Retour aux articles
La blockchain et l’assurance, la blockchain ou l’assurance ?
Tech&droit - Blockchain
11/10/2017
La blockchain va-t-elle révolutionner le monde de l'assurance ? L'avis de Rodolphe Bigot, maître de conférences en droit privé à l’Université de Picardie Jules Verne CEPRISCA (EA 3911).
Dans ce dossier, les auteurs proposent une synthèse des analyses juridiques abordées lors du colloque organisé le 19 mai 2017 à la faculté de droit de l’Université de Caen, visant à « Comprendre et anticiper la révolution numérique en assurance » (https://amdac2016.wixsite.com/assurancenumerique). À cet effet, les deux interventions orales du professeur David Noguéro ont été regroupées, en première partie, au sein d’une même contribution écrite intitulée « Loi Badinter, voiture autonome, robot, évolution du risque et information au regard de la protection des assurés. Humble essai de projection sur les rails du futur » (I). Elle sera suivie des deux contributions de M. Rodolphe Bigot, avec une forme orale également préservée, permettant d’examiner la blockchain et l’assurance (II), puis la robotisation et l’évolution de la relation de confiance assureur/assuré (III).
Techniquement, l’opération d’assurance repose « sur un trinôme immuable : l’aléa, la mutualisation des risques, et la fréquence de la survenance des sinistres » (v. ex multis, Bonnard J., Droit des assurances, LexisNexis, 2016, no 3 ; Charpentier A., Denuit M., Elie R., Segmentation et mutualisation. Les deux faces d’une même pièce ?, Risques no 103, p. 19 et s.). Juridiquement, l’assurance est un contrat générateur d’obligations réciproques de l’assureur et de l’assuré. Le domaine est fortement réglementé, qu’il s’agisse des acteurs, leurs activités, ou les conséquences de leur défaillance (v. par exemple les règles propres à l’assurance conclue à distance : Grynbaum L., Le Goffic C., Morlet-Haïdara L., Droit des activités numériques, Dalloz, 1re éd., 2014, nos 288 et s.). Quels rapports peuvent donc entretenir l’activité assurantielle et ses acteurs très encadrés, avec la blockchain et ses différentes facettes, non encore régulées, ni même définies par la loi ? Il faut à mon sens, eu égard aux grandes spécificités de l’assurance, savoir appréhender la blockchain en dehors de l’assurance (I), la blockchain dans l’assurance (II) puis l’assurance dans la blockchain (III).
I. La blockchain en dehors de l’assurance
Aucun texte spécial n’existe à ce jour en droit français. Néanmoins, la Direction générale du Trésor a lancé une consultation, en cours jusqu’au 6 octobre 2017, sur le projet de réforme législative relatif à la blockchain sur le périmètre, les principes et le niveau de réglementation à retenir (https://www.tresor.economie.gouv.fr/Articles/2017/09/19/consultation-publique-projet-d-ordonnance-blockchain-titres-financiers). L’article 120 de la loi Sapin 2 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, habilite le gouvernement, d’ici le 9 décembre 2017, à réformer le droit applicable aux titres financiers (il vise à permettre la représentation et la transmission au moyen d’un dispositif d’enregistrement électronique partagé (en anglais, distributed ledger technology, ou DLT) des titres financiers qui ne sont pas admis aux opérations d’un dépositaire central ni livrés dans un système de règlement et de livraison de certains instruments financiers). Cette habilitation à prendre une ordonnance « blockchain » vise à adapter le droit positif afin d’autoriser la représentation et la transmission de certains titres financiers non admis aux opérations d’un dépositaire central de titres en utilisant la blockchain. Dans cette mouvance, s’est ouverte une première expérimentation, en lien avec l’ordonnance du 28 avril 2016 relative aux bons de caisse ou minibons (entrée en vigueur le 1er octobre 2016, l’ordonnance n° 2016-520 du 28 avril 2016 relative aux bons de caisse a modifié le régime juridique de ces titres remis par une entreprise en échange d’un crédit qui lui est accordé, tout en conservant leur flexibilité, notamment pour les entreprises non financières. Il a créé les conditions du développement de l’intermédiation des bons de caisse sur les plateformes internet de financement participatif des CIP (nommés « minibons »). Un décret no 2016-1453 du 28 octobre 2016 relatif aux titres et aux prêts proposés dans le cadre du financement participatif précise dans quelles conditions les « minibons » peuvent être émis et transmis en utilisant la blockchain. L’article D. 223-1 (C. mon. et fin.) prévoit les mentions que doit comporter le certificat d’inscription dans le registre remis au propriétaire d’un bon de caisse (informations relatives à l’émetteur puis celles relatives au propriétaire du bon de caisse) et les caractéristiques du prêt en contrepartie duquel est délivré le bon de caisse (art. D. 223-2 et s.). Par ailleurs, « le transfert de propriété de minibons résulte de l’inscription de la cession dans le dispositif d’enregistrement électronique mentionné à l'article L. 223-12, qui tient lieu de contrat écrit pour l’application des articles 1321 et 1322 du Code civil » (C. mon. fin., art. L. 223-13)). Pour contribuer à l’élaboration des conditions réglementaires de l’usage de la blockchain dans l’écosystème financier français, la Cour des comptes a créé, en juin 2017, une plateforme expérimentale blockchain pour la gestion des titres nominatifs réservés aux plateformes de financement participatif des PME nommés minibons (Une plateforme expérimentale Blockchain pour la gestion des minibons, Dr & patr. 2017, no 270, p. 15 : « La Caisse des Dépôts (CDC) et l’association Financement Participatif France (FPF) ont annoncé, le 29 mai, travailler sur la mise en place d’une infrastructure Blockchain dédiée à la gestion de prêts aux PME via le financement participatif. L’ordonnance du 28 avril 2016 a créé les minibons. Ces titres nominatifs réservés aux plateformes de financement participatif peuvent dorénavant être enregistrés grâce à un registre électronique distribué. Le prototype en cours sur lequel travaillent la CDC et le FPF présentera une architecture Blockchain incluant toutes les plateformes de financement participatif pouvant gérer des minibons. Il permettra aussi aux utilisateurs d’émettre, de souscrire et, à terme, d’échanger les minibons sur le marché secondaire. Le projet a pour autre ambition de contribuer à l’élaboration des conditions réglementaires de l’usage de la Blockchain dans l’écosystème financier français en partenariat avec le régulateur »).
On peut classer l’utilisation de la blockchain en trois catégories d’applications : premièrement les transferts d’actifs ; deuxièmement les registres ; troisièmement les smartcontracts, lesquels correspondent à des programmes autonomes qui exécutent automatiquement les conditions et les termes d’un contrat, sans nécessiter d’intervention humaine une fois démarrés (Cohen-Hadria Y., Blockchain : révolution ou évolution ? La pratique qui bouscule les habitudes et l’univers juridique, Dalloz IP/IT, déc. 2016, p. 537 et s. – Qu’est-ce que la blockchain ? : https://blockchainfrance.net/decouvrir-la-blockchain/c-est-quoi-la-blockchain ; adde l’étude parue depuis notre contribution : Grynbaum L., Assurance et Blockchain, RLDA 2017/129, no 6300, p. 53).
Il convient immédiatement d’ôter le voile jeté sur deux éléments. D’une part, le smart contract n’est pas un contrat (Marraud des Grottes G. (propos recueillis par), entretien avec Touati A., Tous les contrats ne peuvent pas être des smart contracts, RLDC 2017/107, no 6302, spéc. p. 39), mais un logiciel qui constitue l’émanation numérique d’un contrat inscrit sur la blockchain. On parle beaucoup du pouvoir des juges actuellement, avec le contrôle de proportionnalité (Mazeaud D., Proportionnalité à la une !, JCP G 2016, p. 1028) dont s’est emparé la Cour de Strasbourg. Mais ici, c’est le pouvoir des programmateurs qui devient immense, sans compter tous les risques d’erreur transférés sur leurs épaules ou, plutôt, au bout de leurs doigts.
D’autre part, dans les derniers braquages numériques, les cyberattaquants ont demandé le paiement des rançons par la blockchain (Brouste N., Une cyberattaque mondiale frappe des entreprises et des administrations, Le Figaro.fr, 27 juin 2017 : « Le programme malveillant semble procéder de la même manière que son prédécesseur, WannaCry (http://plus.lefigaro.fr/tag/wannacry) mi-mai: il infecte les ordinateurs et contamine les autres terminaux qui y sont connectés, en exploitant le même type de faille. Un message demandant un virement de 300 dollars en bitcoins s'affiche à l'écran, empêchant toute interaction avec le PC »), en bitcoins ou en ether, car leurs identifiants ou clés demeurent des pseudonymes (Les nouveaux équilibres de la confiance entre algorithmes et contrat social, in Les cahiers de veille de la Fondation Mines-Télécom, no 9, juin 2017, p. 11 : « Pour qu’une nouvelle technologie soit largement adoptée, elle doit être crédible à plusieurs points de vue. Elle doit notamment être simple d’emploi pour des non-experts, le besoin qu’elle remplit doit être clair, ses bénéfices d’usage doivent être manifestes, ses liens avec les technologies antérieures être sans couture s’ils doivent exister. La blockchain bitcoin ne remplit pas tous ces critères »). Les cyberattaquants restent ainsi totalement anonymes, ce qui se prête à une forte érosion non seulement de la morale (Hultmark C., Développer des systèmes juridiques et une bonne moralité pour l’Internet, in Les dimensions internationales du droit du cyberespace, éd. UNESCO, Economica, coll. Droit du cyberespace, 2000, p. 271 et s. p. 272) mais plus encore du droit (Iteanu O., Quand le digital défie l’État de droit, Eyrolles, 2017). La cyberattaque mondiale a été d’un niveau « sans précédent » selon le secrétaire d’État français au numérique, malgré la sécurité prétendue (la cyberattaque mondiale est « sans précédent » selon Mounir Mahjoubi, RLDI 2017/139, p. 21). C’est, dans ce qui est baptisé le « darkweb » (v. le dossier Le darkweb. La face cachée d’internet, Dalloz IP/IT, févr. 2017, p. 70 et s.), le problème d’identification et d’imputation des responsabilités qui ressurgit (pour les cyber-délits en droit international privé : v. Slim H., Fasc. 255-10 : Responsabilité civile délictuelle en droit international privé, JurisClasseur Responsabilité civile et Assurances, 22 août 2016, nos 17, 25, 94, 104 et s. ; adde Trudel P., Les responsabilités dans le cyberespace, in Les dimensions internationales du droit du cyberespace, éd. UNESCO, Economica, coll. Droit du cyberespace, 2000, p. 235 et s., spéc. p. 262), puis l’adaptation nécessaire à l’évolution du contentieux lié au numérique (Brenner C., La communication numérique et le procès civil, in Teyssié B. (dir.), La communication numérique, un droit, des droits, éd. Panthéon Assas, 2012, p. 447 et s., spéc. p. 461) et à la cybercriminalité, avec la création d’un parquet et d’une chambre correctionnelle spécialisés (Basdevant A., Pour un parquet national du numérique et une 33e chambre correctionnelle de la cybercriminalité ?, RLDI 2017/139, no 5038, p. 38 et s.).
