Assurances ultra-personnalisées : quelle éthique des données personnelles ?

26 mai 2020

La multiplication des données personnelles qui accompagne l’explosion du marché des objets connectés donne aux assureurs un aperçu de plus en plus fin des comportements de leurs clients. Mais la collecte de ces données sensibles inquiète et pose question : comment reprendre le contrôle sur nos data à l’heure de l’ultra-personnalisation du risque ?

Le suivi des données de santé et de géolocalisation a pris un nouvel élan avec la crise sanitaire mondiale. Envisagé comme l’un des moyens d’endiguer la pandémie, il a vu fleurir des applications mobiles pour « tracker » le coronavirus dans plusieurs pays touchés. En Chine, les citoyens se sont vu attribuer un code barre de couleur (vert, jaune ou rouge) leur indiquant ce qui leur est possible de faire ou non, de l’interdiction de fréquenter le métro à la mise en quarantaine. La Corée du Sud, elle, a mis au point une application localisant les lieux les plus infectés. En France, pour suivre les mouvements de la population pendant l’épidémie, Orange a fourni les données de géolocalisation (anonymisées et agrégées) de ses abonnés, et l’application de traçage du gouvernement, StopCovid (encore au stade de projet) fait débat depuis plusieurs semaines. Capable de suivre et d’identifier les personnes ayant été en contact avec une personne infectée, elle serait « dangereuse pour nos libertés », selon La Quadrature du net. L’application de télésuivi des patients porteurs ou suspectés du Covid-19 sans signe de gravité, Covidom, est en revanche opérationnelle depuis le 9 mars.

S’ils s’inscrivent aujourd’hui dans une situation d’urgence exceptionnelle, ces dispositifs de « data tracking » ne sont pas neufs. Du nombre de pas réalisé chaque jour à la souplesse de notre conduite, nos comportements sont captés et analysés en continu par les cookies sur nos navigateurs et nos applications, mais aussi sur nos assistants vocaux, montres connectées et autres trackers intelligents. Le marché de la domotique est en pleine croissance, porté notamment par l’essor des assistants vocaux, en passe de devenir la nouvelle norme : selon les prévisions du cabinet Juniper Research, leur nombre devrait atteindre 8 milliards dans le monde en 2023 (contre 2,5 milliards fin 2018). Le secteur de la santé, lui, peut compter sur la vague du quantified self (ou « auto-mesure de soi »), cette tendance à vouloir tout mesurer dans nos performances quotidiennes, de la séance de footing au taux d’oxygène dans le sang.

Pour les assureurs, ces données représentent une opportunité pour se positionner au plus proche de leurs clients, leur permettant de suivre l’évolution des risques en temps réel et de leur proposer des tarifs calibrés sur leur profil et leurs habitudes. Une tendance qui n’est pas forcément pour déplaire aux assurés, si l’on se fie à une étude menée par Accenture en 2016, révélant que 80 % des personnes interrogées « recherchent une personnalisation en termes de conseil, d’offre, de tarif et de communication, que ce soit en assurance auto, habitation ou encore en assurance vie ». Ils étaient presque autant (77 %) à se déclarer « disposés à fournir des données liées à leur usage ou à leur comportement en contrepartie d’une diminution de leur prime ».

Mieux vaut prévenir que guérir

Aux États-Unis et en Grande-Bretagne, la prime au plus vertueux est déjà monnaie courant. Certains assureurs récompensent en effet ceux qui acceptent de porter un bracelet connecté pour prouver qu’ils font régulièrement de l’exercice physique. Développé par Lapetus Solutions, le logiciel d’analyse faciale Chronos permet quant à lui aux assureurs de calculer les primes d’assurance-vie à partir d’un court questionnaire et d’un selfie, auquel il associe divers indicateurs (indice de masse corporelle, pathologies, tabagisme éventuel…) pour estimer l’espérance de vie. Le comportement des assurés s’analyse désormais non plus sur la base de leur historique mais à travers leur quotidien, voire leur futur.

De plus en plus, la prévention s’intègre au quotidien, sans effort. Répondant à une commande vocale, le miroir connecté de CareOS, présent au Cardif Lab’, permet d’accéder « en un regard » à « toutes les informations nécessaires pour évaluer et améliorer vos routines, jouer avec votre reflet et en apprendre davantage sur votre santé » : bilan de la peau, test d’acuité visuelle, essais virtuels de maquillage, conseils personnalisés de soins… Dans le domaine de la santé et du bien-être, la collecte et l’analyse de data augmente la connaissance et le contrôle des individus sur leur corps. Pour les personnes âgées, ces dispositifs riment aussi avec davantage d’autonomie. Faire de la prévention et participer ainsi au mieux-être à domicile avec le plus de sécurité sur le plan de la santé, c’est d’ailleurs l'objectif de l'offre Generation Care développée par BNP Paribas Cardif en France. Intégrée dans la start-up Life Plus, société engagée dans le bien-vieillir et la prévention de la fragilité des personnes âgées et personnes dépendantes, elle permet à ces dernières de mesurer elles-mêmes leurs données de santé (pouls, tension, poids, activité physique…) depuis chez elles et d’assurer un suivi à distance par une équipe médicale.

