La conformité est devenue le pilier structurant des entreprises réglementées. Le cabinet Morpheus Avocats accompagne ses clients dans la conception, la mise en œuvre et le contrôle de leurs dispositifs de conformité : Sapin II anticorruption, RGPD données personnelles, Solvabilité II gouvernance prudentielle assurance, AI Act intelligence artificielle, lanceurs d'alerte. L'approche conjugue rigueur juridique et compréhension opérationnelle des contraintes de l'entreprise.
Loi Sapin II : anticorruption
La loi n° 2016-1691 du 9 décembre 2016, dite Sapin II, impose aux sociétés employant au moins cinq cents salariés et dont le chiffre d'affaires dépasse cent millions d'euros un dispositif anticorruption complet.
Les huit mesures obligatoires
Le dispositif comporte huit mesures cumulatives : code de conduite, dispositif d'alerte interne, cartographie des risques de corruption, évaluation de l'intégrité des tiers (clients, fournisseurs, intermédiaires), procédures comptables de contrôle, formation des collaborateurs exposés, sanctions disciplinaires, dispositif de contrôle et d'évaluation interne. L'absence ou l'insuffisance de l'un de ces éléments est sanctionnable.
Contrôle de l'Agence française anticorruption (AFA)
L'AFA exerce un contrôle administratif sur les dispositifs. Ses contrôles peuvent déboucher sur des sanctions prononcées par sa Commission des sanctions, jusqu'à un million d'euros pour les personnes morales et 200 000 euros pour les personnes physiques (article 17 de la loi du 9 décembre 2016). Le cabinet accompagne les entreprises dans la préparation des contrôles, la réponse aux questionnaires, la défense devant la Commission des sanctions.
RGPD : protection des données personnelles
Le règlement général sur la protection des données (RGPD) impose un cadre strict au traitement des données à caractère personnel. Le secteur de l'assurance présente des spécificités importantes.
Données sensibles : santé et prévoyance
Le traitement des données de santé en prévoyance santé, individuelle ou collective, relève de l'article 9 du RGPD qui pose un principe d'interdiction assorti d'exceptions strictes. La conformité exige une base juridique solide (consentement explicite, intérêt vital, obligation légale, intérêt public majeur). La désignation d'un délégué à la protection des données (DPO) est obligatoire pour les organismes qui traitent des données de santé à grande échelle.
Profilage actuariel et scoring
Le profilage actuariel utilisé pour la tarification et la souscription, et le scoring utilisé pour l'évaluation du risque, relèvent de l'article 22 du RGPD qui encadre les décisions individuelles automatisées. Le droit d'opposition au profilage, le droit à l'intervention humaine, le droit à une explication des critères, doivent être respectés.
Croisement de bases assureurs / intermédiaires
Le partage des données entre compagnies d'assurance et intermédiaires (courtiers, agents généraux), structuré par des contrats de distribution, soulève des questions de qualification (responsable de traitement, responsable conjoint, sous-traitant), de finalité, de durée de conservation. Une analyse précise est nécessaire pour éviter les manquements RGPD.
Gouvernance Solvabilité II
La directive 2009/138/CE dite Solvabilité II impose aux entreprises d'assurance et de réassurance un système de gouvernance structuré.
Fonctions clés
Quatre fonctions clés sont obligatoires : fonction actuarielle, fonction de gestion des risques, fonction de conformité, fonction d'audit interne. Chaque fonction doit être dotée des moyens humains, organisationnels et techniques nécessaires, et bénéficier d'une indépendance suffisante. Les titulaires sont soumis à l'exigence fit and proper de l'ACPR.
Politiques écrites obligatoires
Au moins une dizaine de politiques écrites sont exigées : gouvernance, gestion des risques, conformité, audit interne, externalisation, rémunération, continuité d'activité, etc. Leur rédaction doit refléter la réalité opérationnelle de l'entreprise et être mise à jour annuellement.
Reporting ACPR (SFCR, RSR)
Le rapport sur la solvabilité et la situation financière (SFCR), public, et le rapport régulier au superviseur (RSR), confidentiel, doivent être produits annuellement. Leur contenu est strictement encadré par les standards techniques EIOPA.
Règlement européen sur l'intelligence artificielle (AI Act)
Le règlement (UE) 2024/1689, dit AI Act, publié au JOUE le 12 juillet 2024 et entré en vigueur le 1er août 2024, d'application progressive entre 2025 et 2027, organise un cadre horizontal applicable à tous les systèmes d'intelligence artificielle utilisés dans l'Union européenne.
