Stratégie en matière de finance numérique (DORA – MiCA - DLT)
Règlement sur la résilience opérationnelle numérique du secteur financier (Règlement DORA)
Parallèlement à l'adoption de sa stratégie en matière de finance numérique en septembre 2020, la Commission européenne a publié sa proposition de Règlement sur la résilience opérationnelle numérique du secteur financier (Règlement DORA). Les intermédiaires d'assurance ont été inclus dans le champ d'application de la proposition DORA, ainsi que des entités financières beaucoup plus grandes comme les assureurs ou les établissements de crédit. Selon les règles proposées, les entités financières relevant du champ d’application de la proposition DORA devraient respecter des normes communes strictes afin de s'assurer qu'elles peuvent résister aux perturbations et aux menaces liées aux TIC (technologies de l'information et de la communication).
Proposition législative de Règlement sur les marchés des crypto-actifs (Règlement MiCA)
Les crypto-actifs sont définis comme “une représentation numérique d’une valeur ou de droits pouvant être transférée et stockée de manière électronique, au moyen de la technologie des registres distribués ou d’une technologie similaire“ (article 3.2 de la proposition MiCA). Il existe de nombreux types de crypto-actifs différents; une taxonomie de base permet de faire la distinction entre les jetons de paiement (moyen d'échange ou de paiement), les jetons d'investissement (auxquels sont associés des droits aux bénéfices) et les jetons utilitaires (permettant l'accès à un produit ou à un service spécifique).
Un régime pilote pour les infrastructures de marché reposant sur la technologie des registres distribués (DLT)
Fin 2021/début 2022, le Parlement et le Conseil sont parvenus à un accord sur un régime pilote fondé sur la technologie du registre distribué (DLT). La proposition de Règlement de la Commission relative à un "régime pilote pour les infrastructures de marché fondées sur la technologie du registre distribué" faisait partie de la stratégie de la Commission en matière de finance numérique et a été présentée en même temps que la proposition MiCA (et la proposition DORA).
La loi sur la cyber-résilience
Le programme de travail de la Commission européenne pour 2022, publié le 19 octobre 2021, annonce une proposition de loi sur la cyber-résilience européenne qui devrait être publiée au troisième trimestre 2022. Comme l'a déclaré la Présidente de la Commission, Ursula von der Leyen, dans son discours sur l'état de l'Union en septembre 2021, cette loi vise à établir des règles communes en matière de cybersécurité pour les produits numériques et les services associés qui sont mis sur le marché dans toute l'Union européenne. Elle a également souligné que l'UE devait s'efforcer de devenir un leader en matière de cybersécurité.
La finance ouverte
En février 2021, la Commission européenne a adressé à EIOPA, ESMA et EBA une demande d’avis technique sur la finance numérique et les questions connexes. Les trois AES ont été invitées à donner leur avis sur la manière de faire face aux risques et aux opportunités découlant de la finance numérique, ainsi que sur la manière de relever les défis connexes en matière de surveillance prudentielle découlant de chaînes de valeur plus fragmentées et non intégrées, de la "plateformisation" et du regroupement de services financiers, ainsi que de groupes combinant différentes activités. L'avis des AES à la Commission vise à l'aider à relever les défis à venir et à proposer, le cas échéant, des modifications du cadre législatif existant.
L’intelligence artificielle (IA)
Le développement de l'utilisation des systèmes d'IA par un nombre croissant de secteurs a incité la Commission à proposer plusieurs textes législatifs visant à réglementer cette utilisation. Les intermédiaires financiers et d'assurance qui utilisent des systèmes d'IA pourraient être concernés par ce cadre. Le cadre en cours d'élaboration comprend actuellement la proposition de législation sur l'IA et la proposition de règles de l'UE sur la responsabilité civile en matière d'IA.
Pour rappel, en juin 2021, le groupe de travail d'EIOPA sur l'éthique numérique (dans lequel le BIPAR était représenté) a publié un rapport sur les "principes de gouvernance de l'intelligence artificielle" qui contient un certain nombre de principes non contraignants adressés à la fois aux entreprises d'assurance et aux intermédiaires lorsqu'ils utilisent des systèmes d'IA. Ces principes comprennent, entre autres, le principe de proportionnalité, les principes d'équité et de non-discrimination, le principe de transparence et le principe de surveillance humaine.