Pour Renaud Dumora, Directeur Général de BNP Paribas Cardif « les technologies numériques sont des apports gagnant-gagnant au contrat d’assurance », dans la mesure où « elles conduisent à une meilleure prévention des risques, donc à une réduction du coût social des dommages, à une protection plus adaptée mais aussi à une assurance plus accessible». Car cela doit être fait en maintenant le fondement de solidarité de l’assurance: l’ultra-personnalisation des offres d’assurance ne doit pas nuire à l’assurabilité, souligne-t-il en évoquant le risque de la « démutualisation à outrance ». Elle doit au contraire pouvoir augmenter l’assurabilité : « La richesse des bases de données, notamment médicales, permet aux assureurs d’élaborer des solutions dédiées à certaines populations à risque aggravé ».

Voitures et maisons intelligentes

L’essor de « l’assurance au comportement » ne se limite pas au secteur de la santé. Cela fait une quinzaine d’années que le principe de « pay as you drive » a fait son apparition dans l’assurance automobile, avec un principe similaire : proposer des tarifs préférentiels aux meilleurs conducteurs et pénaliser les autres, grâce à un boîtier électronique installé dans le véhicule jaugeant l’agressivité de la conduite.

Idem pour les assurances habitation : en Italie, une assurance habitation H@bitat Homebox, lancée par BNP Paribas Cardif, s’appuie sur une box domotique, des capteurs de fumées, d’inondation et de panne de courant. En cas de problème, une alerte parvient au client par SMS, mail ou téléphone. L’assureur a ainsi enregistré une baisse de 20% des sinistres par rapport à un produit classique. Le futur devrait réserver de beaux jours à ce type d’assurances, au vu de l’attrait qu’exerce le logement connecté en France, aussi bien en termes de confort et de sécurité que de réduction de la consommation énergétique.

Vers un suivi des assurés ?

La collecte et l’exploitation de ces données, souvent sensibles, pose néanmoins question. Selon une étude BCG, 40 % des Français et des Américains se disent inquiets de la manière dont les assurances de santé gèrent leurs données. Il faut dire qu’en matière de santé notamment, les données récoltées peuvent échapper au contrôle des usagers. Une discussion sur une messagerie instantanée ou une recherche sur un moteur de recherche au sujet d’une pathologie particulière, des achats réguliers de junk food et un nombre de pas très faible réalisés par jour donnent aussi des indications sur l’état de santé si toutes ces données sont croisées. Qui sait si demain, ce type de data pourrait aussi entrer en ligne de compte pour déterminer le tarif de votre assurance complémentaire santé ?

Un scénario peu probable à court terme en France, où la loi Evin interdit aux complémentaires santé de proposer des tarifications « comportementales » à leurs assurés. La CNIL encadre par ailleurs la collecte et le traitement des données personnelles, notamment de santé, qui ne peuvent être cédées ni vendues, sauf consentement explicite de l’utilisateur (RGPD oblige), ou à des fins de recherche, comme c’est le cas du Health Data Hub, une base de données médicales mise en place par le gouvernement français. Les contrats d’assurance automobile « pay as you drive », eux, sont autorisés en France à certaines conditions : le pack de conformité « véhicules connectés et données personnelles » publié par la CNIL en octobre 2017 stipule que ces données relatives aux trajets effectués constituent bien des données personnelles qui doivent donc être protégées comme telles.

Reprendre le contrôle sur nos données

Pour rassurer les clients, les assurances misent sur la sécurisation de leurs données et les avantages de la digitalisation. Des contrats intelligents s’appuyant sur la blockchain permettent aux assurés d’être indemnisés automatiquement et en toute sécurité en cas de chômage, par exemple dans certains pays nordiques. D’autres dispositifs redonnent la main aux clients : dans le milieu de l’assurance automobile, « une approche de protection des données dès la conception doit être privilégiée. Elle peut se traduire par la mise en place de tableaux de bord facilement paramétrables, de façon à garantir à l’utilisateur la maîtrise de ses données », écrivent Dominique Paret et Hassina Rebaine dans Véhicules autonomes et connectés (éd. Dunod, 2019).

C’est la même démarche que préconise Mathieu Cunche, professeur à l’INSA-Lyon et membre de l’équipe Privatics de l’INRIA, avec la mise en place de boîtiers sécurisés à domicile sur lequel les objets connectés du foyer pourraient être connectés afin d’éviter toute interaction avec un serveur extérieur. « Avec ce dispositif, les données sont toujours collectées, mais elles ne sont pas envoyées sur des serveurs de Fitbit [qui a été racheté par Google, NDLR] ou d’Apple, par exemple, explique-t-il en mentionnant ownCloud et Cozy cloud. Cela permet d’augmenter le niveau de contrôle des citoyens sur leurs propres données, en décidant qui peut accéder à quel type de données et avec quelle précision. » Et ainsi de calibrer soi-même en toute conscience le niveau de personnalisation du risque dans une possible future offre d’assurance…