L’apparition du web avait déjà suscité de grands espoirs de liberté, qui ont en partie été douchés, par suite des plateformes cadenassées d’Apple et de Facebook mettant en lumière la surveillance de masse. Après les révélations d’Edouard Snowden, dans l’affaire Maximillian Schrems, client Facebook (CJUE, 6 oct. 2015, aff. C-362/14, Maximillian Schrems / Data Protection Commissioner, Communiqué no 117/5, Luxembourg, 6 oct. 2015, www.curia.europa.eu : « M. Schrems a déposé une plainte auprès de l’autorité irlandaise de contrôle, considérant qu’au vu des révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des États-Unis (en particulier la National Security Agency ou « NSA »), le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays. […] La Cour considère que cette analyse du régime est corroborée par deux communications de la Commission, d’où il ressort notamment que les autorités des États-Unis pouvaient accéder aux données à caractère personnel transférées à partir des États membres vers ce pays et traiter celles-ci d’une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale. De même, la Commission a constaté qu’il n’existait pas, pour les personnes concernées, de voies de droit administratives ou judiciaires permettant, notamment, d’accéder aux données les concernant et, le cas échéant, d’obtenir leur rectification ou leur suppression »), avec l’arrêt du 6 octobre 2015 suivant les conclusions de l’avocat général (Bot Y., Avocat général, conclusions présentées le 23 sept. 2015, aff. C-362/14, Maximillian Schrems/Data Protection Commissioner, http://curia.europa.eu/juris/document/document_print.jsf?doclang=FR&text=&pageIndex=0&docid=168421&cid=542725), la Cour de justice de l’Union européenne a donné une leçon à la Commission européenne dans le domaine de la protection des données personnelles (CJUE, 6 oct. 2015, op. cit. : « La Cour déclare invalide la décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées »). S’est ainsi ouverte la société de surveillance globale fabriquée par un certain nombre d’acteurs publics et privés, avec un rôle prégnant du capitalisme financier et numérique (Kerdellant C., Dans la Google du loup, Plon, 2017 ; adde Charpentier A., Suire R., Données et santé. Valeurs, acteurs et enjeux, Risques no 107, p. 111 et s., spéc. p. 114 : « Fin avril, le New Scientist révélait que les dossiers médicaux de 1,6 million de patients londoniens (tous patients de trois hôpitaux gérés par le National Health Service) avaient été transférés à une entreprise appartenant au groupe Google », Google AI Has Access to Huge Haul of NHS Patient Data”, newscientist.com, 29 avril 2016, https://www.newscientist.com/article/2086454-revealed-google-ai-has-access-to-huge-haul-of-nhs-patient-data/, comp. Warlouzet L., Google condamné par la Commission européenne : « assiste-t-on à une offensive contre les multinationales ? », Le Monde.fr, 5 juill. 2017).
Dans cette continuité, la blockchain est présentée comme un nouvel espoir de liberté et de sécurité (https://blockchainfrance.net/2016/02/14/droit_blockchain_contrats ; comp. Marraud des Grottes G., La blockchain : un secteur encore en phase d’exploration, mais très prometteur, RLDI 2017/138, no 5017, p. 39 et s.). Un marchand de la blockchain – co-fondateur de Ledgys Solutions – soutient qu’elle est une technologie efficace et peu coûteuse qui permet, par la création d’une empreinte cryptographique, de se préconstituer une preuve et donc de faire reconnaître l’originalité d’une création devant un juge (Marraud des Grottes G. (propos recueillis par), Entretien avec Bergé-Lefranc C., La blockchain est une technologie très efficace pour se préconstituer une preuve, RLDC 2017/150, n° 6334, p. 33 et s.). Le bluff ne serait donc pas utilisé qu’au poker (Renaudet B., Le Poker, éd. Bornemann, 1988, p. 37 : « Bluffer, c’est tenter de faire croire à ses adversaires qu’on a un très beau jeu lorsqu’au contraire on n’a en main qu’un tout petit jeu ou même pas de jeu du tout »). Il y aurait aussi le bluff sécuritaire (Delbecque É., Le bluff sécuritaire. Essai sur l’impuissance française, éd. du Cerf, 2017). Des chercheurs au CNRS et à l’Université d’Harvard (Zuckerberg named Commencement speaker - Internet leader and philanthropist will address Afternoon Exercises, Harvard.edu, 7 mars 2017 ; Massari P., Zuckerberg ‘friends’ Harvard during visit, Harvard.edu, 7 nov. 2011), semblant avoir une proximité avec les GAFA et les NATU (les GAFA sont les géants du Web (Google, Apple, Facebook, Amazon), autrement dit les quatre grandes firmes américaines qui dominent le marché du numérique. Cet acronyme tend à être abandonné au profit du sigle GAFAM, le M signifiant Microsoft, avec une nouvelle concurrence des NATU (Netflix, Airbnb, Tesla, Uber)) – insistons sur la « concentration des marchés numériques » (Tirole J., Économie du bien commun, PUF, 2016, p. 522 et s.) –, affirment également que la blockchain élimine le besoin de confiance entre individus qui interagissent entre eux et repose sur la preuve (De Filippi P., Wright A., Blockchain and the Law, Harvard University Press, 2016 ; De Filippi P., Blockchain technology: a new (r)evolution in the digital economy, in Open Thoughts - Peer Production, Universitat Oberta de Catalunya, 2016). Eu égard à cette moderne manipulation des masses, Tchakhotine aurait sans doute redouté un « viol des foules par la propagande numérique » (Tchakhotine S., Le viol des foules par la propagande politique, 1939, Gallimard, 1992). La Fontaine se serait encore amusé de ce que « la raison du plus fort est toujours la meilleure », la création du droit n’en étant pas épargnée (Le Loup et l’Agneau [Ésope] (Jean de La Fontaine, Fables, Livre I, X) ; v. Bigot R., « Le Loup et l’Agneau » ou la recherche du juste à la lumière des rapports entre force et droit, in Jean de La Fontaine juriste ? Lecture de fables choisies à la lumière du droit, Journée d’étude Thesa Nostra, Université de Poitiers, LGDJ, 2009, pp. 287-307).
On peut encore s’inquiéter qu’un rapport (v. Rapport confié par Urvoas J.-J., garde des Sceaux, Ministre de la Justice, à Haeri K., L’avenir de la profession d’avocat, févr. 2017, p. 62 : « L’une des plus importantes évolutions identifiées au cours de ces dernières années est la blockchain, définie comme « une technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle ». Il s’agit de gigantesques bases de données sécurisées et décentralisées qui regroupent les transactions sous formes de blocs reliés entre eux sans qu’il y ait besoin d’intermédiaires pour en attester l’authenticité. Toutes les transactions compilées dans les blockchains sont ainsi vérifiables et opposables. Elles sont enregistrées dans une base de données publique ; ce qui rend les transactions infalsifiables et non modifiables. Cette technologie est notamment utilisée pour la mise en place de « contrats intelligents » (smart contracts) : des « programmes autonomes qui exécutent automatiquement les conditions et termes d’un contrat, sans nécessiter d’intervention humaine une fois démarrés ». Le fait d’intégrer de tels logiciels dans la blockchain garantit que les termes du contrat seront inchangés, et qu’ainsi, à la réalisation d’un événement, les clauses du contrat en question seront automatiquement appliquées »), commandé par le ministère de la Justice pour réformer des professions du droit, soit confié à des professionnels qui conseillent principalement des acteurs des nouvelles technologies (v. le site internet d’un des rapporteurs, Lamon B., qui présente son cabinet de la manière suivante sur la page d’accueil de son site : « Avocats experts en droit du numérique et de l'innovation », http://www.nouveaumonde-avocats.com) et n’aient donc qu’un faible esprit de contradiction à l’égard de leurs clients, quoi qu’en dise leur code de déontologie. Sans grand étonnement, ce type de rapport conduit à d’uniques propositions en matière de développement du marché numérique (nouvelles offres de formation et de gestion des cabinets, puis à l’attention du Conseil national des barreaux et des Ordres : v. Rapport confié par Urvoas J.-J., garde des Sceaux, ministre de la Justice, à Haeri K., op. cit., p. 62 et s.).
Dans la continuité de la publicité – mensongère ? – à propos de la blockchain, il est avancé, dans de nombreuses conférences « mercato-scientifiques » qu’avec elle par exemple, les notaires deviennent obsolètes et vont disparaître, la blockchain permettant un cadastre décentralisé et infalsifiable, incorruptible, basé sur la preuve (v. ex multis, De Filippi P., La blockchain au service d'une nouvelle gouvernance, filmé à L’Échappée, le 28 mai 2016 (https://www.youtube.com/watch?v=2KVzamQmOWw) ; Révolution Blockchain – Meet-Up – Dassault Systèmes (https://www.youtube.com/watch?v=3ukEXQ66_ss) ; Blockchain Technology and the Future of Work (https://www.youtube.com/watch?v=PN-JLKBiVGY) ; Balva C., La blockchain : réinventer les rapports de confiance, TEDxLyon (https://www.youtube.com/watch?v=JID9c-MABis)). Naturellement, la profession notariale se défend (Marraud des Grottes G. (propos recueillis par), entretien avec Coiffard D. (président du Conseil supérieur du notariat), « La blockchain a un sens pour répartir une partie de la confiance en rendant une information infalsifiable mais cette confiance n’est que partielle et très en deçà de celle conférée par le notaire », RLDC 2017/147, no 6301: s’agissant de ses limites, « elle désintermédie, répartit la confiance, mais on voit bien que dès lors qu’elle nécessite une source externe fiable d’informations pour exécuter un contrat (que ce soit ou non un smart contract), se pose immédiatement la question de la confiance et du « qui » va la garantir (...) » ; adde 113e Congrès des notaires de France, Le notaire au cœur des mutations de la société, Lille, 17-20 sept. 2017, 3e Commission numérique : http://www.congresdesnotaires.fr/media/uploads/dossierdepressecongresdesnotaires2017_light.pdf). Il y aurait en effet quelques approximations dans le discours. Qui serait alors responsable de l’établissement de la preuve à l’entrée dans le système ? Qui serait responsable en cas de défaillance de la blockchain ? Y aurait-il des garants ou des assureurs derrière ? Qui se substituerait ainsi à la responsabilité des services de la publicité foncière et des notaires ?
