Un tour de vis de plus pour les distributeurs d'assurance démarcheurs VAD

Vincent Boisseau • 1 avril 2022

Un récent décret vient éclairer les nouvelles règles contraignantes pour les distributeurs d'assurance (réforme du courtage) et de la vente à distance VAD

Dans quel cas le décret s’applique t il ?

Lorsqu'un distributeur contacte par téléphone un souscripteur ou un adhérent éventuel en vue de conclure un contrat d'assurance qui n'entre pas dans le cadre de l'activité commerciale ou professionnelle du souscripteur ou de l'adhérent éventuel

 

Décret NON applicable :

  • pour les appels vers les clients existants
  • pour les appels vers les prospects lorsque le souscripteur ou l'adhérent éventuel a sollicité l'appel ou a consenti à être appelé (1)
  • pour les contrats d'assurance qui entrent dans le cadre de l'activité commerciale ou professionnelle du souscripteur ou de l'adhérent éventuel (2)

 

Précisions :


(1) « sollicité l'appel ou a consenti à être appelé » :


o  « Un appel n’est pas considéré comme ayant été sollicité ou consenti lorsque :

  1. Le souscripteur ou l’adhérent éventuel n’a pas été informé avant l’appel sollicité de l’identité du distributeur qui va l’appeler et, le cas échéant, de son numéro d’immatriculation au registre ORIAS ;
  2. L’appel intervient au-delà d’un délai de trente jours suivant la date à laquelle le souscripteur ou l’adhérent éventuel a sollicité l’appel ou consenti à être appelé ;
  3. La démarche expresse du souscripteur ou de l’adhérent éventuel mentionnée au premier alinéa du V de l’article L. 112-2-2 n’est pas intervenue avant l’appel téléphonique ;
  4. Le consentement s’est manifesté au cours d’un appel téléphonique dont le souscripteur ou l’adhérent éventuel n’est pas à l’origine ou résulte uniquement d’une mention pré-rédigée sur un document par laquelle le souscripteur ou l’adhérent éventuel reconnaît, sans qu’aucun consentement exprès de sa part ne soit nécessaire, avoir sollicité un appel ou consenti à être appelé ; »


 A privilégier :

- appels entrants

- friends and family

- formulaire site internet

- mailing générant des demandes d'informations

 

Obligations organisationnelles

  • de se doter d’un système d’enregistrement des conversations téléphoniques avec les souscripteur ou éventuel adhérent ;
  • de les conserver pendant une période minimale de 2 ans si un contrat d’assurance est conclu;
  • d’informer leur salarié (non les MIA, à eux de le savoir) de la mise en place de ce dispositif ;
  • de remettre une copie de ces enregistrements, en cas de demande, aux Agents de l’ACPR et de la DGCCRF.
  • de conserver la preuve que le souscripteur ou l'adhérent éventuel a sollicité l'appel ou a consenti à être appelé

 

Mise en pratique


  • Les distributeurs informent au début de l’appel le souscripteur ou l’adhérent éventuel :

1.      Que, conformément à la loi, les conversations téléphoniques font l’objet d’un enregistrement

2.      Que, si un contrat d’assurance est conclu, l’enregistrement de la conversation est de deux années à compter de la signature de ce contrat ;

3.      de son droit à obtenir une copie de l’enregistrement

4.      que s’il ne souhaite pas être enregistré, la conversation téléphonique ne peut se poursuivre et que le distributeur est tenu d’y mettre fin immédiatement et s'abstient de le contacter à nouveau.

5.      de l'aspect commercial de l'appel

 

 

  • Signature
  • le distributeur s'assure que le consommateur a bien reçu la documentation précontractuelle AVANT la signature (fiche d’information sur le prix et les garanties, un exemplaire du projet de contrat et de ses pièces annexes ou une notice d’information qui décrit précisément les garanties assorties des exclusions ainsi que les obligations de l’assuré, les informations de l'article L 222-5 CodeConso, identification du fournisseur et aux principales stipulations contractuelles ainsi qu'à leurs modalités d'exécution....).
  • Le souscripteur ou l'adhérent éventuel ne peut consentir au contrat qu'en le signant. Cette signature ne peut être que manuscrite ou électronique.
  • Le distributeur laisse un délai de réflexion minimum de 24 heures entre la réception de la documentation précontractuelle et la signature du contrat d’assurance
  • La signature de la proposition d’assurance ne peut intervenir au cours d’un appel téléphonique (= le distributeur ne peut pas rester en ligne afin de guider le prospect dans le processus de signature)
  • Dans tous les cas, un distributeur ne peut signer un contrat pour le compte du souscripteur ou de l'adhérent éventuel (récupération des codes sms par ex.)

