Pour mémoire, l’ACPR a rendu le 30 mars dernier une sanction contre la société d’assurance Mutex pour manquement à ses obligations relatives aux contrats d’assurance-vie en déshérence.

C’est maintenant au tour de la MGEN Vie de se voir sanctionner par l’Autorité de contrôle pour quasiment les mêmes manquements !

Par une décision prononcée le 12 mai, qui vient d’être rendue publique, l’ACPR sanctionne en effet la Mutuelle MGEN Vie, à hauteur de 1 million d’euros, essentiellement pour des manquements relevés à cette règlementation. La Mutuelle écope également d’un blâme.

En l’occurrence, il lui a été reproché par l’autorité de contrôle :

• Des manquements à son obligation générale d’information due aux adhérents portant sur les dispositions essentielles du règlement, sur les conséquences de la désignation du bénéficiaire et sur les modalités de cette désignation ;
• Des manquements ponctuels à ses obligations d’identification des assurés décédés > ces manquements ne constituent pourtant pas selon l’ACPR une carence du dispositif de traitement de dossiers en déshérence ;
• Des manquements à ses obligations de versement de la prestation aux bénéficiaires > l’Autorité de contrôle a constaté que la MGEN Vie n’a pas respecté la structure de la clause-type d’une part, et qu’elle a appliqué cette clause à son profit en dépit de désignation particulière de l’adhérent d’autre part.

En revanche, l’ACPR a tenu compte des mesures correctrices mises en œuvre par la Mutuelle afin de rectifier ces carences. Elle a en effet souligné :

• la modification par la mutuelle de son bulletin d’adhésion ;
• l’amélioration des informations diffusées sur les modalités de désignation du bénéficiaire ;
• l’intégration de la quasi-totalité des portefeuilles en délégation de gestion aux « dispositifs AGIRA » ;
• le traitement approprié de la plupart des dossiers pour lesquels une défaillance en matière de recherche du bénéficiaire était reprochée (9 étant encore en cours de traitement), lorsque la MGEN n’était pas le bénéficiaire et lorsqu’elle l’était ;
• la mise en œuvre dès le second semestre 2014, soit plusieurs années avant le début de la mission de contrôle, d’un projet « Déesse » dont l’objet était de mettre en conformité plus de 16 500 dossiers en attente de règlement de la garantie PID, dans lesquels le décès de l’adhérent était intervenu avant 2015 et dont 98 % sont réglés à ce jour.

Aussi et surtout, notons que les garanties objet des griefs reprochés étaient constitutives de garanties en inclusion d’une garantie santé, dont l’adhésion présentait un caractère obligatoire et automatique pour tous les adhérents à la garantie santé principale.

Au travers de cette décision, l’ACPR rappelle donc une nouvelle fois aux organismes sous son contrôle que le caractère accessoire d’une garantie obsèques ou décès n’a pas d’influence sur le respect des obligations auxquelles ils sont tenus en application de la Loi Eckert, ce type de garantie ressortant de la qualification d’opérations d’assurance dont l’exécution dépend de la durée de la vie humaine.

Consultez ici l’intégralité du document : Décision de la Commission des sanctions « MGEN Vie » du 12 mai 2022 – procédure n° 2020-10 (Registre officiel, 17 mai 2022)

Le 2° de l’article 261 C du CGI exonère de TVA les opérations d’assurance ou de réassurance ainsi que les prestations de services afférentes  à ces opérations effectuées par des courtiers et intermédiaires d’assurance.

Dans une mise à jour récente du BOFiP, l’administration fiscale s’est attachée à refondre la présentation de ses commentaires sur cet article et a revu notamment la notion de prestations de services afférentes à des opérations d’assurance et de réassurance effectuées par les courtiers et intermédiaires d’assurance.

De même, la doctrine administrative, en reprenant la jurisprudence de la CJUE rendue en la matière, et en abandonnant une précédente rédaction obsolète du BOI (provenant de rédactions très anciennes de la doctrine), a mis à jour et structuré la présentation des exonérations des activités d’assurance, telle qu’elle figure au 2° de l’article 261 C du CGI.

