Vos données personnelles ne sont pas seulement la cible d’agences d’espionnage bien ou mal intentionnées. Les compagnies d’assurance se sont lancées dans une véritable course pour tenter de collecter le plus d’informations possibles sur votre mode de vie. Les réseaux sociaux, les objets connectés ou les applications loisirs présentes sur les smartphones, sont autant de sources de renseignements sur votre état de santé ou votre régime alimentaire. Et une mine d’or pour évaluer les risques qu’assurances et mutuelles doivent couvrir ainsi que la prime que vous devrez acquitter. Votre assureur vous dictera-t-il demain la manière dont vous devez vivre pour ne pas payer plus cher ? Enquête.
Cet article de Morgan Remy est paru sur bastamag.net le 28 janvier 2016: http://www.bastamag.net/Proteger-vos-donnees-aujourd-hui-pour-ne-pas-etre-traques-demain
« Bravo, vous avez marché plus de 90 kilomètres ce mois-ci, nous vous remboursons votre abonnement à la salle de sport » ; « vous avez dépassé votre quota de matières grasses cette semaine, vous ne respectez pas vos objectifs en matière d’alimentation, votre prime d’assurance santé va augmenter » ; « vous avez fait deux excès de vitesse cette semaine, restez vigilant, gare au malus » ; « Alerte météo dans votre région : un orage violent est prévu. Pensez à ranger vos meubles de jardin »…
Ce type de SMS pourrait bientôt vous être envoyé par votre assureur afin de prévenir un risque concernant votre maison, votre voiture ou votre propre corps. Science-fiction ? Pour organiser cette prévention personnalisée, les assureurs pourront se baser sur les précieuses – et nombreuses –informations que nous essaimons déjà dès que nous utilisons un navigateur de recherche sur Internet, un réseau social, une application mobile et même, désormais, des objets connectés. Pour ne pas avoir systématiquement à acheter ces informations à des tiers, les assureurs réfléchissent aussi à créer leur propres bases de données. Dans les deux cas, la matière collectée est traitée par des algorithmes puissants. « Pour tous les assureurs, la collecte massive et le traitement de données – le Big Data – est déjà un relais de croissance incontestable », assure Louis de Broglie, fondateur de la start-up d’assurance Inspeer.
Une course à la collecte de nos données
Le « Big Data » est une arme redoutable pour les assureurs. Il vient renforcer leur cœur de métier qui consiste à collecter des informations afin de mettre un prix sur un risque (accident de la route, longue maladie, cambriolage…), la prime que l’assuré verse pour être couvert. Dans le métier, cela s’appelle le « couple rendement- risque ». Derrière ce terme technique, l’objectif est simple : gagner de l’argent. Pour cela, il faut que le total de primes que chacun paie pour s’assurer soit supérieur au coût des sommes versées au client dans le cadre de sinistres.
Les assureurs cherchent à mieux huiler cette mécanique en récoltant toujours plus d’informations sur la nature du risque et la probabilité qu’il se réalise. « Le premier qui gérera la collecte et l’analyse de données pourra s’assurer de n’avoir que des bons risques », confie Eric Froidefond, manager dans le domaine de l’assurance et auteur d’un mémoire sur le Big data dans l’assurance (2014). En clair, il pourra sélectionner, avant ses concurrents, les clients qui sont moins exposés à une probabilité de sinistre. Les assureurs se livrent donc à une véritable course à la collecte de nos données.
« Désormais, nous pouvons avoir des informations en temps réel »
La technologie change la donne. « Les assureurs auront accès à des données dynamiques : jusqu’à présent, nous ne pouvions collecter des données qu’au moment de la souscription. Désormais, nous pouvons avoir des informations en temps réel », reconnaît Stéphane Chappellier, CEO de SolvINS, une société de conseils et de services aux entreprises pour l’exploitation des objets connectés et de leurs données. Cela réduit l’incertitude dans laquelle les assureurs demeurent, une fois un contrat signé. « Les objets connectés, les applications mobiles, le Big Data supprimeront l’asymétrie d’information qui était historiquement en faveur de l’assuré », résume Antoinette Rouvroy, chercheuse au centre de recherche en information, droit et société (CRIDS) à l’université de Namur (Belgique). Le risque ? Celui d’augmenter le contrôle des assureurs sur nos vies et, grâce à cet encadrement, d’individualiser l’assurance, tant sur le plan de la prévention que sur celui de la prime.
Concrètement, pour les assurés, les primes pourraient non seulement évoluer au niveau de chaque client, mais aussi, dans le temps, en fonction de l’évolution du comportement de chacun. Aujourd’hui, c’est déjà un peu le cas : un fumeur sait qu’il paie sa cigarette deux fois, une fois au buraliste et une fois à son assureur, avec une prime renchérie. Cette pratique sera juste affinée et élargie à tous les pans du quotidien. Par exemple, un assureur pourrait savoir que vous êtes rarement à la maison, sur la base du compteur électrique connecté. Il peut alors vous demander de sécuriser le domicile avec une alarme, faute de quoi, la prime augmentera.
