Une attention portée au démarchage téléphonique

Pour faciliter les échanges clients, les professionnels de l’assurance ont développé l’usage du numérique (site internet responsive, perfectionnement des CRM, usage des réseaux sociaux…), mais le téléphone reste un outil efficace, dont la force est la dimension humaine, base de toute relation commerciale.
C’est dans un contexte de développement de la vente à distance que les intermédiaires ont de plus en plus recours au démarchage téléphonique.

Défini par l’ACPR comme consistant « à contacter par téléphone un consommateur afin de lui proposer un produit ou un service, sans que l’intéressé ait effectué de demande explicite en ce sens auprès du professionnel » (1), le démarchage téléphonique fait l’objet d’un encadrement strict via différentes réglementations eu égard aux abus constatés dans le secteur de l’assurance.

Aux termes d’un avis rendu le 19 novembre 2019, le Comité consultatif du secteur financier (CCSF) s’y intéressait déjà, convenant qu’une attention particulière devait être apportée à l’égard des prospects faisant l’objet d’un appel téléphonique non sollicité (appel dit « à froid ») de la part de distributeurs d’assurance. Il était ainsi recommandé de mettre en place un processus de vente en trois étapes (information précontractuelle / consentement écrit / lettre de bienvenue).
Face aux nuisances persistantes subies par les Français du fait de la prospection commerciale, la loi Naegelen (2)est venue, un an plus tard, renforcer les obligations des professionnels recourant au démarchage téléphonique et alourdir les sanctions susceptibles d’être prononcées à leur encontre.

Les règles applicables ont été récemment renforcées par l’adoption de la Loi du 8 avril 2021 portant réforme du courtage3 qui impose l’adaptation et la mise en conformité des procédures utilisées. Plus précisément :

Mise en place d’un dispositif d’enregistrement des conversations téléphoniques et conservation de ces données pendant une durée de deux ans en vue faciliter le contrôle des intermédiaires par les autorités compétentes.

Recueil de l’accord préalable et explicite du souscripteur éventuel à la poursuite de la communication au début de la conversation. Le distributeur doit, dès le démarrage d’une conversation téléphonique de prospection, indiquer sans équivoque l’objet de l’appel et obtenir le consentement explicite de son interlocuteur pour poursuivre la conversation.

Vérification en cas de risque déjà couvert : si l’offre commercialisée concerne un risque déjà couvert, le distributeur doit s’assurer que le souscripteur potentiel peut résilier son contrat en cours concomitamment à la prise d’effet du contrat proposé.

La vente en « un temps » étant formellement interdite, le distributeur d’assurance doit veiller, avant la conclusion du contrat à distance, de la bonne réception par la personne démarchée des documents précontractuels requis (fiche d’information sur le prix et les garanties, projet de contrat et de ses annexes…) et respecter un délai minimal de 24h entre la réception par le souscripteur potentiel des documents et tout nouveau contact par téléphone fixé, avec l’accord exprès du souscripteur ou adhérent potentiel.

Un accord oral d’adhésion recueilli par téléphone n’étant plus suffisant pour satisfaire les exigences de formalisation du contrat, la signature (manuscrite ou électronique) est obligatoire pour que la souscription soit valide.

Postérieurement, le distributeur fournit, par écrit, les informations post-contractuelles au souscripteur ou adhérent, de son engagement, des dates de conclusion et de prise d’effet du contrat, de son droit de renonciation et des modalités d’exercice de ce droit.

Ces nouvelles obligations (qui ne s’appliquent pas lorsque le souscripteur ou l’adhérent éventuel est lié par un contrat en cours, ou a sollicité, ou consenti à être contacté par le distributeur) permettent d’offrir toutes les garanties pour que ce canal de vente très porteur soit mis en œuvre sans préjudicier aux intérêts des personnes démarchées.

