Il est acquis qu’aux termes des dispositions d’ordre public de l’article 2 de la Loi n° 89-1009 du 31 décembre 1989 renforçant les garanties offertes aux personnes assurées contre certains risques (Loi ÉVIN), dans le cas où des garanties collectives sont mise en place par acte d’entreprise, l’organisme assureur qui délivre sa garantie ne peut procéder à aucune sélection médicale et refuser de prendre en charge les suites des états pathologiques survenus antérieurement à la souscription du contrat.

Dans les conditions de l’article 7 de cette même loi, la résiliation ou le non-renouvellement du contrat d’assurance est par ailleurs sans effet sur le versement des prestations immédiates ou différées, acquises ou nées durant son exécution. Autrement dit, l’organisme assureur, même résilié, est tenu de continuer à verser les prestations au moins à leur niveau atteint à la date de résiliation du contrat.

Aussi, bien souvent, l’articulation entre ces deux textes posaient des difficultés majeures pour les assurés qui, en cas de succession d’organismes assureurs, se voyaient opposer des refus de prise en charge, les deux assureurs se renvoyant la balle au motif de l’application des dispositions qui les arrangeaient le mieux.

Dans un arrêt récent, la Cour de cassation vient cependant de trancher la question : « en cas de succession de contrats de prévoyance, il appartient à l’organisme, dont le contrat était en cours à la date où s’est produit l’événement ouvrant droit aux prestations, de verser celles-ci, qu’elles soient immédiates ou différées ».

Autrement dit, la primauté est donc donnée à l’article 7 ; la question de l’application de l’article 2 de la Loi ÉVIN ne doit se poser qu’à partir du moment où les dispositions de ce premier n’ont pas lieu de s’appliquer.

Consultez ici l’intégralité du document : Cass. Civ. 2^ème, 25 mai 2023, n° 21-22.158

Par une délibération du 11 mai 2023, la CNIL a prononcé une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO pour avoir manqué à des obligations du RGPD, notamment celle de recueillir le consentement des personnes à la collecte et l’utilisation de leurs données de santé, et pour ne pas avoir respecté les règles sur les cookies.

A noter que l’amende a été prise en coopération avec l’ensemble de ses homologues européens compte tenu du fait que le site web de la société a des utilisateurs dans toute l’Europe.

Au titre des manquements reprochés, la CNIL a en effet relevé que :

• les durées de conservation des données issues des tests réalisés en ligne par les internautes, susceptibles de comprendre des données en lien avec la santé, étaient excessives compte tenu du strict besoin de la société pour les exploiter et en livrer les résultats ;
• aucun avertissement particulier, ni mécanisme de recueil du consentement sur les tests en ligne, alors même qu’ils collectaient des données de santé considérées comme particulièrement sensibles au regard du RGPD, n’était mis en place ;
• la relation contractuelle avec les responsables conjoints de traitement des données n’était pas formalisée dans un document autonome alors même ce document est exigé pour répartir les obligations de chacun ;
• la sécurisation des données traitées et des mots de passe des utilisateurs était défaillante.

A titre « accessoire », la CNIL a également relevé des manquements de la société à ses obligations liées à l’utilisation des cookies.

Parce que les données de santé sont des données personnelles particulières, considérées comme sensibles, elles font à ce titre l’objet d’une protection particulière par le RGPD, mais aussi par la Loi Informatique et Libertés et le Code de la santé publique, ceci de garantir le respect de la vie privée des personnes. Aussi, la présente sanction n’est donc pas surprenante.

Le rapport annuel d’activité de la CNIL pour 2022 récemment publié montre d’ailleurs toute l’attention particulière que la Commission apporte au traitement de ce type de données personnelles.