Un assureur pourra même se séparer d’un client qui ne suit pas ses préconisations. Ce dernier aura pour seule option de se tourner vers des assurances plus chères, comme c’est déjà le cas après des accidents de voiture à répétition. « Ceux qui ne souhaitent pas partager leurs données pourront rapidement être suspectés de constituer un mauvais risque », souligne Louis de Broglie. La différence est que ce choix sera basé sur une anticipation statistique et non sur des faits, comme des accidents de voiture. « Les assureurs auront tellement d’informations que les prix deviendront individuels et très évolutifs, résume Eric Froidefond. Il faudra trouver d’autres moyens de mutualiser, peut-être avec de nouveaux services de co-assurance de personnes. »
L’enjeu de l’acceptation sociale
Au vu des enjeux de long terme, pourquoi les assurés accepteraient-ils de confier leurs données ? Parce qu’ils peuvent être gagnants sur le court terme. « Dans le marché hyperconcurrentiel de l’assurance, les consommateurs accepteront de transmettre leurs données si cela s’accompagne d’une réduction des prix », analyse Thierry Vallaud, responsable de la prospection des données (datamining) à BVA. Ce constat est partagé par les assureurs qui proposent d’ores et déjà de réduire les primes contre la preuve d’un comportement vertueux. Ces tentatives deviennent très concrètes, même si elles concernent avant tout la sphère la moins invasive de l’assurance : l’automobile.
Un nouveau concept s’est ainsi développé aux États-Unis, puis au Royaume-Uni et en Italie, avant d’arriver en France : un assuré paye en fonction de la prudence de sa conduite. Il s’agit du « pay how you drive » (payez à la manière dont vous conduisez). L’un des poids lourds de l’assurance, l’allemand Allianz, a ainsi lancé une nouvelle offre, à grand renfort de publicité diffusée au cinéma et à la télévision. Concrètement, le conducteur accepte de connecter un boîtier à sa voiture. Ce boîtier est alors capable de détecter les excès de vitesse mais aussi la fréquence et la brutalité des freinages ou la manière d’aborder les virages. Si l’assuré adopte une conduite souple, il peut obtenir une ristourne pouvant aller jusqu’à 30 % à la date anniversaire du contrat. Direct Assurance, filiale du géant français Axa, a de son côté lancé une offre similaire… où la prime peut être réduite jusqu’à 50 %.
En terme d’acceptation sociale, le climat est également favorable : 70 % des consommateurs sondés par le cabinet de conseil PwC se disent en effet prêts à faire installer un capteur dans leur voiture ou à leur domicile, si cela leur permet d’obtenir une baisse de leur prime d’assurance (Étude PwC sur les objets connectés, « The Wearable Future » « Nos axes de travail restent concentrés sur la voiture et le domicile, car nous avons des certitudes sur ce marché que nous n’avons pas sur la santé connectée, où la législation est contraignante et changeante », explique Michael de Toldi, directeur des données de BNP Paribas Cardif (la société d’assurance de la BNP Paribas).
Connecter le corps, ouvrir la boîte de Pandore
En termes de santé, l’enjeu est en effet complexe pour les assureurs. « Tous les assureurs n’ont alors pas la même vision, annonce Serge Abiteboul, informaticien, professeur à l’ENS Cachan et directeur de recherche à l’Institut national de recherche en informatique et en automatique (Inria). En rencontrant ces professionnels, j’ai vraiment entendu deux discours : ceux ultralibéraux qui fantasment sur l’usage du Big Data, par exemple pour « saucissonner » les risques de santé, et ceux, souvent des mutuelles, qui y voient des possibilités d’offrir de nouveaux services et préfèrent garder la mutualisation du risque. »
Comme souvent, c’est dans le monde anglo-saxon que les premières étapes de l’individualisation – et de la surveillance – sont franchies. Ainsi, la société d’assurance John Hankock propose à ses clients des bracelets connectés, des capteurs d’activité développés par la société états-unienne Fitbit. S’ils atteignent un niveau d’exercices physiques stipulés dans le contrat, le client bénéficie alors d’une série d’avantages, comme des bons cadeaux chez Amazon, des réductions sur des nuits d’hôtels ou des remboursement d’abonnement à des salles de sport. « L’acceptation sociale est beaucoup plus poussée aux États-Unis ou, dans une moindre mesure, au Royaume-Uni pour une raison simple : dans ces pays, un problème de santé peut signifier une faillite personnelle », note Alexis Normand, directeur du département santé au sein de la compagnie française Withings, productrice d’objets connectés.
En France, les assureurs sont plus prudents. Le premier à avoir proposé une offre grand public est le groupe Pasteur Mutualité. Il a intégré des objets de santé connectés dans son contrat, en offrant de rembourser tout achat en la matière jusqu’à 150 euros. Objectif affiché : proposer des solutions de prévention en encourageant l’activité physique avec un podomètre (pour mesurer le nombre de pas quotidien) ou le suivi physiologique avec un tensiomètre ou un glycomètre (pour mesurer le taux de glucose dans le sang), tous connectés. Le groupe précise bien qu’il n’y aura aucune collecte de données. Cela permet tout de même de tester si les assurés sont réceptifs à ce genre de pratique.
