Cet article a été rédigé en collaboration avec Jean-Guibert Ciavaldini, Directeur Secteur Tech Howden France et Philippe Heydarian, CEO Qalestra.
Introduction
Les FinTech, qui bousculent le secteur financier grâce aux solutions de paiement, font aujourd'hui face à de nouvelles règles du jeu après la réglementation DSP2 qui avait permis le développement de l'open banking. Avec l'introduction de DSP3 et DORA, deux régulations européennes récentes, leurs obligations de sécurité et de résilience prennent un tournant majeur.
Ces changements les amènent à redéfinir leur stratégie en matière de risques, et notamment à explorer des solutions de compliance et d'assurance capables de protéger leurs activités dans un environnement numérique exigeant et en constante évolution.
Comprendre DSP3 et DORA : Plus de sécurité et de résilience
La DSP3, ou Directive sur les Services de Paiement 3, vient renforcer les obligations déjà posées par la DSP2. Elle exige désormais que les établissements de paiement prennent des mesures de sécurité plus strictes pour protéger leurs clients des fraudes. L'objectif est de garantir des transactions numériques transparentes et sécurisées, tout en exigeant des FinTech qu'elles renforcent leur gestion des risques.
La DSP2, visant à favoriser la concurrence via des API bancaires accessibles aux prestataires tiers (TPP), a rencontré des résistances. La DSP3 corrige ces limites avec des normes techniques renforcées, garantissant interopérabilité, sécurité et fluidité.
Ces exigences s'accompagnent aussi de standards en matière de conformité et de coopération entre régulateurs pour une surveillance accrue du secteur.
Quant à DORA, le Digital Operational Resilience Act, il met en avant la notion de résilience numérique, essentielle pour garantir la continuité des services financiers en cas de cyberattaque ou d'incident technique. Cette réglementation oblige les FinTech à disposer de protocoles de gestion de crise, à mener des simulations pour tester leur réaction aux cybermenaces, et à surveiller leurs fournisseurs tiers critiques. En somme, DORA demande aux FinTech d'être capables de résister aux risques Cyber et de minimiser les interruptions pour leurs clients.
Risques technologiques & Réglementations : l'importance d'une assurance dédiée aux FinTech
Face à ces régulations, les FinTech doivent réévaluer leurs assurances pour garantir une couverture adaptée aux risques spécifiques de leur activité. Le cœur de leur métier n'étant pas seulement financier, mais aussi technologique, leurs besoins en assurance vont au-delà d'une couverture de Responsabilité Civile Professionnelle Réglementée - obligatoire lorsque l'établissement de paiement et/ou de monnaie électronique exerce les "Services d'initiation de paiement" ou "Service d'information sur les comptes".
Le périmètre de couverture de cette Assurance RC Professionnelle doit également permettre de protéger l'entreprise contre les erreurs, omissions, retards ou incidents liés au développement de logiciels, à l'agrégation de solutions de paiement et son intégration au sein du Système d'Information (SI) du client. Ainsi, les FinTech disposent d'une couverture complète et efficace contre les répercussions d'erreurs techniques qui peuvent affecter la qualité de leurs services et leurs engagements de disponibilités.
Avec DORA, l'Assurance Cyber devient, elle aussi, un incontournable. Il ne s'agit pas seulement de couvrir les pertes financières de l'entreprise, mais aussi de protéger les FinTech des réclamations de clients et de tiers en cas de violation de données personnelles à la suite d'une cyberattaque. Plus encore, les garanties d'une Assurance Cyber permettent d'accompagner les FinTech dans la gestion de crise, et donc d'assurer un plan de continuité d'activité en prenant en charge notamment les frais supplémentaires liés à la continuité d'exploitation durant la crise Cyber, répondant ainsi aux exigences de DORA en matière de résilience numérique.
Une distinction importante, les réclamations de clients à la suite des pertes financières engendrées par les interruptions d'activité et les défaillances technologiques suite à une cyberattaque relèvent d'une police RC Professionnelle uniquement.
Il est donc important de vérifier si cette police dispose bien d'une garantie "événement Cyber".