Ainsi, l’administration reprend et détaille les différentes conditions à satisfaire pour bénéficier de l’exonération, dans la droite ligne notamment de la jurisprudence « Aspiro » de la CJUE (arrêt du 17 mars 2016, aff. C-40/15).

Elle éclaircit de la même manière certains points : exonération des prestations rendues dans le cadre de la substitution, qualification des opérations d’assistance.

Cette dernière publication précise ainsi que deux conditions sont désormais requises pour bénéficier de l’exonération de TVA applicable aux prestations de services afférentes à des opérations d’assurance effectuées par les courtiers et les intermédiaires d’assurance, directement issues de la jurisprudence de la CJUE et reprise par le Conseil d’Etat (arrêt CE, 9^ème et 10^ème ch, 9 octobre 2019, n°416107).

D’une part, ces prestataires doivent être en relation avec l’assureur et avec l’assuré, cette condition pouvant être satisfaite même si le lien avec l’assuré est indirect.

D’autre part, l’activité exercée doit recouvrir des aspects essentiels de la fonction d’intermédiaire d’assurance, tels que la recherche de clients et la mise en relation de ceux-ci avec l’assureur, en vue de la conclusion de contrats d’assurance (prospection).

Il n’y a plus de référence à un statut légal ou règlementaire des acteurs économiques qui se livrent à ce type de prestations, mais à la nature des activités effectivement exercées.

Par conséquent,  certains organismes vont devenir exonérés et d’autres vont devenir imposables (par exemple courtier ou mutuelle exerçant une activité de gestion administrative à l’exclusion d’opérations de prospection pour compte de tiers).

L’analyse devra être menée au cas par cas, en fonction des contrats et des opérations réellement effectuées qui pourront ou non qualifier l’activité d’intermédiaire en opérations d’assurance.

L’administration propose en outre quelques exemples, indiquant ainsi que l‘appréciation factuelle sera à la base de la détermination du régime TVA de ces opérations.

Enfin, l’administration fiscale précise qu’afin de tenir compte des délais d’adaptation des systèmes d’information nécessaires pour la bonne application de ces précisions (notamment pour celles dont la situation va changer du fait de cette nouvelle doctrine), les entreprises pourront, jusqu’au 31 décembre 2022, continuer à se prévaloir des commentaires administratifs, dans leur version en vigueur antérieurement.

Les entreprises d’assurance et intermédiaires en opérations d’assurance auront par conséquent tout intérêt à utiliser ce délai pour mettre à jour leurs pratiques.

Consultez ici l’intégralité du document : Actualités BOFIP du 27 avril 2022

Pour vous permettre de mieux appréhender le positionnement que vous devrez adopter, le Cabinet beeLighted, en partenariat avec Maître Emmanuel Charrié, avocat spécialisé en droit fiscal, vous invite à décrypter ces évolutions au cours d’un webinaire gratuit, le jeudi 16 juin de 10h30 à 11h15.

N’hésitez à vous y inscrire en cliquant sur le lien suivant : INSCRIPTION

Dans un communiqué publié le 6 avril dernier, le comité européen de la protection des données a salué l’accord de principe conclu entre la Commission européenne et les Etats-Unis sur un nouveau cadre légal de transfert des données vers le pays outre atlantique.

Cet accord fait suite à de multiples violations commises aux Etats-Unis, aux droits à la protection des données personnelles provenant de l’Europe.

Pour mémoire, la CJUE a, le 16 juillet 2020, rendu un arrêt qui oblige les exportateurs des données de continuer à mettre en œuvre les actions nécessaires afin de s’assurer que le pays de destination des données assure un niveau de protection équivalent à celui imposé par le RGPD.   

Malgré l’aboutissement d’un nouvel accord, ces opérateurs n’en restent pas moins soumis aux exigences de la CJUE lors du transfert des données vers un pays tiers, notamment aux Etats-Unis.

En effet, si cet accord engage les autorités aux Etats-Unis d’établir des mesures sans précédent pour assureur la protection des données personnelles en provenance de l’EEE, il ne revêt pourtant qu’une portée politique sans aucune valeur juridique.

