Étude de l’Europe institutionnelle
23 Mai 2025
Sommaire
FiDA, DORA, IA Act : comment le Parlement français adapte la réglementation
S’il est un secteur d’activité où le numérique a induit de profondes transformations et des enjeux cruciaux, c’est bien celui des assurances. Avec à la clé, la mise en place de cadres réglementaires complexes qui sont souvent portés au niveau européen puis transposés nationalement mais qui font toutefois l’objet d’un suivi scrupuleux et de débats par les parlementaires français. Petite synthèse des principaux projets de loi et règlements adoptés ou débattus en 2024-2025 sur l’assurance et le numérique en France. Les thèmes majeurs concernent la cybersécurité, l’intelligence artificielle, la digitalisation des services assurantiels et l’accès aux garanties pour les collectivités.
De FiDA ...
Premier dossier d’ampleur qui concerne les assurances et les technologies numériques : FiDA (pour Financial Data Access). Si les assurés n’en ont probablement jamais entendu parler, cette proposition de règlement a été adoptée en décembre 2024 par les États membres de l’Union européenne. Elle vise à ouvrir de façon sécurisée l’accès aux données bancaires, d’assurance et d’épargne des consommateurs et des entreprises dans toute l’Union européenne. Autrement dit, cela obligerait les assureurs à remettre, aux clients qui en font la demande, toutes les données les concernant, pour qu’ils puissent éventuellement démarcher une autre compagnie d’assurances et trouver un meilleur service.
Assureurs et mutualistes ne sont guère enthousiastes à l’égard de cette démarche. Outre la crainte d’une distorsion de concurrence, ceux-ci pointent des risques en termes de sécurisation des données des clients, voire des usages impropres de ces dernières avec ces transferts. En attendant la date d’entrée en vigueur effective en 2027, le texte poursuit son parcours législatif au sein des instances européennes.
Depuis 2023, le Sénat dispose toutefois d’une fiche thématique et d’un suivi du texte, qui insiste notamment sur l’exclusion des données d’assurance vie et santé du dispositif, ainsi que sur la protection du principe de la mutualisation du risque et des personnes les plus vulnérables. De son côté, le gouvernement français plaide pour une réévaluation de FiDA, en soulignant plusieurs préoccupations majeures : un coût de mise en conformité « largement supérieur » aux prévisions initiales de la Commission, un risque de fragilisation de la protection des données personnelles et enfin, une incohérence réglementaire entre l'obligation de partage prévue par FiDA et les objectifs de sécurisation des données imposés par DORA (pour Digital Operationnal Resilience Act).
... à DORA
Cet autre texte constitue également un challenge de premier ordre pour les assureurs et les mutualistes. Depuis le 17 janvier 2025, le règlement européen sur la résilience opérationnelle numérique dans le secteur financier est devenu applicable en France et dans toute l’Union européenne. Il impose aux acteurs de l’assurance et à leurs intermédiaires (notamment les courtiers) de renforcer drastiquement la sécurité de leurs systèmes informatiques. Cela inclut la gestion des risques liés aux technologies numériques, les notifications d’incidents, les tests de résilience, la surveillance des prestataires techniques et le partage d’informations sur les cybermenaces.
Dans l’Hexagone, la transposition du texte a été opérée dans le cadre du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Le Sénat l’a adopté en mars 2025 en première lecture (en même temps que les directives européennes NIS2 et REC).
Avec en particulier l’adjonction d’un amendement déposé (et adopté) par la sénatrice Vanina Paoli-Gagin du groupe Les Indépendants – République et Territoires. Elle apporte une modification qui change la donne pour les assureurs français : « En l’état actuel du droit, c’est à l’assuré victime d’une attaque cyber qu’il revient de prouver qu’un dommage a été causé par un fait autre qu’une guerre étrangère (...) Cette disposition nuit au développement de l’assurance cyber en France, et pousse les grands groupes français à souscrire en conséquence des contrats à l’étranger. Ailleurs en Europe, c’est à l’assureur qu’il revient de prouver qu’un dommage a été causé par un fait autre qu’une guerre étrangère. Afin de remédier à ce défaut d’attractivité de la France, nous proposons d’inverser la charge de la preuve pour les attaques cyber ». Actuellement, le texte est examiné en commission à l’Assemblée nationale à l’heure où sont écrites ces lignes.
Sur ces dossiers complexes, les sénateurs ont fait preuve d’implication dans les travaux ainsi que le montre le graphique ci-dessous sur la répartition des activités des groupes siégeant au Palais-Bourbon. Bien qu’ils soient peu nombreux à traiter ces questions pointues, ils sont investis dans les dossiers. Des dossiers qui par ailleurs suscitent une importante couverture médiatique et une activité soutenue chez les cabinets d’affaires publiques.
Et maintenant l’IA au menu
Avec la rentrée parlementaire, un sujet majeur va s’inviter dans les travées de l’Assemblée nationale et du Sénat : l’IA (Intelligence artificielle). Son déploiement foudroyant en quelques années oblige les législateurs à se pencher sur ses effets et ses potentielles dérives pour y apporter les cadres réglementaires idoines. Le règlement européen sur l'intelligence artificielle (connu sous la dénomination d’AI Act) du 13 juin 2024 a tracé les contours réglementaires que chacun des pays membres de l’Union va transposer dans sa législation bien que certaines dispositions soient déjà directement applicables dans le droit français depuis février 2025.
Le 9 septembre dernier, un communiqué du ministère de l’Économie a présenté un projet de désignation des autorités en charge de la régulation de l’IA en France. Avec une double approche :
protéger les utilisateurs et favoriser l’innovation. Le schéma retenu par le gouvernement sera appliqué en revanche sous réserve d’une adoption par le Parlement via un projet de loi. Dans l’immédiat pour le secteur assurantiel, c’est l’Autorité de contrôle prudentiel et de résolution (ACPR) qui sera responsable des systèmes d’IA destinés à être utilisés pour évaluer la solvabilité des personnes physiques, établir leur note de crédit et évaluer les risques et la tarification (notamment algorithmique) en matière d’assurance-vie et d’assurance maladie.
À ce jour, il n’y a pas encore de travaux parlementaires spécifiques à l'Assemblée nationale et au Sénat dans le secteur des assurances et aucun calendrier précis n'a été communiqué. Néanmoins, on peut d’ores et déjà inscrire sur ses tablettes l’événement institutionnel organisé par le Sénat le 29 septembre avec une table ronde sur l’intelligence artificielle et la coopération interparlementaire. Il y sera aussi question de la gouvernance et des rôles nationaux dans la mise en œuvre de l’IA Act. Les cabinets d’affaires publiques devront surveiller de très près les discussions !
Étude réalisée avec notre outil Follaw.sv et le média, Le Trombinoscope.
