Assurance embarquée (embedded insurance) : obligations DDA et ACPR pour l’intermédiaire qui distribue ces produits

L’assurance embarquée — ou embedded insurance — désigne tout produit d’assurance intégré de façon transparente dans un parcours d’achat non assurantiel : achat d’un smartphone avec une garantie casse incluse, souscription d’un billet d’avion avec une assurance annulation, ou encore acquisition d’un véhicule électrique avec une couverture batterie. Ce modèle de distribution connaît une croissance exponentielle dans les écosystèmes digitaux, portée par des acteurs technologiques (insurtechs, plateformes e-commerce, néobanques) qui n’ont pas toujours conscience des exigences réglementaires applicables. Or, dès lors qu’un intermédiaire — courtier, mandataire d’assurance, mandataire d’intermédiaire — intègre un produit d’assurance dans un tel parcours, les obligations issues de la Directive sur la Distribution d’Assurances (DDA) 2016/97/UE, transposée en droit français dans le Code des assurances, s’appliquent pleinement. L’ACPR (Autorité de Contrôle Prudentiel et de Résolution) a clairement exprimé ses attentes en la matière, et les manquements constatés font l’objet de sanctions croissantes.

Qu’est-ce que l’assurance embarquée et pourquoi la DDA s’y applique pleinement ?

L’assurance embarquée repose sur un principe simple : le produit d’assurance n’est pas vendu de façon autonome mais est intégré, souvent de manière automatique ou présélectionnée, dans le parcours d’achat d’un bien ou d’un service. Cette intégration peut prendre plusieurs formes : une prime incluse dans le prix du produit principal (bundled), une option présentée lors du paiement (opt-in ou opt-out), ou encore une couverture activée automatiquement à la souscription d’un abonnement. La facilité apparente du modèle masque une réalité réglementaire complexe : dès lors qu’une personne physique ou morale participe à la commercialisation d’un produit d’assurance à titre onéreux, elle exerce une activité de distribution d’assurance au sens de l’article L511-1 du Code des assurances.

La DDA ne distingue pas selon le canal de distribution ni selon le caractère accessoire ou principal du produit d’assurance. Un marchand de voyages qui propose une assurance annulation, une plateforme SaaS qui intègre une cyber-assurance dans son abonnement, ou un constructeur automobile qui inclut une garantie dans le prix du véhicule : tous sont potentiellement soumis aux mêmes obligations que n’importe quel courtier traditionnel. L’article L511-2 du Code des assurances précise que même les intermédiaires à titre accessoire (IAS 3 — MIAD) sont concernés, sous réserve de remplir certaines conditions cumulatives (prime annuelle inférieure à 600 euros, produit accessoire au bien principal, exclusion des produits d’assurance-vie et RC). Au-delà de ces seuils ou pour tout autre type de produit, c’est le régime de droit commun qui s’applique.

Immatriculation ORIAS et capacité professionnelle : le préalable incontournable

Toute personne qui distribue un produit d’assurance embarquée — y compris un acteur du numérique, une fintech ou une grande surface — doit être immatriculée au registre ORIAS (Organisme pour le Registre des Intermédiaires en Assurance) dans la catégorie correspondant à son activité. Cette obligation est issue de l’article L512-1 du Code des assurances et constitue une condition d’exercice légale, non optionnelle. Le défaut d’immatriculation expose l’opérateur à des poursuites pénales pour exercice illégal d’activité d’assurance, en plus des sanctions administratives de l’ACPR. Il convient de consulter le registre officiel ORIAS pour vérifier la validité d’une immatriculation avant toute collaboration commerciale.

La capacité professionnelle requise dépend de la catégorie d’immatriculation. Pour les dirigeants et salariés exerçant des activités de distribution, les niveaux IAS 1, IAS 2 ou IAS 3 doivent être justifiés selon les fonctions exercées. L’obligation de formation continue DDA de 15 heures par an s’applique également à tous les distributeurs, y compris ceux opérant dans des contextes d’assurance embarquée. Cette exigence est souvent méconnue des acteurs non traditionnels qui pensent pouvoir y échapper du fait du caractère digital ou automatisé de leur distribution. L’ACPR n’admet aucune dérogation à ce titre. Pour les équipes d’une entreprise technologique souhaitant se lancer dans ce modèle, le cadre applicable aux entreprises non assurantielle qui distribuent de l’assurance mérite une attention particulière avant tout lancement.