Anticiper la gestion des risques et de la compliance
Face à l’évolution constante des réglementations, la gestion de la compliance requiert une démarche agile, essentielle pour anticiper et gérer les risques. Des Regtech comme Qalestra permettent aujourd’hui à des Fintech de se conformer en quelques clics à ces réglementations en ayant accès aux bons référentiels de risques, de contrôles et de gouvernance. En accélérant la mise en conformité aux normes attendues, les Fintech réduisent alors leur risque de sanction et font de la conformité un levier de compétitivité.
Cette approche proactive est également cruciale pour aligner les risques identifiés avec les garanties des polices d’assurance. Une gestion rigoureuse de la compliance, couplée à une analyse des risques assurables, garantit un transfert efficace des risques financiers. Ainsi, les entreprises peuvent s’assurer que leurs couvertures restent adaptées aux évolutions réglementaires et à leur exposition réelle.
En s’outillant correctement et en souscrivant une assurance adaptée, combinant RC Professionnelle réglementée, Tech et Cyber, elles peuvent non seulement répondre aux exigences des régulateurs, notamment l'ACPR, mais aussi protéger durablement les relations commerciales avec les clients et partenaires.
La Compliance et l'Assurance deviennent alors un véritable levier stratégique pour elles, leur offrant la sécurité nécessaire pour continuer à innover.
L'appétence du marché de l'assurance français vis-à-vis des FinTech
Le marché de l'assurance en France montre peu d'enthousiasme pour couvrir les risques des établissements de paiement et de monnaie électronique. En effet, de nombreuses compagnies d'assurance hésitent à s'engager en raison d'une compréhension limitée des spécificités de ces activités, ainsi que des risques liés aux flux financiers, notamment lors d'incidents d'indisponibilité des services ou dans la gestion des exigences de KYC (connaissance du client) et de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT).
Seuls deux ou trois acteurs offrent en France des couvertures en Responsabilité Civile Professionnelle adaptées aux besoins de ces entreprises. Ce nombre restreint d'assureurs crée une situation de quasi-monopole, qui se traduit non seulement par des primes d'assurance élevées pour les FinTech, mais aussi par des couvertures parfois inadéquates, qui ne répondent pas pleinement aux exigences de l'obligation d'assurance imposée par la directive européenne.
Pour répondre à ces exigences, à la fois réglementaires et aux attentes des clients, sans pour autant freiner le développement des FinTech par des coûts trop élevés, Howden France a récemment collaboré avec un assureur américain, un partenaire historique du Groupe Howden sur les FinTech. Howden France a convaincu cet acteur d'ouvrir cette solution au marché français. Ensemble, ils ont construit une solution d'assurance Responsabilité Civile Professionnelle et Cyber Risques répondant aux exigences des régulateurs locaux et offrant des primes plus accessibles que celles du marché actuel.
Cette initiative vise à soutenir les FinTech en leur proposant une couverture adaptée, sans les contraintes financières qui pourraient peser sur leur croissance.
Introduction
Les FinTech, qui bousculent le secteur financier grâce aux solutions de paiement, font aujourd'hui face à de nouvelles règles du jeu après la réglementation DSP2 qui avait permis le développement de l'open banking. Avec l'introduction de DSP3 et DORA, deux régulations européennes récentes, leurs obligations de sécurité et de résilience prennent un tournant majeur.
Ces changements les amènent à redéfinir leur stratégie en matière de risques, et notamment à explorer des solutions de compliance et d'assurance capables de protéger leurs activités dans un environnement numérique exigeant et en constante évolution.
Comprendre DSP3 et DORA : Plus de sécurité et de résilience
La DSP3, ou Directive sur les Services de Paiement 3, vient renforcer les obligations déjà posées par la DSP2. Elle exige désormais que les établissements de paiement prennent des mesures de sécurité plus strictes pour protéger leurs clients des fraudes. L'objectif est de garantir des transactions numériques transparentes et sécurisées, tout en exigeant des FinTech qu'elles renforcent leur gestion des risques.