Consultez ici l’intégralité des documents : Délibération de la formation restreinte n° SAN-2023-006 du 11 mai 2023 concernant la société Doctissimo ; Rapport annuel d’activité de la CNIL pour 2022

Après avoir adopté en février dernier une nouvelle version de l’analyse nationale des risques de blanchiment de capitaux et de financement du terrorisme, le Conseil d’orientation de la lutte contre le blanchiment de capitaux et le financement du terrorisme (COLB) publie pour la première fois un rapport annuel d’activité pour 2022.

Dans le cadre de ce document, composé de quatre parties, le COLB dresse tout d’abord un bilan de son activité au titre de l’année concernée mais ce qu’il est surtout intéressant de relever dans ce rapport, est que le COLB présente également le bilan des activités des autorités de contrôles, dont l’ACPR, en matière de LCB-FT.

Sous forme de tableaux synthétiques, on y découvre ainsi pas mal de données chiffrées qui permettent de mieux appréhender le contexte et le développement en France de la LCB-FT.

Ainsi, on peut y relever par exemple qu’en terme de volume, le secteur des assurances est le premier en Europe.

Sur les activités de supervision et de contrôle sur place des autorités, on apprend par exemple que l’ACPR, dans le secteur de l’assurance, a procédé à un contrôle sur place auprès de 15 entités en 2021 (soit le triple qu’en 2020 et le double qu’en 2019) qui, en termes de suites, ont donné lieu à 9 lettres de suite (sur 40 lettres de suites adressées au total toutes entités assujetties confondues), 3 mises en demeure et 2 sanctions disciplinaires.

Des données chiffrées permettent également d’apprécier l’activité déclarative auprès de Tracfin par secteur. Ainsi, le COLB constate notamment une hausse de 46 % du nombre de déclarations de soupçon du secteur financier en 2021, les banques et les établissements de crédit demeurant les premiers contributeurs.

Enfin, ce rapport nous éclaire en outre sur l’activité des services d’enquêtes et de poursuites sur laquelle nous n’avons bien souvent que peu de visibilité.

En conclusion, la lecture de ce rapport est vivement recommandée tant il apporte des éclairages bienvenus sur l’intérêt du dispositif national.

Consultez ici l’intégralité du document : Rapport annuel d’activité du COLB pour 2022

L’ACPR a publié à fin avril dernier, deux nouvelles instructions relatives aux documents prudentiels annuels à lui communiquer par les organismes assujettis à son contrôle, selon qu’ils relèvent ou non du régime « Solvabilité II » ; ainsi qu’une instruction ayant le même objet et destinée spécifiquement aux organismes de retraite professionnelle supplémentaire.

Pour l’essentiel, l’évolution principale en comparaison des précédentes versions est en lien avec l’entrée dans le paysage réglementaire des deux nouvelles catégories d’opérations d’assurance relatives aux dommages aux biens et pertes pécuniaires consécutifs(ves) aux atteintes aux systèmes d’information et de communication (cat. 32 et 33).

Au visa des nouvelles instructions, est donc désormais visé l’arrêté du 13 décembre 2022 relatif à la classification des engagements d’assurance consécutifs aux atteintes aux systèmes d’information et de communication.

Ainsi, concernant uniquement les organismes relevant du régime « Solvabilité II », un nouvel état intitulé « FR.22.05 – Participation aux bénéficies / excédents – Catégorie 14 » sera à remplir ; il concerne les contrats d’assurance sur la vie diversifiés (comptabilité auxiliaire d’affectation).

Quant aux modalités et délais de remise, ils ne s’en trouvent pas modifiés.

