Big Data et protection des données personnelles et de la vie privée dans le secteur des assurances au Maroc M. Saïd IHRAI, Président de la CNDP FMSAR, Casablanca 15 Avril 2015 SOMMAIRE I. La protection des données personnelles et de la vie privée 1. 2. 3. 4. Préalable Défis et enjeux Principes et dispositions Chiffres clés II. État des lieux de la conformité dans le secteur des assurances 1. 2. 3. 4. 5. Importance économique du secteur des assurances au Maroc Les avantages de la PDP pour les assureurs Principales actions entreprises dans ce domaine L’état des lieux de la conformité dans le secteur Conclusion III. Conformité des Assurances et Big data 1. 2. 3. 4. Big data, une menace pour la vie privée Le « Big Data » et la protection de la vie privée Les risques du « Big Data » Conclusion I. La protection des données personnelles et de la vie privée 1. Préalable Le principe de base, sur lequel repose le dispositif législatif est « l’informatique est au service du citoyen… ». Il est important de concilier entre la protection des données à caractère personnel et le développement des NTIC. I. La protection des données personnelles et de la vie privée 2. Défis et enjeux La protection des données personnelles et de la vie privée des citoyens, de leurs libertés et droits fondamentaux face au développement sans précédent dans l’histoire de l’humanité des NTIC et de leur caractère de plus en plus intrusif. La protection de la vie privée est devenue une norme constitutionnelle inscrite à l’article 24 de la Constitution de 2011 et au titre 2 réservé aux libertés et droits fondamentaux dans la même constitution. I. La protection des données personnelles et de la vie privée 2. Défis et enjeux (suite) Cette protection est renforcée par la primauté des engagements internationaux du Maroc sur son droit interne, primauté inscrite dans le préambule de la nouvelle Constitution et sur le fait que «le préambule fait partie intégrante » de la Constitution; Et par la mise en œuvre du « statut avancé» accordé par l’UE au Maroc et par l’adoption par notre pays des standards européens en la matière. I. La protection des données personnelles et de la vie privée 2. Défis et enjeux (suite) Le Maroc vient d’adhérer à la convention 108 de 1981 et à son Protocole additionnel de 2001 : ces instruments ont pour objet la protection des données personnelles dans les 47 pays parties à la Convention du Conseil de l’Europe; La loi 09/08 a aussi pour objectif la « délocalisation » ou la « colocalisation » au Maroc des activités de l’offshoring par la protection des flux transfrontières des données personnelles. I. La protection des données personnelles et de la vie privée 3. Principes et dispositions de la loi 09-08 Les droits des personnes concernées par le traitement de leurs données personnelles : toutes les personnes résidants au Maroc et dont les données personnelles sont traitées dans notre pays: droit d’information, d’accès, de rectification le cas échéant et même d’opposition. Les obligations du responsable du traitement : « la personne physique ou morale, l’autorité publique, le service, ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel… ». I. La protection des données personnelles et de la vie privée 3. Principes et dispositions de la loi 09-08 (Suite) Les obligations des Responsables du traitement : Le caractère loyal, licite, pertinent et non excessif au regard des finalités du traitement Le respect du consentement libre, éclairé et spécifique de la personne concernée avant le traitement de ses données. Le droit à l’information de la personne concernée avant le traitement. la confidentialité des traitements, la sécurité des données et le respect du secret professionnel La notification à la CNDP des traitements effectués ou à effectuer. I. La protection des données personnelles et de la vie privée 3. Principes et dispositions de la loi 09-08 (Suite) Le transfert des données à caractère personnel : Principe de base : l’interdiction de tout transfert vers des pays n’assurant pas « un niveau de protection suffisant de la vie privée , des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent l’objet ». (art 43 de la loi); Ce principe est assorti d’exceptions à l’article suivant: large pouvoir d’appréciation à la Commission marocaine du contrôle de la protection des données personnelles (CNDP). I. La protection des données