DORA & FIDA : quelles transformations pour les assureurs en 2025 ?

DORA : renforcer la résilience numérique des acteurs financiers

Entré en application le 17 janvier 2025, le règlement européen DORA impose un cadre harmonisé pour la gestion des risques liés aux technologies de l’information et de la communication (TIC). Il concerne l’ensemble des entités financières opérant dans l’Union européenne, dont les compagnies d’assurance.

Les piliers principaux de DORA sont les suivants : gouvernance des risques TIC, gestion des incidents majeurs (notification sous 24h), tests de résilience réguliers (dont red teaming), gestion contractuelle des prestataires critiques et partage d’informations sur les menaces.

Les assureurs doivent dès à présent prouver leur conformité à ces exigences. Les régulateurs ont entamé les premiers contrôles et les sanctions peuvent être significatives en cas de défaillance. La mise en œuvre de DORA est donc immédiate et opérationnelle.

FIDA : vers une ouverture maîtrisée des données financières

Le règlement FIDA (Financial Data Access), en cours de finalisation par le Parlement et le Conseil européens, vise à instaurer un droit d’accès aux données financières des clients, fondé sur leur consentement explicite. Ce texte prolonge la directive DSP2 et s’appliquera à un spectre beaucoup plus large de produits : épargne, crédits, assurance non-vie, etc.

Il obligera les institutions financières à fournir des API interopérables, standardisées et sécurisées. Il encadrera également les services fondés sur l’intelligence artificielle et les décisions automatisées à travers des exigences de transparence algorithmique cohérentes avec le futur AI Act.

Son adoption est attendue mi-2025, pour une entrée en application progressive à partir de 2026. Les assureurs doivent dès à présent entamer des travaux d’anticipation technique et organisationnelle.

Un calendrier à deux vitesses

DORA (Digital Operational Resilience Act)

-  Entrée en application : 17 janvier 2025
-  Applicabilité immédiate pour toutes les entités financières
-  Début des contrôles réglementaires par les superviseurs (EIOPA, ACPR)
- Priorité : mise à jour des plans de résilience, reporting incidents, audit des fournisseurs TIC

FIDA (Financial Data Access)

-  Adoption attendue : mi-2025
-  Mise en œuvre : à partir de 2026 (calendrier précis à venir)
-  Anticipation nécessaire sur l’architecture API, la gestion du consentement et la gouvernance algorithmique

Impacts pour les assureurs : structuration en profondeur

Avec DORA, les compagnies doivent renforcer la gouvernance des risques TIC, mettre en place des dispositifs de détection et de signalement des incidents, réaliser des tests de résilience complexes et auditer leurs fournisseurs stratégiques.

FIDA demande quant à lui une refonte de l’architecture technique autour des données : publication d’API, gestion du consentement, traçabilité des accès et transparence des traitements automatisés. C’est également un enjeu d’organisation, car ces exigences touchent à la fois les départements IT, data, juridique, conformité, produit et relation client.

Impacts pour les assurés : transparence, sécurité, personnalisation

Les assurés seront directement bénéficiaires de ces évolutions. DORA leur garantit une continuité de service renforcée, une meilleure sécurité de leurs données et une transparence accrue en cas d’incident. FIDA, de son côté, leur offrira un meilleur contrôle sur leurs données et l’accès à des services plus fluides et personnalisés. Ils pourront plus facilement comparer les offres, bénéficier de conseils intelligents fondés sur leur profil, et comprendre les décisions automatisées grâce à une gouvernance algorithmique plus lisible.

Exemples d’innovations rendues possibles par FIDA

L’ouverture des données permise par FIDA pourrait donner naissance à de nombreux cas d’usage innovants :

- Souscription multi-acteurs instantanée (ex : banque + assurance)
- Regroupement des contrats dans des tableaux de bord client unifiés
- Tarification dynamique personnalisée en temps réel
- Services prédictifs de prévention des risques ou d’optimisation des garanties
- Automatisation de la coassurance ou des parcours multi-partenaires

Le marché face à la transformation : entre prudence et anticipation

Côté DORA, certains assureurs ont entamé leur mise en conformité dès 2023, mettant en place des comités de pilotage, renforçant leur cybersécurité et auditant leurs prestataires. D’autres acteurs abordent ces exigences avec plus de prudence, freinés par des systèmes d’information complexes ou un manque de ressources spécialisées.

Sur FIDA, les projets sont encore à un stade exploratoire. Certains groupes lancent des POC autour de la donnée ou de la gouvernance algorithmique, tandis que d'autres attendent un calendrier définitif. La concurrence va se structurer rapidement autour des capacités à innover en toute conformité.

Une contrainte transformée en opportunité

L’année 2025 constitue un tournant pour l’assurance européenne. DORA impose une maîtrise opérationnelle de bout en bout des systèmes critiques. FIDA pousse à une ouverture maîtrisée des données et à un usage responsable de l’IA. Ces règlements, loin d’être de simples contraintes, représentent un levier stratégique majeur.

Les assureurs qui réussiront cette transition renforceront leur robustesse, leur transparence et leur attractivité. Ils auront non seulement gagné en conformité, mais aussi bâti les fondations d’une relation client plus fluide, plus personnalisée et plus confiante.