Ainsi, le CEPD examinera comment cet accord politique sera traduit en des propositions juridiques concrètes qui matérialisent les exigences de la CJUE d’assurer un niveau de protection des données conforme à celui du RGPD. Il s’agit plus particulièrement d’examiner :

• la manière dont la réforme assurera que la collecte de données personnelles à des fins de sécurité nationale est limitée au strict nécessaire et proportionnée ;
• dans quelle mesure les mécanismes de recours indépendants annoncés respecteront le droit des individus de l’EEE à un recours effectif et à un procès équitable.

Il convient de rappeler enfin que le RGPD impose à la Commission de solliciter l’avis du CEPD avant d’adopter toute nouvelle décision d’adéquation reconnaissant un niveau satisfaisant de protection des données garanti par les Etats-Unis.

Consultez ici la déclaration du CEPD en anglais : Statement 01/2022 on the announcement of an agreement in principle on a new Trans-Atlantic Data Privacy Framework

En raison du nombre élevé des plaintes reçues par la CNIL pour violation des données personnelles, la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure a permis de simplifier les procédures permettant la mise en œuvre des mesures correctrices et de sanctions en cas de manquement au RGPD ou à la loi « Informatique et Libertés » du 6 janvier 1978.

L’article 33 a ainsi prévu que la mise en œuvre de ces procédures simplifiées sera régie par un décret en conseil d’Etat. C’est désormais chose faite avec l’entrée en vigueur du décret du 8 avril 2022.

Dans cette perspective, ce décret laisse ouvert le nombre d’échanges et allonge les délais requis pour les produire. Il ouvre également la possibilité à la mise en œuvre d’une procédure orale.

Le nouveau texte définit ensuite les modalités de la procédure simplifiée de sanction et de la procédure d’injonction à produire en cas d’absence de réponse à une mise en demeure devant le président de la formation restreinte.   

Le décret autorise enfin à la commission à solliciter le concours de personnes extérieures chargées d’assister le rapporteur dans le cadre de la procédure ordinaire, ou susceptibles d’être désignées rapporteurs dans le cadre de la procédure simplifiée. Cette autorisation est toutefois admise sous réserve d’absence de conflit d’intérêts. Il en est notamment ainsi lorsque les rapporteurs ont un intérêt direct ou indirect dans l’un des organismes mis en cause dans le cadre de la procédure simplifiée.

Il organise la procédure d’échange entre la formation restreinte et les différentes autorités de contrôle lorsqu’il y existe un élément nouveau permettant de dépasser le cadre de la procédure simplifiée pour suivre une procédure ordinaire.

Pour mémoire, les sanctions susceptibles de pouvoir être prononcées dans le cadre d’une procédure simplifiées sont les suivantes :

• Rappel à l’ordre;
• Amende maximale de 20 000€;
• Injonction avec astreinte plafonnée à 100 euros par jour de retard.

Consultez ici l’intégralité du document : Décret n° 2022-517 du 8 avril 2022 modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (JO 10 avril 2022 ; texte n° 20)

Il est intéressant de savoir que des entités étrangères ont parfois la possibilité de récupérer des dossiers et des données, par le biais des procédures judiciaires ou administratives ad hoc. Ces démarches peuvent fragiliser les entreprises visées par ces entités.

Cette technique d’appropriation avait conduit à l’adoption d’une loi n° 68-678 du 26 juillet 1968 dite « Loi de blocage » dont l’objectif est d’encadrer la communication de documents, de renseignements et de données d’ordre économique, industriel et financier, … etc., à destination des entités étrangères.

C’est dans ce contexte qu’une grande réforme de modernisation a été lancée en 2022, ayant pour but de réaliser l’adéquation de la réglementation aux récentes évolutions du marché numérique actuel.

Un décret du 18 février et un arrêté du 7 mars 2022 sont en effet venus allonger la liste des informations qui ne peuvent pas être communiquées en cas de requête venant d’entités étrangères.

Il a été ajouté par exemple, le détail des couvertures d’assurance principalement en matière de cybersécurité ou encore les avis juridiques en matière de conformité et d’audits internes dans le domaine de la sécurité des systèmes d’information.

