La Commission nationale de l’informatique et des libertés,

Saisie par le ministère de l’économie, des finances et de la souveraineté industrielle et numérique d’une demande d’avis concernant un projet de décret relatif aux modalités techniques de résiliation et de dénonciation des contrats et règlements par voie électronique ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modi 8.I.4.a fiée relative à l’informatique, aux fichiers et aux libertés, notamment son article ;

Vu la loi n° 2022-1158 du 16 août 2022 portant mesures d’urgence pour la protection du pouvoir d’achat, notamment son article 17 ;

Sur la proposition de M. Philippe-Pierre CABOURDIN commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Emet l’avis suivant :

La Commission a été saisie par le ministère de l’économie, des finances et de la souveraineté industrielle et numérique d’un projet de décret relatif aux modalités techniques de résiliation et de dénonciation des contrats et règlements par voie électronique.

L’article 17 de la loi n° 2022-1158 du 16 août 2022 portant mesures d’urgence pour la protection du pouvoir d’achat prévoit une obligation pour les organismes d’assurance, de mutuelle et de prévoyance, de mettre à disposition de leurs assurés et souscripteurs un système de résiliation en ligne simplifié de leurs contrats ou règlements. Ces dispositions ne créent pas de nouveaux droits légaux à la résiliation de contrat d’assurance.

Cette obligation concerne l’ensemble des contrats portant sur la couverture des personnes physiques en dehors de leurs activités professionnelles directement ou par l’intermédiaire de personnes morales lorsque le contrat concerné couvre les personnes physiques en dehors de telles activités. Ce dispositif doit être mis en place par les professionnels concernés du secteur de l’assurance dès lors qu’ils offrent la possibilité de conclure des contrats par voie électronique ; cette modalité de résiliation ou de dénonciation pourra donc être utilisée indépendamment du fait que le contrat en cause ait été souscrit par voie électronique ou non.

Le projet de décret, objet de la présente saisine, fixe les modalités d’accès et d’utilisation de la fonctionnalité de résiliation et de dénonciation des contrats ou des règlements par voie électronique, en application de l’article 17 de la loi n° 2022-1158 du 16 août 2022.

Il prévoit qu’à partir du 1^er juin 2023 au plus tard, les assureurs mettent à disposition des souscripteurs, adhérents ou des membres participants, une fonctionnalité de résiliation ou de dénonciation du contrat directement et facilement accessible à partir de leur interface en ligne. Il mentionne ensuite les informations permettant d’identifier le souscripteur, l’adhérent ou le membre participant, de formuler la demande et de recevoir la notification de la résiliation ou de la dénonciation.

Sur les modalités d’identification du demandeur

Les projets d’articles D. 113-7 du code des assurances, D. 221-1 du code de la mutualité et D. 932-6 et D. 932-7 du code de la sécurité sociale consacrent des modalités similaires d’identification du demandeur à la résiliation ou à la dénonciation du contrat. Ces dispositions prévoient que peuvent être collectés, aux fins d’identification du demandeur et de précision de la demande de résiliation ou de dénonciation :

• le nom et prénom du demandeur personne physique, la raison sociale ou la dénomination sociale dans le cas d’une personne morale et tout autre élément strictement nécessaire permettant d’identifier le demandeur ainsi qu’un moyen de contact afin que l’assureur puisse lui confirmer la réception de la notification de la résiliation ou de la dénonciation sur un support durable ;
• toute référence préalablement communiquée au demandeur pour identifier celui-ci et le contrat concerné (par exemple, le numéro de contrat et le risque couvert) ;
• le motif de la résiliation ou de la dénonciation à choisir parmi une liste ;
• la date de l’événement donnant lieu à résiliation.

En premier lieu, s’agissant de la collecte de "tout autre élément strictement nécessaire" permettant d’identifier le demandeur, le ministère a précisé que ces éléments permettront notamment de distinguer entre plusieurs assurés dans des situations d’homonymie ou de compléter les critères de recherche de l’assureur dans le cas où les informations initialement communiquées ne seraient pas suffisantes. La Commission prend acte de ce que cette collecte ne peut avoir lieu que dans le cas où la résiliation ou la dénonciation ne s’effectue pas depuis l’espace en ligne personnalisé du demandeur, où son identité est déjà vérifiée.

En deuxième lieu, la Commission relève que, s’agissant du motif de la résiliation ou de la dénonciation, les personnes concernées pourront sélectionner le fondement « autres » afin d’indiquer un autre motif que ceux déjà prédéterminés. Les zones de saisie de texte libre favorisent le risque de renseigner des commentaires inappropriés ou non pertinents en lien avec la vie privée des personnes concernées. A cet égard, si le ministère décidait de maintenir cette zone de saisie de texte libre, la Commission rappelle qu’il est nécessaire de mettre en œuvre des mesures afin de limiter l’enregistrement aux données strictement nécessaires à l’instruction du dossier (limitation du nombre de caractères, mention spécifique destinée aux utilisateurs pour les sensibiliser, suppression rapide des données non pertinentes, etc.).

En troisième lieu, la création d’un espace en ligne personnalisé ne devrait pas être imposée pour la résiliation ou la dénonciation du contrat en ligne, sauf à prouver qu’il n’existe pas de moyen moins intrusif pour effectuer cette vérification de manière sécurisée. L’échange des informations nécessaires pourrait ainsi se faire via un formulaire « HTTPS » sécurisé permettant la collecte des données à caractère personnel nécessaires à la résiliation ou à la dénonciation du contrat.

Enfin, la Commission prend également acte de ce que les organismes d’assurance concernés n’ont pas vocation à demander des informations qu’ils n’auraient pas déjà collectées dans le cadre de la relation contractuelle. La Commission invite le ministère à rappeler ce principe dans le projet de décret.

Sur l’information des personnes concernées

La Commission rappelle que les personnes concernées devront être informées, conformément aux articles 12 et 13 du règlement général sur la protection des données (RGPD). Cette information devra notamment préciser que les données à caractère personnel collectées ne seront utilisées qu’aux fins d’identifier le demandeur et de prendre en compte la demande de résiliation ou de dénonciation, et la durée de conservation des données ainsi communiquées.

La Présidente

M.-L. DENIS