F.A.Q.
Questions fréquentes
La définition des « données à caractère personnel » englobe toutes les données liées à un individu et qui permettent de l'identifier par elles-mêmes ou en les reliant avec d'autres informations.
La définition est donc très large et comprend par exemple les noms, les numéros de téléphone, les adresses mails ou IP.
Les données sensibles sont des informations sur un individu de nature privée et qui peuvent mener à une discrimination.
A cause de la confidentialité de ce type d'informations, le cadre réglementaire fournit une protection encore plus rigoureuse pour les données sensibles que pour les données à caractère personnel.
Le métier de l'assurance consiste à comprendre et mesurer les risques encourus par les assurés, afin de leur fournir des produits et services correspondant à leurs besoins (à titre d'exemple, une assurance conçue en fonction de la taille et du modèle de la voiture). Pour ce faire, les assureurs utilisent des données tout au long de la chaine de valeur, de la conception du produit (risques couverts, prix), à la vente (marketing mieux ciblé) et à la gestion des sinistres (meilleur lutte contre la fraude).
In fine, cela nous permet d'améliorer l'expérience client grâce à des procédures plus simples, de l'information mieux ciblée et des sinistres gérés plus rapidement.
Dans tous les cas, les données transmises aux assureurs le sont volontairement et de manière transparente.
Le "Big" data est une expression forgée dans les années 1990 pour décrire une situation dans laquelle les nouvelles technologiques de l'information et de la communication nous fournissent non seulement des données sans cesse plus nombreuses et toujours plus riches, mais également les moyens de les analyser pour créer une plus-value pour les individus et les organisations.
Cela s'applique particulièrement dans l'assurance car les assureurs s'appuient sur l'analyse de données sur les risques pour proposer à leurs clients les offres les mieux adaptées à l'évolution de leurs besoins.
A titre d'exemple, AXA travaille à mieux cartographier les zones vulnérables aux catastrophes naturelles en croisant des données publiques avec des informations internes sur les sinistres, afin d'aider les autorités publiques à anticiper et réagir à ces risques. Dans un autre cadre, AXA s'appuie également sur l'analyse d'images satellite toujours plus précises pour fournir des solutions innovantes d'assurance paramétrique aux agriculteurs des pays en voie de développement et ainsi contribuer à la sécurité alimentaire.
AXA collecte et utilise des données personnelles dans la seule optique de proposer à ses clients des solutions de protection et de prévention de premier ordre.
Les données collectées dans ce cadre peuvent être rangées en trois catégories :
Il y a trois moments principaux au cours desquels les assureurs récoltent des données à caractère personnel:
Les données peuvent être collectées de diverses manières, par écrit, oralement, au téléphone ou par le biais d'Internet. Les informations peuvent provenir des clients eux-mêmes (par exemple lors de discussions avec les agents, ou via des formulaires), ou indirectement (par le biais d'objets connectés à la voiture pour collecter les données de conduite par exemple).
AXA est particulièrement attaché à la nécessité d'obtenir les données équitablement, et donc que le client soit mis au courant des usages qui pourront être faits de ces données, ainsi que des catégories de personnes qui pourront y avoir accès.
Oui, par exemple dans le cadre de nos activités Direct nous achetons des informations de prospection commerciale à des bases de données.
Il existe deux types de bases de données, et nous avons établi pour chacune des règles destinées à garantir le droit au respect de la vie privée des individus :
Les cookies sont de petits fichiers textes placés sur votre ordinateur par les sites web et/ou applications que vous visitez. Ils sont principalement utilisés pour rendre les sites web et/ou applications plus efficaces ainsi que pour fournir des informations aux propriétaires du site web et/ou de l'application en question.
AXA utilise les cookies pour mieux identifier les besoins potentiels des clients et pouvoir ainsi mieux y répondre. Notre politique de confidentialité des données à caractère personnel permet à l'ensemble des utilisateurs de choisir s'ils souhaitent ou non la collecte de leurs données via une option claire.
Vous pouvez refuser les cookies en paramétrant les préférences de votre navigateur Internet. Par exemple, sur Microsoft Internet Explorer : sélectionner « Outils » puis « Options Internet », puis cliquer sur « Confidentialité » et sélectionner le niveau désiré en utilisant le curseur.
Il n'y a pas de réponse unique en termes de durée précise de conservation car celle-ci dépend du type de données, de contrat et de la législation du pays concerné. Les obligations réglementaires et contractuelles d'AXA envers ses clients nécessitent que nous gardions certaines données plusieurs années ; comme par exemple pour les contrats d'assurance santé, car les réclamations peuvent avoir lieu plusieurs années plus tard.
