Big Data et protection des données personnelles et de la vie privée

Big Data et protection des données
personnelles et de la vie privée dans
le secteur des assurances au Maroc
M. Saïd IHRAI, Président de la CNDP
FMSAR, Casablanca
15 Avril 2015
SOMMAIRE
I. La protection des données personnelles et de la vie privée
1.
2.
3.
4.
Préalable
Défis et enjeux
Principes et dispositions
Chiffres clés
II. État des lieux de la conformité dans le secteur des assurances
1.
2.
3.
4.
5.
Importance économique du secteur des assurances au Maroc
Les avantages de la PDP pour les assureurs
Principales actions entreprises dans ce domaine
L’état des lieux de la conformité dans le secteur
Conclusion
III. Conformité des Assurances et Big data
1.
2.
3.
4.
Big data, une menace pour la vie privée
Le « Big Data » et la protection de la vie privée
Les risques du « Big Data »
Conclusion
I.
La protection des données
personnelles et de la vie privée
1. Préalable
Le principe de base, sur lequel repose le dispositif
législatif est « l’informatique est au service du
citoyen… ».
Il est important de concilier entre la protection des
données à caractère personnel et le développement
des NTIC.
I.
La protection des données
personnelles et de la vie privée
2. Défis et enjeux
La protection des données personnelles et de la vie
privée des citoyens, de leurs libertés et droits
fondamentaux face au développement sans précédent
dans l’histoire de l’humanité des NTIC et de leur
caractère de plus en plus intrusif.
La protection de la vie privée est devenue une norme
constitutionnelle inscrite à l’article 24 de la Constitution
de 2011 et au titre 2 réservé aux libertés et droits
fondamentaux dans la même constitution.
I.
La protection des données
personnelles et de la vie privée
2. Défis et enjeux (suite)
Cette protection est renforcée par la primauté des
engagements internationaux du Maroc sur son droit
interne, primauté inscrite dans le préambule de la
nouvelle Constitution et sur le fait que «le préambule
fait partie intégrante » de la Constitution;
Et par la mise en œuvre du « statut avancé» accordé
par l’UE au Maroc et par l’adoption par notre pays des
standards européens en la matière.
I.
La protection des données
personnelles et de la vie privée
2. Défis et enjeux (suite)
Le Maroc vient d’adhérer à la convention 108 de
1981 et à son Protocole additionnel de 2001 : ces
instruments ont pour objet la protection des données
personnelles dans les 47 pays parties à la
Convention du Conseil de l’Europe;
La loi 09/08 a aussi pour objectif la « délocalisation »
ou la « colocalisation » au Maroc des activités de
l’offshoring par la protection des flux transfrontières
des données personnelles.
I.
La protection des données
personnelles et de la vie privée
3. Principes et dispositions de la loi 09-08
Les droits des personnes concernées par le traitement
de leurs données personnelles : toutes les personnes
résidants au Maroc et dont les données personnelles
sont traitées dans notre pays: droit d’information,
d’accès, de rectification le cas échéant et même
d’opposition.
Les obligations du responsable du traitement :
« la personne physique ou morale, l’autorité publique,
le service, ou tout autre organisme qui, seul ou
conjointement avec d’autres, détermine les finalités et
les moyens du traitement des données à caractère
personnel… ».
I.
La protection des données
personnelles et de la vie privée
3. Principes et dispositions de la loi 09-08 (Suite)
Les obligations des Responsables du traitement :
Le caractère loyal, licite, pertinent et non excessif au regard
des finalités du traitement
Le respect du consentement libre, éclairé et spécifique de
la personne concernée avant le traitement de ses données.
Le droit à l’information de la personne concernée avant le
traitement.
la confidentialité des traitements, la sécurité des données
et le respect du secret professionnel
La notification à la CNDP des traitements effectués ou à
effectuer.
I.
La protection des données
personnelles et de la vie privée
3. Principes et dispositions de la loi 09-08 (Suite)
Le transfert des données à caractère personnel :
Principe de base : l’interdiction de tout transfert vers des
pays n’assurant pas « un niveau de protection suffisant de
la vie privée , des libertés et droits fondamentaux des
personnes à l’égard du traitement dont ces données font
l’objet ou peuvent l’objet ». (art 43 de la loi);
Ce principe est assorti d’exceptions à l’article suivant:
large pouvoir d’appréciation à la Commission marocaine
du contrôle de la protection des données personnelles
(CNDP).
