Règlement sur la résilience opérationnelle numérique du secteur financier (Règlement DORA)

Le Règlement sur la résilience opérationnelle numérique du secteur financier (Règlement DORA) fait partie de la stratégie en matière de finance numérique de la Commission qui a été publiée en septembre 2020. Le Règlement DORA vise à établir un cadre global de résilience opérationnelle numérique dans les secteurs européens de la banque, de l'assurance et de l'investisseur, en exigeant des entités financières relevant de son champ d'application qu'elles se conforment à des exigences en matière de sécurité numérique et de reporting afin d'atténuer leurs risques liés aux technologies de l'information et de la communication (TIC).

Les intermédiaires d'assurance qui sont des micro-entreprises et des PME sont exclus du champ d'application du Règlement DORA et de ses mesures de niveau 2. Les "entreprises d'investissement opt-out" qui relèvent de la MiFID II sont également exemptées du Règlement DORA.  Les grands intermédiaires d'assurance entrent, par contre, dans le champ d'application du Règlement DORA.  Il est toutefois possible que, dans certaines circonstances, les assureurs (ou les clients) exigent que les prestataires de services (tels que les intermédiaires) se conforment (partiellement ou totalement) au Règlement DORA au niveau national.

Le Règlement DORA est entré en vigueur le 16 janvier 2023 et commencera à s'appliquer, avec ses mesures de niveau 2, à partir du 17 janvier 2025. Il est contraignant dans son intégralité et directement applicable dans tous les Etats membres.

Le Règlement sur les marchés des crypto-actifs (MiCA)

Le Règlement MiCA établira des règles uniformes dans toute l'Union européenne pour les crypto-actifs.  Il couvre les émetteurs de crypto-actifs non adossés et de “jetons de valeur stable” (“ stablecoins”), ainsi que les plateformes de négociation et les portefeuilles où des crypto-actifs sont détenus. Le Règlement couvre les intermédiaires qui vendent avec conseil des produits d'assurance-vie en unités de compte dont les investissements sous-jacents sont des fonds de crypto-actifs.

Dans sa position sur la proposition MiCA, le PE avait modifié l'article relatif aux conseils sur les crypto-actifs de la proposition et avait introduit une interdiction de rémunération "payée ou fournie par un émetteur ou tout tiers ou une personne agissant pour le compte d'un tiers en relation avec la fourniture du service à leurs clients."

La stratégie de cybersécurité de l’UE est une initiative visant à renforcer la résilience face aux cybermenaces au sein de l’Union et à faire en sorte que les citoyens et les entreprises bénéficient de technologies numériques dignes de confiance. Afin de mettre en œuvre cette stratégie, les législateurs européens travaillent sur plusieurs propositions législatives. La loi sur la cyberrésilience vise à établir des règles communes de cybersécurité pour les produits numériques et les services associés qui sont mis sur le marché dans l'UE. Elle complétera la Directive relative à des mesures visant à assurer un niveau élevé de cybersécurité dans l'ensemble de l'Union (SRI2). La loi sur la cybersolidarité vise à renforcer les capacités de l’UE à détecter les menaces et les attaques en matière de cybersécurité, à s’y préparer et à y réagir.

Les données et la technologie sont de plus en plus à l'origine de changements dans le secteur de l'assurance, produisant de nouveaux modèles d'entreprise, de nouveaux produits d'assurance et de nouvelles façons pour les entreprises, et en particulier les intermédiaires d'assurance, d’interagir avec leurs clients.