Par « données à caractère personnel sensibles », nous entendons tout type de données à caractère personnel confidentielles/non-publiques que nous fournissent parfois nos clients lors de leur souscription initiale à une couverture d'assurance et durant la vie de leur contrat.
Ceci inclurait, par exemple, des informations médicales ou des habitudes de vie (par exemple, fumeur/non-fumeur, habitudes sportives, etc...), comportement au volant (par exemple, les accidents ou infractions passées) qu'un assuré peut nous fournir dans le cadre de sa souscription à une police d'assurance ou lors du processus administratif lié à l'assurance santé, vie, auto ou d'autres types de couvertures que nous lui fournissons.
Nous sommes pleinement conscients que ce type d'informations est personnel, sensible et nous est confié par nos assurés dans un but très spécifique et ciblé. Nous nous considérons comme les gardiens de ces données et les traitons en conséquence. De notre point de vue, elles ne sont pas des "produits" à vendre et nous ne les vendons donc pas aux tierces parties externes au Groupe AXA.
Nous pouvons être amenés à commercialiser des produits conjointement avec d'autres entreprises lorsque nous sommes convaincus qu'ils apportent une réelle valeur ajoutée à nos assurés et clients. Dans ce contexte, nous pouvons être amenés à échanger certaines données clients et autres informations avec une organisation partenaire pour la bonne mise en oeuvre d'initiatives marketing communes, mais nous mettrons alors en place les dispositifs de confidentialité appropriés et ne vendrons aucune des données personnelles sensibles de nos assurés.
Les clients ont un droit d'accès et de modification de leurs données, et peuvent se désabonner à tout moment des listes d'envois marketing.
Chaque entreprise appartenant au Groupe AXA précise sur son propre site internet comment les clients peuvent lui adresser leur demande, incluant :
La requête est alors traitée par le département des réclamations clients et, si nécessaire, avec le soutien de leurs équipes locales de traitement des données pour les requêtes plus complexes. La réponse pourra être validée par le responsable de la confidentialité des données de l'entité concernée. Si nécessaire, la réponse pourra être validée par le département juridique.
La réponse sera donnée dans un délai d'un mois à partir de la date de réception de la demande, à moins que la preuve de la difficulté particulière de fournir l'information nécessaire à l'enquête ne soit apportée (en accord avec la législation).
Les réponses varient selon les dispositifs réglementaires locaux. Par exemple, en France, il s'agit d'un exemplaire papier de chaque document comportant des données à caractère personnel. En Allemagne, les données à caractère personnel sont extraites de ces documents et fournies au client dans un document agrégé.
Oui dans la majorité des pays mais pas dans tous.
Le nombre de violations de données personnelles des clients en 2023 est 34.
Il n'y a pas de cas d'utilisation pour des finalités secondaires des données personnelles des clients, le pourcentage est donc de 0 %.
Oui, à moins que nous ayons besoin de les conserver pour des raisons légales ou contractuelles, notamment si les données sont indispensables à la gestion d'un contrat en cours. Par exemple, en France, le dispositif réglementaire en place sur la conservation des données exige que les assureurs conservent certaines données à caractère personnel sur des périodes très longues.
La Politique de Sécurité de l'Information d'AXA est conforme aux normes internationales et fournit un cadre qui s'applique à l'ensemble des entités AXA. Elle vise à atteindre et maintenir des niveaux de confidentialité, d'intégrité, de disponibilité et de fiabilité de l'information appropriés, ainsi qu'à favoriser la confiance envers AXA de nos clients, nos partenaires et nos employés.
Il est cependant à noter que le risque zéro n'existe pas dans ce domaine et que nous restons conscients de la nécessité de rester humble et discret sur le sujet.
Nous ne partageons pas les données à caractère personnel avec des autorités gouvernementales à moins que nous y soyons contraints par la loi, par une décision de justice ou une démarche similaire.
Responsables de la protection des données et Règles Internes d'Entreprise
AXA a plus de 100 responsables de la protection des données qui sont mandatés pour s'assurer que les données à caractère personnel ainsi que les données sensibles sont protégées au sein de l'entreprise.
Notre gouvernance globale sur la confidentialité des données à caractère personnel est articulée comme suit :
(i) un Responsable de la protection des données au niveau du Groupe,
(ii) un Comité de pilotage de la protection des données au niveau du Groupe,
(iii) un Réseau mondial de responsables de la protection des données coordonné par le Responsable Groupe de la protection des données.
Le Responsable Groupe de la protection des données rapporte au Directeur Opérationnel du Groupe ainsi qu'à la Direction Juridique du Groupe.
