Une évolution ayant déjà débuté, elle nécessite toutefois une constante attention portée aux défis juridiques, réglementaires et commerciaux qui existent et qui à leur tour sont soumis à des changements permanents. Pour réussir cette révolution digitale, les acteurs doivent se confronter à plusieurs éléments : la transformation de l’expérience client, la prise en compte de nouveaux risques et l’environnement réglementaire.
1) La transformation de l’expérience client
Pour répondre aux stratégies affectant les compagnies d’assurances -l’enrichissement de l’expérience client et un contrôle plus direct de la relation client-  les acteurs doivent se confronter à la digitalisation de leur services, ce qui implique de repenser le modèle économique classique allant comme pour les plus audacieux, vers un modèle économique collaboratif. Un aperçu du partenariat de Panasonic et Allianz pour le service d’une maison connectée avec des services de protection domestiques « Panasonic Smart Home & Allianz Assiste » en est un exemple parmi d’autres. Complétés par des concepts plus techniques tels que la Blockchain et l’intelligence artificielle, les sociétés d’assurance devraient voir leurs performances améliorées suivi de la satisfaction du client et de ses besoins évolutifs à la clé.
Parmi les méthodes performantes et « agiles » se trouvent les concepts développés respectivement par Aviva et Allianz : « Digital Garage » et « Digital Accelerator ». Ces concepts sont des plateformes réunissant différentes entités de l’entreprise pour créer des groupes de travail agiles et en charge d’opérer une rupture avec les modèles d’activité traditionnels. L’utilisation de ces nouvelles méthodes n’est pas sans risque et une analyse combinée tant juridique que technique est nécessaire pour les appréhender. 
L’adoption de nouvelles méthodes et l’évolution digitale implique par ailleurs une transition profonde notamment des systèmes back-office, des processus internes et les modèles d’interaction avec le client pour plus de simplification.
2) L’accroissement de nouveaux risques en matière d’assurance cyber
Les phénomènes ayant pour conséquence d’accroître ces risques cyber sont désormais relativement bien identifiés. Il s’agit notamment de la robotisation, de la digitalisation et de l’automatisation des produits et services. Durant les dernières décennies, ces phénomènes se sont multipliés. Cette constatation factuelle a été relevée par plusieurs assureurs et courtiers qui relèvent que les conséquences de cyber sinistres sont évidemment matérielles (serveurs, matériels informatiques endommagés) mais également et surtout immatérielles. Des épisodes récents de hacking ont démontré qu’il pouvait exister des pertes d’exploitation très importantes pour les entreprises visées paralysant ainsi leurs activités. De même, en cas de vol ou de diffusion de données personnelles, c’est alors la réputation directe de l’entreprise qui est visée dans un contexte où la réglementation RGPD doit donner des garanties concrètes aux individus.
En ce sens, il existe de nouveaux périls nécessitant d’être cartographiés par les risk managers. Ces derniers doivent alors s’assurer de la protection des actifs dit immatériels ou intangibles, tels que la réputation, les brevets, les marques ou encore les données de leur société qui traditionnellement ne sont pas suffisamment pris en compte dans le cadre de l’établissement de programmes d’assurance.
Sur le plan financier, les conséquences de ces nouveaux facteurs de risques tendent à remettre en cause ce que le marché de l’assurance non-vie considérait comme ses risques d’exposition les plus forts, tels que les catastrophes naturelles ou les pandémies. Au regard des enjeux ainsi identifiés, il peut être avancé que le risque cyber remet en cause les équilibres existants. La véritable difficulté provient du fait que les conséquences d’un sinistre sont difficilement anticipables et peuvent prendre une dimension très importante. A titre d’exemple, l’utilisation d’un même cloud par plusieurs sociétés peut avoir pour conséquence de multiplier un sinistre affectant en chaîne plusieurs acteurs.
En termes de catégorisation, les cyber attaques sont usuellement des vols de données, l’extorsion, la fraude, la modification ou le détournement de produits (virus), la perturbation d’infrastructures critiques et les attaques informatiques.
Ce phénomène est d’autant plus difficile à quantifier qu’il apparaît dans des circonstances qui ne se limitent pas à des accidents aléatoires. Certains sinistres résultent d’attaques qui peuvent provenir d’acteurs privés (isolés ou non) ou même d’organisations terroristes. En outre, la localisation et la détection de ces anomalies sont parfois rendues encore plus complexes par le fait que les auteurs du dommage peuvent mettre en place des mécanismes informatiques pour éviter toute traçabilité (utilisation de la blockchain pour les ransomware par exemple).
En principe, les produits d’assurance cyber ont pour vocation de s’adapter à ces mutations et les risques en découlant. Ils combinent des garanties de dommages et de responsabilité pour pallier les conséquences matérielles et immatérielles des événements cyber. Mais il faut noter que ce phénomène est insuffisamment développé. Usuellement les grands groupes se prémunissent contre les cyber sinistres alors que les PME ignorent parfois encore ce phénomène.