personnelles et de la vie privée 3. Principes et dispositions de la loi 09-08 (Suite) Les pouvoirs extrêmement importants accordés à la Commission nationale pour le contrôle de la protection des données personnels : Donner des avis au gouvernement et au parlement ; Recevoir et instruire les déclarations et les demandes d’autorisation ; Recevoir et traiter les plaintes qui lui parviennent des personnes concernées par le traitement informatique ou manuel de leurs données personnelles; Pouvoir d’investigation et d’enquête ; Pouvoir d’édicter des sanctions administratives : verrouillage, effacement, destruction, interdiction du traitement. I. La protection des données personnelles et de la vie privée 3. Principes et dispositions de la loi 09-08 (Suite) Les sanctions applicables à toute infraction à la loi : Ces sanctions sont très dissuasives. Si elles sont prononcées par le juge, c’est la CNDP qui déclenche les poursuites en transférant le dossier au procureur du Roi; La nécessité pour tout responsable de traitement de se mettre en conformité avec la loi sous peine de se voir appliquer les sanctions prévues au chapitre 7 de la loi, amendes et peines privatives de liberté. I. La protection des données personnelles et de la vie privée 4. Chiffres clés (11/03/2015) Délibérations 22 Contrôles Plaintes 134 257 Impossible d’afficher l’image. CNDP Autorisations Déclarations 1510 1200 Transferts 390 II. État des lieux de la conformité dans le secteur des assurances 1. Importance économique du secteur des assurances au Maroc D’après Standard and Poor’s (27 Juillet 2014): Le marché des assurances au Maroc est le deuxième du continent africain et l’un des plus importants dans le monde arabe; Le secteur au Maroc présente de bonnes perspectives de croissance à long terme, du fait du développement de la classe moyenne et d’une demande croissante en produits de prévoyance et de santé; II. État des lieux de la conformité dans le secteur des assurances 1. Importance économique du secteur des assurances au Maroc (Suite) Les évolutions règlementaires récentes devraient améliorer les pratiques dans le secteur et encourager sa croissance; Plusieurs facteurs alimenteront l’expansion potentielle au cours des cinq prochaines années : le développement des infrastructures et de l’immobilier, les besoins croissants en épargne, santé et retraite ainsi que les efforts des gouvernements pour développer le secteur. II. État des lieux de la conformité dans le secteur des assurances 2. Les avantages de la PDP pour les assureurs En plus de l’augmentation de leurs chiffres d’affaires , de leur taux de pénétration du marché et des perspectives de croissance importantes, il y a lieu de citer : la valorisation de la qualité des services et des produits de l’assurance; l’accroissement de la confiance dans les produits proposés aux assurés par la conformité à la loi 09-08; l’amélioration de l’image des métiers de l’assurance; La diffusion de la culture de l’assurance dans la société par l’attribution du label RSE (responsabilité sociale de l’entreprise) dans le domaine de l’assurance. II. État des lieux de la conformité dans le secteur des assurances 3. Principales actions entreprises Institution du groupe de travail avec la FMSAR; Identification et validation des différents traitements: Accidents du travail et maladies professionnelles, Décès, invalidité maladie, Individuel accident, Multirisques habitation, Assurance vie et Capitalisation; Élaboration, d’un modèle d’autorisation unique; Validation des clauses types relatives aux traitements susmentionnés en concertation avec la FMSAR et la DAPS. II. État des lieux de la conformité dans le secteur des assurances 4. La conformité dans le secteur des assurances Notification: 84% des membres de la FMSAR ont notifié des traitements auprès de la CNDP. Les principaux traitements concernés sont : Membres ayant notifié Nombre de traitements % traitements accordés Traitement métier 14 135 49% GRH 15 48 67% Vidéosurveillance 11 16 75% Site web 5 11 55% Biométrie 2 4 0% Contrôle d'accès 6 7 71% Audit - Gestion de fournisseurs, Enquêtes statistiques, Marketing .. 