Le rôle des intermédiaires pour faciliter l’utilisation éthique de l’IA ou pour prévenir l'utilisation non éthique de l’IA est reconnu dans le rapport. Par exemple, le rapport indique que "les intermédiaires d’assurance peuvent jouer un rôle important dans la prévention de l’utilisation de données de mauvaise qualité car, dans le cadre de leurs activités de conseil, ils seraient en mesure de détecter cette mauvaise utilisation potentielle des données, dans tous les domaines de la chaîne de valeur où ils sont impliqués."
La législation sur l’intelligence artificielle
En avril 2021, la Commission européenne a proposé de nouvelles règles sur l'intelligence artificielle (législation sur l’IA). Les règles proposées en matière d'IA sont intersectorielles et s'appliqueront aux acteurs publics et privés à l'intérieur et à l'extérieur de l'UE. Cependant, elle ne s'applique pas aux utilisations privées, non professionnelles.
Cette proposition de législation suit une approche fondée sur les risques, avec quatre niveaux de risques pour les systèmes d’IA : risque inacceptable, risque élevé, risque limité et risque minime. Le niveau de risque détermine les obligations à respecter. Les intermédiaires financiers et d'assurance utilisant des systèmes d'IA considérés comme à haut risque seront concernés par les nouvelles règles en matière d'IA, y compris les règles de transparence.
Le BIPAR suit l'évolution de la proposition sur l'IA au cours du processus législatif et son impact sur les activités de notre secteur. A ce stade, la proposition de la Commission ne fait aucune référence aux services d'assurance et aux services financiers, autres que les établissements de crédit, en tant que systèmes d'IA à risques élevés.
En juillet 2022, EIOPA a publié une lettre aux colégislateurs plaidant pour que les cas spécifiques à l'assurance ne soient pas inclus dans la liste des utilisations de l'IA à haut risque en vertu de la législation sur l'IA. EIOPA a précisé que toute autre mesure réglementaire sur l'utilisation de l'IA par le secteur de l'assurance devrait être envisagée dans le cadre de la législation sectorielle existante et laissée aux autorités de supervision existantes.
Toutefois, le projet de rapport adopté par les commissions IMCO et LIBE du PE le 11 mai 2023 ajoute à la liste des systèmes d'IA à haut risque de l'annexe III les "systèmes d'IA destinés à être utilisés pour prendre des décisions ou influencer matériellement les décisions relatives à l'éligibilité des personnes physiques à l'assurance maladie et à l'assurance vie".
La position du Conseil, adoptée en novembre 2022, ajoute à la liste les "systèmes d'IA destinés à être utilisés pour l'évaluation des risques et la tarification en ce qui concerne les personnes physiques dans le cas de l'assurance vie et de l'assurance maladie", mais prévoit une exception pour les systèmes mis en service par des fournisseurs qui sont des micro-entreprises ou des petites entreprises.
La plénière du PE doit maintenant confirmer l'adoption du projet de rapport IMCO/LIBE avant que le texte puisse être soumis aux négociations du trilogue. Compte tenu des positions des commissions du PE et du Conseil, il est probable que le texte final inclura, dans la liste des systèmes d'IA à haut risque, une mention des systèmes d'IA utilisés dans le cadre de l'assurance-vie.
Règles de l'UE en matière de responsabilité pour l'IA
Le 28 septembre 2022, la Commission a publié une proposition de Directive sur des règles de l'UE en matière de responsabilité civile extracontractuelle au domaine de l'IA. L'objectif de cette proposition est d'adapter le droit privé aux besoins de la transition vers l'économie numérique en établissant des règles harmonisées pour les dommages causés par l'intervention de systèmes d'IA. La proposition de Directive comprend des dispositions visant à alléger proportionnellement la charge de la preuve en cas de dommages causés par l'implication de systèmes d'IA en recourant à la divulgation et aux présomptions réfragables. Elle prévoit également la possibilité, pour les personnes demandant réparation, d'obtenir des informations sur les systèmes d'IA à haut risque, qui doivent être enregistrées ou documentées conformément à la législation sur l'IA.
Les dispositions les plus pertinentes sont les suivantes :
- présomptions réfragables de causalité entre le non-respect du devoir de vigilance en vertu des règles de l'UE et la production ou l'absence de production des systèmes d'IA qui ont donné lieu à des dommages ;
- le plaignant doit encore prouver que le système d'IA a causé le dommage ;
- lorsque la demande est dirigée contre l'utilisateur d'un système d'IA à haut risque, et non contre le fournisseur dudit système, le demandeur doit établir que l'utilisateur en question n'a pas respecté son obligation d'utiliser le système d'IA conformément aux instructions d'utilisation ou qu'il a utilisé le système d'une manière qui n'était pas prévue.
