En tant que courtier, si vous souhaitez conclure un partenariat avec une insurtech, votre collaboration doit être parfaite aussi sur le plan juridique. Mais pour vous protéger au mieux, quels contrats devez-vous conclure ? Lors de notre deuxième VDA Digitalk, nous avons interrogé Leen Van Goethem, avocate auprès de PwC Legal.

Comment aborder les aspects juridiques de la collaboration avec les insurtechs ?

« Avec l’émergence des insurtechs, une collaboration tripartite s’installe entre le courtier, l’entreprise insurtech et l’assureur », explique Leen Van Goethem. Ces parties doivent conclure les contrats nécessaires en vue de répartir les responsabilités entre elles. « L’insurtech le fait en premier lieu avec l’assureur, mais le courtier doit également conclure un contrat avec l’insurtech. » Que prévoient donc ces contrats ?

Fixer le partage des responsabilités, noir sur blanc

« Lorsque, en tant que courtier, vous recourez aux prestations d’une insurtech, celle-ci vous indique son fonctionnement technologique, sans que vous ayez beaucoup de contrôle sur ce point. Comme à votre demande, c’est une tierce partie qui traite les données de vos clients, il est essentiel qu’un contrat définisse clairement le mode de collaboration entre elle et vous. Qui va faire quoi et qui est responsable de quoi ? »

À cet égard, il importe que la responsabilité du courtier soit limitée. « Il est responsable envers ses clients du choix d’un bon prestataire de services pour le traitement de leurs données. Mais l’insurtech est elle responsable du bon déroulement de la prestation de services et d’une communication correcte avec la compagnie d’assurances. »

Organiser un traitement correct des données à caractère personnel

Les insurtechs traitent souvent des données clients au nom et pour le compte du courtier. Données d’identité, informations sur les assurances du client, détails de ses polices… Le courtier doit donner des instructions explicites à l’insurtech sur la manière dont elle doit traiter ces informations. C’est possible dans le contrat qui régit la collaboration ou dans une convention de traitement distincte.

Que doit contenir le contrat ? « Le contrat reprend les détails de l’article 28 du Règlement général européen sur la protection des données, mieux connu sous le nom de RGPD. L’insurtech doit par exemple prendre les mesures techniques et organisationnelles suffisantes pour garantir la sécurité des données. En outre, elle ne peut pas utiliser les données des clients sans autorisation à d’autres fins, comme des fins de marketing direct, ou les transmettre à des tiers sans formalité. »

Quid si une insurtech doit transmettre des données à une autre insurtech ? « Dans ce cas, le courtier doit déterminer dans son contrat avec l’insurtech initiale si c’est possible ou non. De plus, le contrat doit préciser que la première insurtech reste responsable de tout ce que font les autres insurtechs, et que ces dernières doivent respecter les mêmes conditions, notamment en matière de protection des données. »

À son tour, l’assureur ne transmettra des données à une insurtech que s’il est certain que le courtier a donné des instructions en ce sens. « D’une part, la compagnie confie contractuellement la responsabilité au courtier de conclure une convention avec l’insurtech. D’autre part, l’assureur doit pouvoir vérifier techniquement si les données que l’insurtech lui demande, concernent un client d’un courtier qui travaille avec la compagnie. »

Qu’arrive-t-il si vous ne réglez pas ces formalités ?

Que risquez-vous si vous ne concluez pas avec une insurtech un contrat qui vous protège suffisamment ? « En cas de problème, nous nous référons à la législation qui prévoit que c’est le courtier qui est responsable. Ce dernier aura alors du mal à se retourner contre l’insurtech. »

Quoi qu’il en soit, l’existence d’un contrat relatif au traitement des données à caractère personnel constitue déjà une obligation en soi. « Si un courtier n’en a pas, il enfreint la loi et risque de se voir infliger des amendes par l’Autorité de protection des données. Et soyez sûrs que ces amendes sont réellement infligées. Surtout après la plainte d’un client, qui par exemple, n’a pas une idée exacte des données qu’une entreprise possède à son sujet. »

Enfin, toute entreprise peut être la cible d’une cyberattaque. « Une fuite de données de ce type chez une insurtech peut nuire considérablement à la réputation du courtier », souligne Leen Van Goethem. « En outre, la fraude à l’identité est de plus en plus fréquente. La façon de traiter les données à caractère personnel prend donc sans cesse plus d’importance et les clients s’en préoccupent de plus en plus. »

Comment régler tout cela facilement ?

Tout doit être noté noir sur blanc, mais pour vous, en tant que courtier, il vous suffit de conclure un seul contrat avec votre propre insurtech. Et pas d’inquiétude car selon l’avocate de PwC Legal, les entreprises insurtechs proposent souvent un contrat standard. « Il s’agit de le lire attentivement, éventuellement avec l’aide d’un juriste. »

Il reste bien entendu toujours une différence entre ce qui se trouve sur papier et la réalité. « Comme courtier, vous devez avant tout avoir suffisamment confiance en l’insurtech que vous avez choisie. Vous le trouverez fiable s’il vous présente directement un contrat correct, s’il vous informe précisément sur ses services, si d’autres courtiers sont satisfaits… »

Une fois votre collaboration avec l’insurtech devenue opérationnelle, vous devrez l’évaluer. « Vérifiez régulièrement, dans la mesure du possible, si la prestation de services se déroule comme prévu. De nombreux prestataires de services IT peuvent présenter un certificat ISO ou se soumettre régulièrement à un audit. N’hésitez pas à vous renseigner auprès de l’insurtech. Cela vous permet de rester attentif à la situation. »

Intervenants

Leen Van Goethem

Leen Van Goethem

PwC Legal

Leen Van Goethem est Senior Management Associate chez PwC Legal, et a plus de 10 ans d’expérience en droit pour les domaines IT et privacy.

Steve Goossens

Steve Goossens

Vivium

Steve Goossens est Chief Digital & Data Office chez Vivium.