et de fiabilité de l'information appropriés, ainsi qu'à favoriser la confiance envers AXA de nos clients, nos partenaires et nos employés.
Il est cependant à noter que le risque zéro n'existe pas dans ce domaine et que nous restons conscients de la nécessité de rester humble et discret sur le sujet.

17. Comment AXA protège-t-il les données de ses clients d'un accès non autorisé de la part des gouvernements et autres organisations ?

Nous ne partageons pas les données à caractère personnel avec des autorités gouvernementales à moins que nous y soyons contraints par la loi, par une décision de justice ou une démarche similaire.

Responsables de la protection des données et Règles Internes d'Entreprise

18. Quel est le rôle du réseau de responsables de la protection des données ? Combien sont-ils chez AXA ?

AXA a plus de 100 responsables de la protection des données qui sont mandatés pour s'assurer que les données à caractère personnel ainsi que les données sensibles sont protégées au sein de l'entreprise.
Notre gouvernance globale sur la confidentialité des données à caractère personnel est articulée comme suit :
(i) un Responsable de la protection des données au niveau du Groupe,
(ii) un Comité de pilotage de la protection des données au niveau du Groupe,
(iii) un Réseau mondial de responsables de la protection des données coordonné par le Responsable Groupe de la protection des données.

La description du poste de Responsable Groupe de la protection des données est la suivante :

• 20 ans d'expérience dans le secteur de la finance internationale
• 10 ans d'expérience dans des départements opérationnels ou informatique dont :
  - 5 ans en charge d'une opération mondiale ou d'un projet informatique à l'international (par exemple DSI, Directeur des Systèmes d'Information)
• 10 ans d'expérience dans les Risques (par exemple Sécurité de l'Information ou Risques Opérationnels) ou dans des services de Conformité ou Légaux dont :
  - 5 ans en charge d'un service Risques/Conformité/Légal à l'international
  - 5 ans en poste de Responsable de la protection des données

Le Responsable Groupe de la protection des données rapporte au Directeur Opérationnel du Groupe ainsi qu'à la Direction Juridique du Groupe.

19. Que signifient les Règles Internes d'Entreprise ? Quelle valeur ajoutée apportent-elles au client ?

Les Règles Internes d'Entreprise sont des normes reconnues à l'international qui assurent une protection adéquate des données à caractère personnel dans les entreprises multinationales - revues et approuvées par 16 autorités de protection des données à travers l'Europe.
Ces 16 pays sont la France, l'Allemagne, l'Autriche, la Belgique, l'Espagne, la Grèce, l'Irlande, l'Italie, le Luxembourg, les Pays-Bas, la Pologne, la République Tchèque, la Roumanie, le Royaume-Uni, la Slovaquie et la Suède.

Les Règles Internes d'Entreprise incluent :

• La nomination d'un responsable de la protection des données
• Le traitement des données à caractère personnel dans le cadre légal européen sur la protection des données, qui est un des plus rigoureux au monde
• Un audit interne régulier pour vérifier la conformité
• Un programme efficace de gestion des demandes des clients ou des employés sur leurs données à caractère personnel,
• Un programme de formation spécifique pour les employés AXA qui sont impliqués dans le traitement des données à caractère personnel,
• La publication des Règles Internes d'Entreprise sur le site Internet public d'AXA ainsi que sur l'Intranet d'AXA.

Législation et relations avec les autorités publiques

20. Pouvez-vous donner des exemples de prises de position d'AXA lors de débats publics sur la politique de protection des données ?

AXA joue un rôle proactif dans le débat public autour de la législation sur la protection des données à caractère personnel, car l'intégralité de la chaîne de valeur implique une utilisation des données.
AXA fournit par conséquent son expertise aux régulateurs, le plus souvent aux côtés d'autres acteurs du marché, pour s'assurer que le résultat final de ces réformes prendra en compte les spécificités du modèle économique. Cela inclut par exemple le besoin légitime des assureurs d'évaluer les risques des assurés, ou d'utiliser des données pour lutter contre la fraude.

21. Quel est l'état actuel de la législation sur les données à caractère personnel en France / en Europe / aux USA / en Asie ?

