L'innovation et l'environnement réglementaire européen façonnent l'avenir du secteur de l'assurance dommages dans l'Union européenne (UE). Une récente enquête menée par Celent a identifié ces deux éléments comme des priorités pour 2024 pour les DSI, les directeurs techniques et les architectes informatiques des compagnies d'assurance IARD dans la région EMEA. 86 % des personnes interrogées accordent une importance modérée ou significative à l'environnement réglementaire, tandis que 81 % accordent le même niveau d'importance à l'innovation.
Ce blog explore certains aspects du Digital Operational Resilience Act (DORA) et du Data Act, de nouvelles réglementations européennes significatives qui peuvent avoir un impact important sur le cadre réglementaire européen.
Il examine comment les organisations d'assurance dommages peuvent continuer à innover au milieu des réglementations sur la confidentialité et la cybersécurité et comment l'expérience passée de Guidewire et son partenariat avec Amazon Web Services (AWS) peuvent permettre aux clients de développer leurs activités, tout en adhérant aux nouvelles règles juridiques.
La protection des données sur le marché de l'assurance : Un paysage en évolution
Depuis des décennies, les compagnies d'assurance utilisent les données pour améliorer leur service client, leur efficacité opérationnelle et leur compétitivité. Elles s'appuient sur les données pour façonner la précision et la rentabilité des polices qu'elles émettent et des sinistres qu'elles traitent. L'essor de l'analyse des big data, de l'apprentissage automatique et de l'IA a accru l'utilisation des données personnelles pour le service client, l'évaluation granulaire des risques et l'adaptation des polices sur mesure.
« Pour faciliter et garantir l'innovation au milieu des réglementations sur la protection des données, la Marketplace de Guidewire comprend un processus de validation des partenaires afin que nos clients puissent innover en toute confiance et se différencier au sein de leurs propres écosystèmes »
Will Murphy, vice-président, Global Technology Alliances
L'économie repose sur les données, et l'assurance dommages ne fait pas exception. Les plateformes numériques génèrent des quantités sans précédent d'informations numériques sur les consommateurs. Dans le même temps, la sensibilisation croissante des consommateurs à la protection des données et l'augmentation de l'empreinte numérique contribuent à un environnement réglementaire axé sur des protocoles de protection robustes.
L'évolution des réglementations a de profondes implications pour les assureurs. Au-delà des amendes, ces réglementations déterminent la manière dont les produits sont développés et les sinistres sont gérés, et offrent l'opportunité d'acquérir un avantage concurrentiel en tirant parti de la valeur stratégique d'une bonne gouvernance des données.
Le climat réglementaire européen et son impact sur le secteur de l'assurance
Dans l'UE, le secteur de l'assurance opère au sein d'un réseau complexe de réglementations sur la confidentialité des données. À ce jour, le règlement général sur la protection des données (RGPD) en est le fleuron. Promulgué en mai 2018, il a fait œuvre de pionnier en matière de protection des données et de droits à la vie privée dans l'ensemble de l'UE et à l'échelle mondiale, affectant considérablement les pratiques et les politiques d'assurance. Cependant, de nouvelles couches réglementaires continuent d'émerger (Data Act, AI Act, NIS2, DORA) et s'ajoutent aux législations déjà existantes s'appliquant aux assureurs IARD européens (Solvency 2, Delegated Regulations, EIOPA Guidelines, etc.)
Data Act
Le règlement relatif aux règles harmonisées pour l'accès équitable aux données et leur utilisation - également connu sous le nom de Data Act - est une loi conçue pour renforcer l'économie des données de l'UE et favoriser un marché des données compétitif en rendant les données (en particulier les données industrielles) plus accessibles et utilisables, en encourageant l'innovation fondée sur les données et en augmentant la disponibilité des données.
Alors que le champ d'application du RGPD est limité aux données personnelles, la loi sur les données s'applique à la fois aux données personnelles et aux données non personnelles, ce qui signifie que son champ d'application est clairement plus large. Cela signifie que chaque fois que nous parlons de données à caractère personnel, le RGPD et la Data Act s'appliquent conjointement.
La loi européenne sur les données fournit des réglementations importantes dans les secteurs B2C, B2B et B2G qui affectent le transfert de données entre les entreprises, les consommateurs et, dans certains cas, les autorités gouvernementales. La loi sur les données donne aux utilisateurs de produits connectés un plus grand contrôle sur les données qu'ils génèrent. En outre, elle établit des conditions générales pour les situations où une entreprise a l'obligation légale de partager des données avec une autre entreprise.
