Après plusieurs mois d’attente, la Loi n° 2026-403 du 26 mai 2026 de simplification de la vie économique vient enfin d’être publiée au Journal Officiel.

Pour mémoire, par son article 30, cette loi apporte plusieurs modifications impactant les processus de résiliation des contrats d’assurance de biens et encadre désormais les délais d’indemnisation des assurés dans le cadre des procédures de règlement des sinistres en cas de dommages aux biens.

Toutes ces dispositions n’ont en effet appelé aucune censure ni réserve de la part du Conseil Constitutionnel à l’occasion de son contrôle de constitutionnalité. Pour l’essentiel d’entre elles, elles sont donc entrées en vigueur dès le 28 mai 2026 (lendemain de la date de publication de la loi), sous réserve, le cas échéant, de la parution des décrets d’application nécessaires.

Le prestataire de tiers payant Almerys a annoncé, le 22 mai, en début en soirée, être victime d’une cyberattaque potentielle sur son site de demandes de prises en charge, exposant les données personnelles de bénéficiaires de plusieurs organismes complémentaires d’Assurance maladie. Dès la détection de l’intrusion, le portail de demandes de prises en charge a été fermé en milieu d’après-midi.

L’incident sera ensuite confirmé le 24 mai, confirmant également la nature des données personnelles des bénéficiaires qui avaient été exfiltrées : nom, prénom, date de naissance, rang de naissance, numéro de sécurité sociale, nom de l’assureur santé, numéro de contrat, dates de début et de fin de couverture.

Selon les investigations menées par Almerys, aucune donnée de santé, bancaire ou de contact n’est en revanche concernée. Le périmètre affecté couvre les prises en charge optiques, audioprothèses, dentaires hors DENTAMC et hospitalières hors ROC. Les circuits DENTAMC, ROC et la plateforme de tiers payant sont restés opérationnels.

Dès le matin du 22 mai, avant toute communication officielle d’Almerys, notre Cabinet vous alertait sur la base d’informations circulant sur certains réseaux, faisant état d’un fichier de près de 44 millions de lignes dont 15 millions de NIR, chiffres non confirmés par Almerys mais qui illustrent l’ampleur potentielle de l’exposition.

Comme chaque année à la même période, l’Autorité de contrôle prudentiel et de résolution (ACPR) publie son rapport annuel d’activités, revenant sur les principales thématiques de supervision explorées en 2025 ainsi que sur les priorités qui guideront son action en 2026.

Très attendu par les acteurs de la banque et de l’assurance, ce rapport constitue, sans conteste, un outil particulièrement utile pour appréhender les attentes du superviseur, identifier les principaux risques observés sur le marché et mesurer les évolutions des pratiques attendues en matière prudentielle, commerciale et de conformité.

L’édition 2025 s’inscrit dans un contexte marqué par la poursuite de la mise en œuvre de nombreux chantiers réglementaires européens (DORA, IA Act, MiCA, révision de Solvabilité II) mais également par un renforcement des exigences de l’ACPR en matière de protection de la clientèle et de « Value for Money ».

À la lecture du rapport, il apparaît toutefois que les préoccupations du superviseur se concentrent désormais moins sur la seule conformité formelle des dispositifs que sur leur efficacité réelle et sur la démonstration de la valeur apportée au client.

Deux décrets publiés le 25 avril 2026, pris en application de la Loi n° 2025-532 du 13 juin 2025 visant à sortir la France du piège du narcotrafic et de la directive 2024/1640, sont venus apporter les précisions attendues quant à la mise en œuvre des nouvelles exigences issues de cette loi et visant à renforcer l’organisation des dispositifs LCB-FT.

Formation LCB-FT : Le décret n° 2026-310 précise l’obligation de formation des personnels prévue à l’article L.561-34 du Code monétaire et financier.

Le conseil des autorités de surveillance de l’Autorité européenne des assurances et des pensions professionnelles (EIOPA) a acté, le 27 avril 2026, le lancement d’un deuxième exercice coordonné de visites mystères (ou « mystery shopping ») au sein du secteur européen de l’assurance. Déployée à travers 10 États membres, cette opération de contrôle s’appuiera sur une méthodologie commune élaborée par l’autorité européenne et ses membres superviseurs nationaux.

Alors que la première campagne historique se concentrait sur la distribution de produits d’investissement fondés sur l’assurance (IBIP ou PIFA) et avait mis en exergue des résultats contrastés selon les canaux de distribution, cette nouvelle initiative ciblera spécifiquement les ventes en ligne de produits d’assurance non-vie.