Les cadres réglementaires sont hétérogènes à travers le monde, reflétant les différences culturelles et d'approche de ces problématiques sensibles. Cela étant dit, l'Europe est connue pour avoir l'un des cadres réglementaires les plus rigoureux et c'est ce cadre qui est reflété dans nos Règles Internes d'Entreprise.
Il y a un mouvement général pour renforcer les cadres réglementaires existants, et ce, d'autant plus dans un environnement technologique en constante évolution.

Data Innovation Lab (DIL)

22. Quel est l'objectif du DIL ?

Créé en Janvier 2014, le Data Innovation Lab (DIL) joue le rôle de centre d'expertise du Groupe AXA pour les projets Big Data / R&D. Il soutient les entités AXA dans leurs projets liés aux données en servant d'accélérateur sur les projets-pilotes, en conformité avec les lois et les valeurs du Groupe AXA, ainsi qu'en accompagnant la création des plateformes technologiques pour faciliter le lancement opérationnel.

23. Comment la confidentialité des données est-elle préservée dans les projets ?

Il y a plusieurs moyens mis en oeuvre pour préserver la confidentialité des données dans les projets du DIL.
Le premier est l'intégration de la confidentialité dès la conception : protéger la confidentialité en l'intégrant dans le cahier des charges technologique de conception, dans les méthodes d'intégration des données, dans les algorithmes et dans les procédures de gestion.
Le second est d'éviter l'utilisation des données à caractère personnel en les rendant anonymes.
De plus, quand des données personnelles sont transférées depuis une entité locale d'AXA, le DIL suit un processus très rigoureux, contrôlé tant par le Groupe que par les experts en confidentialité des données de l'entité concernée, pour en assurer la conformité avec les exigences réglementaires et internes.
Quand il est inévitable d'utiliser des données personnelles pour un projet, le DIL les utilisera conformément à la loi applicable et aux exigences des autorités en termes de confidentialité des données. En France par exemple, le traitement de données personnelles peut exiger des formalités antérieures (déclaration ou autorisation) auprès de la « Commission Nationale Informatique et Libertés" (la CNIL) ou auprès du responsable de la protection des données de l'entité.

Education et recherche

24. Comment les clients peuvent-ils être informés et en apprendre plus sur la confidentialité des données ? Est-ce qu'AXA prévoit d'apprendre à ses clients comment mieux protéger leurs données à caractère personnel ?

AXA a d'ores et déjà lancé plusieurs initiatives telles que le "Guide du bon sens numérique" (règles de bonne conduite digitales) en France. AXA va poursuivre ce type d'initiatives dans d'autres pays au cours des mois à venir.

25. Comment AXA prévoie-t-il de former ses salariés sur l'importance de protéger les informations des consommateurs et des employés ainsi que leur rôle dans la protection des données ?

AXA a mis en place un programme de formation spécifique pour les salariés d'AXA impliqués dans le traitement des données personnelles. Cette formation vise les salariés nouvellement embauchés et a lieu dans le cadre de leur session d'intégration chez AXA et est particulièrement consacrée aux salariés qui sont plus intimement impliqués dans les aspects les plus cruciaux liés aux données personnelles.

26. Est-ce que le Fonds AXA pour la Recherche est expert sur les sujets de confidentialité des données ?

Le Fonds AXA pour la Recherche soutient Paul Ohm, un universitaire américain qui est l'un des meilleurs experts dans le domaine de la confidentialité des données.
Ses travaux visent à comprendre comment les données peuvent mener à des actions discriminatoires et à des atteintes à la vie privée, pour mettre en place de meilleures normes de protection. Il encourage activement des informaticiens à s'exprimer de façon critique sur les impacts sociaux de leur travail et aider ainsi les législateurs à comprendre la nature des défis de demain.
Il a obtenu l' « AXA award - Big Data, Privacy, and Discrimination », dotée d'une récompense de 250K €.
Il existe par ailleurs un projet de recherches commun sur 2 ans entre le Médialab de Sciences Po et AXA : « Insurance for building trust and enabling Big Data ». Cette recherche aura pour objectif de déterminer comment des acteurs privés peuvent jouer un rôle complémentaire du cadre réglementaire sur la confidentialité des données, par exemple en construisant des offres d'assurance dans le domaine de la protection des données.