Enregistrements d’assurance et RGPD - définition
La question des enregistrements d’assurance et du RGPD couvre les règles de collecte, d’analyse, de communication et de conservation des photos et vidéos utilisées par les compagnies d’assurance et les entités agissant pour leur compte, dans le respect de la réglementation sur la protection des données à caractère personnel. En pratique, il s’agit de contenus documentant un sinistre, une expertise, un accident de la route, l’état d’un bien, la vidéosurveillance du lieu de l’événement ou encore d’enregistrements transmis par le client, le garage, l’expert ou le gestionnaire de sinistre.
Si une personne physique peut être identifiée, directement ou indirectement, à partir d’une photo ou d’un enregistrement, le support contient des données à caractère personnel au sens de l’article 4, point 1, du RGPD, c’est-à-dire du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. Cela concerne notamment l’image du visage, le numéro d’immatriculation d’un véhicule, les caractéristiques distinctives d’une personne ainsi que le contexte permettant son identification. Dans le secteur de l’assurance, cela signifie que les enregistrements ne constituent pas seulement un moyen de preuve, mais aussi un ensemble de données nécessitant une base juridique de traitement, une limitation des finalités, une politique de conservation, un contrôle des accès et une évaluation des risques.
Dans le cadre de l’anonymisation des photos et vidéos, il est essentiel de distinguer le support source, qui peut être nécessaire à la gestion du sinistre ou à la défense de réclamations, du support destiné à une communication ultérieure, à la formation, à l’audit, à une présentation ou à une transmission à des tiers. Dans ce second cas, on applique le plus souvent un floutage des visages et des plaques d’immatriculation afin de limiter les données au strict minimum, conformément à l’article 5, paragraphe 1, point c), du RGPD.
Bases juridiques du traitement des enregistrements par les compagnies d’assurance
Le traitement d’images dans le secteur de l’assurance ne repose pas sur une base juridique unique. En pratique, la base applicable dépend de la finalité, de l’étape de la procédure et du type de support. Le simple fait de détenir un enregistrement ne dispense pas d’indiquer le fondement précis prévu à l’article 6, paragraphe 1, du RGPD.
Les bases juridiques les plus fréquemment utilisées sont les suivantes :
- article 6, paragraphe 1, point b), du RGPD - traitement nécessaire à l’exécution d’un contrat ou à la mise en œuvre de mesures précontractuelles, par exemple la gestion d’un sinistre déclaré par l’assuré ou l’analyse de photos de dommages ;
- article 6, paragraphe 1, point c), du RGPD - respect d’une obligation légale, par exemple des obligations documentaires résultant de la réglementation sectorielle, comptable ou relative à la lutte contre le blanchiment de capitaux ;
- article 6, paragraphe 1, point f), du RGPD - intérêt légitime du responsable du traitement, par exemple la constatation, l’exercice ou la défense de droits en justice, la prévention de la fraude ou la vérification des circonstances d’un événement ;
- article 9, paragraphe 2, point f), du RGPD - lorsque le support révèle des catégories particulières de données et que le traitement est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice.
Si l’enregistrement montre des blessures, une rééducation ou l’état de santé d’une personne, il peut contenir des données sensibles. Dans ce cas, le seul fondement de l’article 6 du RGPD ne suffit pas. Une condition supplémentaire prévue à l’article 9, paragraphe 2, du RGPD est également nécessaire. Cette question est particulièrement importante pour les sinistres corporels ainsi que pour les images issues de caméras hospitalières, de systèmes de vidéosurveillance ou de documents médicaux sous forme visuelle.
Comment comprendre l’anonymisation des enregistrements d’assurance
Dans les usages assurantiels, l’anonymisation vidéo consiste à transformer l’image de telle sorte qu’une personne physique ne puisse plus être identifiée au moyen de moyens raisonnablement susceptibles d’être utilisés. En pratique opérationnelle, on recourt toutefois plus souvent à la pseudonymisation ou au masquage visuel pour une finalité précise de communication, car le support source reste souvent conservé par l’assureur.
Pour les photos et les enregistrements, les opérations suivantes sont les plus courantes :
- détection automatique et floutage des visages ;
- détection automatique et floutage des plaques d’immatriculation ;
- masquage manuel, dans un éditeur, d’autres éléments identifiants lorsqu’ils apparaissent dans le cadre.
Il convient de conserver une terminologie technique précise. Un modèle d’IA basé sur le deep learning est utilisé pour détecter des objets tels que les visages et les plaques d’immatriculation, puis le système applique un masque de flou ou d’occultation sur la zone détectée. Cela ne signifie pas nécessairement une anonymisation du flux vidéo ni un traitement en temps réel. Dans le cas de Gallio PRO, l’automatisation concerne uniquement les visages et les plaques d’immatriculation. Les logos, tatouages, badges nominatifs, documents ou contenus d’écran ne sont pas détectés automatiquement et nécessitent une édition manuelle.
Communication des supports - principe de nécessité et de minimisation
Les enregistrements d’assurance sont souvent transmis à plusieurs destinataires : experts, cabinets d’avocats, réassureurs, garages, gestionnaires de sinistres externes, experts judiciaires et juridictions. Chaque communication de ce type exige d’évaluer si le support complet est réellement nécessaire. Le principe de minimisation des données prévu à l’article 5, paragraphe 1, point c), du RGPD implique que le destinataire ne reçoive que la partie de l’image nécessaire à la réalisation de la finalité poursuivie.