Devoir de conseil et information précontractuelle dans un parcours digital

Le devoir de conseil constitue l’une des obligations les plus exigeantes de la DDA, et sa transposition dans un parcours d’achat digital soulève des difficultés pratiques majeures. L’article L521-4 du Code des assurances impose à tout distributeur de recueillir les exigences et besoins du client, de lui fournir des informations objectives sur le produit, et de lui remettre une recommandation personnalisée lorsqu’il effectue un conseil. Dans un contexte d’embedded insurance, ce devoir ne disparaît pas : il doit être intégré dans le tunnel de conversion, ce qui suppose de concevoir des interfaces permettant au client d’exprimer ses besoins, de comprendre ce qu’il souscrit et de refuser le produit en pleine connaissance de cause.

La Document d’Information sur le Produit d’Assurance (IPID) — ou Insurance Product Information Document — est obligatoire pour les produits non-vie et doit être remis avant la souscription, dans un format accessible et lisible, même sur mobile. L’ACPR a rappelé dans plusieurs communications que la simple mise à disposition d’un lien PDF en bas de page ne satisfait pas à cette obligation : le document doit être présenté de façon proéminente, au bon moment du parcours, et son acceptation doit être tracée. Pour les produits d’assurance-vie IBIP (Insurance-Based Investment Products), s’ajoutent les obligations issues de la Directive DDA 2016/97/UE relatives aux exigences d’adéquation et d’évaluation des connaissances financières du client.

L’information précontractuelle doit également inclure la nature et la rémunération de l’intermédiaire. Dans un modèle d’assurance embarquée, l’opérateur non assurantiel perçoit souvent une commission sur chaque souscription. Cette rémunération doit être déclarée au client, ce qui implique que le distributeur précise s’il agit en qualité de courtier (conseil indépendant) ou de mandataire (au service de l’assureur). La transparence sur les conflits d’intérêts potentiels est un point de vigilance fort de l’ACPR dans ses contrôles sur site. Sur ce sujet précis, notre article sur les conflits d’intérêts et la rémunération variable en assurance apporte un éclairage essentiel pour les distributeurs en embedded insurance.

Gouvernance produit (POG) : l’obligation méconnue qui engage l’intermédiaire distributeur

La Product Oversight and Governance (POG) est l’un des piliers de la DDA les plus mal appréhendés dans les modèles d’assurance embarquée. Ce dispositif, issu des articles L520-1 et suivants du Code des assurances et du règlement délégué 2017/2358, impose une double responsabilité : celle du concepteur (l’assureur ou l’intermédiaire qui crée le produit) et celle du distributeur (l’entité qui le commercialise). Dans un modèle embarqué, l’intermédiaire distributeur a l’obligation de vérifier que le produit proposé est adapté au marché cible défini par le concepteur, que les informations reçues sont suffisantes pour une distribution conforme, et qu’il remonte vers le concepteur toute information pertinente sur les sinistres, les réclamations ou les inadéquations constatées.

Concrètement, cela signifie qu’une plateforme e-commerce qui distribue une assurance casse-vol pour des produits high-tech doit : connaître le marché cible défini par l’assureur concepteur, disposer d’une convention de distribution formalisée précisant les rôles et responsabilités de chaque partie, et s’assurer que les informations communiquées aux clients correspondent aux caractéristiques du produit. L’absence de convention de distribution formalisée constitue en soi un manquement aux obligations DDA. Sur ce point, la lecture de notre article sur les conventions de distribution entre courtier et porteur de risque est indispensable pour tout distributeur en embedded insurance. Les obligations POG sont également développées en détail dans notre article dédié à la gouvernance et surveillance des produits pour l’intermédiaire en assurance.

Traitement des réclamations, archivage et contrôle interne : les exigences opérationnelles

La DDA impose à tout distributeur de mettre en place une procédure de traitement des réclamations accessible, gratuite et efficace. Dans un modèle d’assurance embarquée où le client ne sait parfois pas qu’il a souscrit une assurance, cette obligation revêt une importance particulière. L’ACPR a clairement indiqué que l’intermédiaire distributeur ne peut pas se défausser sur l’assureur pour le traitement des réclamations relatives à la phase de distribution : toute réclamation portant sur les conditions de souscription, l’information reçue ou le devoir de conseil relève de la responsabilité du distributeur, qui doit y répondre dans les délais réglementaires (10 jours ouvrables pour accuser réception, 2 mois maximum pour apporter une réponse de fond).