Au-delà de ces réformes, le ministère de l’Economie a mis en place un mécanisme d’accompagnement des entreprises en créant le « Service de l’Information Stratégique et de la Sécurité Economique » (SISSE). Ce dernier joue le rôle de point de contact centralisé, s’assure de la mise à disposition des bonnes informations sollicitées par des organes étrangers et protège avant tout les intérêts stratégiques de la France.

Ce service est joignable à l’adresse suivante :

loi.deblocage@finances.gouv.fr.

Dans cette perspective, il a été publié un guide co-rédigé par le Medef et l’Association Française des Entreprises Privées, en mars 2022 qui évalue et estime le niveau de criticité des informations pouvant faire l’objet des sollicitations.

Consultez ici le décret, l’arrêté et le guide co-rédigé : Décret du 18 février 2022 ; Arrêté du 7 mars 2022 ; Guide à usage des entreprises d’identification des données sensibles

La nouvelle n’a surement pas dû vous échapper ! Le premier trimestre 2022 a été marqué par le décret sur la distribution d’assurance par voie de démarchage téléphonique. Pour compléter la réglementation sur la protection des données lors des appels téléphoniques, la CNIL formule sa position sur l’enregistrement des conversations dans le cadre probatoire suivant la formation d’un contrat.

En effet, l’enregistrement des conversations téléphoniques à des fins de preuve de la formation d’un contrat est autorisé. Il est même parfois prévu et encadré par la loi comme dans le code monétaire et financier ou dans le code des assurances. Cependant, cet enregistrement est autorisé sous réserve de conditions et de garanties, que la CNIL rappelle dans son article.

L’enregistrement doit être nécessaire pour prouver la formation d’un contrat. C’est-à-dire qu’il ne doit pas exister d’autres moyens possibles pour conclure le contrat. Ce dernier peut donc être oral.

Si la conclusion du contrat par téléphone est acceptée par la personne concernée, malgré d’autres formes de conclusions possibles, alors cette dernière doit avoir été correctement informée.

Cette information sur les possibilités de conclure le contrat par d’autres moyens est donc indispensable pour que l’enregistrement puisse être considéré comme nécessaire au contrat. La base légale retenue sera donc celle du contrat (article 6.1.b du RGPD).

En tous les cas, de fortes garanties doivent être apportées. Tout d’abord, le principe de minimisation doit être strictement respecté, l’enregistrement ne peut être ni permanent, ni systématique. Cela signifie que seules les conversations portant sur la conclusion du contrat doivent être enregistrées.

La CNIL recommande fortement que le téléopérateur puisse déclencher manuellement l’enregistrement au moment où l’objet de la conversation porte clairement sur la conclusion du contrat. De plus, cet extrait ne pourra être conservé qu’en l’absence d’une autre modalité de preuve de la formation ou de l’exécution du contrat (exemple : confirmation écrite).

Par ailleurs, la CNIL rappelle que l’information communiquée aux personnes concernées doit être concise, transparente, compréhensible, accessible, en des termes clairs et simples. Au regard du nombre d’informations devant être communiquées, elle recommande que cette information s’effectue en deux temps :

• par le biais d’une mention orale en début de conversation : existence du dispositif, finalité, éventuels autres moyens de conclure, les droits de la personne concernée
• par un renvoi vers un site internet (exemple : mentions légales) ou une touche sur e téléphone pour obtenir une information exhaustive

Puis, la CNIL fait état d’une garantie de limitation des durées de conservation des enregistrements qui doivent être prises en compte, cohérente avec la politique d’archivage et de purges des données de l’organisme.

Enfin, la CNIL insiste particulièrement sur la sécurisation des données avec la mise en place opérationnelle d’une politique d’habilitation afin d’accéder aux enregistrements pour sécuriser les données et gérer la traçabilité des accès.

Ce point de sécurité ne peut être complet sans un point de vigilance mis en exergue par la CNIL concernant les données bancaires transmises lors de ces appels téléphoniques. Elle considère que l’enregistrement de ces données ne sont pas nécessaires à la bonne exécution du paiement. La CNIL recommande donc la mise en place d’un dispositif pouvant interrompre ou supprimer rapidement l’enregistrement au moment où le consommateur prononce ces données.

Consultez ici l’article de la CNIL : L’enregistrement des conversations téléphoniques afin d’établir la preuve de la formation d’un contrat