I.
La protection des données
personnelles et de la vie privée
3. Principes et dispositions de la loi 09-08 (Suite)
Les pouvoirs extrêmement importants accordés à la
Commission nationale pour le contrôle de la protection
des données personnels :
Donner des avis au gouvernement et au parlement ;
Recevoir et instruire les déclarations et les demandes
d’autorisation ;
Recevoir et traiter les plaintes qui lui parviennent des
personnes concernées par le traitement informatique ou
manuel de leurs données personnelles;
Pouvoir d’investigation et d’enquête ;
Pouvoir d’édicter des sanctions administratives : verrouillage,
effacement, destruction, interdiction du traitement.
I.
La protection des données
personnelles et de la vie privée
3. Principes et dispositions de la loi 09-08 (Suite)
Les sanctions applicables à toute infraction à la loi :
Ces sanctions sont très dissuasives. Si elles sont
prononcées par le juge, c’est la CNDP qui déclenche
les poursuites en transférant le dossier au procureur
du Roi;
La nécessité pour tout responsable de traitement de
se mettre en conformité avec la loi sous peine de se
voir appliquer les sanctions prévues au chapitre 7 de
la loi, amendes et peines privatives de liberté.
I.
La protection des données
personnelles et de la vie privée
4. Chiffres clés (11/03/2015)
Délibérations
22
Contrôles
Plaintes
134
257
Impossible d’afficher l’image.
CNDP
Autorisations
Déclarations
1510
1200
Transferts
390
II. État des lieux de la conformité
dans le secteur des assurances
1. Importance économique du secteur des
assurances au Maroc
D’après Standard and Poor’s (27 Juillet 2014):
Le marché des assurances au Maroc est le deuxième du
continent africain et l’un des plus importants dans le monde
arabe;
Le secteur au Maroc présente de bonnes perspectives de
croissance à long terme, du fait du développement de la classe
moyenne et d’une demande croissante en
produits de
prévoyance et de santé;
II. État des lieux de la conformité
dans le secteur des assurances
1. Importance économique du secteur des
assurances au Maroc (Suite)
Les évolutions règlementaires récentes devraient améliorer les
pratiques dans le secteur et encourager sa croissance;
Plusieurs facteurs alimenteront l’expansion potentielle au cours
des cinq prochaines années : le développement des
infrastructures et de l’immobilier, les besoins croissants en
épargne, santé et retraite ainsi que les efforts des
gouvernements pour développer le secteur.
II. État des lieux de la conformité
dans le secteur des assurances
2. Les avantages de la PDP pour les assureurs
En plus de l’augmentation de leurs chiffres d’affaires , de
leur taux de pénétration du marché et des perspectives
de croissance importantes, il y a lieu de citer :
la valorisation de la qualité des services et des
produits de l’assurance;
l’accroissement de la confiance dans les produits
proposés aux assurés par la conformité à la loi 09-08;
l’amélioration de l’image des métiers de l’assurance;
La diffusion de la culture de l’assurance dans la
société par l’attribution du label RSE (responsabilité
sociale de l’entreprise) dans le domaine de
l’assurance.
II. État des lieux de la conformité
dans le secteur des assurances
3. Principales actions entreprises
Institution du groupe de travail avec la FMSAR;
Identification et validation des différents traitements:
Accidents du travail et maladies professionnelles, Décès,
invalidité maladie, Individuel accident, Multirisques habitation,
Assurance vie et Capitalisation;
Élaboration, d’un modèle d’autorisation unique;
Validation des clauses types relatives aux traitements
susmentionnés en concertation avec la FMSAR et la DAPS.
II. État des lieux de la conformité
dans le secteur des assurances
4. La conformité dans le secteur des assurances
Notification: 84% des membres de la FMSAR ont notifié des traitements
auprès de la CNDP. Les principaux traitements concernés sont :
Membres
ayant notifié
Nombre de
traitements
% traitements
accordés
Traitement métier
14
135
49%
GRH
15
48
67%
Vidéosurveillance
11
16
75%
Site web
5
11
55%
Biométrie
2
4
0%
Contrôle d'accès
6
7
71%
Audit - Gestion de fournisseurs,
Enquêtes statistiques, Marketing ..
10
75
72%
Nature de traitements
Contrôle: 9 contrôles de sites web effectués par la CNDP;
Plaintes : Aucune plainte n’a été enregistrée contre une assurance.