En pratique, cela signifie qu’avant toute communication, il convient de répondre au moins à trois questions :
- le destinataire a-t-il besoin du support source ou une version avec visages et plaques floutés suffit-elle ;
- la finalité de la communication implique-t-elle l’identification des personnes ou uniquement l’évaluation du sinistre, du déroulement de l’événement ou de l’état du bien ;
- la transmission intervient-elle sur la base d’un contrat de sous-traitance, d’une communication de données ou d’une obligation légale.
Dans les relations avec les sous-traitants, il faut tenir compte de l’article 28 du RGPD. Lorsqu’une entité externe traite les enregistrements pour le compte de l’assureur, un contrat de sous-traitance est nécessaire. Si elle agit en tant que responsable du traitement distinct, il convient d’évaluer sa propre base juridique ainsi que ses obligations d’information.
Durée de conservation des enregistrements d’assurance
Le RGPD ne prévoit pas de durée unique et fixe de conservation des enregistrements. Le principe applicable est celui de la limitation de la conservation prévu à l’article 5, paragraphe 1, point e), du RGPD. La durée de conservation doit découler de la finalité, de la réglementation sectorielle, des délais de prescription des actions ainsi que du besoin probatoire réel.
Une bonne pratique consiste à distinguer la conservation selon les étapes et les catégories de supports :
Type de support | Finalité | Exemple d’approche de conservation
|
|---|---|---|
Support de travail issu d’une expertise sur place | Évaluation du sinistre | Jusqu’à la clôture de la gestion du sinistre, puis intégration au dossier des seuls fichiers nécessaires |
Support probatoire | Défense des réclamations, litige | Jusqu’à l’expiration du délai de prescription ou à la clôture définitive de la procédure |
Support de formation ou d’audit | Formation, contrôle qualité | Après anonymisation préalable et selon une durée de conservation distincte, plus courte |
Si le support doit être réutilisé, par exemple pour la formation des gestionnaires de sinistres ou pour des tests de système, il convient de limiter les identifiants visuels. Pour ce type d’usage, une version anonymisée sera en principe plus proportionnée qu’un enregistrement complet.
Paramètres techniques et de contrôle pour l’anonymisation vidéo
Une simple déclaration de floutage ne suffit pas. Pour le DPO et les équipes de sécurité, des paramètres mesurables du processus sont essentiels. Ils permettent d’évaluer le risque de réidentification et la qualité du support après traitement.
Paramètre | Signification | Portée pratique
|
|---|---|---|
Rappel de détection | Pourcentage de visages ou de plaques correctement détectés | Un rappel faible accroît le risque de divulgation de données |
Précision de détection | Pourcentage de détections correctes parmi l’ensemble des détections | Une précision faible augmente le nombre de masques erronés |
Taux de faux négatifs | Pourcentage d’objets non détectés | Indicateur de risque clé pour la vie privée |
Cohérence inter-images | Stabilité du masque d’une image à l’autre | Évite qu’un visage ou une plaque ne soit brièvement visible |
Piste d’audit du processus | Information sur la personne, le moment et le fichier concerné par l’opération | Renforce l’obligation de démontrer la conformité au titre de l’article 5, paragraphe 2, du RGPD |
Dans les environnements à risque élevé, les logiciels on-premise sont privilégiés. Ce modèle limite le transfert de fichiers en dehors de l’infrastructure du responsable du traitement et facilite la mise en œuvre de politiques d’accès, de segmentation réseau et de supervision locale de la conservation. Cela est particulièrement important pour les enregistrements liés aux sinistres corporels et aux pièces utilisées dans les procédures.
Références normatives et pratiques de conformité
L’évaluation de la conformité doit s’appuyer sur les documents sources. Le RGPD, les lignes directrices du CEPD relatives aux notions de responsable du traitement et de sous-traitant, ainsi que les principes de privacy by design prévus à l’article 25 du RGPD, revêtent une importance centrale. En matière de sécurité de l’information, les normes ISO/IEC 27001:2022 et ISO/IEC 27701:2019 peuvent également être utiles, même si elles ne constituent pas en elles-mêmes une base juridique de traitement.
Dans la pratique polonaise, il convient en outre de tenir compte des positions de l’UODO ainsi que des dispositions nationales ayant un impact sur la conservation et l’utilisation probatoire des supports. Lorsque des plaques d’immatriculation apparaissent dans les enregistrements, il est utile de relever l’existence d’une divergence d’interprétation. D’une part, les lignes directrices des autorités de protection des données et la pratique européenne les considèrent souvent comme des données à caractère personnel dans un contexte où l’identification est possible. D’autre part, une partie de la jurisprudence nationale a indiqué que le seul numéro d’immatriculation ne permet pas toujours d’identifier une personne physique. Dans la politique opérationnelle d’un assureur, une approche fondée sur l’évaluation des risques et sur le masquage des plaques lors d’une communication ultérieure du support reste la solution la plus prudente.