Les Règles Internes d'Entreprise sont des normes reconnues à l'international qui assurent une protection adéquate des données à caractère personnel dans les entreprises multinationales - revues et approuvées par 16 autorités de protection des données à travers l'Europe.
Ces 16 pays sont la France, l'Allemagne, l'Autriche, la Belgique, l'Espagne, la Grèce, l'Irlande, l'Italie, le Luxembourg, les Pays-Bas, la Pologne, la République Tchèque, la Roumanie, le Royaume-Uni, la Slovaquie et la Suède.
AXA joue un rôle proactif dans le débat public autour de la législation sur la protection des données à caractère personnel, car l'intégralité de la chaîne de valeur implique une utilisation des données.
AXA fournit par conséquent son expertise aux régulateurs, le plus souvent aux côtés d'autres acteurs du marché, pour s'assurer que le résultat final de ces réformes prendra en compte les spécificités du modèle économique. Cela inclut par exemple le besoin légitime des assureurs d'évaluer les risques des assurés, ou d'utiliser des données pour lutter contre la fraude.
Les cadres réglementaires sont hétérogènes à travers le monde, reflétant les différences culturelles et d'approche de ces problématiques sensibles. Cela étant dit, l'Europe est connue pour avoir l'un des cadres réglementaires les plus rigoureux et c'est ce cadre qui est reflété dans nos Règles Internes d'Entreprise.
Il y a un mouvement général pour renforcer les cadres réglementaires existants, et ce, d'autant plus dans un environnement technologique en constante évolution.
Créé en Janvier 2014, le Data Innovation Lab (DIL) joue le rôle de centre d'expertise du Groupe AXA pour les projets Big Data / R&D. Il soutient les entités AXA dans leurs projets liés aux données en servant d'accélérateur sur les projets-pilotes, en conformité avec les lois et les valeurs du Groupe AXA, ainsi qu'en accompagnant la création des plateformes technologiques pour faciliter le lancement opérationnel.
Il y a plusieurs moyens mis en oeuvre pour préserver la confidentialité des données dans les projets du DIL.
Le premier est l'intégration de la confidentialité dès la conception : protéger la confidentialité en l'intégrant dans le cahier des charges technologique de conception, dans les méthodes d'intégration des données, dans les algorithmes et dans les procédures de gestion.
Le second est d'éviter l'utilisation des données à caractère personnel en les rendant anonymes.
De plus, quand des données personnelles sont transférées depuis une entité locale d'AXA, le DIL suit un processus très rigoureux, contrôlé tant par le Groupe que par les experts en confidentialité des données de l'entité concernée, pour en assurer la conformité avec les exigences réglementaires et internes.
Quand il est inévitable d'utiliser des données personnelles pour un projet, le DIL les utilisera conformément à la loi applicable et aux exigences des autorités en termes de confidentialité des données. En France par exemple, le traitement de données personnelles peut exiger des formalités antérieures (déclaration ou autorisation) auprès de la « Commission Nationale Informatique et Libertés" (la CNIL) ou auprès du responsable de la protection des données de l'entité.
AXA a d'ores et déjà lancé plusieurs initiatives telles que le "Guide du bon sens numérique" (règles de bonne conduite digitales) en France. AXA va poursuivre ce type d'initiatives dans d'autres pays au cours des mois à venir.
AXA a mis en place un programme de formation spécifique pour les salariés d'AXA impliqués dans le traitement des données personnelles. Cette formation vise les salariés nouvellement embauchés et a lieu dans le cadre de leur session d'intégration chez AXA et est particulièrement consacrée aux salariés qui sont plus intimement impliqués dans les aspects les plus cruciaux liés aux données personnelles.
Le Fonds AXA pour la Recherche soutient Paul Ohm, un universitaire américain qui est l'un des meilleurs experts dans le domaine de la confidentialité des données.
Ses travaux visent à comprendre comment les données peuvent mener à des actions discriminatoires et à des atteintes à la vie privée, pour mettre en place de meilleures normes de protection. Il encourage activement des informaticiens à s'exprimer de façon critique sur les impacts sociaux de leur travail et aider ainsi les législateurs à comprendre la nature des défis de demain.
Il a obtenu l' « AXA award - Big Data, Privacy, and Discrimination », dotée d'une récompense de 250K €.
Il existe par ailleurs un projet de recherches commun sur 2 ans entre le Médialab de Sciences Po et AXA : « Insurance for building trust and enabling Big Data ». Cette recherche aura pour objectif de déterminer comment des acteurs privés peuvent jouer un rôle complémentaire du cadre réglementaire sur la confidentialité des données, par exemple en construisant des offres d'assurance dans le domaine de la protection des données.
AXA Privacy