Avant même l’entrée en vigueur du RGPD, l’Institut des actuaires s’est saisi de la question des données personnelles. Il est le premier institut au niveau international à avoir élaboré une norme professionnelle pour encadrer non seulement l’utilisation mais aussi la protection des données massives, des données personnelles et des données de santé à caractère personnel. La norme est entrée en vigueur le 1er janvier 2018.
• Privilégier l’anonymisation. La norme incite les actuaires à préférer l’usage de données personnelles anonymisées ou, à défaut, à rendre impossible la réidentification des individus.
• Une durée de conservation limitée. Les données personnelles doivent être conservées pour une durée déterminée. Un allongement de celle-ci doit faire l’objet d’une démarche spécifique, avec l’accord explicite du DPO.
• Maîtriser les outils. Les possibilités offertes sont énormes, tant en termes logiciels que de bases de données, mais elles ne doivent pas faire oublier la responsabilité de l’actuaire. En utilisant ces outils, il devra documenter son contrôle, utiliser des méthodes alternatives et faire état de ses doutes.
• Éviter la discrimination. L’actuaire doit vérifier que des variables discriminantes au regard des réglementations ne sont pas utilisées. Il doit également s’assurer de ne pas réaliser de discrimination tarifaire de façon indirecte du fait de variables externes.