• Home  / 
  • DELIBERATION 2011-144-2

DELIBERATION 2011-144-2

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, notamment son article 25-I-4° ;
Vu le code des assurances ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié en 2007 ;
Vu la demande d’autorisation présentée par la société EUROFIL relative à un traitement de données à caractère personnel ayant pour finalité la lutte contre la fraude aux prestations d’assurance ;
Sur le rapport de M. Eric PERES, commissaire et les observations de Mme Elisabeth ROLIN, commissaire du gouvernement ;
Formule les observations suivantes :
La société EUROFIL, filiale du groupe AVIVA France spécialisée dans la commercialisation de produits d’assurance en ligne, a saisi la Commission nationale de l’informatique et des libertés d’une demande d’autorisation relative à un traitement de données à caractère personnel ayant pour finalité la lutte contre la fraude aux prestations d’assurance.
Sur la procédure suivie auprès de la Commission
La Commission observe que la finalité du traitement projeté est de détecter les demandes d’indemnisation frauduleuses émises par des titulaires de contrats d’assurance de dommage ou par les gestionnaires de contrat afin, le cas échéant, de refuser d’indemniser le sinistre et/ou de procéder à la résiliation du contrat d’assurance ou d’adopter des sanctions disciplinaires à l’encontre d’un gestionnaire.
Ce traitement peut ainsi, du fait de sa nature et de sa finalité, conduire à l’exclusion de personnes du bénéfice d’un droit ou d’un contrat en l’absence de toutes dispositions légales ou réglementaires prévoyant une telle exclusion.
Dès lors, il relève du 4° du I de l’article 25 de la loi du 6 janvier 1978 modifiée en 2004 et doit, à ce titre, faire l’objet d’une autorisation de la CNIL.
Sur la finalité du traitement
Le traitement mis en œuvre permet à la société EUROFIL de détecter des déclarations de sinistre présentant un risque de fraude et de générer des alertes. Une comparaison est réalisée entre les éléments figurant dans la déclaration de sinistre, les éléments du contrat et les autres déclarations de sinistre effectuées précédemment par la même personne ou d’autres assurés à l’aide d’une technique statistique dite de « datamining ».
Il permet d’émettre des alertes sur la base d’une analyse statistique des informations figurant dans les demandes d’indemnisation eu égard aux caractéristiques des demandes précédemment identifiées comme frauduleuses et à l’historique du contrat de l’assuré.
Les alertes sont ensuite analysées par un gestionnaire de sinistre du service de lutte contre la fraude du groupe AVIVA France, le Service Investigations et Lutte contre la fraude (ILCF) qui procède, le cas échéant, à des investigations complémentaires.
S’il s’avère que le titulaire du contrat a tenté de commettre une fraude, la société EUROFIL peut refuser le versement des indemnités correspondantes et/ou à résilier le contrat d’assurance. Dans le cas où la tentative de fraude a été réalisée par un gestionnaire de contrat, la société EUROFIL peut décider d’adopter des mesures disciplinaires à l’encontre de celui-ci.
La Commission constate que le traitement mis en place ne concerne que les contrats d’assurance dommage.
La Commission observe que les alertes détectées donneront systématiquement lieu à une analyse manuelle. Elle observe également qu’avant toute décision de refus d’indemnisation ou de résiliation du contrat, des vérifications complémentaires seront effectuées au vu des éléments déjà fournis par l’assuré et que celui-ci pourra faire valoir ses observations au regard des dispositions prévues à cette effet.
Conformément aux dispositions de l’article 10 alinéa 2 de la loi du 6 janvier 1978 modifiée, aucune décision automatisée n’est donc prise à l’égard des demandeurs de crédit au vu des seuls résultats du traitement.
La Commission observe que ce traitement de détection des alertes ne permet pas d’établir une « liste noire » de personnes identifiées comme ayant tenté de commettre une fraude.
Sur les données collectées et la durée de conservation
Les catégories de données prises en compte concernent :