Avec la loi EU Data Act, les clauses contractuelles abusives sont désormais expressément interdites, y compris dans le secteur B2B. Une clause est considérée comme abusive si elle s'écarte de manière significative des « bonnes pratiques commerciales » et est « contraire à la bonne foi et à la loyauté ». Les exemples incluent la limitation de la responsabilité, l'exclusion des recours légaux ou l'octroi de droits unilatéraux.
La loi EU Data Act est entrée en vigueur le 11 janvier 2024 et sera applicable en septembre 2025. Guidewire suit de près son évolution.
NIS2
La directive NIS2 est une législation européenne sur la cybersécurité. Elle complète les lignes directrices de son prédécesseur et vise à améliorer la résilience collective des infrastructures critiques, y compris les infrastructures financières, contre les cybermenaces. La directive a été approuvée en 2022 et son délai de transposition dans les États membres est fixé au 17 octobre 2024.
L'objectif du NIS2 est d'atténuer les risques en renforçant la position des organisations face aux cyber-attaques. Le règlement élargit le champ d'application de son prédécesseur et exige des mesures de sécurité solides pour protéger les données sensibles des clients contre les cybermenaces.
DORA a la priorité sur NIS2 pour le secteur financier.
Loi sur la résilience opérationnelle numérique (DORA)
DORA est un cadre législatif européen de gestion des risques qui vise à garantir la résilience opérationnelle numérique du secteur financier pour toutes les entités financières, y compris les compagnies d'assurance. Le DORA se concentre sur des domaines de risque importants, notamment la protection, la détection, l'endiguement, la récupération et les capacités de réparation contre les incidents liés aux technologies de l'information et de la communication. Le DORA entrera en vigueur en janvier 2025.
Il ne fait aucun doute que le contenu de DORA est constitué de nombreuses parties encore en évolution. Les trois autorités européennes de surveillance (EBA, EIOPA et ESMA - les AES) ont récemment publié la première série de projets de normes techniques finales dans le cadre du DORA visant à améliorer la résilience opérationnelle numérique du secteur financier de l'UE en renforçant les technologies de l'information et de la communication (TIC) des entités financières, la gestion des risques de tiers et les cadres de notification des incidents. Guidewire analyse actuellement ces projets de près.
Nous nous attendons à ce que l'ESA publie une deuxième série de projets finaux le 17 juillet 2024. Ce lot comprendra également un projet sur la sous-traitance de fonctions critiques ou importantes, qui pourrait s'appliquer aux contrats SaaS.
Guidewire suit de près les derniers développements de DORA.
Comment concilier conformité et innovation
Avec le RGPD, Guidewire a fourni des solutions qui permettent aux compagnies d'assurance de répondre aux exigences de conformité en matière de protection des données des clients et de traitement des données personnelles. Tout en restant attentifs aux exigences réglementaires, nous continuons à innover dans nos produits et nos accélérateurs afin de permettre à nos clients de rester en conformité avec les réglementations européennes qui leur sont applicables.
Les réglementations européennes peuvent être considérées comme une opportunité pour les assureurs de promouvoir et d'établir la confiance avec leurs communautés. En suivant et en encourageant le respect des réglementations existantes et émergentes en matière de protection de la vie privée, de sécurité et de gestion des risques, les clients des assureurs sont assurés que les nouvelles capacités et les nouveaux services innovants sont équilibrés avec la gestion de la protection de la vie privée de leurs données.
Le réseau de partenariats de Guidewire est vaste et comprend notre fournisseur d'hébergement Amazon Web Services (AWS). Comme Guidewire, AWS aide ses clients à soutenir l'innovation, la résilience et la sécurité. Guidewire suit de près l'évolution de la réglementation et, avec AWS, nous accueillons favorablement ces initiatives. Nous espérons être en mesure de permettre à nos clients de répondre aux exigences de la loi DORA et d'autres réglementations européennes.
En savoir plus lors des prochains événements du Marketplace Summit
L'engagement de l'UE en faveur de la confidentialité des données et de la cybersécurité par le biais de réglementations telles que le RGPD, la DORA et la loi sur les données exige un paysage de données privées et sécurisées pour les entités d'assurance. Bien que ces réglementations puissent sembler intimidantes, elles représentent également une opportunité d'innovation et de différenciation qui peut propulser le secteur de l'assurance IARD vers l'avant tout en améliorant la sécurité globale des données.
Rejoignez-nous le 28 mai à Paris, en France, ou le 30 mai à Milan, en Italie, pour une matinée de discussions stimulantes avec des experts sur l'équilibre entre les impératifs commerciaux, l'innovation technologique et la conformité réglementaire dans le secteur de l'assurance IARD. L'après-midi, restez pour une réception exclusive au Palais Garnier à Paris et dans les bureaux de l'AWS à Milan.
Inscrivez-vous dès aujourd'hui