Le (nouveau) projet de Loi de finances pour 2025, dans sa dernière version du 24 janvier 2025,  prévoit d’insérer un 2° au sein de l’article 998 du Code général des impôts afin de faire bénéficier d’une exonération de taxe spéciale sur les conventions d’assurance (TSCA) :

En fin d’année 2024, la Caisse centrale de réassurance (CCR) a publié son 3^ème rapport annuel au ministère de l’économie, des finances et de la souveraineté industrielle et du numérique, dont l’objet vise d’abord à dresser un état des lieux scientifique de l’augmentation constante des catastrophes naturelles en France. Ce rapport fait cependant nécessairement le lien avec les répercussions dans le domaine assurantiel et l’équilibre du régime d’indemnisation public-privé (estimation des couts des de ces évènements, potentielles augmentations de taux…).

En ce début d’année 2025, nous avons par ailleurs pu observer les effets des deux arrêtés du 22 décembre 2023 et du 3 juillet 2023.

Dans un arrêt rendu le 19 décembre 2024, la Cour de cassation a précisé sa position sur le champ d’application de la taxe spéciale sur les contrats d’assurance (TSCA) applicables aux assurances automobiles.

Une consultation publique est ouverte jusqu’au 28 février 2025, à l’initiative de la CNIL, pour permettre à cette dernière de mettre à jour sa recommandation relative à la sécurité des systèmes de vote par correspondance électronique (SVE).

Cette recommandation de la CNIL a en effet été mise à jour pour la dernière fois le 25 avril 2019. Or, du fait des avancées technologiques, et surtout de la hausse et du perfectionnement des cyberattaques, il était aujourd’hui nécessaire de s’adapter au nouveau contexte.

Ainsi, dans le respect des principes de la protection des données personnelles et des grands principes généraux du droit électoral, l’objectif de ce projet est donc dans un premier temps de fixer de nouveaux attendus en matière de sécurité des dispositifs de vote par correspondance électronique grâce à une revalorisation de niveaux de sécurité ; puis de redéfinir des moyens concrets pour les responsables de traitements afin mettre en place des solutions adaptés aux scrutins.

La CNIL propose ainsi la création de 3 niveaux de risques et, en fonction de la classification du scrutin et du type d’organisme dans un niveau de risque, celui-ci devra se conformer à certaines prérogatives.

En 2025, l’ACPR poursuit son programme de travail avec pour objectif de renforcer la résilience et l’efficacité du secteur financier. Le terme « Résilience » résonne en effet beaucoup depuis ces derniers mois, il n’est pourtant pas nouveau mais il permet à l’ACPR d’inclure sa nouvelle surveillance DORA.

Pour cette année, l’ACPR s’est ainsi fixée 4 axes stratégiques pour garantir la stabilité des secteurs bancaires et assurantiels dans un environnement « économique et politique incertain » :

Une trentaine de CNIL européennes (autorités de surveillance) ont mené des enquêtes coordonnées courant 2024 afin d’évaluer le respect, par les responsables de traitement, du droit d’accès à leurs données par les personnes concernées.

Ces actions ont pris diverses formes : exercices d’enquête, évaluations préliminaires pour identifier d’éventuelles infractions et, dans certains cas, ouverture d’enquêtes ou de contrôles formels.

Un questionnaire standardisé a été élaboré pour interroger un large éventail de responsables de traitement, qu’ils soient publics ou privés, soit 1 185 responsables de traitement y ont répondu, représentant des secteurs variés, allant des PME aux grandes entreprises.

Pour près des deux tiers des autorités de surveillance, l’analyse des réponses a ainsi révélé un niveau de conformité comme allant de « moyen » à « élevé ». Toutefois, un faible volume de demandes d’accès signalé par certains responsables de traitement suggère un manque de reconnaissance des requêtes d’accès, pouvant refléter des lacunes en matière de sensibilisation.

Une autre observation clé concerne le manque de connaissance des lignes directrices relatives à l’application de ce droit, adoptées par le CEPD le 28 mars 2023. Ce qui explique la mauvaise ou l’absence d’application de ce droit auprès des personnes concernées.

Malgré cela, des pratiques exemplaires ont été relevées, comme l’intégration de formulaires en ligne dits « conviviaux » permettant aux personnes concernées de réaliser facilement la demande auprès du responsable de traitement ou encore l’adoption de systèmes en libre-service pour télécharger ces données personnelles de manière autonome.