  • les données relatives au contrat d’assurance:
  • Données d’identification de l’assuré : nom, prénom, numéro d’assuré, adresse, numéros de téléphone, date et lieu de naissance de l’assuré, le cas échéant : nom de la société ayant souscrit le contrat,
  • Données relatives à la situation économique et financière : profession, numéro de compte bancaire, montant total des primes perçues, montant de l’assurance et de la franchise, le montant des versements perçus, le montant total du coût du client, le montant du risque assuré, le bonus, le statut du bonus, le montant de la transaction, les éventuels frais d’avocat,
  • Données relatives au contrat d’assurance : statut et catégorie de l’assuré, nature du produit d’assurance souscrit, canal de distribution, date de clôture et d’annulation.

Pour les garanties d’assurance de véhicule terrestre à moteur : type de conducteur, numéro, date et pays d’émission du permis de conduire, numéro et type de permis de conduire, marque, modèle, puissance, numéro d’immatriculation et d’identification du véhicule, date de fabrication du véhicule et indicateur d’utilisation professionnelle, bonus/malus du conducteur

  • les données figurant dans la déclaration de sinistre :
  • Données relatives à la demande d’indemnisation : numéro de la demande, type de demande, type de demandeur, date et lieu de survenance du sinistre, date d’enregistrement de la demande d’indemnisation, date de règlement de la demande principale, date de clôture, cause de l’événement, versement de la prime, conditions d’éclairage et météorologiques, vitesse du véhicule, informations relatives à la police, validation de la couverture, nombre de jours depuis la souscription du contrat et jusqu’au renouvellement du contrat, nombre de jours entre la date de survenance et la date d’enregistrement, informations relatives aux dommages corporels.
  • Données relatives aux tiers impliqués dans le sinistre : données d’identification et informations relatives à son contrat d’assurance.
  • les données relatives à l’agent d’assurance en charge du dossier : catégorie du canal de vente, nom et service.

Les alertes sont traitées dans un délai de 45 jours par le service Investigations et Lutte contre la fraude. Les alertes non pertinentes sont immédiatement supprimées. Dans le cas contraire, elles sont conservées pendant la période d’investigations et jusqu’à la clôture de l’enquête.
Le dossier de l’assuré ne comporte aucune information relative aux alertes ou aux investigations subséquentes, même lorsque le contrat n’est pas résilié.
La Commission observe que les données relatives au contrat souscrit par l’assuré prises en compte dans l’analyse du sinistre peuvent remonter sur une période de 10 ans.
Les données anonymisées servent également à alimenter et à actualiser le modèle de score.
Sur les destinataires des données
Seuls les personnels habilités du service Investigations et Lutte contre la fraude du groupe AVIVA Assurances ont connaissance des alertes qui leurs sont transmises par la filiale irlandaise procédant à la mise en œuvre du traitement.
La Commission observe que les informations relatives aux sinistres sont mutualisées entre les sociétés EUROFIL et AVIVA Assurances.
Les experts et enquêteurs peuvent également être destinataires de ces informations notamment en cas d’enquêtes.
En cas de suspicion de fraude à l’encontre d’un salarié, la Direction de l’audit interne, en charge de la réalisation des investigations est également destinataire du traitement.
Les actions effectuées par ces personnes sont tracées afin de permettre de détecter et d’analyser tous accès, modifications et suppressions de données non autorisés.
Sur l’information des personnes concernées
Conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, les assurés sont informés de l’existence du traitement mis en œuvre par la société EUROFIL ainsi que des modalités d’exercice de leurs droits d’accès, de rectification et d’opposition au moyen des documents qui leurs sont communiqués au moment de la souscription du contrat. Une mention d’information figure également sur le formulaire de constat amiable. Une information spécifique est réalisée, le cas échéant, au moment du déclenchement d’une enquête.
Enfin, les agents généraux et les gestionnaires de contrats ont été informés de la mise en place de ces traitements et de ses conséquences potentielles.
Dans ces conditions, la Commission autorise, la société EUROFIL à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre la fraude aux prestations d’assurance.

Le Président
Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: