DORA, Digital Operational Resilience Act

Règlement UE 2022/2554 du 14 décembre 2022
Entrée en vigueur le 17 janvier 2025
Regulation – 2022/2554 – EN – DORA – EUR-Lex (europa.eu)

Le contexte

Les interconnexions et la numérisation croissante du système économique (paiement dématérialisé, souscription en ligne…) ont largement accentué les risques liés aux technologies de l’information et de la communication (TIC).

Afin de protéger tant les consommateurs que les marchés financiers dans l’Union Européenne, le Parlement et le Conseil ont adopté le 14 décembre 2022 un règlement UE 2022/2554 portant sur la résilience opérationnelle numérique dans le secteur financier (DORA). Ce texte entre en vigueur le 17 janvier 2025.

L’objectif est de s’assurer que les établissements financiers peuvent résister, répondre et maintenir leurs activités en cas de cyberattaques mais également lors de tout dysfonctionnement de l’information et de la communication.

Le champ d’application

Le champ d’application de DORA est très large et vise toutes les entités financières (banques et assurances), les établissements de crédit, de paiement, de monnaie électronique, les prestataires tiers de services liés aux technologies de l’information et de la communication, les sociétés de gestion, d’investissement…

S’agissant plus spécifiquement du secteur de l’assurance, sont concernés :

• Une très large majorité d’entreprises d’assurances dont CGPA.
• Les intermédiaires employant plus de 250 personnes et dont le CA excède 50 millions d’euros ou le bilan 43 millions.

Les 4 piliers de DORA

Adopter une organisation permettant d’assurer la gestion des risques liés aux TIC (Technologies d’information et de communication)

La Direction Générale de l’entreprise sera chargée d’assumer l’entière responsabilité de tous les risques informatiques.

Il sera mis en place des règles de gouvernance et un contrôle interne chargé de vérifier notamment que les procédures de sécurité sont bien adaptées, les dysfonctionnements bien analysés, les accès octroyés aux seules personnes en ayant réellement l’utilité…

Une stratégie de résilience opérationnelle numérique doit être élaborée notamment à partir de tests réguliers.

Enfin, une politique complète de continuité des activités de TIC doit être mise en place afin de parer à tout incident.

Notifier aux autorités nationales compétentes les incidents identifiés comme majeurs et liés aux TIC

Tous les incidents affectant les TIC et les cybermenaces doivent impérativement être enregistrés sur un registre (surveillance, traitement, suivi, authentification des causes des défaillances et remèdes préconisés).

Par ailleurs les incidents et cybermenaces classés comme majeurs (nombre et importance des clients touchés et/ou volume de transactions impactés et si l’incident a porté atteinte à la réputation, durée de l’incident, interruptions de service, pertes des données, criticité des services touchés…) doivent être notifiés aux autorités (l’AMF ou l’ACPR en France), selon une procédure extrêmement détaillée (délais, traitements, solutions préconisées…).

Effectuer des tests de résilience opérationnelle numérique

Cette obligation vaut pour toutes les entreprises soumises à la réglementation DORA. Les tests seront a minima annuels (évaluation de la sécurité des réseaux, tests de performance, tests fondés sur des scénarii etc..).

Par ailleurs et pour les très grandes entités financières (plus de 500 millions d’euros de primes brutes), il sera demandé la mise en place de tests de pénétration fondés sur la menace c’est-à-dire simulant le mode opératoire de véritables attaques cyber.

Gérer le risque lié au recours à des prestataires tiers de services TIC

Les entités financières doivent identifier et intégrer les risques liés aux prestataires tiers de services TIC dans le cadre de la gestion des risques.

Elles demeurent pleinement responsables du respect des obligations du règlement DORA lorsqu’elles ont recours à ces tiers.

Aussi, est-il vivement recommandé de passer en revue les différents contrats souscrits avec ses prestataires et de vérifier que toutes les clauses telles que prévues par DORA sont bien insérées notamment celles concernant les modalités de résiliation du contrat…

Tous les accords contractuels devront être mis à disposition de l’ACPR et les nouveaux projets soumis à son appréciation.

Les sanctions

Pour rappel, les sanctions encourues par les personnes assujetties au contrôle de l’ACPR sont :

• L’avertissement ;
• Le blâme ;
• L’interdiction d’effectuer certaines opérations pour une durée maximale de dix ans ;
• La suspension temporaire de dirigeants pour une durée maximale de dix ans ;
• La démission d’office des dirigeants ;
• Le retrait partiel ou total d’agrément ou d’autorisation ;
• La radiation de la liste des personnes agréées.

À la place ou en sus, une amende de 100 millions d’euros maximum ou 5 % du CA net peut être prononcée (article L. 612-39, et L.612-41 du code monétaire et financier).

IA ACT (Intelligence artificielle)

Règlement UE 2024/1689 du 13 juin 2024
Entrée en vigueur progressive dès février 2025
Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle

Le contexte

Si l’IA présente un fort potentiel en matière d’avantages sociétaux ou de croissance économique, son utilisation peut mettre en danger certains droits fondamentaux.

Aussi, l’Union européenne (UE) vient encadrer par ce règlement l’utilisation de l’IA avec l’interdiction de certaines pratiques et l’harmonisation du droit applicable afin d’assurer la sécurité juridique de l’ensemble des citoyens européens.

Le champ d’application

Est concerné par l’application de ce règlement l’ensemble des secteurs (privé et public) qu’il soit à l’intérieur ou à l’extérieur de l’UE.