À ce titre, de nouveaux risques émergent et, corrélativement, de nouveaux marchés s’ouvrent à l’assurance. L’assureur, en bon « janséniste pascalien » (Noguéro D., Sélection des risques, discrimination, assurance et protection des vulnérables, RGDA 2010, no 3, p. 633 et s., spéc. p. 663), cherche immédiatement à les exploiter, par exemple en innovant l’assurance contre les cyberattaques (Guinot D., Comment s’assurer contre les cyberattaques ?, Le Figaro.fr, 15 mai 2017 : « Les cyberassurances, pour l'heure peu répandues en France, permettent aux entreprises de couvrir une perte d'exploitation en cas d'attaque. Certains assureurs remboursent les frais de rançon. L'attaque du logiciel de racket WannaCry (http://www.lefigaro.fr/secteur/high- tech/2017/05/15/32001-20170515ARTFIG00074-la-cyberattaque-a-ete-stoppee-mais-la-menace-n-est-pas-ecartee.php), qui a contaminé plus de 200.000 ordinateurs dans 150 pays, est inédite par son ampleur […]. Pourtant pour l'heure, peu d'entreprises françaises sont assurées contre ce risque. L'an dernier, le chiffre d'affaires des cyberassurances était évalué à 50 millions de dollars par la Fédération française de l'assurance (FFA) et à 300 millions de dollars au niveau européen. Un montant sans commune mesure avec les 3 milliards de dollars de chiffre d'affaires aux États- Unis ! « La réglementation liée aux données personnelles est stricte aux États-Unis depuis 2004. Les entreprises sont donc sensibilisées au vol des informations de leurs clients et s'assurent contre ce risque », justifie Christophe Zaniewski, directeur général d'AIG France, l'un des leaders français de la cyberassurance. En France, la réglementation sera durcie l'année prochaine. Les entreprises victimes de cyberattaques devront en informer la Commission nationale de l'informatique et des libertés (CNIL) et leurs clients (si leurs données ont été détournées). Ce qui risque d'inciter de plus en plus d'entreprises à s'assurer »). Il est même avancé que « des contrats (d’assurance) représentant des milliards d’euros ont ainsi été souscrits en ligne, alors que cela n’a pas de valeur légale » (Marraud des Grottes G. (propos recueillis par), entretien avec Bergé-Lefranc C., La blockchain est une technologie très efficace pour se préconstituer une preuve, RLDC 2017/150, no 6334, p. 33 et s., spéc. p. 35 : « Aujourd’hui, si le législateur légifère, l'élan va être cassé et les avantages du système vont être perdus »). Quant aux garanties apportées par des professions réglementées, proposées à la substitution par la blockchain, comme les notaires, nombre de celles-ci (intermédiaires d’assurances, avocats, huissiers de justice, etc.), connaissent un régime de responsabilité (civile, disciplinaire et pénale) sévère avec des assurances obligatoires et des niveaux de couverture élevés, à hauteur de 250 millions d’euros par sinistre parfois (Bigot R., L’indemnisation par l’assurance de responsabilité civile professionnelle. L’exemple des professions du droit et du chiffre, avant-propos Slim H., préface Noguéro D., Defrénois, coll. Doctorat & Notariat, t. 53, 2014, nos 91 et s.). La blockchain n’est, pour l’instant, aucunement dotée d’un tel régime obligatoire de garanties assurantielles. Elle n’apporte donc aucune sécurité dans la protection de la dette de responsabilité des acteurs qui la dirigent, ni dans la créance d’indemnisation des victimes qui en pâtissent. Sous couvert de cette technologie néanmoins, certains souhaiteraient capter d’énormes marchés, ce qui conduirait à transférer le rôle des tiers de confiance à d’autres, non réglementés actuellement. Il s’agirait d’un jeu des vases-communicants, sans garanties, au profit d’un nouveau genre de braconniers du droit. En définitive, la blockchain qui reste en dehors de l’assurance n’entre pas dans le cadre de l’opération d’assurance et n’emporte donc pas de régime de protection apporté par le droit des assurances et celui de la consommation notamment. En est-il de même de la blockchain dans l’assurance ?
II. La blockchain dans l’assurance
La blockchain dans l’assurance et les données personnelles. La blockchain ne permet pas d’effacer les données et c’est l’intérêt avancé par ses défenseurs en matière de sécurité juridique. Il y a certes un intérêt à connaître l’historique d’un contrat (sa reconduction, ses avenants, pour l’application de la garantie dans le temps) ou d’une clause (si une clause abusive par exemple a bien été modifiée). Mais dès lors qu’il s’agit d’éléments protégés, par la confidentialité, le secret professionnel ou le secret médical, la violation, constatée a posteriori dans une blockchain, sera donc perpétuelle ! De même, l’impossible suppression de l’information dans la blockchain est une entrave anticipée à la réalisation du droit à l’oubli (Marais A., Le droit à l’oubli numérique, in Teyssié B. (dir.), La communication numérique, un droit, des droits, éd. Panthéon Assas, 2012, p. 63 et s. ; Dechenaud D. (dir.), Le droit à l’oubli, Mission de recherche « Droit et Justice », févr. 2014 ; Grynbaum L., Le Goffic C., Morlet-Haïdara L., Droit des activités numériques, Dalloz, 1re éd., 2014, nos 1128 et s.). On pense immédiatement à la contrariété avec la convention AERAS pour les assurances des emprunteurs ayant eu des maladies graves (la convention « s’Assurer et Emprunter avec un Risque Aggravé de Santé » a été conclue entre les pouvoirs publics, les fédérations professionnelles de l’assurance, la banque et les associations de malades en vue de faciliter l’accès au crédit de ces derniers. La convention et ses principales dispositions sont rappelées par les articles L. 1141-2 à L. 1144-4 du Code de la santé publique. Un premier avenant a été signé le 1er février 2011 (entrée en vigueur au 1er mars 2011). Un second avenant a été conclu le 2 septembre 2015 et confère un droit à l’oubli aux personnes ayant eu une pathologie cancéreuse. Lors de la souscription d’un contrat assurance emprunteur, elles ne sont plus tenues de déclarer leur pathologie après l’écoulement de certains délais fixés d’un à 10 ans selon le type d’affection et intégrés dans une grille de référence adoptée en février 2016. En l’absence de rechute, la fin du protocole thérapeutique est le point de départ du délai décennal ; v. Fallois (de) M., Assurance et « droit à l’oubli » en matière de santé, RDSS 2017-1, p. 132), ou encore pour des personnes ayant eu des antécédents judiciaires car le procureur de la République doit pouvoir apprécier l’opportunité de l’effacement dans le fichier de traitement d’antécédents judiciaires (De nouveaux outils pour améliorer la lutte contre le blanchiment de capitaux (L. n° 2016-731, 3 juin 2016, JO 4 juin), RLDA no 117, juill./août 2016, no 5949, p. 11 ; Forest D., Effacement des données personnelles du TAJ : une révolution de velours inachevée, Dalloz IP/IT, janv. 2017, p. 54 et s.). Pour d’aucuns, faisant figure de chimère, « l’oubli est en fait une quête juridique aussi difficile à atteindre que le bonheur, par exemple, que l’on trouve visé dans la constitution américaine » (Roques-Bonnet M.-C., Le droit peut-il ignorer la révolution numérique ?, préf. Rapp L., Michalon éd., 2010, p. 440). Pourtant, le droit, et plus largement la Justice, ne peuvent plus l’ignorer (Bruguière J.-M., Droit à l’oubli numérique et droit au respect de la vie privée : attention un droit peut en cacher un autre !, in Dechenaud D. (dir.), Le droit à l’oubli, Mission de recherche « Droit et Justice », févr. 2014, p. 35 et s., spéc. p. 38). Préventivement, il serait donc opportun que le législateur restreigne rapidement l’usage de la blockchain à des domaines ne pouvant entraver le secret au sens large (Couturier M., Pour une analyse fonctionnelle du secret professionnel, dir. A. Prothais, th. Lille 2, 2004) ou le droit à l’oubli, qui s’avère pour l’instant « décevant » (Castets-Renard C., Brève analyse du règlement général relatif à la protection des données personnelles, Dalloz IP/IT, juill.-août 2016, p. 331 et s., spéc. p. 333).
La blockchain dans l’assurance et la lutte contre le blanchiment. Les bitcoins permettent d’échanger de l’argent en restant anonyme. On mesure immédiatement toute la difficulté en matière de lutte contre le blanchiment. Il y a déjà là, en matière d’assurance, un véritable frein à la souscription via ce mécanisme, et au paiement des primes en assurance-vie ou à la libération des fonds. Pour rappel, en France, les cotisations en assurances de personnes (vie et capitalisation) s’élèvent à 155,5 milliards d’euros en 2016 (et les provisions mathématiques représentent 1591 milliards d’euros en France en 2016 : FFA, Tableau de bord de l’assurance 2016, https://www.ffa-assurance.fr/content/tableau-de-bord-de-assurance-en-2016, p. 69 : « Les cotisations des assurances de personnes restent quasi stables en 2016 et s’établissent à 155,5 Md€ en affaires directes France, après trois années de croissance »). On ne saurait oublier l’expérience douloureuse du « serveur 3615 WASH » pour blanchir de l’argent sale à grande échelle (Martin D., La criminalité informatique. Cyber-crime : sabotage, piratage, etc. évolution et répression, PUF, 1997, p. 37). L’adaptation du droit pénal à Internet, mais aussi aux nouveaux mécanismes dématérialisés issus de la blockchain, a encore de beaux défis à relever, a fortiori en matière de blanchiment d’argent sale voire de noircissement d’argent propre (Lepage A., Réflexions sur l’adaptation du droit pénal à l’internet, in Teyssié B. (dir.), La communication numérique, un droit, des droits, éd. Panthéon Assas, 2012, p. 465 et s., spéc. p. 494).
La blockchain dans l’assurance et les indemnisations automatisées. Puisque le sujet recoupe celui de la robotisation (avec le développement des objets connectés dans l’assurance) et la relation de confiance assureur/assuré, on peut se contenter ici de relever qu’il existe deux grands types de procédure d’indemnisation : réglementées ou non réglementées. Dans les premières, ayant trait aux dommages de construction (L. n° 78-12, 4 janv. 1978, JO 5 janv., dite loi Spinetta), aux accidents de la circulation (L. n° 85-677, 5 juill. 1985, JO 6 juill., dite loi Badinter), ou aux accidents médicaux (L. n° 2002-303, 4 mars 2002, JO 5 mars, dite loi Kouchner), l’assureur est généralement tenu de faire une offre d’indemnité suffisante et motivée dans un bref délai. Dès lors, des logiciels intelligents qui permettraient de déclencher instantanément ces offres, mieux, leur règlement immédiat, « spontané », avec moins de discussions sur le quantum, ne pourraient aller que dans le sens d’une amélioration du délai moyen d’indemnisation et de la relation de confiance avec l’assuré au stade de la mise en œuvre du contrat au bénéfice de la victime souvent tiers, tout en faisant abstraction du problème de la motivation toutefois, au risque de voir apparaître nombre de formules-type !