Le projet de loi relatif à la lutte contre les fraudes sociales et fiscales, définitivement adopté par le Parlement le 11 mai 2026, marque une étape importante pour les organismes de complémentaire santé. Son article 5 crée en effet une base légale aux échanges de données entre l’Assurance maladie obligatoire (AMO) et les complémentaires santé (AMC), jusqu’alors sans cadre juridique clair et sécurisant dès lors des flux essentiels liés au fonctionnement du tiers payant et/ou à la gestion des prestations.

Au-delà de la sécurisation des pratiques existantes, le texte autorise ainsi des échanges d’informations dans les deux sens, ouvrant de nouvelles perspectives en matière de détection des fraudes et des doubles remboursements. Cette évolution répond également aux attentes de la CNIL, qui demandait depuis plusieurs années un cadre juridique adapté pour les traitements de données de santé réalisés par les organismes complémentaires.

Toutefois, la promulgation de la loi reste à ce jour suspendue à la décision du Conseil constitutionnel, saisi les 18 et 19 mai 2026, pour opérer son contrôle de constitutionnalité. Parmi les dispositions contestées figurent notamment l’accès aux données de santé par les organismes complémentaires et les plateformes de tiers payant à des fins de remboursement, de contrôle et de lutte contre la fraude.

Deux textes publiés au Journal Officiel du 27 mai 2026 organisent la prise en charge par l’Assurance maladie d’un nouvel accessoire destiné aux personnes souffrant d’alopécie liée à une pathologie ou à son traitement et qui font le choix de ne pas porter une perruque traditionnelle tout en recherchant un rendu esthétique personnalisé.

Pour mémoire, selon les modalités définies dans la LPP, la prise en charge d’une prothèse capillaire s’accompagne de la prise en charge indissociable d’un accessoire textile de type turban, foulard, bonnet ou autre tissu hypoallergénique, non toxique, non inflammable, permettant de recouvrir la tête nue. Cependant, lorsque l’assuré ne souhaite pas porter de prothèse capillaire, il peut alors bénéficier de la prise en charge de 3 accessoires alternatifs, limitativement énumérés, dont au moins un sera de type textile.

Dans ce cadre, un arrêté du 21 mai 2026 porte ainsi inscription du dispositif « MON BANDÔ », composé d’une couronne capillaire associée à un élément textile amovible de type turban, disponible sous 9 références fonction de la zone couverte (totale, nuque ou frange) et le type de cheveux utilisés.

La Commission des sanctions de l’ACPR a infligé à la Société Générale (SG), prise en sa qualité d’intermédiaire d’assurance, un blâme assorti d’une sanction pécuniaire de 20 millions d’euros, pour des manquements à ses obligations de distributeur dans le cadre de la commercialisation d’une offre groupée de services bancaires « Sobrio » comportant une assurance dommages (usage frauduleux de la carte bancaire, vol d’espèces, perte de clés…).

Sur les griefs retenus :

• Défauts de remise des informations propres à l’intermédiaire (Art. L.521-2 Code des assurances), de recueil des exigences et besoins du prospect (Art. L.521-4 Code des assurances) et de remise du DIPA (Art. L.112-2 et s. Code des assurances) afférents à cette assurance dommages ; faits reconnus et non contestés par la Banque.
• Manquement au devoir d’agir au mieux de l’intérêt de ses clients.

Sur la discussion :

Pour échapper à la sanction, la banque a tenté de soutenir que la garantie d’assurance est :

Comme chaque année, la CNIL a publié, le 18 mai 2026, son bilan annuel d’activités mettant en lumière plusieurs évolutions marquantes ayant caractérisé l’année 2025 par rapport à 2024.

• Une explosion des notifications de violations de données

Après une hausse marquante du nombre de décisions en 2024, l’année 2025 est surtout marquée par une augmentation importante des notifications de violations de données personnelles.

Les structures ont en effet aujourd’hui conscience des effets d’une violation de données personnelles que ce soit à l’égard des personnes concernées par la violation de leurs données ou bien les conséquences financières et d’image que ces violations sont susceptibles de générer. Elles sont aussi plus sensibles aux obligations en matière de données personnelles.

Publié en mai 2026, le rapport d’activité 2025 de l’ANSSI dresse un bilan complet de l’action de l’agence et de l’état de la menace cyber en France. Pour les organismes d’assurance soumis à DORA, plusieurs signaux méritent une attention particulière.

L’ANSSI a traité 1 366 incidents confirmés en 2025, un niveau quasi identique à 2024. Les environnements cloud sont explicitement désignés comme cibles prioritaires, avec des attaques menées à des fins d’espionnage, d’extorsion et de déstabilisation. Pour les organismes ayant externalisé tout ou partie de leur SI, cette tendance renforce les exigences de surveillance des tiers portées par DORA, notamment la cartographie des prestataires TIC les plus critiques et les clauses contractuelles de notification d’incident TIC (illustrées par l’exemple récent de la cyberattaque Almerys).