La CNIL a ouvert une consultation publique jusqu’au 28 février 2025 pour élaborer un référentiel de certification destiné aux sous-traitants traitant des données personnelles. Cette initiative vise à renforcer la conformité au RGPD de ces acteurs et à offrir aux responsables de traitement une garantie supplémentaire dans le choix de leurs partenaires.

Dans le cadre du RGPD, les sous-traitants ont en effet des obligations spécifiques lorsqu’ils traitent des données pour le compte d’un responsable de traitement. Ce cadre réglementaire s’applique à tous les sous-traitants, sans critère ou caractère critique des activités sous-traitées.

En revanche, la communication de la CNIL autour de ce référentiel s’adresse de manière plus directe et ferme aux prestataires informatiques, aux intégrateurs de logiciels, aux agences de marketing et aux entreprises de services numériques en les citant ouvertement. Un appel du pied remarqué de la part de l’Autorité auprès de ces entreprises qui s’exemptent peut-être trop rapidement de leurs obligations…

De leur côté, les responsables de traitement doivent s’assurer que leurs sous-traitants offrent des garanties suffisantes en matière de protection des données.

La future certification permettra donc aux sous-traitants d’attester de la conformité d’un produit, d’un service ou encore de l’éthique et de la politique générale de l’entreprise en matière de protection des données personnelles. Elle servira également d’outil de sélection pour les entreprises recherchant des prestataires fiables.

Chose promise, chose due… Comme elle l’avait annoncé lors de sa réunion de place du 9 octobre 2024, l’ACPR a publié la version finale de sa notice sur le cadre de gestion des risques TIC sur la base de son projet proposé en décembre 2024.

Cette notice a pour objectif d’accompagner les entités assujetties dans l’application des exigences DORA relatives à la gestion des risques TIC mais également de recueillir un panel large des références réglementaires DORA depuis les nombreux actes délégués de niveau II et normes techniques de ces derniers mois.

Cette notice s’articule ainsi en 5 parties et 1 annexe :

Le 20 janvier 2025, le Comité européen de la protection des données (CEPD) a adopté des lignes directrices portant à la fois sur le principe de la pseudonymisation et le renforcement de la coopération avec les autorités de la concurrence.

Pour la première fois, la notion de pseudonymisation obtient une définition claire de ses moyens d’application. Ces lignes directrices apportent en effet un réel descriptif pour faciliter son implémentation au sein des organismes traitant des données personnelles. Les données sensibles comme les données de santé peuvent être concernées par la pseudonymisation.

La pseudonymisation est un outil permettant aux responsables de traitements de rendre non identifiable une donnée personnelle. Cela permet ainsi de traiter des données personnelles, sans pour autant connaitre l’identité de la personne qui est concernée par cette donnée. Grace à cette technique, les personnes concernées se voient ainsi être protégées et le responsable de traitement obtient la possibilité de continuer à traiter les données non identifiables.

En effet, le lien entre la personne concernée et la donnée devient secret. De cette manière, les principes de la protection des données sont conservés, les risques sont contrôlés et le responsable de traitement conserve la possibilité de traiter les données pseudonymisées. Et cette opération est réversible.

Attention toutefois, ne pas confondre la pseudonymisation et l’anonymisation qui sont deux termes bien différents et ne concernent pas les mêmes besoins. En effet, une fois l’anonymisation faite, il est impossible de faire le lien entre une donnée personnelle et la personne à laquelle elle appartient. De plus, les régimes légaux sont différents. Contrairement à la pseudonymisation, l’anonymisation n’est pas soumise à l’application du RGPD.

Un volet important de ces lignes directrices porte en outre sur les moyens de sécurité devant être pris en compte au moment de la pseudonymisation de données. Dans ses lignes directrices, le CEPD a souhaité en effet porter une attention particulière

C’est l’heure du bilan ! Comme chaque année, l’ACPR établit le nombre d’inscriptions nouvelles qu’elle a effectuées sur sa « liste noire » des sites ou entités proposant, en France, des crédits, des livrets d’épargne, des services de paiement ou des contrats d’assurance sans y être autorisés.

Ainsi, sur 2024, elle ne comptabilise pas moins de