Dans le cadre des procédures non réglementées d’indemnisation, il existe plus encore des marges de progrès. Mais il nous semble que de longue date, si la plupart des assureurs avaient eu la volonté d’accélérer ces règlements, ils l’auraient fait sans avoir à investir dans de lourds systèmes et applications informatiques. C’est le législateur, poussé en ce sens par la jurisprudence, qui n’a cessé de contraindre les assureurs dans cette voie d’accélération et d’indemnisation. Sans doute faut-il expérimenter, déjà avec des opérations simples, non sensibles, à l’instar de l’assurance des retards aériens (Rapport confié par Urvoas J.-J., garde des Sceaux, ministre de la Justice, à Haeri K., op. cit., p. 61 : « Cette technologie a notamment été appliquée au domaine de l’assurance par l’équipe gagnante du hackathon de la semaine de la FinTech à Londres en septembre 2015 (https://blockchainfrance.net/2016/01/28/applications‐smart‐contracts/ et http://www.coindesk.com/ipo‐and‐insurance‐projects‐win‐2000‐at‐blockchain‐hackathon/). Insureth a ainsi créé un système de smart contracts qui indemnise automatiquement les passagers ayant souscrit à une police d’assurance en cas de retard de leurs vols. Les passagers n’avaient pas besoin de remplir un formulaire, et la compagnie aérienne n’avait pour sa part aucune réclamation à traiter. Il s’agit d’une application automatique pure et simple du contrat d’assurance »), et vérifier qu’une blockchain puisse permettre d’accélérer le règlement des sinistres en facilitant les échanges de documents.
La blockchain dans l’assurance-vie. N’ayant sans doute jamais eu à l’enseigner ou à la pratiquer (avec toutes les formes qu’elle revêt, en cas de survie ou en cas de décès, voire mixtes, et la diversité de clauses pouvant y être stipulées) ni à gérer des contentieux à son propos, d’aucuns surfant sur la vague digitale considèrent que l’assurance-vie serait très binaire. L’assuré serait soit vivant, soit décédé. Elle serait donc assez facilement automatisable grâce à un smart contract. Dans ce cas, il suffirait de disposer, selon ces mêmes "surfeurs", d’un "Oracle", à l’instar de celui régnant dans la trilogie Matrix (The Matrix, films 1999-2003, de Andy et Lana Wachowski), dont le rôle serait de fournir l'information du décès en se basant sur un registre national des décès afin de déclencher automatiquement la liquidation du contrat d’assurance au profit des bénéficiaires identifiés au contrat. On pense alors aux contrats en déshérence (Nicolas. V., Assureur cherche désespérément tiers bénéficiaires de contrats d’assurance vie, Rev. dr. fam. 2008, comm. 18 et étude 8) soumis à de nouvelles exigences avec la loi n° 2014-617 du 13 juin 2014 (JO 15 juin) et à l’éventuel couplage avec Agira 2, le répertoire national d'identification des personnes physiques de l’Insee mentionnant le décès des personnes (C. ass., art. L. 132-9-3-II ). Mais en droit français, les assurances-vie s’avèrent nettement plus complexes que la présentation simpliste faite par certains marchands de robots.
La blockchain dans l’assurance automobile. Il est avancé que la blockchain pourrait s’appliquer à l’assurance à la demande, où il serait envisagé, dans un premier temps, d’identifier immédiatement le conducteur et donc, dans un second temps, de déclencher le contrat. Seulement, que fait-on si le capteur est défaillant et n’enregistre pas le déclenchement ? Roule-t-on non assuré ? Le cas échéant, en cas d’accident, assigne-t-on l’assureur sur le fondement de la perte de chance d’avoir souscrit une assurance obligatoire, sans compter les risques de sanctions pénales liées à cette infraction ? Il faudrait alors créer une sorte de contrat « parapluie » qui couvre l’absence de souscription. Les choses sont présentées de manière réductrice – insistons –, or la vie d’un sinistre est alambiquée, a fortiori lorsqu’il devient judiciaire. Il suffit d’assister à quelques expertises pour s’en apercevoir…
La blockchain et la fraude à l’assurance. Les acteurs voient sans doute ici un intérêt supérieur au développement de cette technologie. Selon l’Agence pour la lutte contre la fraude à l’assurance (Alfa), les cas de fraude en assurances de dommages ont représenté un coût d’environ 2,5 milliards d’euros en 2015, soit 5 % des primes (v. http://www.alfa.asso.fr/fr/content/la-fraude). Avec seulement 2 % des cas, la fraude liée aux dommages corporels couvre 47 % de ces enjeux financiers. Pour l’assurance automobile, il est alors avancé l’idée de partager entre assureurs les informations concernant les conducteurs et les véhicules sur la blockchain (https://www2.deloitte.com/content/dam/Deloitte/ch/Documents/innovation/ch-en-innovation-deloitte-blockchain-app-in-insurance.pdf : Kemp L., Blockchain applications in assurance, Deloitte LPP, 2016). Une détection des tentatives de fraude multi-assurance serait ainsi réalisée, de même qu’un partage d’une note d'évaluation du conducteur qui le suivrait dans le temps pour que les assureurs puissent disposer d’un historique de son profil de conducteur, de son accidentologie ou de ses tentatives de fraudes. Ne pourrait-on pas plutôt – ou déjà – prendre exemple sur ce qui fonctionne bien ? Le régime public d’assurance automobile du Québec (La Société de l’assurance automobile du Québec : https://saaq.gouv.qc.ca) a réussi à réduire fortement les risques et les coûts de l’assurance, en instituant un seul assureur en matière automobile qui a un rôle central dans la gestion du permis de conduire, de l’immatriculation, du contrôle routier, de la sécurité et de l’assurance (Slim H., La loi du 5 juillet 1985 et les expériences étrangères, in Brun Ph. et Jourdain P. (dir.), Loi Badinter : le bilan de 20 ans d’application, LGDJ, Bibl. de l’Institut André Tunc, t. 10, 2006, p. 77 et s. ; Gardner D., La loi sur l’assurance automobile, loi d’interprétation libérale ?, Les Cahiers du Droit, Université Laval, Québec, vol. 33, no 2, juin 1992, p. 485 et s. ; Dubreuil C., L’assurance automobile dans le fédéralisme canadien : le modèle québécois, RGAT 1992, p. 254 et s.). En cas de vol, l’enjeu serait encore, pour les assureurs, de pouvoir suivre la propriété d’un bien assuré et de stocker dans la blockchain les informations d’historique de l’achat/vente ainsi que celles de la chaîne d’approvisionnement.
La blockchain dans l’assurance et la captation de l’enquête privée. Le risque est de se trouver dans une situation d’enquête privée intrusive et permanente, avec des capteurs, excédant le bon usage (Pélissier A., Fraude à l’assurance : du bon usage de l’enquête privée, RGDA 2016, no 11, p. 572 et s.). La loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure (JO 19 mars) a rendu la formation obligatoire des professions d’enquêteurs privés, sauf pour ceux travaillant de façon interne dans une société (d’assurance) pour le seul compte de leur employeur. L’assureur capterait ainsi une partie de la profession d’enquêteur mais ne serait pas soumis aux obligations de qualification. La jurisprudence a pourtant condamné à plusieurs reprises des opérations de surveillance menées par les enquêteurs mandatés par l’assureur (dernièrement, pour des opérations de surveillance et de filature menées par les enquêteurs mandatés par l’assureur, à l’intérieur du domicile : Cass. 1re civ., 22 sept. 2016, no 15-24.015, Bull. civ. I ; adde Schulz R., Investigations portant atteinte à la vie privée : droit au respect de la vie privée et droit à un procès équitable, RGDA 2016, no 12, p. 624 et s. (CEDH, 3 sect., 18 oct. 2016, no 61838/10).
La blockchain dans l’assurance et la régulation des prestataires de service de confiance. Avec la blockchain, il est recherché l’évitement des règles en vigueur. Il est ainsi proposé de substituer des oracles aux tiers de confiance habituels. L’oracle serait en fait un service chargé d’entrer manuellement une donnée extérieure dans la blockchain. Ne s’agit-il pas de la réintroduction d’un tiers de confiance autrement nommé dans une technologie qui est vendue comme dépourvue de ce concept ? Que se passe-t-il si l’information n’est pas ajoutée par l’oracle, ou si elle est fausse ? Il s’agit en réalité d’un prestataire de service qui se cache derrière, avec un pouvoir exorbitant. Il est a priori rémunéré à cet effet. Il y a aussi des valorisations indirectes, des données des utilisateurs par exemple. Dans un domaine proche, la cour d’appel de Paris, dans un arrêt du 12 février 2016, n’a pas retenu la gratuité des services de Facebook en raison « des bénéfices importants de l’exploitation de son activité, via notamment les applications payantes, les ressources publicitaires et autres, de sorte que sa qualité de professionnel ne saurait être sérieusement contestée » (CA Paris, 12 févr. 2016, no 15/08624, Facebook (aff. de l’Origine du monde), D. 2016, p. 422. – Rochfeld J., Le « contrat de fourniture de contenus numériques » : la reconnaissance de l’économie spécifique « contenus contre données », Dalloz IP/IT, janv. 2017, p. 15 et s., spéc. p. 19).
Néanmoins, ces oracles ne sont pas encore soumis au statut de prestataire de services de confiance (PSC), encadré progressivement depuis 2001 (Douville T., Quel statut pour les prestataires de service de confiance, D. 2017, no 15, p. 825). Il conviendrait naturellement qu’ils le soient, avec un contrôle juridictionnel visant « en réalité à garantir une haute protection des consommateurs et une meilleure sécurité juridique » (Slim H., La consultation juridique à l’épreuve de la libre prestation de service, JCP G 2013, n° 23, 3 juin 2013, p. 662). L’ordonnance no 2017-27 du 12 janvier 2017 a imposé, en sus d’un agrément, une imminente certification des hébergeurs de données de santé. Le règlement européen du 23 juillet 2014, applicable depuis le 1er juillet 2016, a introduit un socle commun aux services de confiance et aux PSC, fait d’exigences de sécurité des services fournis, de transparence des atteintes à la sécurité ou des pertes d’intégrité du service. Certains PSC qualifiés sont tenus à des exigences particulières de fond et de forme, avec des sanctions définies par l’État-membre. La loi belge du 21 juillet 2016 mettant en œuvre le nouveau règlement « eIDAS » y a soumis les prestataires de service d’archivage électronique. Il faudrait aussi créer en France un régime général et large aux prestataires de service de coffre-fort numérique ou d’authentification électronique ou de fourniture de moyen d’identification électronique, là où la loi n° 2016-1321 pour une République numérique du 7 octobre 2016 (JO 8 oct.) a manqué le coche, avec un regrettable « manque d’ambition » (Douville T., op. cit., D. 2017, no 15, p. 825).
III. L’assurance dans la blockchain ou l’ « auto-assurance »
D’aucuns affirment pouvoir faire entrer l’assurance dans la blockchain, en d’autres termes pour opérer une fusion des deux mécanismes et en se libérant des contraintes pesant sur l’activité d’assurance. Mais l’assurance ne saurait, juridiquement, se faire absorber par la blockchain. En l’absence de toute novation, seule une requalification, vers le droit commun du contrat, est envisageable. Il s’agit, a priori, d’assurance en trompe-l’œil.