Assurance ouverte - Cas d’utilisation d’EIOPA

En juillet 2023, EIOPA a publié un document de discussion sur l'assurance ouverte qui concerne, entre autres, les intermédiaires d'assurance. Ce document contient un cas d'utilisation sur le développement potentiel d'un tableau de bord d'assurance dans le cadre de la finance ouverte (FIDA). Ce tableau de bord rassemble et affiche toutes les polices d'assurance d'un consommateur et ce d’une manière conviviale. Pour ce faire, il regroupe et combine les informations provenant de différentes compagnies d'assurance et des intermédiaires avec lesquels le consommateur est en relation. Le tableau de bord permettrait par ailleurs à d'autres compagnies d'assurance et intermédiaires d'inclure des informations sur leurs propres produits, ce qui permettrait aux consommateurs de comparer les couvertures et les prix. Le cas d'utilisation est limité et se concentre sur l'assurance non-vie, et plus particulièrement sur l'assurance automobile et l'assurance habitation. EIOPA précise que le tableau de bord lui-même ne peut pas offrir de conseils financiers, mais qu'il peut le faire s'il est géré par un intermédiaire d'assurance réglementé. Cela dépend du modèle concret utilisé.

FIDA

En juin 2023, en même temps qu’une série de mesures concernant le secteur bancaire et portant sur la révision de la Directive sur les services de paiement (services bancaires ouverts), la Commission a publié une proposition de Règlement sur un cadre pour l’accès aux données financières (FIDA), qui concerne directement le secteur de la distribution d'assurance.

Le développement de l'utilisation des systèmes d'intelligence artificielle par un nombre croissant de secteurs a incité la Commission à proposer plusieurs textes législatifs visant à réglementer cette utilisation. Le cadre en cours d'élaboration comprend actuellement la législation sur l'IA et les règles de l'UE sur la responsabilité civile en matière d'IA. Les intermédiaires financiers et d'assurance qui utilisent des systèmes d'IA seront concernés par ce cadre.

Le 26 janvier 2024, les colégislateurs sont parvenus à un accord en trilogue sur le Règlement établissant des règles harmonisées en matière d'intelligence artificielle (législation sur l’intelligence artificielle). Le 13 mars 2024, le Parlement européen a formellement adopté l'accord. Le 21 mai 2024, le Conseil a fait de même.

La législation sur l'IA fait partie de la stratégie numérique de l'UE.  Elle vise à fournir aux développeurs, déployeurs et autres opérateurs d'IA des exigences et des obligations claires concernant des utilisations spécifiques de l'IA. Elle adopte une approche fondée sur les risques et réglemente les systèmes d'IA en fonction des risques qu'ils présentent. Elle interdit également certains systèmes d'IA considérés comme présentant un risque inacceptable.

Cette législation est intersectorielle et s'applique aux acteurs publics et privés de l'UE et des pays tiers. Elle s'applique aux utilisations professionnelles des systèmes d'IA et ne s'applique pas aux systèmes d'IA essentiellement utilisés à des fins de sécurité nationale.

Publiées au Journal officiel de l’UE en décembre 2023, les dispositions révisées concernant la commercialisation à distance de services financiers visent à moderniser les règles établies en 2002, à savoir la Directive sur la commercialisation à distance de services financiers auprès des consommateurs (DMFSD), à renforcer les droits des consommateurs et à favoriser la prestation transfrontalière de services financiers dans le marché unique.

La DMFSD de 2022 s'appliquait aux intermédiaires qui distribuent des produits d'assurance/ financiers dans le cadre d'un système organisé de vente/prestation de services à distance et exclusivement par le biais d'une ou plusieurs techniques de communication à distance. Les dispositions révisées s'appliquent toujours aux intermédiaires.

Les dispositions révisées ont été introduites dans un chapitre supplémentaire de la Directive sur les droits des consommateurs (DDC), qui protège les consommateurs dans tous les types de pratiques commerciales. Le nouveau chapitre comprend notamment des dispositions révisées sur le droit aux informations précontractuelles, le droit de rétractation, le droit à des explications adéquates et les règles garantissant l’équité en ligne. Certains articles de la DDC s'appliqueront également aux services financiers vendus à distance. La DDC révisée abroge la DMFSD de 2002 (2002/65/CE).

Le Règlement sur les services numériques et le Règlement sur les marchés numériques introduisent un cadre horizontal pour toutes les catégories de contenus, de produits, de services, y compris les activités et les services financiers.