 

  • Les distributeurs détruisent les enregistrements:


o sans délai lorsque le souscripteur ou l’adhérent éventuel s’est explicitement opposé :


- à la poursuite de la communication téléphonique (ou une absence d'intérêt)

- ou à la proposition commerciale (= absence de réponse favorable à une proposition commerciale, dans un délai d’un mois à compter de la date de cette proposition)

- sans délai en l’absence de réponse favorable à une proposition commerciale, dans un délai d’un mois à compter de la date de cette proposition


o au bout de 2 ans, pour l’enregistrement de la conversation ayant vu la signature de ce contrat



Sanctions :

  • amende contraventionnelle (=pénale) de 5ème classe : 1.500 € d’amende
  • en cas de récidive, le montant de l'amende est doublé
  • amende mentionnée sur le casier judiciaire (https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000043211610/2022-01-21)

En matière pénale, nul n’est responsable que de son propre fait ; donc, les MIA auront à répondre personnellement de cette infraction.


Ces dispositions sont entrées en vigueur le 1er avril 2022.


Décret : https://www.legifrance.gouv.fr/download/pdf?id=FjJBf5RfYtUx041x5Tcc14iX_erjixoTD_Jy3AVXRFk=

Nouvel article L112-2-2 : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000043340014/

Art L112-2 et suivants : https://www.legifrance.gouv.fr/codes/id/LEGIARTI000036920387/2022-01-21/?isSuggest=true

Amende : http://fr.jurispedia.org/index.php/Contravention_de_cinqui%C3%A8me_classe_(fr)

Publication ACPR 2022 03  (précisions sur le démarchage ) : https://acpr.banque-france.fr/demarchage-telephonique-en-assurance-mettre-fin-aux-mauvaises-pratiques

Sanctions ACPR 2022 10 : Sanction d'un courtier d'assurance réalisant de la vente à distance lien


crédit photo : https://pixabay.com/fr/photos/tournevis-des-vis-rouge-le-noir-1073515/