En Allemagne (Friednsurance, https://www.friendsurance.com) et en France (Otherwise, https://otherwise.fr et inSpeer, https://ve.inspeer.me), ont vu le jour des plates-formes d’automatisation des « assurances » dites collaboratives en « peer to peer » (souvent abrégé sous le sigle P2P). Il est désormais avancé que non seulement la blockchain serait susceptible de servir de socle pour ces assureurs et devenir un moyen à des sociétés de ce type, ou à des assureurs traditionnels, de développer une offre basée sur cette technologie, mais encore que la blockchain est de nature à complètement effacer les acteurs du secteur assurantiel par le biais notamment de DAO (Decentralized Autonomous Organization : Les nouveaux équilibres de la confiance entre algorithmes et contrat social, in Les cahiers de veille de la Fondation Mines-Télécom, no 9, juin 2017, p. 21) qui peuvent se monter en un faible temps et permettre à des individus de créer leur propre système d’assurance « peer to peer ».
Dans ce dernier cas appelé indûment « auto-assurance » car le régime juridique est brouillé (Péri M., La régulation de l’ « ubérisation », Dalloz IP/IT, mars 2017, p. 144 et s.), il est affirmé que le système fonctionne sur la base d’un séquestre partagé. En d’autres termes, le système enregistrerait les transactions dans un séquestre sur la blockchain. Or, juridiquement, le séquestre conventionnel est en principe le dépôt fait par une ou plusieurs personnes, d’une chose contentieuse, entre les mains d’un tiers qui s’oblige de la rendre, après la contestation terminée (C. civ., art. 1956). Il est ensuite indiqué que les indemnités seraient réglées selon une multisignature. Dit autrement, les utilisateurs du groupe décideraient entre eux de leurs indemnisations s’il y a lieu (Sauzade A., WeKeep - Assurchain, conférence du 6 avr. 2016, publiée le 18 mai 2016 sur https://bitcoin.fr/adrian-sauzade/). On voit ici tout l’enjeu des critères pouvant être retenus. L’assurance « peer to peer » utilisant la blockchain fonctionnerait sur un mode communautaire (Clément-Fontaine M., La genèse de l’économie collaborative : le concept de communauté, Dalloz IP/IT, mars 2017, p. 140 et s.), avec le vote de celle-ci sur la nécessité d'indemniser un sinistre ou non. Bien que nommées assurances, il s’avère que ces opérations conduites dans le phénomène général d’« ubérisation » (Martial-Braz N., De quoi l’ « ubérisation » est-elle le nom ?, Dalloz IP/IT, mars 2017, p. 133 et s.) ne relèvent aucunement du contrat d’assurance ni du régime de l’opération d’assurance. Il pourrait s’agir, en présence d’une forme de prix (prime), d’un contrat d’entreprise (v. Cayol A., Le contrat d’ouvrage, th. Paris 1, IRJS éd., t. 38, 2013). En l’absence de prix (ou prime) et donc en présence d’un objectif purement collaboratif, il s’agirait simplement d’un contrat de droit commun, voire d’un système associatif. On sort de l’opération d’assurance, et on retombe dans une forme d’acceptation des risques, de garanties collectives, de sûretés, de fiducie ou encore une situation contractuelle fort différente de l’assurance, le dépôt par exemple. Peut-être même se trouverait-on ramené « aux prémices de l’assurance, au temps des tontines et du prêt à la grosse aventure, mais par la grâce de l’innovation technologique la plus pointue » (Mayaux L., Voyage au pays de l’assurance collaborative, RGDA 2017, no 6, p. 337 : « L’avènement de l’assurance sans assureur, avec pour opérateur une simple plateforme fédérant la communauté des assurés, marque-t-il la fin de l’assurance classique ? Mais, tout d’abord, a-t-on encore affaire à de l’assurance ? Oui, si l’on considère qu’une prime est payée et qu’un risque est couvert. Non, si l’on estime qu’il n’y a pas transfert de ce risque à un tiers mais seulement prise en charge par la communauté des assurés qui, à la différence d’une mutuelle, n’a pas la personnalité morale. L’auto-assurance, même collective, par constitution d’une « cagnotte » commune, ne serait pas de l’assurance »). Le droit des contrats et le droit de la responsabilité sont amenés à y jouer pleinement. Le voyage au pays de l’ « assurance » collaborative pourrait alors s’avérer chaotique selon la conception fonctionnaliste ou organiciste de l’activité d’assurance qui sera retenue (Mayaux L., ibid., RGDA 2017, no 6, p. 337).
Techniquement, l’opération d’assurance repose « sur un trinôme immuable : l’aléa, la mutualisation des risques, et la fréquence de la survenance des sinistres » (v. ex multis, Bonnard J., Droit des assurances, LexisNexis, 2016, no 3 ; Charpentier A., Denuit M., Elie R., Segmentation et mutualisation. Les deux faces d’une même pièce ?, Risques no 103, p. 19 et s.). Juridiquement, l’assurance est un contrat générateur d’obligations réciproques de l’assureur et de l’assuré. Le domaine est fortement réglementé, qu’il s’agisse des acteurs, leurs activités, ou les conséquences de leur défaillance (v. par exemple les règles propres à l’assurance conclue à distance : Grynbaum L., Le Goffic C., Morlet-Haïdara L., Droit des activités numériques, Dalloz, 1re éd., 2014, nos 288 et s.). Quels rapports peuvent donc entretenir l’activité assurantielle et ses acteurs très encadrés, avec la blockchain et ses différentes facettes, non encore régulées, ni même définies par la loi ? Il faut à mon sens, eu égard aux grandes spécificités de l’assurance, savoir appréhender la blockchain en dehors de l’assurance (I), la blockchain dans l’assurance (II) puis l’assurance dans la blockchain (III).
I. La blockchain en dehors de l’assurance
Aucun texte spécial n’existe à ce jour en droit français. Néanmoins, la Direction générale du Trésor a lancé une consultation, en cours jusqu’au 6 octobre 2017, sur le projet de réforme législative relatif à la blockchain sur le périmètre, les principes et le niveau de réglementation à retenir (https://www.tresor.economie.gouv.fr/Articles/2017/09/19/consultation-publique-projet-d-ordonnance-blockchain-titres-financiers). L’article 120 de la loi Sapin 2 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, habilite le gouvernement, d’ici le 9 décembre 2017, à réformer le droit applicable aux titres financiers (il vise à permettre la représentation et la transmission au moyen d’un dispositif d’enregistrement électronique partagé (en anglais, distributed ledger technology, ou DLT) des titres financiers qui ne sont pas admis aux opérations d’un dépositaire central ni livrés dans un système de règlement et de livraison de certains instruments financiers). Cette habilitation à prendre une ordonnance « blockchain » vise à adapter le droit positif afin d’autoriser la représentation et la transmission de certains titres financiers non admis aux opérations d’un dépositaire central de titres en utilisant la blockchain. Dans cette mouvance, s’est ouverte une première expérimentation, en lien avec l’ordonnance du 28 avril 2016 relative aux bons de caisse ou minibons (entrée en vigueur le 1er octobre 2016, l’ordonnance n° 2016-520 du 28 avril 2016 relative aux bons de caisse a modifié le régime juridique de ces titres remis par une entreprise en échange d’un crédit qui lui est accordé, tout en conservant leur flexibilité, notamment pour les entreprises non financières. Il a créé les conditions du développement de l’intermédiation des bons de caisse sur les plateformes internet de financement participatif des CIP (nommés « minibons »). Un décret no 2016-1453 du 28 octobre 2016 relatif aux titres et aux prêts proposés dans le cadre du financement participatif précise dans quelles conditions les « minibons » peuvent être émis et transmis en utilisant la blockchain. L’article D. 223-1 (C. mon. et fin.) prévoit les mentions que doit comporter le certificat d’inscription dans le registre remis au propriétaire d’un bon de caisse (informations relatives à l’émetteur puis celles relatives au propriétaire du bon de caisse) et les caractéristiques du prêt en contrepartie duquel est délivré le bon de caisse (art. D. 223-2 et s.). Par ailleurs, « le transfert de propriété de minibons résulte de l’inscription de la cession dans le dispositif d’enregistrement électronique mentionné à l'article L. 223-12, qui tient lieu de contrat écrit pour l’application des articles 1321 et 1322 du Code civil » (C. mon. fin., art. L. 223-13)). Pour contribuer à l’élaboration des conditions réglementaires de l’usage de la blockchain dans l’écosystème financier français, la Cour des comptes a créé, en juin 2017, une plateforme expérimentale blockchain pour la gestion des titres nominatifs réservés aux plateformes de financement participatif des PME nommés minibons (Une plateforme expérimentale Blockchain pour la gestion des minibons, Dr & patr. 2017, no 270, p. 15 : « La Caisse des Dépôts (CDC) et l’association Financement Participatif France (FPF) ont annoncé, le 29 mai, travailler sur la mise en place d’une infrastructure Blockchain dédiée à la gestion de prêts aux PME via le financement participatif. L’ordonnance du 28 avril 2016 a créé les minibons. Ces titres nominatifs réservés aux plateformes de financement participatif peuvent dorénavant être enregistrés grâce à un registre électronique distribué. Le prototype en cours sur lequel travaillent la CDC et le FPF présentera une architecture Blockchain incluant toutes les plateformes de financement participatif pouvant gérer des minibons. Il permettra aussi aux utilisateurs d’émettre, de souscrire et, à terme, d’échanger les minibons sur le marché secondaire. Le projet a pour autre ambition de contribuer à l’élaboration des conditions réglementaires de l’usage de la Blockchain dans l’écosystème financier français en partenariat avec le régulateur »).
On peut classer l’utilisation de la blockchain en trois catégories d’applications : premièrement les transferts d’actifs ; deuxièmement les registres ; troisièmement les smartcontracts, lesquels correspondent à des programmes autonomes qui exécutent automatiquement les conditions et les termes d’un contrat, sans nécessiter d’intervention humaine une fois démarrés (Cohen-Hadria Y., Blockchain : révolution ou évolution ? La pratique qui bouscule les habitudes et l’univers juridique, Dalloz IP/IT, déc. 2016, p. 537 et s. – Qu’est-ce que la blockchain ? : https://blockchainfrance.net/decouvrir-la-blockchain/c-est-quoi-la-blockchain ; adde l’étude parue depuis notre contribution : Grynbaum L., Assurance et Blockchain, RLDA 2017/129, no 6300, p. 53).
Il convient immédiatement d’ôter le voile jeté sur deux éléments. D’une part, le smart contract n’est pas un contrat (Marraud des Grottes G. (propos recueillis par), entretien avec Touati A., Tous les contrats ne peuvent pas être des smart contracts, RLDC 2017/107, no 6302, spéc. p. 39), mais un logiciel qui constitue l’émanation numérique d’un contrat inscrit sur la blockchain. On parle beaucoup du pouvoir des juges actuellement, avec le contrôle de proportionnalité (Mazeaud D., Proportionnalité à la une !, JCP G 2016, p. 1028) dont s’est emparé la Cour de Strasbourg. Mais ici, c’est le pouvoir des programmateurs qui devient immense, sans compter tous les risques d’erreur transférés sur leurs épaules ou, plutôt, au bout de leurs doigts.
