RGPD et assurance : le temps des ruptures stratégiques est venu

(Tribune parue le 31 janvier 2018 dans Le Cercle des Echos)

En ce début d’année se multiplient des vagues d’alertes aux relents millénaristes : « RGPD : mai 2018, serez-vous prêts? », « assureurs, où en êtes-vous? »... Si nombre d’acteurs se sont emparés de la problématique un peu tardivement, la principale menace est moins celle d’une préparation trop tardive que celle d’un aveuglement provoqué par une focalisation sur les seuls aspects de mise en conformité.

La dernière réglementation européenne structurante pour le secteur de l’assurance, Solvabilité 2 (S2), avait en son temps suscité les mêmes envolées anxiogènes durant le compte à rebours final. Il existe nombre d’analogies entre ces deux textes. Les efforts d’entrée sous S2 ont essentiellement porté sur la mise en conformité aux textes. Devons-nous allouer notre énergie et structurer nos programmes dans le même esprit pour ce qui va concerner le RGPD, nouveau règlement européen sur la protection des données personnelles ?

Les PIA (protection impact assessment) du RGPD, par exemple, font écho aux démarches d’ORSA (own risk solvency assessment) de S2 où chaque processus de décision stratégique ou opérationnel significatif doit intégrer une analyse d’impact sur la solvabilité de l’assureur. La nouvelle fonction de DPO (data protection officer) renvoie aux notions des quatre « fonctions clés » imposées par S2 (actuariat, gestion des risques, audit, conformité). Dans les deux textes, l’esprit de transparence due à l’individu (utilisateur, client, assuré etc.) pour le protéger, soit dans sa vie privée, soit face au risque que l’assureur ne puisse tenir ses engagements financiers, est mis en exergue et fait l’objet de procédures strictes ou de rapports. Les menaces financières de la non-conformité sont dans les deux cas pour le moins significatives : jusqu’à 4% du chiffre d’affaires groupe pour le RGPD, et l’épée de Damoclès du fameux « add-on » pour S2, latitude donnée au régulateur d’imposer une exigence supplémentaire en capital, qu’il évaluera en fonction de sa propre appréciation du risque encouru par l’assureur.

Mais des différences fondamentales tracent la perspective d’un choc RGPD encore plus déterminant à terme que celui de S2 sur les grands équilibres du secteur.

Les enjeux géostratégiques

Dès l’exposé de ses motifs, S2 affichait ses ambitions d’ordre géostratégique : renforcer l’intégration du marché européen, renforcer la compétitivité des assureurs et réassureurs européens au niveau international. Les principaux enjeux liés à des réglementations distinctes entre l’Europe et les autres zones du monde concernaient notamment des divergences entre les exigences en capital demandées, créant une distorsion de concurrence entre assureurs mondiaux en compétition globale.

Le RGPD fixe d’une part des contraintes nouvelles aux opérateurs numériques de tous pays (au premier rang desquels les GAFAM et BATX) opérant en direction de résidents européens.

Il définit d’autre part un positionnement européen sur la privacy et l’éthique, qui tranche profondément avec les notions en vigueur aux États Unis ou en Chine, et constitue en lui-même un élément d’intégration du marché européen, et un élément différenciant sur le marché mondial : une vision où transparence et confiance sont des facteurs de compétitivité économique et non des freins à l’innovation.     

Ces considérations sont loin d’être neutres pour l’assurance. Nous sommes nombreux à estimer que l’assurance doit profondément se transformer pour évoluer du dédommagement financier vers des services personnalisés. La valeur de ces services dépendra de l’accessibilité des opérateurs aux données personnelles des individus, services qui seront inventés et mis en œuvre dans un monde numérique dont les règles sont en cours de construction. Quel pourrait être l’avenir de l’assurance européenne si cette transformation s’opérait sur un échiquier où champions et règles numériques étaient exclusivement à la main des puissances américaines et chinoises ?