En effet et dès qu’une technologie IA aura été mise sur le marché dans l’Union ou que son utilisation aura une incidence sur des personnes situées dans l’UE, la réglementation sera applicable.

Les obligations imposées pèsent aussi bien sur les fournisseurs (comme le développeur d’un outil d’analyse de CV) que sur les déployeurs (comme la banque qui achète cet outil).

Le règlement prévoit des dérogations pour :

• Les activités de recherche, de développement et de prototypage qui ont lieu avant la mise sur le marché d’un système d’IA.
• Les systèmes d’IA conçus exclusivement à des fins militaires, de défense ou de sécurité nationale, quel que soit le type d’entité exerçant ces activités. 

L’IA dans le secteur de l’assurance

Le marché de l’assurance a été précurseur en matière d’utilisation de l’IA, notamment sur les aspects suivants :

• Personnalisation des offres (en fonction des données ou des antécédents, recommandations de prévention pour les dommages climatiques, proposition de services médicaux supplémentaires etc…),
• Service d’assurance sur mesure,
• Chatbots pour une meilleure relation client (service 24H/24, peut répondre en fonction de l’analyse…),
• Détection de fraude en croisant des données (faux sinistres, exagérations des préjudices, fausses factures d’artisan…). Pour information et selon l’Agence de Lutte contre la Fraude à l’Assurance (ALFA), en 2022 la fraude a atteint 587 millions d’euros.
• Automatisation des tâches répétitives, gestion des sinistres simples etc…

Les grands principes de l’IA ACT

Dans les entreprises, chaque utilisateur de l’IA devra être formé et sensibilisé aux risques.

Une approche fondée sur les risques

Un des premiers enjeux pour l’assurance consistera à classifier les systèmes d’IA utilisés afin de s’assurer que les exigences posées par le règlement sont bien respectées.

Le Règlement classe les systèmes d’IA selon 4 niveaux de risques :

• Risque inacceptable : les systèmes d’IA dont les pratiques sont contraires aux valeurs de l’UE et aux droits fondamentaux.

Exemples : notation sociale, exploitation de la vulnérabilité des personnes, recours à des techniques subliminales, utilisation par les services répressifs de l’identification biométrique à distance en temps réel dans des espaces accessibles au public, police prédictive ciblant les individus, reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement.

• Haut risque : les systèmes d’IA pouvant porter atteinte à la sécurité des personnes ou à leurs droits fondamentaux. Leur développement est soumis à des exigences renforcées. 

Exemples : systèmes biométriques, systèmes utilisés dans le recrutement, ou pour des usages répressifs, principalement dans les secteurs de la santé (diagnostics médicaux) et de l’assurance-vie.

• Risque acceptable spécifique en matière de transparence :  les systèmes d’IA soumis à des obligations de transparence, notamment en cas de risque manifeste de manipulation.

Exemples : recours à des chatbots ou génération de contenu artificiel.

• Risque minimal : pas d’obligation spécifique prévue pour la très grande majorité des systèmes d’IA actuellement utilisés dans l’UE ou susceptibles de l’être selon la Commission européenne.

Des obligations pesant sur l’ensemble des acteurs

Ces obligations concernent tant les fournisseurs que les déployeurs, chacun devant s’assurer du respect de la réglementation via des moyens techniques et humains, utiliser l’IA de façon responsable et réaliser des analyses d’impact.

Plus le niveau du risque est élevé, plus les contraintes sont importantes. A titre d’exemple pour les systèmes IA à haut risque, le déployeur devra mener une analyse d’impact spécifique avant de les utiliser (description du processus d’utilisation, pendant combien de temps le système sera utilisé, les catégories de personnes pouvant être concernées, les risques de préjudices pouvant être engendrés, les mesures à prendre en cas de réalisation du préjudice, description du contrôle humain…)

Les points clés pour une utilisation responsable de l’IA

• Supervision humaine: les décisions prises par l’IA ne sont pas entièrement automatisées. Une supervision humaine garantit la justesse des décisions.
• Équité et absence de biais: les algorithmes d’IA doivent être conçus pour éviter les biais qui pourraient discriminer certaines catégories de clients. Par exemple, les décisions en matière de tarification ou d’indemnisation doivent être basées sur des critères équitables.
• Transparence: les assureurs doivent rendre les décisions prises par l’IA explicables et compréhensibles pour les clients. Cela implique de pouvoir justifier toutes les recommandations ou décisions, concernant une réclamation ou une prime d’assurance. Par ailleurs, ils doivent informer les utilisateurs qu’ils interagissent avec une IA.
• Registre public pour les systèmes à haut risque : les entreprises doivent inscrire leurs systèmes d’IA à haut risque dans un registre européen accessible au public.
• Protection des données: les assureurs doivent respecter les règles de confidentialité, en veillant à la protection des informations personnelles utilisées par l’IA. Les droits consacrés par le RGPD devront être respectés.
• Conformité réglementaire: les compagnies d’assurances doivent effectuer des audits réguliers avec des évaluations de conformité pour s’assurer du respect des normes par les systèmes d’IA. Ces contrôles visent à prévenir les erreurs, les biais et à garantir une utilisation éthique.

Sanctions et contrôle

A priori la CNIL sera compétente pour effectuer les contrôles et prendre des sanctions.

Pour les IA spécifiques au domaine de l’assurance, ce pouvoir sera confié à l’ACPR.

Des amendes administratives pouvant atteindre 35 millions d’euros ou 7% du chiffre d’affaires annuel mondial sont prévues.