D’autre part, dans les derniers braquages numériques, les cyberattaquants ont demandé le paiement des rançons par la blockchain (Brouste N., Une cyberattaque mondiale frappe des entreprises et des administrations, Le Figaro.fr, 27 juin 2017 : « Le programme malveillant semble procéder de la même manière que son prédécesseur, WannaCry (http://plus.lefigaro.fr/tag/wannacry) mi-mai: il infecte les ordinateurs et contamine les autres terminaux qui y sont connectés, en exploitant le même type de faille. Un message demandant un virement de 300 dollars en bitcoins s'affiche à l'écran, empêchant toute interaction avec le PC »), en bitcoins ou en ether, car leurs identifiants ou clés demeurent des pseudonymes (Les nouveaux équilibres de la confiance entre algorithmes et contrat social, in Les cahiers de veille de la Fondation Mines-Télécom, no 9, juin 2017, p. 11 : « Pour qu’une nouvelle technologie soit largement adoptée, elle doit être crédible à plusieurs points de vue. Elle doit notamment être simple d’emploi pour des non-experts, le besoin qu’elle remplit doit être clair, ses bénéfices d’usage doivent être manifestes, ses liens avec les technologies antérieures être sans couture s’ils doivent exister. La blockchain bitcoin ne remplit pas tous ces critères »). Les cyberattaquants restent ainsi totalement anonymes, ce qui se prête à une forte érosion non seulement de la morale (Hultmark C., Développer des systèmes juridiques et une bonne moralité pour l’Internet, in Les dimensions internationales du droit du cyberespace, éd. UNESCO, Economica, coll. Droit du cyberespace, 2000, p. 271 et s. p. 272) mais plus encore du droit (Iteanu O., Quand le digital défie l’État de droit, Eyrolles, 2017). La cyberattaque mondiale a été d’un niveau « sans précédent » selon le secrétaire d’État français au numérique, malgré la sécurité prétendue (la cyberattaque mondiale est « sans précédent » selon Mounir Mahjoubi, RLDI 2017/139, p. 21). C’est, dans ce qui est baptisé le « darkweb » (v. le dossier Le darkweb. La face cachée d’internet, Dalloz IP/IT, févr. 2017, p. 70 et s.), le problème d’identification et d’imputation des responsabilités qui ressurgit (pour les cyber-délits en droit international privé : v. Slim H., Fasc. 255-10 : Responsabilité civile délictuelle en droit international privé, JurisClasseur Responsabilité civile et Assurances, 22 août 2016, nos 17, 25, 94, 104 et s. ; adde Trudel P., Les responsabilités dans le cyberespace, in Les dimensions internationales du droit du cyberespace, éd. UNESCO, Economica, coll. Droit du cyberespace, 2000, p. 235 et s., spéc. p. 262), puis l’adaptation nécessaire à l’évolution du contentieux lié au numérique (Brenner C., La communication numérique et le procès civil, in Teyssié B. (dir.), La communication numérique, un droit, des droits, éd. Panthéon Assas, 2012, p. 447 et s., spéc. p. 461) et à la cybercriminalité, avec la création d’un parquet et d’une chambre correctionnelle spécialisés (Basdevant A., Pour un parquet national du numérique et une 33e chambre correctionnelle de la cybercriminalité ?, RLDI 2017/139, no 5038, p. 38 et s.).
L’apparition du web avait déjà suscité de grands espoirs de liberté, qui ont en partie été douchés, par suite des plateformes cadenassées d’Apple et de Facebook mettant en lumière la surveillance de masse. Après les révélations d’Edouard Snowden, dans l’affaire Maximillian Schrems, client Facebook (CJUE, 6 oct. 2015, aff. C-362/14, Maximillian Schrems / Data Protection Commissioner, Communiqué no 117/5, Luxembourg, 6 oct. 2015, www.curia.europa.eu : « M. Schrems a déposé une plainte auprès de l’autorité irlandaise de contrôle, considérant qu’au vu des révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des États-Unis (en particulier la National Security Agency ou « NSA »), le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays. […] La Cour considère que cette analyse du régime est corroborée par deux communications de la Commission, d’où il ressort notamment que les autorités des États-Unis pouvaient accéder aux données à caractère personnel transférées à partir des États membres vers ce pays et traiter celles-ci d’une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale. De même, la Commission a constaté qu’il n’existait pas, pour les personnes concernées, de voies de droit administratives ou judiciaires permettant, notamment, d’accéder aux données les concernant et, le cas échéant, d’obtenir leur rectification ou leur suppression »), avec l’arrêt du 6 octobre 2015 suivant les conclusions de l’avocat général (Bot Y., Avocat général, conclusions présentées le 23 sept. 2015, aff. C-362/14, Maximillian Schrems/Data Protection Commissioner, http://curia.europa.eu/juris/document/document_print.jsf?doclang=FR&text=&pageIndex=0&docid=168421&cid=542725), la Cour de justice de l’Union européenne a donné une leçon à la Commission européenne dans le domaine de la protection des données personnelles (CJUE, 6 oct. 2015, op. cit. : « La Cour déclare invalide la décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées »). S’est ainsi ouverte la société de surveillance globale fabriquée par un certain nombre d’acteurs publics et privés, avec un rôle prégnant du capitalisme financier et numérique (Kerdellant C., Dans la Google du loup, Plon, 2017 ; adde Charpentier A., Suire R., Données et santé. Valeurs, acteurs et enjeux, Risques no 107, p. 111 et s., spéc. p. 114 : « Fin avril, le New Scientist révélait que les dossiers médicaux de 1,6 million de patients londoniens (tous patients de trois hôpitaux gérés par le National Health Service) avaient été transférés à une entreprise appartenant au groupe Google », Google AI Has Access to Huge Haul of NHS Patient Data”, newscientist.com, 29 avril 2016, https://www.newscientist.com/article/2086454-revealed-google-ai-has-access-to-huge-haul-of-nhs-patient-data/, comp. Warlouzet L., Google condamné par la Commission européenne : « assiste-t-on à une offensive contre les multinationales ? », Le Monde.fr, 5 juill. 2017).
Dans cette continuité, la blockchain est présentée comme un nouvel espoir de liberté et de sécurité (https://blockchainfrance.net/2016/02/14/droit_blockchain_contrats ; comp. Marraud des Grottes G., La blockchain : un secteur encore en phase d’exploration, mais très prometteur, RLDI 2017/138, no 5017, p. 39 et s.). Un marchand de la blockchain – co-fondateur de Ledgys Solutions – soutient qu’elle est une technologie efficace et peu coûteuse qui permet, par la création d’une empreinte cryptographique, de se préconstituer une preuve et donc de faire reconnaître l’originalité d’une création devant un juge (Marraud des Grottes G. (propos recueillis par), Entretien avec Bergé-Lefranc C., La blockchain est une technologie très efficace pour se préconstituer une preuve, RLDC 2017/150, n° 6334, p. 33 et s.). Le bluff ne serait donc pas utilisé qu’au poker (Renaudet B., Le Poker, éd. Bornemann, 1988, p. 37 : « Bluffer, c’est tenter de faire croire à ses adversaires qu’on a un très beau jeu lorsqu’au contraire on n’a en main qu’un tout petit jeu ou même pas de jeu du tout »). Il y aurait aussi le bluff sécuritaire (Delbecque É., Le bluff sécuritaire. Essai sur l’impuissance française, éd. du Cerf, 2017). Des chercheurs au CNRS et à l’Université d’Harvard (Zuckerberg named Commencement speaker - Internet leader and philanthropist will address Afternoon Exercises, Harvard.edu, 7 mars 2017 ; Massari P., Zuckerberg ‘friends’ Harvard during visit, Harvard.edu, 7 nov. 2011), semblant avoir une proximité avec les GAFA et les NATU (les GAFA sont les géants du Web (Google, Apple, Facebook, Amazon), autrement dit les quatre grandes firmes américaines qui dominent le marché du numérique. Cet acronyme tend à être abandonné au profit du sigle GAFAM, le M signifiant Microsoft, avec une nouvelle concurrence des NATU (Netflix, Airbnb, Tesla, Uber)) – insistons sur la « concentration des marchés numériques » (Tirole J., Économie du bien commun, PUF, 2016, p. 522 et s.) –, affirment également que la blockchain élimine le besoin de confiance entre individus qui interagissent entre eux et repose sur la preuve (De Filippi P., Wright A., Blockchain and the Law, Harvard University Press, 2016 ; De Filippi P., Blockchain technology: a new (r)evolution in the digital economy, in Open Thoughts - Peer Production, Universitat Oberta de Catalunya, 2016). Eu égard à cette moderne manipulation des masses, Tchakhotine aurait sans doute redouté un « viol des foules par la propagande numérique » (Tchakhotine S., Le viol des foules par la propagande politique, 1939, Gallimard, 1992). La Fontaine se serait encore amusé de ce que « la raison du plus fort est toujours la meilleure », la création du droit n’en étant pas épargnée (Le Loup et l’Agneau [Ésope] (Jean de La Fontaine, Fables, Livre I, X) ; v. Bigot R., « Le Loup et l’Agneau » ou la recherche du juste à la lumière des rapports entre force et droit, in Jean de La Fontaine juriste ? Lecture de fables choisies à la lumière du droit, Journée d’étude Thesa Nostra, Université de Poitiers, LGDJ, 2009, pp. 287-307).
On peut encore s’inquiéter qu’un rapport (v. Rapport confié par Urvoas J.-J., garde des Sceaux, Ministre de la Justice, à Haeri K., L’avenir de la profession d’avocat, févr. 2017, p. 62 : « L’une des plus importantes évolutions identifiées au cours de ces dernières années est la blockchain, définie comme « une technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle ». Il s’agit de gigantesques bases de données sécurisées et décentralisées qui regroupent les transactions sous formes de blocs reliés entre eux sans qu’il y ait besoin d’intermédiaires pour en attester l’authenticité. Toutes les transactions compilées dans les blockchains sont ainsi vérifiables et opposables. Elles sont enregistrées dans une base de données publique ; ce qui rend les transactions infalsifiables et non modifiables. Cette technologie est notamment utilisée pour la mise en place de « contrats intelligents » (smart contracts) : des « programmes autonomes qui exécutent automatiquement les conditions et termes d’un contrat, sans nécessiter d’intervention humaine une fois démarrés ». Le fait d’intégrer de tels logiciels dans la blockchain garantit que les termes du contrat seront inchangés, et qu’ainsi, à la réalisation d’un événement, les clauses du contrat en question seront automatiquement appliquées »), commandé par le ministère de la Justice pour réformer des professions du droit, soit confié à des professionnels qui conseillent principalement des acteurs des nouvelles technologies (v. le site internet d’un des rapporteurs, Lamon B., qui présente son cabinet de la manière suivante sur la page d’accueil de son site : « Avocats experts en droit du numérique et de l'innovation », http://www.nouveaumonde-avocats.com) et n’aient donc qu’un faible esprit de contradiction à l’égard de leurs clients, quoi qu’en dise leur code de déontologie. Sans grand étonnement, ce type de rapport conduit à d’uniques propositions en matière de développement du marché numérique (nouvelles offres de formation et de gestion des cabinets, puis à l’attention du Conseil national des barreaux et des Ordres : v. Rapport confié par Urvoas J.-J., garde des Sceaux, ministre de la Justice, à Haeri K., op. cit., p. 62 et s.).
