Afin d’accompagner plus efficacement les entreprises dans la mise en œuvre de leurs obligations techniques issues de la CSRD, l’article 7 de la loi « DDADUE 5 » visant à mettre divers textes du droit français en conformité avec la réglementation européenne, reporte de 2 ans l’obligation de publication des informations de durabilité pour les entreprises relevant de la 2ème et de la 3ème vague du calendrier d’application.

Définitivement adoptée par le Parlement, après son vote au Sénat le 3 avril et sa conformité décidée par le Conseil Constitutionnel le 29 avril dernier, cette mesure sera ainsi validée dès la publication officielle du texte.

Dans le même temps, les députés européens ont d’ailleurs également approuvé en séance plénière ce report en application du mécanisme « stop the clock » prévu par l’actuelle proposition de directive « Omnibus » (pour plus de détails, consultez notre article publié à ce sujet le mois dernier).

En clair, cela signifie que :

Une enquête menée par l’ACPR en 2024 révèle une prise de conscience généralisée des enjeux de durabilité dans le secteur de l’assurance mais une mise en œuvre encore hétérogène. Si tous les acteurs interrogés (91 au total représentant 90 % du marché français) ont entamé une démarche d’intégration, les méthodes restent en effet inégalement abouties, soulignant le besoin d’améliorer les outils et de renforcer la sensibilisation des instances de gouvernance.

Pour mémoire, cette dynamique s’inscrit dans le cadre de la directive européenne Solvabilité II récemment renforcée par le règlement délégué (UE) 2021/1256 applicable depuis août 2022, lequel impose désormais aux assureurs d’intégrer les risques ESG (environnementaux, sociaux, de gouvernance) dans leurs dispositifs de gouvernance, de gestion des risques et dans l’évaluation prospective (ORSA), dans une logique de stabilité financière.

Le rapport publié par l’ACPR en ce mois d’avril dresse néanmoins un état des lieux contrasté.

Fin mars 2025, Cybermalveillance.gouv a publié son rapport d’activité de l’année 2024, présentant ainsi l’état des lieux et les évolutions en matière de menaces cyber.

De façon générale, les attaques et les arnaques sont en constante augmentation d’une année à l’autre, le rapport fondant son analyse sur le nombre de demandes d’assistance reçues, leur origine (entreprises et associations, collectivités ou particuliers) et leur type.

Ainsi, les entreprises ont effectué +24 % de demandes d’assistance auprès de la plateforme par rapport à l’année 2023.

Cybermalveillance.gouv souligne en outre,

Le 11 mars dernier, le Sénat a examiné le projet de loi, initialement déposé courant octobre 2024, portant sur la résilience des infrastructures critiques et au renforcement de la cybersécurité. Dès le lendemain, il a été adopté puis déposé le 13 mars à l’Assemblée Nationale (en attente de calendrier).

Ce projet de loi résulte directement du besoin urgent de ces dernières années d’assurer la continuité des entreprises face aux cyberattaques de plus en plus agressives et efficaces. Dans ce contexte, il prévoit donc concrètement la transposition de trois Directives européennes adoptées en matière de cybersécurité des entreprises :

• Directive « REC » (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques ;
• Directive « NIS 2 » (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union ;
• Directive « DORA » (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

L’ACPR frappe de nouveau sur la sécurité des systèmes d’information ! En effet, elle vient de publier ce jeudi 12 février une nouvelle synthèse de son enquête sur la gestion de la sécurité des systèmes d’information des organismes d’assurance.

Elle y constate que, suite aux enquêtes précédentes auprès du secteur, celui-ci a pris une certaine conscience des enjeux et des risques impliquant une gestion spécifique par la fonction SSI ; fonction qui reste néanmoins encore peu incluse dans les décisions stratégiques.

L’année 2024 a été une année riche en documentation pour permettre aux organismes de se mettre en conformité par rapport à la réglementation DORA et anticiper la mise en place opérationnelle en 2025.

Entre textes européens et textes nationaux, entre impératifs et conseils des autorités, il est facile de se sentir rapidement perdu. Nous pouvons dès lors nous demander quelles sont les prochaines échéances, étapes, mais surtout quoi transmettre, comment, où et à qui.

Nous vous proposons donc de faire un petit point d’étape pour vous aider à y voir un peu plus clair sur l’année 2025 :

En 2024, l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a mené une enquête auprès de 224 organismes d’assurance pour évaluer la gestion des données alimentant les calculs prudentiels. Les résultats montrent des avancées notables en matière de gouvernance des données, tout en mettant en évidence des axes d’amélioration essentiels.

Sur la gouvernance des données, l’enquête constate en effet de véritables progrès notamment sur la mise en œuvre de politiques spécifiques. Ainsi, les organismes ont renforcé leurs structures, notamment par la mise en place de comités dédiés et l’adoption de politiques spécifiques à la qualité des données (QDD). Par ailleurs, un responsable dédié au pilotage de la QDD est désormais présent dans de nombreuses entités.

A l’occasion de l’entrée en application de DORA le 17 janvier 2025, l’ACPR a publié deux documents permettant aux entités assujetties de mieux s’y retrouver dans leurs obligations à court et moyen terme. L’autorité a en effet publié le formulaire de déclaration d’externalisation de notification des incidents TIC majeurs, mais surtout son premier paquet de questions/réponses à la FAQ DORA qui apporte de précieux renseignements sur ce qu’il faut renseigner, comment le renseigner et quand le renseigner.

Les éléments les plus marquants sont les suivants :

Une consultation publique est ouverte jusqu’au 28 février 2025, à l’initiative de la CNIL, pour permettre à cette dernière de mettre à jour sa recommandation relative à la sécurité des systèmes de vote par correspondance électronique (SVE).

Cette recommandation de la CNIL a en effet été mise à jour pour la dernière fois le 25 avril 2019. Or, du fait des avancées technologiques, et surtout de la hausse et du perfectionnement des cyberattaques, il était aujourd’hui nécessaire de s’adapter au nouveau contexte.

Ainsi, dans le respect des principes de la protection des données personnelles et des grands principes généraux du droit électoral, l’objectif de ce projet est donc dans un premier temps de fixer de nouveaux attendus en matière de sécurité des dispositifs de vote par correspondance électronique grâce à une revalorisation de niveaux de sécurité ; puis de redéfinir des moyens concrets pour les responsables de traitements afin mettre en place des solutions adaptés aux scrutins.

La CNIL propose ainsi la création de 3 niveaux de risques et, en fonction de la classification du scrutin et du type d’organisme dans un niveau de risque, celui-ci devra se conformer à certaines prérogatives.