Classification des systèmes IA
Le règlement organise une classification en quatre niveaux : risque inacceptable (systèmes interdits), risque élevé (encadrement strict), risque limité (obligations de transparence), risque minimal. Les systèmes d'IA utilisés en assurance pour la tarification, la souscription, la détection de fraude, la gestion de sinistres, peuvent relever de la catégorie risque élevé.
Obligations pour les systèmes à haut risque
Les obligations comportent notamment : système de gestion des risques, qualité des données d'entraînement, documentation technique, journalisation, transparence et information de l'utilisateur, supervision humaine, robustesse et sécurité, conformité avant mise sur le marché (déclaration de conformité, marquage CE). Le cabinet accompagne les insurtechs et les compagnies dans l'audit et la mise en conformité de leurs systèmes.
Lanceurs d'alerte
La loi n° 2022-401 du 21 mars 2022, transposant la directive (UE) 2019/1937, organise un dispositif de protection des lanceurs d'alerte applicable à toutes les sociétés employant au moins cinquante salariés.
Le dispositif comporte : un canal interne de signalement (avec garantie de confidentialité), des procédures de traitement avec accusé de réception et information du lanceur dans les délais légaux, l'absence de mesure de représailles, le respect de la vie privée du lanceur et des personnes mises en cause. Le cabinet accompagne la conception du dispositif et le traitement des alertes complexes.
Questions fréquentes
Quelles entreprises sont soumises à la loi Sapin II ?
Le dispositif obligatoire de prévention de la corruption s'applique aux sociétés employant au moins cinq cents salariés (ou appartenant à un groupe d'au moins cinq cents salariés en France) et dont le chiffre d'affaires (ou le chiffre d'affaires consolidé) excède cent millions d'euros. Les entités publiques d'une certaine taille y sont également soumises. Pour les autres entreprises, la mise en place d'un dispositif anticorruption reste recommandée comme bonne pratique de gouvernance.
Faut-il désigner un DPO en assurance ?
La désignation d'un délégué à la protection des données (DPO) est obligatoire pour les organismes dont l'activité de base implique le traitement à grande échelle de données sensibles, ce qui est typiquement le cas en assurance santé, prévoyance, assurance-vie. La fonction peut être assurée en interne ou externalisée. Le DPO bénéficie d'une indépendance fonctionnelle protégée par le RGPD.
Quelles sont les sanctions du RGPD ?
Les amendes administratives prévues par l'article 83 du RGPD peuvent atteindre, selon la gravité du manquement, deux pour cent du chiffre d'affaires mondial annuel ou dix millions d'euros (pour les manquements de premier niveau), ou quatre pour cent du chiffre d'affaires mondial annuel ou vingt millions d'euros (pour les manquements de second niveau). Le montant retenu est le plus élevé. Les sanctions sont prononcées par la CNIL.
Mon système d'IA en assurance est-il à haut risque ?
Un système d'IA utilisé pour évaluer le risque de défaut, la solvabilité d'un assuré, ou pour prendre des décisions affectant l'accès à l'assurance, est susceptible de relever de la catégorie risque élevé selon l'AI Act. Les obligations sont alors substantielles : système de gestion des risques, documentation technique, transparence, supervision humaine, audit. Une analyse de conformité au cas par cas est nécessaire avant la mise sur le marché.
Comment mettre en place un dispositif d'alerte interne efficace ?
Le dispositif doit garantir trois éléments : un canal de signalement accessible et sécurisé (téléphone, e-mail, plateforme dédiée), des procédures de traitement formalisées (accusé de réception sous sept jours, information sous trois mois), une protection effective du lanceur contre les représailles. La gouvernance du dispositif (qui reçoit, qui traite, qui décide) doit être claire. Une communication interne adaptée renforce l'effectivité.
Mention de l'auteur. Les informations exposees ci-dessus sont de nature generale et informative. Elles correspondent a l'etat du droit positif a la date de leur redaction et peuvent evoluer. Elles ne constituent ni une consultation juridique personnalisee, ni un avis sur une situation particuliere. Toute application a un cas concret suppose une analyse complete, qui s'inscrit dans le cadre d'une convention d'honoraires prealable. La consultation des sources officielles (Legifrance, JOUE, jurisprudences applicables) est recommandee pour toute verification.