Dans la continuité de la publicité – mensongère ? – à propos de la blockchain, il est avancé, dans de nombreuses conférences « mercato-scientifiques » qu’avec elle par exemple, les notaires deviennent obsolètes et vont disparaître, la blockchain permettant un cadastre décentralisé et infalsifiable, incorruptible, basé sur la preuve (v. ex multis, De Filippi P., La blockchain au service d'une nouvelle gouvernance, filmé à L’Échappée, le 28 mai 2016 (https://www.youtube.com/watch?v=2KVzamQmOWw) ; Révolution Blockchain – Meet-Up – Dassault Systèmes (https://www.youtube.com/watch?v=3ukEXQ66_ss) ; Blockchain Technology and the Future of Work (https://www.youtube.com/watch?v=PN-JLKBiVGY) ; Balva C., La blockchain : réinventer les rapports de confiance, TEDxLyon (https://www.youtube.com/watch?v=JID9c-MABis)). Naturellement, la profession notariale se défend (Marraud des Grottes G. (propos recueillis par), entretien avec Coiffard D. (président du Conseil supérieur du notariat), « La blockchain a un sens pour répartir une partie de la confiance en rendant une information infalsifiable mais cette confiance n’est que partielle et très en deçà de celle conférée par le notaire », RLDC 2017/147, no 6301: s’agissant de ses limites, « elle désintermédie, répartit la confiance, mais on voit bien que dès lors qu’elle nécessite une source externe fiable d’informations pour exécuter un contrat (que ce soit ou non un smart contract), se pose immédiatement la question de la confiance et du « qui » va la garantir (...) » ; adde 113e Congrès des notaires de France, Le notaire au cœur des mutations de la société, Lille, 17-20 sept. 2017, 3e Commission numérique : http://www.congresdesnotaires.fr/media/uploads/dossierdepressecongresdesnotaires2017_light.pdf). Il y aurait en effet quelques approximations dans le discours. Qui serait alors responsable de l’établissement de la preuve à l’entrée dans le système ? Qui serait responsable en cas de défaillance de la blockchain ? Y aurait-il des garants ou des assureurs derrière ? Qui se substituerait ainsi à la responsabilité des services de la publicité foncière et des notaires ?
À ce titre, de nouveaux risques émergent et, corrélativement, de nouveaux marchés s’ouvrent à l’assurance. L’assureur, en bon « janséniste pascalien » (Noguéro D., Sélection des risques, discrimination, assurance et protection des vulnérables, RGDA 2010, no 3, p. 633 et s., spéc. p. 663), cherche immédiatement à les exploiter, par exemple en innovant l’assurance contre les cyberattaques (Guinot D., Comment s’assurer contre les cyberattaques ?, Le Figaro.fr, 15 mai 2017 : « Les cyberassurances, pour l'heure peu répandues en France, permettent aux entreprises de couvrir une perte d'exploitation en cas d'attaque. Certains assureurs remboursent les frais de rançon. L'attaque du logiciel de racket WannaCry (http://www.lefigaro.fr/secteur/high- tech/2017/05/15/32001-20170515ARTFIG00074-la-cyberattaque-a-ete-stoppee-mais-la-menace-n-est-pas-ecartee.php), qui a contaminé plus de 200.000 ordinateurs dans 150 pays, est inédite par son ampleur […]. Pourtant pour l'heure, peu d'entreprises françaises sont assurées contre ce risque. L'an dernier, le chiffre d'affaires des cyberassurances était évalué à 50 millions de dollars par la Fédération française de l'assurance (FFA) et à 300 millions de dollars au niveau européen. Un montant sans commune mesure avec les 3 milliards de dollars de chiffre d'affaires aux États- Unis ! « La réglementation liée aux données personnelles est stricte aux États-Unis depuis 2004. Les entreprises sont donc sensibilisées au vol des informations de leurs clients et s'assurent contre ce risque », justifie Christophe Zaniewski, directeur général d'AIG France, l'un des leaders français de la cyberassurance. En France, la réglementation sera durcie l'année prochaine. Les entreprises victimes de cyberattaques devront en informer la Commission nationale de l'informatique et des libertés (CNIL) et leurs clients (si leurs données ont été détournées). Ce qui risque d'inciter de plus en plus d'entreprises à s'assurer »). Il est même avancé que « des contrats (d’assurance) représentant des milliards d’euros ont ainsi été souscrits en ligne, alors que cela n’a pas de valeur légale » (Marraud des Grottes G. (propos recueillis par), entretien avec Bergé-Lefranc C., La blockchain est une technologie très efficace pour se préconstituer une preuve, RLDC 2017/150, no 6334, p. 33 et s., spéc. p. 35 : « Aujourd’hui, si le législateur légifère, l'élan va être cassé et les avantages du système vont être perdus »). Quant aux garanties apportées par des professions réglementées, proposées à la substitution par la blockchain, comme les notaires, nombre de celles-ci (intermédiaires d’assurances, avocats, huissiers de justice, etc.), connaissent un régime de responsabilité (civile, disciplinaire et pénale) sévère avec des assurances obligatoires et des niveaux de couverture élevés, à hauteur de 250 millions d’euros par sinistre parfois (Bigot R., L’indemnisation par l’assurance de responsabilité civile professionnelle. L’exemple des professions du droit et du chiffre, avant-propos Slim H., préface Noguéro D., Defrénois, coll. Doctorat & Notariat, t. 53, 2014, nos 91 et s.). La blockchain n’est, pour l’instant, aucunement dotée d’un tel régime obligatoire de garanties assurantielles. Elle n’apporte donc aucune sécurité dans la protection de la dette de responsabilité des acteurs qui la dirigent, ni dans la créance d’indemnisation des victimes qui en pâtissent. Sous couvert de cette technologie néanmoins, certains souhaiteraient capter d’énormes marchés, ce qui conduirait à transférer le rôle des tiers de confiance à d’autres, non réglementés actuellement. Il s’agirait d’un jeu des vases-communicants, sans garanties, au profit d’un nouveau genre de braconniers du droit. En définitive, la blockchain qui reste en dehors de l’assurance n’entre pas dans le cadre de l’opération d’assurance et n’emporte donc pas de régime de protection apporté par le droit des assurances et celui de la consommation notamment. En est-il de même de la blockchain dans l’assurance ?
II. La blockchain dans l’assurance
La blockchain dans l’assurance et les données personnelles. La blockchain ne permet pas d’effacer les données et c’est l’intérêt avancé par ses défenseurs en matière de sécurité juridique. Il y a certes un intérêt à connaître l’historique d’un contrat (sa reconduction, ses avenants, pour l’application de la garantie dans le temps) ou d’une clause (si une clause abusive par exemple a bien été modifiée). Mais dès lors qu’il s’agit d’éléments protégés, par la confidentialité, le secret professionnel ou le secret médical, la violation, constatée a posteriori dans une blockchain, sera donc perpétuelle ! De même, l’impossible suppression de l’information dans la blockchain est une entrave anticipée à la réalisation du droit à l’oubli (Marais A., Le droit à l’oubli numérique, in Teyssié B. (dir.), La communication numérique, un droit, des droits, éd. Panthéon Assas, 2012, p. 63 et s. ; Dechenaud D. (dir.), Le droit à l’oubli, Mission de recherche « Droit et Justice », févr. 2014 ; Grynbaum L., Le Goffic C., Morlet-Haïdara L., Droit des activités numériques, Dalloz, 1re éd., 2014, nos 1128 et s.). On pense immédiatement à la contrariété avec la convention AERAS pour les assurances des emprunteurs ayant eu des maladies graves (la convention « s’Assurer et Emprunter avec un Risque Aggravé de Santé » a été conclue entre les pouvoirs publics, les fédérations professionnelles de l’assurance, la banque et les associations de malades en vue de faciliter l’accès au crédit de ces derniers. La convention et ses principales dispositions sont rappelées par les articles L. 1141-2 à L. 1144-4 du Code de la santé publique. Un premier avenant a été signé le 1er février 2011 (entrée en vigueur au 1er mars 2011). Un second avenant a été conclu le 2 septembre 2015 et confère un droit à l’oubli aux personnes ayant eu une pathologie cancéreuse. Lors de la souscription d’un contrat assurance emprunteur, elles ne sont plus tenues de déclarer leur pathologie après l’écoulement de certains délais fixés d’un à 10 ans selon le type d’affection et intégrés dans une grille de référence adoptée en février 2016. En l’absence de rechute, la fin du protocole thérapeutique est le point de départ du délai décennal ; v. Fallois (de) M., Assurance et « droit à l’oubli » en matière de santé, RDSS 2017-1, p. 132), ou encore pour des personnes ayant eu des antécédents judiciaires car le procureur de la République doit pouvoir apprécier l’opportunité de l’effacement dans le fichier de traitement d’antécédents judiciaires (De nouveaux outils pour améliorer la lutte contre le blanchiment de capitaux (L. n° 2016-731, 3 juin 2016, JO 4 juin), RLDA no 117, juill./août 2016, no 5949, p. 11 ; Forest D., Effacement des données personnelles du TAJ : une révolution de velours inachevée, Dalloz IP/IT, janv. 2017, p. 54 et s.). Pour d’aucuns, faisant figure de chimère, « l’oubli est en fait une quête juridique aussi difficile à atteindre que le bonheur, par exemple, que l’on trouve visé dans la constitution américaine » (Roques-Bonnet M.-C., Le droit peut-il ignorer la révolution numérique ?, préf. Rapp L., Michalon éd., 2010, p. 440). Pourtant, le droit, et plus largement la Justice, ne peuvent plus l’ignorer (Bruguière J.-M., Droit à l’oubli numérique et droit au respect de la vie privée : attention un droit peut en cacher un autre !, in Dechenaud D. (dir.), Le droit à l’oubli, Mission de recherche « Droit et Justice », févr. 2014, p. 35 et s., spéc. p. 38). Préventivement, il serait donc opportun que le législateur restreigne rapidement l’usage de la blockchain à des domaines ne pouvant entraver le secret au sens large (Couturier M., Pour une analyse fonctionnelle du secret professionnel, dir. A. Prothais, th. Lille 2, 2004) ou le droit à l’oubli, qui s’avère pour l’instant « décevant » (Castets-Renard C., Brève analyse du règlement général relatif à la protection des données personnelles, Dalloz IP/IT, juill.-août 2016, p. 331 et s., spéc. p. 333).