L’archivage des documents de conseil et d’information précontractuelle constitue également une obligation clé, particulièrement sensible dans un contexte digital. L’intermédiaire doit être capable de prouver à l’ACPR, lors d’un contrôle, que chaque client a bien reçu l’IPID, a eu accès aux conditions générales, a pu exprimer ses besoins et a été informé de la rémunération de l’intermédiaire. Cette preuve doit être conservée pendant au moins 5 ans après la fin du contrat. Les outils de tracking, les journaux de navigation et les horodatages de consentement jouent ici un rôle probatoire fondamental que les acteurs du numérique doivent anticiper dès la conception technique de leur parcours.

Tableau comparatif des obligations selon la catégorie d’intermédiaire en assurance embarquée

Questions fréquentes

Une plateforme digitale qui intègre automatiquement une assurance dans ses abonnements est-elle soumise à la DDA ?

Oui, sans exception. Dès lors qu’une assurance est proposée dans le cadre d’une relation commerciale — même de manière automatique ou opt-out — et que l’entité qui la propose perçoit une rémunération directe ou indirecte liée à cette assurance, elle exerce une activité de distribution d’assurance au sens de l’article L511-1 du Code des assurances. La DDA s’applique intégralement, ce qui impose une immatriculation ORIAS, le respect du devoir de conseil, la remise de l’IPID et la mise en place d’une convention de distribution avec l’assureur. L’ACPR a déjà sanctionné des acteurs digitaux pour avoir ignoré ces obligations en pensant que le caractère automatisé de la distribution les exemptait du cadre réglementaire.

Quelle différence entre un courtier (IAS 1) et un mandataire (IAS 2) dans un modèle d’assurance embarquée ?

La distinction est fondamentale et détermine l’étendue du devoir de conseil. Le courtier (IAS 1) agit pour le compte du client, analyse le marché de façon comparative et fournit une recommandation personnalisée basée sur une analyse objective. Il ne peut pas se limiter à présenter un seul produit sans justification. Le mandataire d’assurance (IAS 2 — agent général ou mandataire de compagnie) agit pour le compte d’un ou plusieurs assureurs mandants et peut se limiter à présenter les produits de ces mandants, à condition d’en informer clairement le client. Dans l’embedded insurance, la majorité des intermédiaires opèrent sous mandat d’un assureur ou d’un gestionnaire de programme, ce qui les place en catégorie IAS 2, avec des obligations de conseil allégées mais toujours substantielles.

Les obligations de formation DDA s’appliquent-elles aux équipes commerciales d’une entreprise non assurantielle qui distribue de l’embedded insurance ?

Oui. Toute personne physique qui participe directement à la distribution d’un produit d’assurance — y compris dans le cadre d’une activité accessoire — doit justifier d’une capacité professionnelle adaptée et respecter l’obligation de 15 heures de formation continue annuelle DDA. Cela concerne les dirigeants responsables de la distribution et les collaborateurs en contact avec les clients pour des actes de distribution. Une entreprise technologique qui distribue de l’embedded insurance via ses équipes commerciales doit s’assurer que ces dernières sont formées et que les formations sont documentées. academieconformite.fr propose des formations DDA adaptées à ces profils, en ligne et avec attestation ACPR-compatible.

Que risque un intermédiaire qui distribue de l’assurance embarquée sans respecter les obligations DDA ?

Les risques sont multiples et cumulables. Sur le plan administratif, l’ACPR peut prononcer des sanctions disciplinaires allant du blâme au retrait d’agrément, assorties d’astreintes financières pouvant atteindre 100 millions d’euros ou 10 % du chiffre d’affaires annuel (article L612-39 du Code monétaire et financier). Sur le plan civil, la responsabilité de l’intermédiaire peut être engagée par tout client lésé par un manquement au devoir de conseil ou à l’information précontractuelle. Sur le plan pénal, l’exercice illégal d’une activité d’assurance sans immatriculation ORIAS est un délit. L’ACPR publie régulièrement ses décisions de sanction, ce qui donne une visibilité publique aux manquements constatés, avec des conséquences réputationnelles majeures pour les acteurs concernés. Les équipes de academieconformite.fr accompagnent les professionnels dans la mise en conformité de leurs dispositifs de distribution embarquée.