1. Introduction : le dilemme numérique des assureurs européens

Insurance Europe voit dans le futur paquet Omnibus numérique de la Commission européenne une occasion cruciale pour créer un cadre législatif plus cohérent et rationalisé. Elle considère qu'un environnement réglementaire simplifié et prévisible est essentiel pour permettre au secteur d'investir sereinement dans l'innovation numérique et pour renforcer la résilience économique globale de l'Europe.

Le secteur européen de l'assurance joue un double rôle essentiel dans l'économie numérique. D'une part, les assureurs sont des moteurs clés de la transformation numérique. Ils renforcent la résilience numérique de la société, proposent des solutions d'assurance cyber élaborées et utilisent les outils informatiques pour améliorer l'expérience client et promouvoir l'inclusion financière. L'utilisation des données par le secteur est cruciale pour accroître l'assurabilité des risques, mais aussi pour détecter et prévenir la fraude. D'autre part, la capacité d'innovation du secteur est mise à mal par une mosaïque de réglementations numériques complexes, chevauchantes et parfois incohérentes, couvrant l'intelligence artificielle (IA), le cloud, la protection des données et la cybersécurité.

2. Principes clés pour un cadre numérique cohérent

Pour que la législation numérique soit réellement adaptée, Insurance Europe propose que les décideurs européens appliquent plusieurs principes directeurs afin que toute simplification soit concrète et efficace :

• Réduction réelle des contraintes : supprimer les obligations redondantes, non essentielles ou de faible valeur ajoutée.
• Clarté et transparence : éviter de présenter une complexité rebaptisée en simplification et communiquer clairement les intentions et les impacts.
• Coordination entre les niveaux : assurer la cohérence entre les règles émanant de la Commission européenne, des autorités européennes de supervision (AES) et des autres autorités concernées.
• Réglementation fondée sur des données probantes : accorder suffisamment de temps à la mise en œuvre et à l'évaluation avant toute révision.
• Respect des difficultés de mise en œuvre : consulter les entreprises en amont, car ce qui paraît simple sur le papier peut être très complexe dans la pratique.
• Limiter les obligations de reporting externe : favoriser les échanges d'informations entre autorités plutôt que d'imposer aux entreprises plusieurs flux de rapports distincts.
• Viser la cohérence mondiale : combler les lacunes et éliminer les contradictions là où les orientations européennes font défaut.

3. Rationaliser la gouvernance de l'IA

Bien que le Règlement sur l'IA (AI Act) soit une nouvelle législation importante, il vient s'ajouter à un ensemble déjà vaste de règles européennes qui traitent de nombreux risques potentiels liés à l'IA dans le secteur de l'assurance. Des cadres existants comme Solvabilité II contiennent déjà des dispositions robustes en matière de gouvernance, de contrôles internes et d'évaluation des risques. La directive sur la distribution d'assurance (DDA) garantit la surveillance des produits et leur adéquation aux besoins des clients, quelle que soit la technologie utilisée. De plus, DORA assure la résilience des systèmes d'IA, et le RGPD encadre l'usage des données personnelles dans les applications d'IA.

Recommandations clés pour réguler l'IA

1. Clarifier l'articulation avec les règles financières existantes : fournir des orientations indiquant où les exigences de Solvabilité II et de la DDA satisfont déjà à celles de l'AI Act, afin d'éviter les doublons et de faciliter la mise en œuvre.
2. Exclure explicitement les modèles statistiques traditionnels : confirmer que les méthodes statistiques classiques (comme les modèles linéaires généralisés – GLM) ne relèvent pas de la définition d'un système d'IA selon l'AI Act, pour éviter des tâches inutiles.

4. Réformer les exigences d'audit liées au cloud et aux prestataires tiers

En vertu de DORA et de Solvabilité II, les assureurs sont soumis à des obligations d'audit redondantes et lourdes concernant leurs prestataires TIC critiques, notamment les fournisseurs de services cloud. Les règles exigent un « accès effectif à toutes les informations… y compris la réalisation d'inspections sur site », une exigence devenue obsolète et peu réaliste à l'ère du cloud. Il conviendrait de privilégier les certifications et la conformité aux normes de sécurité.

Le problème central vient du fait que la réglementation stipule que les institutions « ne doivent pas s'appuyer uniquement sur les certifications ou les rapports d'audit tiers sur le long terme ». Ainsi, même lorsqu'un fournisseur détient des certifications reconnues ou a déjà été audité par les AES, les institutions financières doivent encore mener leurs propres audits coûteux et chronophages. Cela crée de l'inefficacité et augmente même le risque de concentration.

Recommandations clés pour la supervision du cloud

• Permettre un usage plus efficace des certifications reconnues et des rapports d'audit tiers afin d'éviter les doublons.
• Donner aux institutions financières accès aux résultats des audits menés par les équipes conjointes d'examen des AES dans le cadre de DORA.
• Autoriser des audits proportionnés, ciblés sur les services réellement critiques pour l'entreprise concernée.
• Préciser que pour les services TIC, les dispositions spécifiques de DORA doivent primer sur les règles générales d'externalisation de Solvabilité II.