Applications de bien-être, objets connectés, autant de mouchards ?
Vous proposer un objet connecté sous des allures ludiques n’est pas forcément indispensable pour collecter vos données de santé. Dans les faits, les assureurs peuvent déjà en acheter à Google, aux réseaux sociaux comme Facebook et même à des entreprises développant les applications présentes sur nos téléphones, comme une application indiquant ou mesurant les parcours de jogging ou de vélos. « Les citoyens sont ambivalents : ils ont conscience des risques pour la sécurité de leurs données, mais ils cèdent en vigilance quand les services à portée de main, sur leur smartphone ou sur leur ordinateur, facilitent leur vie », reconnaît Christian Saout, secrétaire général délégué du Collectif interassociatif sur la santé (Ciss), qui utilise lui-même une application gratuite comptant ses pas.
Beaucoup d’entre nous ont déjà – consciemment ou non – accepté de confier leurs données à des tiers, comme des sociétés développant des applications de course à pied, de conseils nutritionnels, ou de gestion du sommeil. L’application My Fitness Pal par exemple, qui compte les calories et le nombre de pas quotidien, a été téléchargée plus de un million de fois sous Android . Ces données de bien-être peuvent ensuite être revendues. Elles ont de la valeur : la start-up ayant développé ce logiciel a été cédée à pas moins de 475 millions d’euros en février dernier !
Le droit des citoyens européens renforcé mais…
« Nous sommes dans l’ère de la responsabilité : pour se protéger, les utilisateurs doivent lire les conditions générales d’utilisation (CGU) », souligne Alexis Normand, de Withings, qui propose déjà un écosystème de 150 applications interagissant avec leurs objets connectés. Qui prend vraiment le temps de lire intégralement les CGU avant de cocher la case les validant ? « Moi-même, je ne les lis que rarement, car souvent trop longues et fastidieuses, reconnaît Sophie Nerbonne, directrice de la conformité juridique de la Commission nationale de l’informatique et des libertés (Cnil). Nous devons réfléchir au niveau européen à un moyen de consentement qui soit plus lisible pour permettre un consentement éclairé et une réelle maîtrise, par les citoyens, de leurs données. »
En parallèle, une bonne nouvelle est à signaler. Les citoyens français auront bientôt plus de moyens pour défendre leurs droits à la protection des données sensibles. Un règlement européen, qui devrait être voté et adopté d’ici début 2016 et appliqué en 2018, prévoit que le droit du pays des clients – et non des entreprises – soit pris en compte. Or le droit européen est très protecteur. Par exemple, un citoyen français peut demander à un site de lui communiquer l’intégralité des données le concernant, de les rectifier si elles sont inexactes, de s’opposer à tout moment – même après la signature des CGU – à la diffusion, à la vente ou à la conservation de ces informations. Les données de santé, quant à elles, sont particulièrement protégées et accessibles uniquement par un médecin. De plus, si ces droits existent depuis des décennies, le règlement européen rend les sanctions enfin crédibles. L’amende maximale était jusqu’à maintenant de 150 000 euros. « Le projet de réglementation prévoit désormais des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires mondial du groupe concerné, ce qui deviendrait vraiment dissuasif », s’enthousiasme Sophie Nerbonne.
Alimentation, activité sportive, sommeil : des infos stratégiques
La vigilance reste de mise. Déjà, parce que ce règlement ne s’appliquera que d’ici deux ans. Ensuite, parce que deux failles demeurent. Tout d’abord, si les données de santé, dites « sensibles », sont ultraprotégées, les données de bien-être que nous transmettons sont encore régies par le droit contractuel et les fameuses CGU. Or ces informations – alimentation, activité sportive, sommeil – permettent toujours aux assureurs d’estimer notre risque de santé en temps réel.
Enfin, les assureurs peuvent tout à fait accéder à nos données de santé de manière indirecte : les entreprises d’assurance possèdent des filiales d’assistance employant des médecins. Si ces derniers ne peuvent pas communiquer notre dossier médical, ils peuvent très bien communiquer une évaluation, de A à F par exemple, qui évolue en fonction de notre comportement. Un médecin pourra par exemple proposer à un assuré passant dans la catégorie « senior », ou à un patient sortant de l’hôpital, de suivre un « contrat de bien-être » pour réduire son risque et améliorer sa note. Le contrat contiendra alors des objectifs dans le cadre d’un programme concernant la prise de médicament, une activité physique ou une alimentation saine. Accepter ces objectifs, fixés par le médecin, permettra alors d’améliorer sa note. Le refuser, c’est risquer un malus.
Il existe de vrais moteurs de recherche libres, comme Yacy, de plus décentralisé, qui indexent eux-mêmes tout le web, mais malheureusement pour les avoir testés ils ne sont pas prêts (résultats dans toutes les langues, résultats très moyens,…).
Sortir de facebook 