La DSP2, visant à favoriser la concurrence via des API bancaires accessibles aux prestataires tiers (TPP), a rencontré des résistances. La DSP3 corrige ces limites avec des normes techniques renforcées, garantissant interopérabilité, sécurité et fluidité.
Ces exigences s'accompagnent aussi de standards en matière de conformité et de coopération entre régulateurs pour une surveillance accrue du secteur.
Quant à DORA, le Digital Operational Resilience Act, il met en avant la notion de résilience numérique, essentielle pour garantir la continuité des services financiers en cas de cyberattaque ou d'incident technique. Cette réglementation oblige les FinTech à disposer de protocoles de gestion de crise, à mener des simulations pour tester leur réaction aux cybermenaces, et à surveiller leurs fournisseurs tiers critiques. En somme, DORA demande aux FinTech d'être capables de résister aux risques Cyber et de minimiser les interruptions pour leurs clients.
Risques technologiques & Réglementations : l'importance d'une assurance dédiée aux FinTech
Face à ces régulations, les FinTech doivent réévaluer leurs assurances pour garantir une couverture adaptée aux risques spécifiques de leur activité. Le cœur de leur métier n'étant pas seulement financier, mais aussi technologique, leurs besoins en assurance vont au-delà d'une couverture de Responsabilité Civile Professionnelle Réglementée - obligatoire lorsque l'établissement de paiement et/ou de monnaie électronique exerce les "Services d'initiation de paiement" ou "Service d'information sur les comptes".
Le périmètre de couverture de cette Assurance RC Professionnelle doit également permettre de protéger l'entreprise contre les erreurs, omissions, retards ou incidents liés au développement de logiciels, à l'agrégation de solutions de paiement et son intégration au sein du Système d'Information (SI) du client. Ainsi, les FinTech disposent d'une couverture complète et efficace contre les répercussions d'erreurs techniques qui peuvent affecter la qualité de leurs services et leurs engagements de disponibilités.
Avec DORA, l'Assurance Cyber devient, elle aussi, un incontournable. Il ne s'agit pas seulement de couvrir les pertes financières de l'entreprise, mais aussi de protéger les FinTech des réclamations de clients et de tiers en cas de violation de données personnelles à la suite d'une cyberattaque. Plus encore, les garanties d'une Assurance Cyber permettent d'accompagner les FinTech dans la gestion de crise, et donc d'assurer un plan de continuité d'activité en prenant en charge notamment les frais supplémentaires liés à la continuité d'exploitation durant la crise Cyber, répondant ainsi aux exigences de DORA en matière de résilience numérique.
Une distinction importante, les réclamations de clients à la suite des pertes financières engendrées par les interruptions d'activité et les défaillances technologiques suite à une cyberattaque relèvent d'une police RC Professionnelle uniquement.
Il est donc important de vérifier si cette police dispose bien d'une garantie "événement Cyber".
Anticiper la gestion des risques et de la compliance
Face à l’évolution constante des réglementations, la gestion de la compliance requiert une démarche agile, essentielle pour anticiper et gérer les risques. Des Regtech comme Qalestra permettent aujourd’hui à des Fintech de se conformer en quelques clics à ces réglementations en ayant accès aux bons référentiels de risques, de contrôles et de gouvernance. En accélérant la mise en conformité aux normes attendues, les Fintech réduisent alors leur risque de sanction et font de la conformité un levier de compétitivité.
Cette approche proactive est également cruciale pour aligner les risques identifiés avec les garanties des polices d’assurance. Une gestion rigoureuse de la compliance, couplée à une analyse des risques assurables, garantit un transfert efficace des risques financiers. Ainsi, les entreprises peuvent s’assurer que leurs couvertures restent adaptées aux évolutions réglementaires et à leur exposition réelle.
En s’outillant correctement et en souscrivant une assurance adaptée, combinant RC Professionnelle réglementée, Tech et Cyber, elles peuvent non seulement répondre aux exigences des régulateurs, notamment l'ACPR, mais aussi protéger durablement les relations commerciales avec les clients et partenaires.
La Compliance et l'Assurance deviennent alors un véritable levier stratégique pour elles, leur offrant la sécurité nécessaire pour continuer à innover.