5. Démêler l'enchevêtrement des législations sur la cybersécurité

La prolifération des réglementations en matière de cybersécurité crée des chevauchements et des difficultés de mise en œuvre. Une approche plus coordonnée est urgente.

Cybersecurity Act (CSA) et charge de reporting

La révision prévue du Cybersecurity Act offre l'occasion de réduire les charges administratives. La priorité doit être de traiter la duplication des exigences de signalement d'incidents cyber présentes dans différentes lois.

• Harmoniser les formats de rapport et adopter une approche fondée sur le risque.
• Fournir des lignes directrices claires aux États membres pour éviter les cadres nationaux contradictoires.
• Donner plus de visibilité aux entreprises sur les attentes des autorités concernant les critères de déclaration d'incidents.
• Garantir la participation transparente des parties prenantes à l'élaboration des futurs schémas de certification.

Chevauchement entre le Cyber Resilience Act (CRA) et DORA

Le CRA, de portée horizontale, et DORA, spécifique au secteur financier, imposent des obligations redondantes. Le secteur financier devrait être exempté des mesures du CRA lorsqu'il est déjà soumis à DORA.

Améliorer la mise en œuvre de DORA

DORA constitue la pierre angulaire de la législation sur la cybersécurité du secteur financier, mais sa mise en œuvre initiale a révélé des lourdeurs à corriger.

Simplifier le reporting DORA :

• Relever les seuils de déclaration des incidents majeurs (ex. à 100 000 EUR).
• Se concentrer sur les incidents critiques et autoriser des estimations dans les rapports intermédiaires.
• Créer un modèle unique européen de rapport d'incident cyber, compatible avec DORA et le RGPD.
• Simplifier les « registres d'informations » (ROI) en supprimant les champs non essentiels et en normalisant les modèles.
• Éviter les revues multiples lors des soumissions à différentes autorités.
• Mettre en place un répertoire centralisé européen des sous‑traitants TIC pour plus de transparence.

Assurer une application plus proportionnée de DORA :

• Adapter les exigences en fonction du profil de risque.
• Clarifier la définition des « services TIC ».
• Réduire les doublons pour les prestataires intragroupe soumis aussi à la directive NIS2.
• Exclure les travailleurs indépendants ou « body leasing » de la définition de fournisseur TIC.
• Encourager l'usage des certifications reconnues et des audits mutualisés.

6. Améliorer la clarté autour de l'utilisation des données et de l'innovation

Pour favoriser l'innovation fondée sur les données, l'UE doit renforcer la cohérence entre le RGPD, l'AI Act et le Data Act.

Décision automatisée selon le RGPD

Une interprétation trop stricte de l'article 22 du RGPD freine les processus automatisés bénéfiques. Certains régulateurs estiment qu'une décision automatisée est interdite dès lors qu'un humain pourrait l'effectuer, ce qui bloque la digitalisation. Exemple : une assurance automobile en ligne où le client obtient un contrat via une application mobile en envoyant une photo de son véhicule. Le tarif est calculé automatiquement et la couverture débute au paiement. C'est une décision automatisée qui profite au consommateur.

Recommandation : considérer l'article 22 comme un droit du client à une intervention humaine et à la contestation d'une décision, et non comme une interdiction préalable, à condition que des garanties soient en place.

Interaction entre le RGPD et l'AI Act

L'application parallèle du RGPD et de l'AI Act crée des doublons, notamment entre l'évaluation d'impact sur la protection des données (EIPD/DPIA) et l'évaluation d'impact sur les droits fondamentaux (FRIA) exigée par l'AI Act.

• Confier la supervision de l'AI Act au régulateur d'assurance compétent.
• Supprimer l'obligation de FRIA ou aligner son contenu sur la DPIA.
• Établir des lignes directrices européennes claires pour éviter des interprétations divergentes.

Base juridique pour entraîner l'IA et l'anonymisation des données

Deux obstacles majeurs subsistent :

• Absence de base légale claire pour utiliser des données sensibles dans la formation de modèles d'IA - essentielle pour des modèles justes et non biaisés.
• Incertitude juridique sur le moment où les données peuvent être considérées comme véritablement anonymes.

Recommandations :

• Introduire une base juridique spécifique et limitée pour l'utilisation de données sensibles dans le développement et les tests d'IA, avec des garde‑fous stricts.
• Clarifier la méthodologie d'anonymisation en adoptant une approche relative, selon laquelle des données pseudonymisées ne seraient pas considérées comme personnelles si le destinataire ne peut raisonnablement réidentifier les individus.

7. Conclusion : appel à une régulation cohérente et adaptée à l'avenir

Simplifier les règles numériques de l'Europe n'est pas un simple exercice administratif - c'est une nécessité pour permettre au secteur de l'assurance d'investir dans l'innovation, de mieux servir ses clients et de contribuer à la résilience économique du continent. Le futur paquet Omnibus numérique représente un moment charnière pour corriger les chevauchements, incohérences et contraintes disproportionnées identifiées ici. Nous appelons les décideurs européens à saisir cette occasion pour mettre en œuvre ces recommandations et bâtir un cadre réglementaire numérique plus simple, cohérent et efficace pour l'avenir.