La question des données clients et de leur protection revient sans-cesse dans le débat qui entoure la vente d’assurance en ligne et l’utilisation d’internet par les assureurs.
L’article 39 de la loi du 6 janvier 1978, modifiée en 2004, permet à tout un chacun de demander, à tout organisme qui détient des informations à son sujet, les données stockées dans des fichiers informatisés ou manuscrits. C’est également valable pour les commentaires attenants et le moyen par lequel ces données ont été obtenues. Le cas échéant, le demandeur peut ordonner à l’organisme de les supprimer.
L’organisme dispose d’un délai maximal de deux mois après la réception de la demande pour y répondre, conformément à l’article 94 du décret du 20 octobre 2005 pris pour l’application de la loi du 6 janvier 1978 modifiée.
La loi oblige aussi les entreprises en ligne à conserver les données des utilisateurs seulement un certain temps mais la notion de durée reste floue puisqu’il est question de « la durée nécessaire à l’accomplissement… » de la relation de prospection. Frédéric Thu, conseiller CNIL et directeur de l’entreprise CILEX, spécialisée en consulting et en informatique, a travaillé à la réalisation du site mutuelle.fr sur lequel, le consommateur n’est pas obligé de donner ses informations personnelles pour avoir accès à des devis. « On ne peut pas garder ces données indéfiniment. La CNIL recommande de garder ces données trois ans maximum s’il n’y a pas d’échange, ou six mois maximum après contact » commente-t-il.
En ce qui concerne le transfert ou la revente de données à une autre société, le site est tenu de spécifier l’information à l’utilisateur en lui proposant de cocher une case en rapport avec ce transfert, information qui doit être visible et non pas cachée au milieu des CGU du site.
Lorsqu’on l’interroge sur le modèle économique des comparateurs, avec la mise en relation comme principale source de revenu, qui pousse les entreprises à demander rapidement des informations personnelles lors de la recherche, le spécialiste acquiesce : « Ils en ont besoin pour se faire une base de prospect à qui ils envoient ensuite de la documentation. » Et selon lui, pas toujours la documentation demandée : « On y ajoute, par exemple, de la documentation pour une assurance auto si vous avez demandé une assurance santé. »
Tout cela est-il bien légal ? « La CNIL peut être saisie du dossier et sanctionnée si elle reçoit plusieurs plaintes sur le sujet. Le cadre légal dit que l’on doit seulement collecter les informations nécessaires et on n’a pas besoin d’un nom pour envoyer un devis. » Et d’expliquer via un exemple plus concret : « Quand vous poussez la porte d’une agence, on ne vous demande pas votre pièce d’identité pour réaliser un devis. En ligne, la collecte d’information va plus loin et je ne sais pas si les comparateurs sont conscients qu’ils sont à la limite. » Une limite vite franchit également par les sites de ventes en ligne.
La collecte et le stockage d’informations personnelles ne sont donc pas illégaux mais limités et encadrés par la loi. Le business de la mise en relation avec des assureurs étant encore assez récent, les instances ne se sont pas encore penchées dessus mais, conformité oblige, il se pourrait que la CNIL se saisisse un jour du dossier sérieusement.
