RGPD et lutte contre la fraude dans l’assurance – Par Deborah BRIMBERG

Les compagnies d’assurance font régulièrement appel à des enquêteurs externes lorsqu’un cas de suspicion de fraude est relevé en interne. Elles mandatent ainsi des détectives privés aux fins de mener des investigations ayant pour objet de vérifier les circonstances du sinistre déclaré et/ou d’évaluer l’ampleur des dommages subis, et par là, confirmer ou infirmer la suspicion de fraude.
Compte tenu de l’ensemble des informations qui seront collectées à propos de l’assuré suspecté de fraude, et des méthodes de collecte plus ou moins intrusives mises en œuvre par le détective mandaté, la recherche des cas de fraudes peut générer des pratiques portant atteinte à la vie privée de l’assuré.

C’est pourquoi l’exploitation des résultats de l’enquête par l’assureur aux fins de refuser d’indemniser un assuré fraudeur est aujourd’hui encadrée par la jurisprudence, tant française qu’européenne, qui recherche si l’atteinte à la vie privée de l’assuré est proportionnée « au regard de la nécessaire et légitime préservation des droits de l’assureur et des intérêts de la collectivité des assurés » (v. notamment Cass. Civ. 1ère, 31 octobre 2012, n° 11-17.476).

Cette recherche s’effectue sur la base des critères suivants : l’ampleur et la durée des investigations, ainsi que le lieu de constations des fraudes (privé/public).

Si l’atteinte à la vie privée de l’assuré suspecté de fraude peut être justifiée sous certaines conditions, qu’en est-il de la protection de ses données personnelles dans le cadre du traitement mis en œuvre par son assurance ?

En matière de lutte contre la fraude, d’un point de vue protection des données personnelles, il sera d’abord rappelé que les assureurs ne peuvent refuser d’indemniser un adhérent sur la base du seul résultat d’un traitement automatisé de données pour la détection des fraudes ; la doctrine de la CNIL et aujourd’hui les dispositions du RGPD venues l’entériner imposent une intervention humaine avant qu’une décision produisant des effets juridiques à l’égard des personnes concernées ne soit prise.

La CNIL précisait déjà dans son AU-039 que « les requêtes ou alertes détectées automatiquement doivent donner lieu à une analyse non automatisée par le personnel habilité de l’organisme ou du groupe auquel il appartient, le cas échéant des investigations complémentaires pourront être diligentées ».

C’est ainsi dans le cadre plus général des traitements de données à caractère personnel ayant pour finalité la lutte contre la fraude que les compagnies d’assurance font appel à des enquêteurs pour corroborer les résultats de leurs outils et procédures internes de détection des fraudes.

La question se pose alors de savoir si les investigations menées en vue de constater la fraude respectent effectivement les principes de la règlementation en matière de protection des données personnelles.

D’une part, le traitement en ce qu’il repose sur les intérêts légitimes poursuivis par l’assureur (et en cela il sera soulevé que la base légale du traitement fait échos à la jurisprudence précitée, fondée sur les « intérêts de la collectivité des assurés ») ne saurait prévaloir sur « les intérêts ou les libertés et droits fondamentaux de la personne concernée » (art. 6-1-f du RGPD). Or le respect de la vie privée est un droit fondamental de la personne.

A ce propos, il sera notamment relevé qu’aux termes du considérant 47 du RGPD « les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur ».

Quid dans le cadre des informations collectées au moment de la déclaration du sinistre ? L’assuré est-il notamment informé que, suite à cette déclaration, des investigations pourront être menées pour en vérifier la véracité ? Doit-on considérer que l’assuré s’attend « raisonnablement » à ce traitement ultérieur ? Ces questions font appel au principe de transparence : il parait en effet utile de s’interroger sur l’information reçue par les assurés et du moment où celle-ci est donnée.
D’autre part, la question se pose nécessairement de savoir si la collecte des informations dans le cadre des investigations est conforme au principe de minimisation ? Comment s’assurer que les informations recueillies sont toujours nécessaires à la finalité du traitement (à savoir, la lutte contre la fraude à l’assurance) ? L’enquêteur, s’il peut être considéré comme un sous-traitant de l’assureur pour son traitement de lutte contre la fraude, est-il contractuellement soumis aux obligations issues du RGPD ? Une durée de conservation est-elle déterminée concernant les résultats (positifs ou négatifs) de l’enquête ?

Au vu de ces différentes interrogations, il apparait opportun voire même nécessaire, de formaliser les obligations issues du RGPD dans la lettre de mission qui lie l’assureur au détective ; notamment, il sera essentiel de rappeler que les investigations dont le fraudeur fait l’objet ne doivent pas être disproportionnées par rapport à la finalité du traitement.

C’est ainsi que l’on retrouve les critères d’appréciation posés par la jurisprudence pour caractériser l’atteinte à la vie privée : il n’est nul doute que d’un point de vue protection des données personnelles, l’ampleur (principe de minimisation) et la durée des investigations, ainsi que le lieu de constations de la fraude (collecte des données) seront déterminants pour apprécier si les « intérêts légitimes » de l’assureur ne prévalent pas sur le droit au respect de la vie privée de l’assuré et donc, si le traitement mis en œuvre est bien doté d’une base légale.

La balance opérée par la jurisprudence entre les intérêts de l’assureur et le droit au respect de la vie privée de l’assuré apparait ainsi utile dans la détermination du caractère licite du traitement de gestion des alertes révélant une suspicion de fraude dans le cadre duquel sont mandatés les détectives privés.

Retour