Sur le plan assurantiel, la difficulté réside dans le fait que certaines polices d’assurance (tant dommage que responsabilité) pourraient être déclenchées contre les conséquences de certains cyber sinistres. Ce phénomène est appelé « couverture silencieuses » (ou « silent cover »).
Ces couvertures créent des craintes chez les assureurs et réassureurs en raison du potentiel de degré d’exposition de leurs portefeuilles au risque cyber pour des polices d’assurance n’ayant pas été conçues spécifiquement pour de tels risques. L’ACPR soulève à cet égard dans son communiqué qu’il n’existe que peu de recul sur ce risque : « du fait d’un faible historique de sinistralité, il n’existe pas à ce jour de base statistiques fiables, alimentées par des données homogènes et répertoriées selon une nomenclature stable et partagée. »
Certaines garanties sont dites explicites : les garanties cyber sont expressément mentionnées dans le contrat. D’autres garanties en revanche sont implicites : la couverture du risque cyber n’est ni incluse ni exclue des garanties…
Quelle attitude alors adopter ? Il existe deux méthodes employées sur le marché. La première méthode est minimaliste en ce qu’elle consiste à élargir les couvertures des produits par des rachats d’exclusion ou par des extensions dédiées de garantie cyber. La seconde consiste dans la mise en place de polices spécifiques contenant de garanties plus larges.
3) Vers une transformation du paysage réglementaire
Des challenges réglementaires sont à prévoir pour concilier les nouveaux impératifs de protection du consommateur. Ces challenges se trouvent dans les textes de loi n’ayant pas connu la nouvelle technologie au moment de leur rédaction ; des règles de protection des consommateurs de produits d’assurance qui ne sont pas adaptées à un environnement digital évolutif ; et puis l’alignement des exigences diverses comme le Codes des assurances, le Code monétaire et financier et les préconisations de l’Autorité de Contrôle Prudentiel et de Résolution.
Afin de faciliter l’application de ces règles diverses, les autorités s’essayent à de nouveaux concepts pour accompagner les sociétés s’efforçant à innover leurs activités vers une digitalisation. Comme par exemple le Project Innovate de la FCA (Financial Conduct Authority), proposant des recommandations ou en France, l’ACPR, par la mise en place d’une cellule « Fintech et Innovations » pour appréhender la réglementation actuelle et obtenir un soutien nécessaire dans la réalisation de toute démarche.
La sphère règlementaire internationale entend les appels à la digitalisation et s’adonne à la création de « bacs à sable », des structures, espaces, dans lesquels les produits insurtech et/ou fintech peuvent être testés par des start-ups non autorisées ou des entreprises habilitées qui souhaitent tester des concepts nouveaux.  Sur les pas du FCA au Royaume-Uni, l’Australie ou encore Singapour cherchent à s’essayer à un modèle semblable mais plus rapide.
Les concepts se multiplient, il faut encore que la règlementation européenne et interne suivent les initiatives réglementaires des différentes autorités. Bien que les Etats membres semblent favorables à l’innovation digitale, de nombreuses règlementations existent (RGPD, Directive sur la Distribution de l’Assurance) et les législateurs de l’UE disposent que d’une marge de manœuvre limitée.Ainsi une évolution de la règlementation sera nécessaire pour satisfaire chaque partie et tendre vers un équilibre entre le développement de l’innovation et la réalisation des objectifs de protection des assurés et autres bénéficiaires. 
En matière de règlementation sur l’assurance cyber, l’ACPR invite les acteurs à évaluer de façon exhaustive l’exposition à un tel portefeuille, notamment en termes de garanties implicites (cf. Communication de l’ACPR sur « la distribution des garanties contre les risques cyber par les assureurs » en date du 12 novembre 2019).
Cette exposition peut être réalisée notamment au travers de la surveillance produit prévue par la Directive sur la distribution d’assurance (DDA). L’ACPR propose à cet égard même de l’inclure dans le rapport ORSA.
En outre, il est préconisé de clarifier les définitions et la terminologie relatives aux risques pour permettre une offre exempte d’ambigüité vis-à-vis des preneurs d’assurance. On notera que le code des assurances requiert notamment que les exclusions soient formelles et limitées pour être opposables ou que l’objet des garanties soit clairement défini.
Sur le plan actuariel, il est recommandé une construction progressive des bases statistiques. Ce qui permettra de mieux délimiter les garanties et de les tarifer de façon pertinente.
Enfin, l’ACPR note que le marché a mis en place des organisations ad hoc pour la conception et la rédaction des garanties d’assurance combinée avec des actions de sensibilisation et de prévention lors de la souscription. Dans ce cadre, le régulateur enjoint à une sensibilisation et une formation des acteurs au risque cyber tant du côté des assurés que de celui des forces commerciales.
Tous droits réservés – Les Echos 2020

source