II. État des lieux de la conformité
dans le secteur des assurances
5. Conclusion
La collaboration fructueuse entre la FMSAR et la CNDP,
a permis les résultats suivants:
La sensibilisation de l’ensemble des acteurs dans le
domaine des assurances au Maroc;
L’émission de sept délibérations qui couvrent
l’essentiel des métiers de l’assurance au Maroc;
La prévision d’autres délibérations permettant de
cadrer le métier de l’assurance ou de tirer profit des
nouvelles technologies de l’information sans porter
atteinte à la vie privée.
III. Conformité des Assurances et
Big data
1. Big data, une menace pour la vie privée
Face au développement des NTIC, de plus en plus
intrusives et de plus en plus gourmandes de nos
données personnelles, il est impérieux de concilier
entre les multiples avantages qu’apporte le développement
de ces technologies (Internet of things, cloud computing,
géolocalisation, systèmes de sécurité, etc.), et la protection des
données personnelles et de la vie privée des personnes
III. La conformité des assurances à
l’ère de la data
2. Le « Big Data » et la protection de la vie privée
Ce nouveau concept qui caractérise la décennie 20102020 permet de tirer profit de l’explosion des données à
travers des nouveaux outils de collecte, de stockage et
d’analyse des mégadonnées dans les différents
domaines notamment celui de l’assurance.
Avantages pour les assureurs
La construction de modèles
prédictifs du comportement des
assurés;
le profilage des personnes;
la prise de la bonne décision…
Risques pour la vie privée
Non respect des libertés et des
droits
fondamentaux
de
l’homme;
Atteinte à la vie privée des
assurés.
II. La conformité des assurances à
l’ère de la data
3. Les risques du « Big Data »
Le benchmark en matière de « Big Data » et la protection des
données personnelles révèlent les risques suivants :
Atteinte à l’anonymisation des données traitées : L’anonymat des
données massives pourrait être remis en cause, les personnes
concernées peuvent être identifiées en rapprochant plusieurs fichiers;
L’interconnexion de fichiers : Le Big Data permet une interconnexion
automatique de fichiers de données dont les finalités sont souvent
différentes;
La qualité des données peut être affectée : Les méthodes d'analyse
génèrent souvent de nouvelles informations liées à des personnes
concernées qui n’ont pas consenti à la collecte de leurs données et
qui n’ont donc pas exercé leurs droits :
II. La conformité des assurances à
l’ère de la data
3. Les risques du « Big Data »
Le droit à l’information : Difficulté d’informer les personnes
concernées lors de la collecte de leurs données personnelles;
Le droit au consentement préalable : Un droit que le « Big Data » ne
peut pas encore respecter à cause de l’utilisation ultérieure des
données qui peuvent être collectées à des fins non encore définies;
L’exercice des autres droits de la personne concernée peut être
affecté à cause de la grande variété et la masse du volume des
données personnelles;
II. La conformité des assurances à
l’ère de la data
4. Conclusion
Des précautions peuvent être envisagées, en cas de recours
au « Big Data », en vue respecter la vie privée des personnes
concernées :
Le respect de la finalité du traitement;
Le respect du principe de proportionnalité;
Le respect du consentement des personnes concernées;
La transparence totale;
Le respect de l’exercice des droits des personnes concernées;
La prise en considération de l’impact sur la vie privée dès la conception des
outils de traitement (privacy by design);
La prise en considération de l’anonymisation des données;
S’assurer de la justesse et la transparence des décisions prises et que les
résultats du profilage sont conformes à l’ éthique professionnelle et
respectueux du principe de proportionnalité.
Comment développer une véritable
culture de la protection de la vie privée?
au plan interne par la concertation avec les
parties concernées, citoyens , responsables de
traitement et Autorité de protection et de
contrôle des données à caractère personnel;
au plan international en coopérant au sein de la
Conférence internationale des Autorités de
protection des données à caractère personnel,
et au sein des organes des Nations Unies
chargés de la protection des droits de l’homme.
MERCI POUR VOTRE ATTENTION
: Imm. Les patios, Bd. Annakhil, 3e étage, Hay Ryad Rabat
: +212 5 37 71 70 73
+212 5 37 57 11 24
: +212 5 37 57 21 41
@ : contact@cndp.ma
: www.cndp.ma
: @CNDP_Maroc