L'appétence du marché de l'assurance français vis-à-vis des FinTech
Le marché de l'assurance en France montre peu d'enthousiasme pour couvrir les risques des établissements de paiement et de monnaie électronique. En effet, de nombreuses compagnies d'assurance hésitent à s'engager en raison d'une compréhension limitée des spécificités de ces activités, ainsi que des risques liés aux flux financiers, notamment lors d'incidents d'indisponibilité des services ou dans la gestion des exigences de KYC (connaissance du client) et de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT).
Seuls deux ou trois acteurs offrent en France des couvertures en Responsabilité Civile Professionnelle adaptées aux besoins de ces entreprises. Ce nombre restreint d'assureurs crée une situation de quasi-monopole, qui se traduit non seulement par des primes d'assurance élevées pour les FinTech, mais aussi par des couvertures parfois inadéquates, qui ne répondent pas pleinement aux exigences de l'obligation d'assurance imposée par la directive européenne.
Pour répondre à ces exigences, à la fois réglementaires et aux attentes des clients, sans pour autant freiner le développement des FinTech par des coûts trop élevés, Howden France a récemment collaboré avec un assureur américain, un partenaire historique du Groupe Howden sur les FinTech. Howden France a convaincu cet acteur d'ouvrir cette solution au marché français. Ensemble, ils ont construit une solution d'assurance Responsabilité Civile Professionnelle et Cyber Risques répondant aux exigences des régulateurs locaux et offrant des primes plus accessibles que celles du marché actuel.
Cette initiative vise à soutenir les FinTech en leur proposant une couverture adaptée, sans les contraintes financières qui pourraient peser sur leur croissance.
À propos de Howden France
Fort de ses 650 collaborateurs, Howden France apporte des expertises de choix sur de nombreux produits et secteurs d’activités : Risques Financiers, Maritime & Transport, Flottes Automobiles, Fusions & Acquisitions, Construction, Assurance de Personnes (Santé Prévoyance, Retraite, Accident du travail et maladies professionnelles), Crédit/Caution/Risques politiques, Institutions Financières, secteurs de la Technologie, de l’Energie et des Ressources Naturelles, du Médical, de l’Hôtellerie de plein air, du Froid, expertises complétées par une gamme essentielle en Dommages et Responsabilités.
À propos de Howden Broking Group
Howden Broking, qui fait partie du groupe Howden, est l'un des principaux fournisseurs indépendants de courtage en (ré)assurance, de conseil en risques et de conseil en avantages sociaux. Howden dont le siège social est situé au Royaume-Uni, opère dans 100 pays : en propre dans 55 pays, via ses entités en Europe, en Asie, en Afrique, en Amérique latine, dans le Pacifique et au Moyen-Orient et le reste via son réseau de partenaires locaux. Fondée en 1994, Howden emploie aujourd’hui plus de 19 000 personnes dans le monde.
Fort de ses 650 collaborateurs, Howden France apporte des expertises de choix sur de nombreux produits et secteurs d’activités : Risques Financiers, Maritime & Transport, Flottes Automobiles, Fusions & Acquisitions, Construction, Assurance de Personnes (Santé Prévoyance, Retraite, Accident du travail et maladies professionnelles), Crédit/Caution/Risques politiques, Institutions Financières, secteurs de la Technologie, de l’Energie et des Ressources Naturelles, du Médical, de l’Hôtellerie de plein air, du Froid, expertises complétées par une gamme essentielle en Dommages et Responsabilités.
À propos de Howden Broking Group
Howden Broking, qui fait partie du groupe Howden, est l'un des principaux fournisseurs indépendants de courtage en (ré)assurance, de conseil en risques et de conseil en avantages sociaux. Howden dont le siège social est situé au Royaume-Uni, opère dans 100 pays : en propre dans 55 pays, via ses entités en Europe, en Asie, en Afrique, en Amérique latine, dans le Pacifique et au Moyen-Orient et le reste via son réseau de partenaires locaux. Fondée en 1994, Howden emploie aujourd’hui plus de 19 000 personnes dans le monde.