Les informations du mois récapitulées dans la Newsletter Conformité sont disponibles au fil de l’eau dans notre Fil Conformité.
Distribution
La DGCCRF (direction de la Concurrence du ministère de l’Economie) a publié le 4 février une synthèse des contrôles menés en 2023 auprès de 70 courtiers en assurance utilisant le démarchage téléphonique. 28 des 70 acteurs contrôlés présentaient des irrégularités : manquements aux obligations d’enregistrement des appels, informations précontractuelles ambiguës ou mensongères, non-respect des listes d’opposition au démarchage, pratiques illégales liées aux signatures électroniques, absence d’informations sur le médiateur de la consommation.
Données
L’ACPR (Autorité de contrôle prudentiel et de résolution) a publié le 7 février la synthèse d’une enquête auprès des assureurs concernant les données permettant de calculer les indicateurs prudentiels. Elle souligne la progression des assureurs sur les sujets de gouvernance des données et identifie des points d’amélioration : le périmètre de la qualité des données gagnerait à être étendu car il se limite souvent aux seules données actuarielles ; des amélioration sont attendues dans la mise en œuvre opérationnelle (définition de la criticité, traçabilité complète des actions effectuées, réduction de processus manuels, application des contrôles). Concernant la maîtrise des données issues de prestataires externes, certains progrès sont constatés.
L’ACPR a publié le 12 février une synthèse de l’enquête déclarative de 2024 sur la gestion de la sécurité des systèmes d’information (SSI) des organismes d’assurance. Ses conclusions montrent une réelle amélioration des assureurs en termes de prise de conscience des enjeux liés à la sécurité de l’information, mais aussi des marges de progression, en particulier en ce qui concerne la mise en œuvre opérationnelle des processus de sécurité : (…) la fonction SSI n’est pas encore systématiquement consultée lors des décisions clés. De même, si le dispositif de gestion des risques SSI s’est renforcé dans l’ensemble, l’identification comme la gestion adéquates des actifs critiques, ou la définition de la tolérance aux risques, restent des axes à approfondir.
La Commission européenne a publié le 12 février son programme de travail pour 2025, incluant (point 36 de l’annexe 3) le règlement « FIDA » sur l’accès aux données financières.
Les Autorités européennes de supervision financière, dont, pour l’assurance, l’EIOPA, ont publié le 18 février une feuille de route concernant la mise en œuvre du cadre de surveillance des prestataires de services informatiques critiques (CTPP), dans le cadre du règlement européen « DORA« , avec l’objectif de désigner les CTPP et de démarrer l’engagement de surveillance cette année.
Normes, contrôles & sanctions
Dans un communiqué du 27 février, l’ACPR a relevé qu’un jugement du 24 février, constatant qu’un courtier avait émis des attestations d’assurance automobile au nom d’un assureur belge sans y être contractuellement autorisé, ordonnait à ce courtier d’en informer les assurés, dont les risques ne sont pas couverts.