La remise en cause des règles du jeu concurrentiel intra et intersecteurs

S2 a influé sur la structuration du secteur de l’assurance : rapprochements pour faire face aux nouvelles exigences de capital ou pour réduire les coûts de la conformité, émergence de nouvelles structures juridiques tels que les groupes « prudentiels », diversification des activités pour profiter des réductions d’exigence de capital générées par les nouvelles règles de calcul, réallocations en matière d’actifs etc. Les règles du jeu n’ont pas pour autant été radicalement bouleversées.

Le RGPD a contrario concerne tous les secteurs d’activité, et introduit en chacun d’eux non seulement de profonds bouleversements mais aussi d’extraordinaires opportunités et la perspective de tout nouveaux types de marchés.

Les  dispositions liées à la portabilité des données exacerbent la concurrence mais aussi ouvrent la voie à de nouveaux entrants et de nouveaux types d’acteurs, tels les PIMS (personal information management systems). En s’appuyant sur le RGPD, ces agrégateurs de données personnelles, organiseront, pour le compte des individus, la récupération des données auprès des fournisseurs d’énergie, télécoms, assureurs, e-commerce, réseaux sociaux, etc. et pourront notamment faciliter le churn. Ils pourront alors tenter de s’accaparer la richesse du contact privilégié avec l’individu, reléguant par exemple ses différents assureurs à des rôles de sous-traitants de second rang pouvant aisément être changés.

La portabilité des données personnelles accélèrera la pulvérisation des frontières entre secteurs, d’ores et déjà amorcée car inhérente à l’économie numérique.

S2 posait la question de l’attractivité de l’assurance pour les actionnaires. Avec le RGPD, l’enjeu du détournement d’un secteur à l’autre concerne aussi les assurés eux-mêmes.

Le domaine « sensible » de la santé

Le RGPD souligne la spécificité et le caractère « sensible » (donc soumises à contraintes renforcées) des données personnelles de santé et en adopte une définition large : données qui révèlent des informations sur l’état de santé, passé, présent ou futur d’une personne. Dans un contexte technologique et médical où les capacités de « révéler » des informations progressent à une vitesse fulgurante, la notion de donnée de santé devient elle-même fortement évolutive. Les acteurs concernés devront ainsi se préparer à de fortes évolutions de leurs process, à la confrontation avec la multiplication d’acteurs à même de générer ou de gérer des données dites « de santé » et à des modifications des règles du jeu encore complexifiées par rapport à celles précédemment évoquées.

La perturbation des référentiels

Si S2 a généré de profondes transformations dans les organisations et la gouvernance des entreprises d’assurance, le RGPD vient percuter de plein fouet la perception et le rôle de la donnée au sein des business model, en termes de capacité d’exploitation et de valeur. La culture traditionnelle d’une donnée jalousement gardée se heurte aux business model du numérique où la valeur de la donnée est le plus souvent considérablement amplifiée par son partage.

La déferlante annoncée

15 ans de gestation pour  S2, un record. Seulement 4 ans pour le RGPD. Les règles du monde numérique dans lequel évoluent les assureurs se restructurent beaucoup plus vite que celles de sa sphère financière. La vitesse de transformation des technologies et usages liés aux numérique est un défi aux process d’adaptation des entreprises. Le RGPD n’est que la première vague d’un déferlement de textes réglementaires et législatifs qui se répondront, s’entrechoqueront ou se complèteront respectivement : directive e-privacy, stratégie Digital Single Market, lignes directrices de la Commission européenne sur les algorithmes, les contenus des plateformes en lignes etc. Sans compter pour la France les lois bioéthiques en ce qui concerne les données de santé. Les opérateurs devront ainsi faire preuve d’anticipation, d’agilité et de continuité dans leur mobilisation.

C’est bel et bien un véritable « dataclysme » qui s’annonce.

Quels que soient les contraintes et le coût financier de la mise en œuvre des dispositifs de conformité requis par le RGPD, le coût stratégique lié à une mauvaise appréciation des enjeux fondamentaux pourrait se révéler bien supérieur. Tant au niveau micro-économique de l’entreprise qu’au niveau macro-économique européen.

Par Jean-Louis Davet, Directeur Général Délégué du Groupe VYV