Consultez ici l’intégralité des documents : Instruction n° 2023-I-02 abrogeant et remplaçant l’instruction n° 2022-I-12 du 8 juillet 2022 relative aux documents prudentiels annuels à communiquer par les organismes assujettis au contrôle de l’ACPR relevant du régime dit « Solvabilité II » ; Instruction n° 2023-I-03 abrogeant et remplaçant l’instruction n° 2021-I-05 du 18 juin 2021 relative aux documents prudentiels annuels à communiquer par les organismes assujettis au contrôle de l’ACPR ne relevant pas du régime dit « Solvabilité II » et qui ne sont pas FRPS (Fonds de Retraite Professionnelle Supplémentaire) modifiée par l’instruction n° 2021-I-12 du 15 octobre 2021 ; Instruction n° 2023-I-01 abrogeant et remplaçant l’instruction n° 2018-I-11 du 11 juillet 2018 relative aux documents prudentiels nationaux à communiquer annuellement par les organismes de retraite professionnelle supplémentaire modifiée par les instructions n° 2019-I-29 du 19 décembre 2019, n° 2021-I-06 du 18 juin 2021, n° 2021-I-13 du 15 octobre 2021 et n° 2021-I-26 du 16 décembre 2021

Les contrôles sur place qu’elle a réalisés entre 2020 et 2022 auprès d’intermédiaires en opérations de banques et services de paiement (IOBSP) ont conduit l’Autorité à détecter d’importantes carences dans la commercialisation d’opérations de regroupement de crédits, tant dans la transparence des informations précontractuelles que dans le montage des opérations qui tient trop peu compte de l’intérêt des clients.

A titre d’exemple, elle a ainsi pu relever que l’intermédiaire en charge de la commercialisation de ce type d’opérations se présente trop souvent à tort sous le nom de la marque commerciale du réseau distributeur et minore sa rémunération ; ou encore l’absence de formalisation du recueil des besoins et des exigences des clients ; ou enfin l’absence de mise en garde des clients sur les conséquences du crédit sur leur situation financière.

Bref, autant de mauvaises pratiques qui vont à l’encontre des intérêts des clients et qui justifient que l’ACPR alerte le public et par là même les professionnels concernés sur ces constats.

Aussi, tout en leur rappelant leurs obligations en la matière (informations précontractuelles, recueil des besoins, devoir d’information et d’alerte), elle demande donc aux intermédiaires qui commercialisent ces opérations de regroupement, mais également aux établissements de crédit qui les financent, de corriger rapidement ces pratiques qui augmentent les coûts supportés par les clients.

Consultez ici l’intégralité des documents : Communiqué de presse du 16 mai 2023 ; Publication de mai 2023 de la Revue de l’ACPR

Dans un document d’une quinzaine de pages, l’Autorité européenne des assurances et des pensions professionnelles (AEAPP ou EIOPA) définit sa stratégie pour la période 2023-2026.

Son leitmotiv durant cette période : renforcer la résilience et la pérennité des secteurs des assurances et des retraites.

Au programme des priorités sur lesquelles elle entend se concentrer à ce titre :

• En matière de finance durable, en contribuant à la mise en place d’une assurance et de retraites durables, notamment en comblant les lacunes en matière de protection, au profit des citoyens et des entreprises.
• En matière de transformation numérique, en soutenant la communauté de surveillance et l’industrie pour atténuer les risques et saisir les opportunités de la transformation numérique, notamment en promouvant davantage une culture axée sur les données.
• En matière de surveillance, en faisant la promotion d’une surveillance prudentielle et d’une conduite saines, efficaces et cohérentes dans toute l’Europe, en particulier compte tenu de l’augmentation des activités transfrontalières.
• En matière de politique, en fournissant des conseils de haute qualité et d’autres travaux politiques en tenant compte des besoins changeants et croissants de la société ainsi que des effets de la nouvelle réglementation horizontale.
• En matière de stabilité financière, améliorer encore la stabilité financière, en mettant particulièrement l’accent sur l’analyse des risques, des vulnérabilités et des menaces émergentes du secteur financier.
• En matière de gouvernance interne, être une autorité européenne modèle avec des normes professionnelles élevées, une gouvernance rentable et une réputation positive au sein de l’UE et dans le monde.