Le BIPAR a répondu à la consultation qui a précédé la proposition de la Commission et continuera à suivre l'évolution de ce texte tout au long du processus législatif.
Position du BIPAR
En ce qui concerne l'IA, le BIPAR est d'avis qu'il convient de maintenir un cadre réglementaire cohérent, transparent, global et clair, basé sur l'activité et orienté vers le risque. Le BIPAR estime que le développement de règles sur la numérisation devrait se faire dans le cadre sectoriel existant et s'adapter à sa structure. Le BIPAR insiste sur la nécessité de maintenir des conditions de concurrence équitables entre tous les fournisseurs de services d'assurance comparables.
Toute mesure de gouvernance ou réglementation liée à l'utilisation de l'IA doit être proportionnelle à l'impact potentiel d'un cas d'utilisation spécifique de l'IA sur les consommateurs ou les entreprises d'assurance. Cet impact doit être déterminé en fonction de la gravité du préjudice potentiel et de la probabilité qu'il se produise. L'exclusion financière des clients doit être évitée en incluant, dans tout cadre, des règles sur l'utilisation équitable des données, et en particulier des données comportementales.
Le BIPAR souligne toujours le fait que les intermédiaires financiers et d'assurance jouent déjà efficacement leur rôle grâce à l'utilisation des nouvelles technologies, y compris l'IA. Nombre de ces intermédiaires sont des micro-entités et des PME qui devraient être traitées de manière équitable et proportionnée.
Prochaines étapes
La législation sur l'IA et les règles de l'UE sur la responsabilité civile en matière d'IA sont toujours en cours d'examen par le Parlement européen et le Conseil. La plénière du PE doit à présent confirmer l'adoption du projet de rapport IMCO/LIBE sur la législation sur l'IA avant que celle-ci puisse être soumise aux négociations du trilogue.
Le BIPAR continuera à suivre l'évolution de ces propositions tout au long du processus législatif.
La Directive sur la commercialisation à distance des services financiers auprès des consommateurs (DMFSD)
La Directive de 2002 sur la commercialisation à distance de services financiers auprès des consommateurs (DMFSD) vise à assurer la libre circulation des services financiers dans le marché unique en harmonisant certaines règles de protection des consommateurs dans ce domaine. Elle s'applique horizontalement à tout service bancaire, de crédit, d'assurance, y compris ceux des intermédiaires d’assurance, de retraite personnelle, d'investissement ou de paiement. La DMFSD définit les obligations d'information à fournir au consommateur avant la conclusion du contrat à distance (informations précontractuelles), accorde pour certains services financiers un droit de rétractation au consommateur, et interdit les services et communications non sollicités de la part des fournisseurs.
Les législations sur les services numériques et les marchés numériques
La Commission européenne, le Parlement européen et le Conseil de l’UE travaillent depuis décembre 2020 sur un ensemble de nouvelles règles européennes pour tous les services numériques, y compris les services de cloud, les messageries, les médias sociaux, les marchés en ligne et autres plateformes en ligne et app stores qui opèrent dans l'Union européenne : la législation sur les services numériques et la législation sur les marchés numériques. Les nouvelles règles introduiront un cadre horizontal pour toutes les catégories de contenus, de produits, de services, y compris les services financiers, et d'activités fournies par exemple par des services intermédiaires en ligne.
Le Règlement sur les données et le Règlement sur la gouvernance des données
La proposition de Règlement fixant des règles harmonisées pour l’équité de l'accès aux données et de l’utilisation des données, également connue sous le nom de Règlement sur les données, de février 2022, et la proposition de Règlement sur la gouvernance européenne des données de novembre 2020, font toutes deux partie de la stratégie européenne de la Commission européenne pour les données de 2020. Alors que le Règlement sur la gouvernance des données crée les processus et les structures pour faciliter les données, le Règlement sur les données clarifie qui peut créer de la valeur à partir des données et dans quelles conditions.
Le point d'accès unique européen (ESAP)
En novembre 2021, la Commission européenne a adopté un ensemble de mesures de suivi concernant l'Union des marchés des capitaux (UMC). Ces mesures comprennent une proposition de Règlement "établissant un point d'accès unique européen (ESAP) fournissant un accès centralisé aux informations publiées utiles pour les services financiers, les marchés des capitaux et la durabilité", ainsi que deux autres propositions (une Directive Omnibus et un Règlement Omnibus), qui modifieront un certain nombre de Directives et de Règlements européens existants (y compris, par exemple, la DDA, la MiFID II et le Règlement SFDR) dans les domaines concernés.