Les deux Règlements ont pour but de s'assurer que "ce qui est illégal hors ligne est également illégal en ligne".  Par exemple, les sites web de comparaison qui fournissent leurs services en ligne aux entreprises et aux consommateurs établis dans l'UE devront se conformer aux obligations de diligence raisonnable imposées aux plateformes en ligne, quel que soit leur lieu d'établissement. D'autre part, les intermédiaires qui fournissent leurs services financiers en ligne en tant qu'utilisateurs d'une plateforme bénéficieront des droits qui leur sont accordés en tant que "destinataires" des services du site web. Les intermédiaires qui fournissent leurs services via une plateforme en ligne (que ce soit leur propre plateforme ou en tant qu'utilisateurs d'une plateforme) doivent également se conformer aux règles spécifiques au secteur et au droit de la concurrence.

La stratégie européenne pour les données, qui vise à créer un marché unique pour les données afin de garantir que davantage de données soient disponibles pour être utilisées dans l'économie et la société, tout en permettant aux personnes et aux entreprises qui génèrent ces données d'en garder le contrôle, se matérialise par deux textes législatifs : le Règlement sur la gouvernance européenne des données et le Règlement sur les règles harmonisées pour l’équité de l'accès aux données et de leur utilisation (Règlement sur les données).  Alors que le Règlement sur la gouvernance des données crée les processus et les structures pour faciliter les données, le Règlement sur les données clarifie qui peut créer de la valeur à partir des données et dans quelles conditions. Les deux Règlements s'appliqueront à tous les secteurs et pourraient avoir un impact sur les intermédiaires financiers et d'assurance dans la mesure où ils reçoivent et partagent des données.

Le point d'accès unique européen (ESAP) vise à contribuer à la réalisation des objectifs de l'UMC en fournissant un accès, à l'échelle de l'UE, aux informations publiées par les entités financières, y compris par les intermédiaires d'assurance et financiers, qui sont pertinentes pour les marchés de capitaux, les services financiers et la finance durable, c'est-à-dire principalement des informations sur leurs activités économiques et leurs produits. Les informations commerciales sont exclues.  L'ESAP s'adresse principalement aux utilisateurs tels que les investisseurs, les analystes financiers et les intermédiaires de marché, par exemple les gestionnaires d'actifs, les conseillers ou les agrégateurs de données.

Le Règlement eIDAS est d'application depuis 2016 et établit un marché intérieur européen, communément appelé, de "services de confiance pour les transactions électroniques", qui garantit le bon fonctionnement de ces services au-delà des frontières et le même statut juridique que pour les procédures traditionnelles sur papier.  Parmi ces services de confiance, il y a la signature électronique, le sceau électronique (fonction similaire au timbre traditionnel, qui peut être appliqué à un document électronique pour garantir son origine et son intégrité), l’horodatage électronique (associe un document électronique à un moment particulier, prouvant ainsi que le document existait à ce moment et qu'il n'a pas changé depuis), le service de livraison recommandé électronique (équivalent de l’envoi recommandé), et les certificats d’authentification de site web qualifiés (certificats qui prouvent aux clients que le site web est digne de confiance).

Le Règlement eIDAS veille à ce que les citoyens et les entreprises puissent utiliser leurs propres systèmes nationaux d'identification électronique (eID) pour accéder aux services publics dans d'autres pays de l'UE où des eID sont disponibles (et ceci sur la base de la reconnaissance mutuelle - Pour le secteur privé, la législation actuelle encourage uniquement les Etats membres à ouvrir l'utilisation des eID au secteur privé).

En 2018, la Commission européenne a entrepris diverses initiatives pour promouvoir l'eIDAS, entre autres en se concentrant sur les PME du secteur des services financiers, et le BIPAR a participé à plusieurs événements organisés sur ce sujet (plus d'informations détaillées sur le site web de la Commission).