Les principales missions qu’elle a d’ores et déjà choisi de s’affecter pour 2023 sont les suivantes :

• L’intégration des risques ESG dans les cadres prudentiels des assureurs et fonds de pension ;
• Le lancement d’un test de résistance coordonné unique sur le changement climatique ;
• La mise en œuvre de la loi sur la résilience opérationnelle numérique (DORA);
• Le développement d’un régime solide pour l’utilisation de l’intelligence artificielle (IA) par le secteur de l’assurance;
• La lutte contre le préjudice causé aux consommateurs par les activités transfrontalières ;
• La fourniture de conseils dans le cadre de la révision de la directive IRP II ;
• Le suivi de la matérialisation potentielle du risque baissier découlant des crises en cours dans le contexte d’une inflation élevée et d’une croissance faible/potentiellement négative ;
• La présidence du réseau des agences de l’UE.

Consultez ici l’intégralité du document : EIOPA Strategy 2023-2026

En réaction à plusieurs scandales sanitaires, notamment liés aux dérives lucratives de certains centres dentaires, le législateur vient d’intervenir une nouvelle fois afin de renforcer le cadre juridique et institutionnel des centres de santé et leur contrôle, par la Loi n°2023-378 du 19 mai 2023 visant à améliorer l’encadrement des centres de santé.

Pour l’essentiel, les nouvelles mesures qui sont prises visent :

• D’une part, à rétablir l’obligation d’obtention d’un agrément délivré par le directeur général de l’agence régionale de santé (ARS) avant toute ouverture d’un centre de santé ayant une activité dentaire, ophtalmologique ou orthoptique. Cet agrément ne deviendra définitif qu’à l’expiration d’une durée d’un an à compter de l’ouverture du centre. Les centres de santé déjà ouverts sont également soumis à l’obtention de cet agrément ; ils disposent d’un délai de six mois suivant la promulgation de la loi ;
• D’autre part, à renforcer les contrôles internes (prévention des conflits d’intérêts pour l’exercice de fonctions dirigeantes du centre ; création d’un comité médical ; Identification des professionnels de santé y exerçant…) ;
• Enfin, à augmenter les sanctions applicables en cas de manquement par les centres de santé à leurs obligations législatives et réglementaires. A cet effet, il sera en outre fait application d’un barème fixé par décret.

Consultez ici l’intégralité du document : Loi n°2023-378 du 19 mai 2023 visant à améliorer l’encadrement des centres de santé (JO, 20 mai 2023, texte n° 1)

A la question : l’exercice par la personne concernée du droit d’accès à ses données personnelles traitées oblige-t-il le responsable de traitement à lui communiquer une copie fidèle de l’ensemble des informations et documents en sa possession qui comportent ces données ?

Dans un arrêt récent, la Cour de justice de l’UE répond OUI !

En effet, si elle ne reconnait pas le droit d’obtenir une copie des données, ainsi que le prévoit l’article 15 §3 du RGPD, comme un droit distinct de celui de pouvoir y accéder, elle précise cependant que :

• le droit d’accès doit permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite ;
• ce droit d’accès est en outre nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, les autres droits qu’elle détient en vertu du règlement (rectification, effacement, limitation du traitement, opposition…) ;
• partant, la copie des données à caractère personnel faisant l’objet d’un traitement doit donc présenter l’ensemble des caractéristiques permettant à la personne concernée d’exercer effectivement ses droits et doit par conséquent reproduire intégralement et fidèlement ces données.

En conclusion : le droit pour la personne concernée d’obtenir de la part du responsable du traitement une copie de ses données à caractère personnel faisant l’objet d’un traitement, dans le cadre de l’exercice de son droit d’accès, implique qu’il lui soit remis une reproduction fidèle et intelligible de l’ensemble de ces données, ce qui peut nécessiter de lui communiquer la copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, dès lors que la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par le RGPD.

Consultez ici l’intégralité du document : CJUE, 4 mai 2023, affaire C-487/21