Image par Allan Washbrook de Pixabay

HARVEST O2S - Cybermalveillance

par Vincent Boisseau 3 mars 2025
Depuis le jeudi 27 février, l'outil O2S d'HARVEST est bloqué suite à une cyberattaque. L'information est officielle depuis le vendredi 28 février. A ce jour , lundi 3 mars, l'outil n'est pas rétabli. A ce jour, aucun élément n'indique qu'il y a eu fuite de données. CONSTATS & ANALYSES Suite à la cyberattaque d’HARVEST, il y a des obligations CNIL à faire en tant que vous Responsable des Traitements et HARVEST sous-traitant. D'autant qu'O2S contient une quantité astronomique de Données à Caractère Personnel sur les clients : adresse, mail, téléphone, RIB, patrimoine, CNI, peut-être données médicales...bref, c'est énorme. Donc il y a effectivement des choses à faire. Voici le lien vers la CNIL qui traite des violations de données personnelles : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles En effet notre analyse est: qu’il y a eu une violation de données du fait d’un cas cité : perte de disponibilité , d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite) En revanche on ne sait pas encore s’il y a eu fuite de données, LE DISPOSITIF d'HARVEST Voici les informations reçues par un CGP, en juillet 2024, sur le dispositif HARVEST : plutôt sérieux. "Sécurité physique : Les serveurs sont hébergés dans un Datacenter Interxion dans l’UE. Le Datacenter a de nombreuses certifications : ISO 14001:2004, ISO 27001 & ISO 22301, ISO 50001:2011, OHSAS 18001, ITIL V3 ,PCI-DSS, HDS (Hébergeur Données Santé). Les infrastructures sont monitorées 24h/24 et 7h/7. Les baies hébergeant les systèmes sont fermées à clé, seul le personnel habilité a accès aux baies : Notre sous-traitant (Waycom) pour la mise à disposition et la supervision des infrastructures d’hébergement travaillant pour le compte d’Harvest (hors baies privées dédiées dont l’accès est géré uniquement par Harvest) Les membres habilités de la DSI Harvest. Les grappes de disques ainsi que les alimentations sont redondées (ainsi que tous les éléments critiques physiques du Datacenter : réseaux internet, réseaux électriques, etc…). Sécurité logique : Les données de production sont accessibles uniquement par un nombre de personnes restreint, défini en accord avec le comité des risques d’Harvest. En aucun cas nos sous-traitants ont accès aux données applicatives. L’accès est basé sur une authentification : compte / mot de passe. Les droits et habilitations sont donnés selon le profil de l’utilisateur. Les flux sont chiffrés (HTTPS). Les données des applications répliquées en continue sur un serveur de secours local et sauvegardées sur un serveur de sauvegarde distant. Les opérations effectuées sur les serveurs sont journalisées. Les serveurs sont mis à jour régulièrement et possèdent un antivirus à jour. Des tests de vulnérabilité sont effectués périodiquement et donnent lieu, si nécessaire, à des plans de remédiation. Réglementaire : Dans le cadre de la réglementation européenne RGPD, un registre des traitements a été créé, il est maintenu par le DPO (Data Protection Officer) d’Harvest. Plan de continuité (PUPA), dans ce cadre Harvest : Dispose d’une procédure de gestion et d’escalade des incidents. A mis en place un comité des risques et est accompagné par un cabinet d’audit externe Activation de la cellule de crise en cas de problème majeurRéalise des évolutions régulières sur l’infrastructure matérielle et logicielle de ses environnements pour améliorer en permanence les performances et la sécurité " QUE FAUT IL FAIRE en interne ? La violation de données et la cyberattaque ne concernent pas VOS systèmes mais ceux d'un sous-traitant. Donc pas de panique. Quand on lit les instructions CNIL, dans cette configuration, il faut documenter la violation de données en interne. QUE FAUT IL FAIRE vis à vis de la CNIL? Là l'instruction est claire : il faut notifier l’incident à la CNIL dans les 72 heures (donc aujourd'hui pour ceux qui ne l'ont pas faite). Pour ce faire, la CNIL vous accompagne : compléter le document préparatoire (aide au remplissage) : https://www.cnil.fr/sites/cnil/files/2023-07/trame_des_notifications_de_violations_de_donnees_0.odt puis faite la notification en ligne : https://notifications.cnil.fr/notifications/ QUE FAUT IL FAIRE vis à vis de vos clients ? Ne faites rien pour le moment ! Il faut prévenir les clients si la fuite de données est avérée. En effet, la CNIL précise : en cas de doute sur l’incidence de la fuite de données personnelles concernant la vie privée des personnes concernées (c’est le cas à ce jour car nous ne savons pas s’il y a eu fuite ou non de données), notifiez à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes. Voilà Croisons les doigts pour que vous puissiez rapidement travailler et que les données des clients ne fuitent pas.!

SR(R)I..on s'y perd ? Dommage !...c'est impactant

par Vincent Boisseau 11 février 2025
SRRI ou SRI...that's the question

L'ACPR revise encore une fois le parcours client en Assurance..et c'est tant mieux

par Vincent Boisseau 22 novembre 2024
L'ACPR nous fait le plaisir de préciser sa position sur le parcours client en assurance : connaissance client, durabilité, devoir de conseil, actualisation,...

Démarchage téléphonique et VAD (vente à distance) . La fin de la récré?

par Vincent Boisseau 15 novembre 2024
Le Sénat veut protéger les consommateurs contre les appels téléphoniques non sollicités et renforcer leurs droits en matière de protection des données personnelles.

Agrément des SGP...quelques nouveautés !

par Vincent Boisseau 4 novembre 2024
Nouveautés dans les agréments de SGP...

Pour l'AMF, les AMC...c'est du produit "complexe"

par Vincent Boisseau 29 octobre 2024
Distribution des certificats à gestion active ou actively managed certificates " (AMC) auprès de clients non professionnels ...l'AMF remet les pendules à l'heure

Mandat d'arbitrage en assurance-vie et contrat de capitalisation

par Vincent Boisseau 21 octobre 2024
Pour les courtiers, le mandat d'arbitrage ce sera plus de liberté...mais plus de responsabilité ! Et pour les SGP une inscription ORIAS ?

Assurance : enfin des précisions sur l'actualisation du conseil

par Vincent Boisseau 1 octobre 2024
Assurance : enfin des précisions sur la périodicité de l'actualisation des données du client et du conseil !

OPADEO à PATRIMONIA...la gouvernance produits dans tous ses états

par Vincent Boisseau 25 septembre 2024
Voici les supports de notre intervention commune avec la CNCEF PATRIMOINE
Show More