Cependant, en cas de non-respect des dispositifs et règles en vigueur, des injonctions voire des sanctions (aux conséquences importantes sur le plan réputationnel) pourront être prononcées par les autorités de contrôle compétentes (ACPR, DGCCRF ou encore CNIL).

Avec la digitalisation, une nouvelle forme de risque

La digitalisation des entreprises et l’utilisation de nouveaux outils permettent d’accéder à de nouveaux marchés, de bénéficier de nouveaux services ou d’offrir des gains de productivité. Elle a également mis en évidence un risque difficile à maîtriser mais aujourd’hui incontournable, le risque cyber.

Une cyberattaque est une atteinte malveillante pouvant viser différents systèmes et dispositifs informatiques comme des ordinateurs, des serveurs ou encore des
équipements périphériques. Les victimes peuvent être des particuliers, des institutions publiques ou encore des entreprises.

Les cyberattaques représentent des risques considérables tant d’un point de vue économique qu’en termes d’image. Or, au cours de ces dernières années, la cybercriminalité s’est mieux organisée (i.e. développement de cyberattaques massives type ransomware, fraude sur Internet, vol de données sensibles…), tirant le bénéfice d’un environnement où la prise de conscience du risque n’est pas encore effective et où la prévention demeure faible.

La crise liée à la Covid-19 a donné plus de possibilités aux cybercriminels, avec un risque accru par la mise en place massive du télétravail : utilisation plus importante d’appareils personnels, plus grande circulation des données, ou encore des procédures de sécurité plus difficiles à mettre en œuvre hors de l’entreprise.

Cependant, des stratégies de protection existent et de nombreuses bonnes pratiques à adopter pour limiter la propagation des cyber-attaques ont été répertoriées par l’ANSSI (4) et un site internet dédié à la cybermalveillance.

Des mesures générales de vigilance doivent être adoptées :
Adoption de « règles d’hygiène informatique » (sécurisation des postes de travail, installation d’un anti-virus, méfiance accrue à l’égard des spams, protection des données, gestion des habilitations et des mots de passe, sauvegardes régulières…) ;
Sensibilisation et formation des collaborateurs sur la diversité des attaques existantes et sur les scénarii à mettre en place, car l’humain est une cible privilégiée des hackers.

En cas de cyberattaque il faut être prêt : votre premier réflexe doit être d’appeler CGPA qui dispose d’un réseau de professionnels compétents pour intervenir rapidement dans la gestion d’un incident cyber !

La capacité d’une entreprise à sécuriser ses données représente aujourd’hui un avantage concurrentiel dans un contexte où l’expérience client ultra-personnalisée est devenue la norme et la collecte des données personnelles une priorité stratégique et commerciale.

Les tendances constatées en matière de collecte et de stockage des données personnelles accroissent inévitablement le risque de cyberattaque car ces données représentent une véritable mine d’or pour les hackers.

Un des principes clés édictés par le RGPD (5) impose une sécurisation des données à caractère personnel et ce, sous peine de sanction. La sécurisation des données collectées par les intermédiaires est aujourd’hui un devoir pour ces professionnels de l’assurance, qui peuvent voir leur responsabilité professionnelle engagée – tant sur le plan civil qu’administratif – en cas de violation des données personnelles.

En adaptant l’existant ou en utilisant de nouveaux moyens, les distributeurs d’assurance se sont clairement engagés dans un mouvement d’innovation. Pour profiter de ses bénéfices, ils devront néanmoins faire évoluer leurs procédures pour garantir la sécurité de leur organisation et se conformer aux exigences réglementaires.

1. Communiqué de presse de l’ACPR du 9 octobre 2019.
2. Loi n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux.
3. Loi n° 2021-402 du 8 avril 2021 relative à la réforme du courtage de l’assurance et du courtage en opérations de banque et en services de paiement.
4. Agence Nationale de la Sécurité des Systèmes d’Information.
5. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement
des données à caractère personnel et à la libre circulation de ces données.