10 75 72% Nature de traitements Contrôle: 9 contrôles de sites web effectués par la CNDP; Plaintes : Aucune plainte n’a été enregistrée contre une assurance. II. État des lieux de la conformité dans le secteur des assurances 5. Conclusion La collaboration fructueuse entre la FMSAR et la CNDP, a permis les résultats suivants: La sensibilisation de l’ensemble des acteurs dans le domaine des assurances au Maroc; L’émission de sept délibérations qui couvrent l’essentiel des métiers de l’assurance au Maroc; La prévision d’autres délibérations permettant de cadrer le métier de l’assurance ou de tirer profit des nouvelles technologies de l’information sans porter atteinte à la vie privée. III. Conformité des Assurances et Big data 1. Big data, une menace pour la vie privée Face au développement des NTIC, de plus en plus intrusives et de plus en plus gourmandes de nos données personnelles, il est impérieux de concilier entre les multiples avantages qu’apporte le développement de ces technologies (Internet of things, cloud computing, géolocalisation, systèmes de sécurité, etc.), et la protection des données personnelles et de la vie privée des personnes III. La conformité des assurances à l’ère de la data 2. Le « Big Data » et la protection de la vie privée Ce nouveau concept qui caractérise la décennie 20102020 permet de tirer profit de l’explosion des données à travers des nouveaux outils de collecte, de stockage et d’analyse des mégadonnées dans les différents domaines notamment celui de l’assurance. Avantages pour les assureurs La construction de modèles prédictifs du comportement des assurés; le profilage des personnes; la prise de la bonne décision… Risques pour la vie privée Non respect des libertés et des droits fondamentaux de l’homme; Atteinte à la vie privée des assurés. II. La conformité des assurances à l’ère de la data 3. Les risques du « Big Data » Le benchmark en matière de « Big Data » et la protection des données personnelles révèlent les risques suivants : Atteinte à l’anonymisation des données traitées : L’anonymat des données massives pourrait être remis en cause, les personnes concernées peuvent être identifiées en rapprochant plusieurs fichiers; L’interconnexion de fichiers : Le Big Data permet une interconnexion automatique de fichiers de données dont les finalités sont souvent différentes; La qualité des données peut être affectée : Les méthodes d'analyse génèrent souvent de nouvelles informations liées à des personnes concernées qui n’ont pas consenti à la collecte de leurs données et qui n’ont donc pas exercé leurs droits : II. La conformité des assurances à l’ère de la data 3. Les risques du « Big Data » Le droit à l’information : Difficulté d’informer les personnes concernées lors de la collecte de leurs données personnelles; Le droit au consentement préalable : Un droit que le « Big Data » ne peut pas encore respecter à cause de l’utilisation ultérieure des données qui peuvent être collectées à des fins non encore définies; L’exercice des autres droits de la personne concernée peut être affecté à cause de la grande variété et la masse du volume des données personnelles; II. La conformité des assurances à l’ère de la data 4. Conclusion Des précautions peuvent être envisagées, en cas de recours au « Big Data », en vue respecter la vie privée des personnes concernées : Le respect de la finalité du traitement; Le respect du principe de proportionnalité; Le respect du consentement des personnes concernées; La transparence totale; Le respect de l’exercice des droits des personnes concernées; La prise en considération de l’impact sur la vie privée dès la conception des outils de traitement (privacy by design); La prise en considération de l’anonymisation des données; S’assurer de la justesse et la transparence des décisions prises et que les résultats du profilage sont conformes à l’ éthique professionnelle et respectueux du principe de proportionnalité. Comment développer une véritable culture de la protection de la vie privée? au plan interne par la concertation avec les parties concernées, citoyens , responsables de traitement et Autorité de protection et de contrôle des données à caractère personnel; au plan international en coopérant au sein de la Conférence internationale des Autorités de protection des données à caractère personnel, et au sein des organes des Nations Unies chargés de la protection des droits de l’homme. MERCI POUR VOTRE ATTENTION : Imm. Les patios, Bd. Annakhil, 3e étage, Hay Ryad Rabat : +212 5 37 71 70 73 +212 5 37 57 11 24 : +212 5 37 57 21 41 @ : contact@cndp.ma : www.cndp.ma : @CNDP_Maroc
© Copyright 2024