La blockchain dans l’assurance et la lutte contre le blanchiment. Les bitcoins permettent d’échanger de l’argent en restant anonyme. On mesure immédiatement toute la difficulté en matière de lutte contre le blanchiment. Il y a déjà là, en matière d’assurance, un véritable frein à la souscription via ce mécanisme, et au paiement des primes en assurance-vie ou à la libération des fonds. Pour rappel, en France, les cotisations en assurances de personnes (vie et capitalisation) s’élèvent à 155,5 milliards d’euros en 2016 (et les provisions mathématiques représentent 1591 milliards d’euros en France en 2016 : FFA, Tableau de bord de l’assurance 2016, https://www.ffa-assurance.fr/content/tableau-de-bord-de-assurance-en-2016, p. 69 : « Les cotisations des assurances de personnes restent quasi stables en 2016 et s’établissent à 155,5 Md€ en affaires directes France, après trois années de croissance »). On ne saurait oublier l’expérience douloureuse du « serveur 3615 WASH » pour blanchir de l’argent sale à grande échelle (Martin D., La criminalité informatique. Cyber-crime : sabotage, piratage, etc. évolution et répression, PUF, 1997, p. 37). L’adaptation du droit pénal à Internet, mais aussi aux nouveaux mécanismes dématérialisés issus de la blockchain, a encore de beaux défis à relever, a fortiori en matière de blanchiment d’argent sale voire de noircissement d’argent propre (Lepage A., Réflexions sur l’adaptation du droit pénal à l’internet, in Teyssié B. (dir.), La communication numérique, un droit, des droits, éd. Panthéon Assas, 2012, p. 465 et s., spéc. p. 494).
La blockchain dans l’assurance et les indemnisations automatisées. Puisque le sujet recoupe celui de la robotisation (avec le développement des objets connectés dans l’assurance) et la relation de confiance assureur/assuré, on peut se contenter ici de relever qu’il existe deux grands types de procédure d’indemnisation : réglementées ou non réglementées. Dans les premières, ayant trait aux dommages de construction (L. n° 78-12, 4 janv. 1978, JO 5 janv., dite loi Spinetta), aux accidents de la circulation (L. n° 85-677, 5 juill. 1985, JO 6 juill., dite loi Badinter), ou aux accidents médicaux (L. n° 2002-303, 4 mars 2002, JO 5 mars, dite loi Kouchner), l’assureur est généralement tenu de faire une offre d’indemnité suffisante et motivée dans un bref délai. Dès lors, des logiciels intelligents qui permettraient de déclencher instantanément ces offres, mieux, leur règlement immédiat, « spontané », avec moins de discussions sur le quantum, ne pourraient aller que dans le sens d’une amélioration du délai moyen d’indemnisation et de la relation de confiance avec l’assuré au stade de la mise en œuvre du contrat au bénéfice de la victime souvent tiers, tout en faisant abstraction du problème de la motivation toutefois, au risque de voir apparaître nombre de formules-type !
Dans le cadre des procédures non réglementées d’indemnisation, il existe plus encore des marges de progrès. Mais il nous semble que de longue date, si la plupart des assureurs avaient eu la volonté d’accélérer ces règlements, ils l’auraient fait sans avoir à investir dans de lourds systèmes et applications informatiques. C’est le législateur, poussé en ce sens par la jurisprudence, qui n’a cessé de contraindre les assureurs dans cette voie d’accélération et d’indemnisation. Sans doute faut-il expérimenter, déjà avec des opérations simples, non sensibles, à l’instar de l’assurance des retards aériens (Rapport confié par Urvoas J.-J., garde des Sceaux, ministre de la Justice, à Haeri K., op. cit., p. 61 : « Cette technologie a notamment été appliquée au domaine de l’assurance par l’équipe gagnante du hackathon de la semaine de la FinTech à Londres en septembre 2015 (https://blockchainfrance.net/2016/01/28/applications‐smart‐contracts/ et http://www.coindesk.com/ipo‐and‐insurance‐projects‐win‐2000‐at‐blockchain‐hackathon/). Insureth a ainsi créé un système de smart contracts qui indemnise automatiquement les passagers ayant souscrit à une police d’assurance en cas de retard de leurs vols. Les passagers n’avaient pas besoin de remplir un formulaire, et la compagnie aérienne n’avait pour sa part aucune réclamation à traiter. Il s’agit d’une application automatique pure et simple du contrat d’assurance »), et vérifier qu’une blockchain puisse permettre d’accélérer le règlement des sinistres en facilitant les échanges de documents.
La blockchain dans l’assurance-vie. N’ayant sans doute jamais eu à l’enseigner ou à la pratiquer (avec toutes les formes qu’elle revêt, en cas de survie ou en cas de décès, voire mixtes, et la diversité de clauses pouvant y être stipulées) ni à gérer des contentieux à son propos, d’aucuns surfant sur la vague digitale considèrent que l’assurance-vie serait très binaire. L’assuré serait soit vivant, soit décédé. Elle serait donc assez facilement automatisable grâce à un smart contract. Dans ce cas, il suffirait de disposer, selon ces mêmes "surfeurs", d’un "Oracle", à l’instar de celui régnant dans la trilogie Matrix (The Matrix, films 1999-2003, de Andy et Lana Wachowski), dont le rôle serait de fournir l'information du décès en se basant sur un registre national des décès afin de déclencher automatiquement la liquidation du contrat d’assurance au profit des bénéficiaires identifiés au contrat. On pense alors aux contrats en déshérence (Nicolas. V., Assureur cherche désespérément tiers bénéficiaires de contrats d’assurance vie, Rev. dr. fam. 2008, comm. 18 et étude 8) soumis à de nouvelles exigences avec la loi n° 2014-617 du 13 juin 2014 (JO 15 juin) et à l’éventuel couplage avec Agira 2, le répertoire national d'identification des personnes physiques de l’Insee mentionnant le décès des personnes (C. ass., art. L. 132-9-3-II ). Mais en droit français, les assurances-vie s’avèrent nettement plus complexes que la présentation simpliste faite par certains marchands de robots.
La blockchain dans l’assurance automobile. Il est avancé que la blockchain pourrait s’appliquer à l’assurance à la demande, où il serait envisagé, dans un premier temps, d’identifier immédiatement le conducteur et donc, dans un second temps, de déclencher le contrat. Seulement, que fait-on si le capteur est défaillant et n’enregistre pas le déclenchement ? Roule-t-on non assuré ? Le cas échéant, en cas d’accident, assigne-t-on l’assureur sur le fondement de la perte de chance d’avoir souscrit une assurance obligatoire, sans compter les risques de sanctions pénales liées à cette infraction ? Il faudrait alors créer une sorte de contrat « parapluie » qui couvre l’absence de souscription. Les choses sont présentées de manière réductrice – insistons –, or la vie d’un sinistre est alambiquée, a fortiori lorsqu’il devient judiciaire. Il suffit d’assister à quelques expertises pour s’en apercevoir…
La blockchain et la fraude à l’assurance. Les acteurs voient sans doute ici un intérêt supérieur au développement de cette technologie. Selon l’Agence pour la lutte contre la fraude à l’assurance (Alfa), les cas de fraude en assurances de dommages ont représenté un coût d’environ 2,5 milliards d’euros en 2015, soit 5 % des primes (v. http://www.alfa.asso.fr/fr/content/la-fraude). Avec seulement 2 % des cas, la fraude liée aux dommages corporels couvre 47 % de ces enjeux financiers. Pour l’assurance automobile, il est alors avancé l’idée de partager entre assureurs les informations concernant les conducteurs et les véhicules sur la blockchain (https://www2.deloitte.com/content/dam/Deloitte/ch/Documents/innovation/ch-en-innovation-deloitte-blockchain-app-in-insurance.pdf : Kemp L., Blockchain applications in assurance, Deloitte LPP, 2016). Une détection des tentatives de fraude multi-assurance serait ainsi réalisée, de même qu’un partage d’une note d'évaluation du conducteur qui le suivrait dans le temps pour que les assureurs puissent disposer d’un historique de son profil de conducteur, de son accidentologie ou de ses tentatives de fraudes. Ne pourrait-on pas plutôt – ou déjà – prendre exemple sur ce qui fonctionne bien ? Le régime public d’assurance automobile du Québec (La Société de l’assurance automobile du Québec : https://saaq.gouv.qc.ca) a réussi à réduire fortement les risques et les coûts de l’assurance, en instituant un seul assureur en matière automobile qui a un rôle central dans la gestion du permis de conduire, de l’immatriculation, du contrôle routier, de la sécurité et de l’assurance (Slim H., La loi du 5 juillet 1985 et les expériences étrangères, in Brun Ph. et Jourdain P. (dir.), Loi Badinter : le bilan de 20 ans d’application, LGDJ, Bibl. de l’Institut André Tunc, t. 10, 2006, p. 77 et s. ; Gardner D., La loi sur l’assurance automobile, loi d’interprétation libérale ?, Les Cahiers du Droit, Université Laval, Québec, vol. 33, no 2, juin 1992, p. 485 et s. ; Dubreuil C., L’assurance automobile dans le fédéralisme canadien : le modèle québécois, RGAT 1992, p. 254 et s.). En cas de vol, l’enjeu serait encore, pour les assureurs, de pouvoir suivre la propriété d’un bien assuré et de stocker dans la blockchain les informations d’historique de l’achat/vente ainsi que celles de la chaîne d’approvisionnement.
La blockchain dans l’assurance et la captation de l’enquête privée. Le risque est de se trouver dans une situation d’enquête privée intrusive et permanente, avec des capteurs, excédant le bon usage (Pélissier A., Fraude à l’assurance : du bon usage de l’enquête privée, RGDA 2016, no 11, p. 572 et s.). La loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure (JO 19 mars) a rendu la formation obligatoire des professions d’enquêteurs privés, sauf pour ceux travaillant de façon interne dans une société (d’assurance) pour le seul compte de leur employeur. L’assureur capterait ainsi une partie de la profession d’enquêteur mais ne serait pas soumis aux obligations de qualification. La jurisprudence a pourtant condamné à plusieurs reprises des opérations de surveillance menées par les enquêteurs mandatés par l’assureur (dernièrement, pour des opérations de surveillance et de filature menées par les enquêteurs mandatés par l’assureur, à l’intérieur du domicile : Cass. 1re civ., 22 sept. 2016, no 15-24.015, Bull. civ. I ; adde Schulz R., Investigations portant atteinte à la vie privée : droit au respect de la vie privée et droit à un procès équitable, RGDA 2016, no 12, p. 624 et s. (CEDH, 3 sect., 18 oct. 2016, no 61838/10).
La blockchain dans l’assurance et la régulation des prestataires de service de confiance. Avec la blockchain, il est recherché l’évitement des règles en vigueur. Il est ainsi proposé de substituer des oracles aux tiers de confiance habituels. L’oracle serait en fait un service chargé d’entrer manuellement une donnée extérieure dans la blockchain. Ne s’agit-il pas de la réintroduction d’un tiers de confiance autrement nommé dans une technologie qui est vendue comme dépourvue de ce concept ? Que se passe-t-il si l’information n’est pas ajoutée par l’oracle, ou si elle est fausse ? Il s’agit en réalité d’un prestataire de service qui se cache derrière, avec un pouvoir exorbitant. Il est a priori rémunéré à cet effet. Il y a aussi des valorisations indirectes, des données des utilisateurs par exemple. Dans un domaine proche, la cour d’appel de Paris, dans un arrêt du 12 février 2016, n’a pas retenu la gratuité des services de Facebook en raison « des bénéfices importants de l’exploitation de son activité, via notamment les applications payantes, les ressources publicitaires et autres, de sorte que sa qualité de professionnel ne saurait être sérieusement contestée » (CA Paris, 12 févr. 2016, no 15/08624, Facebook (aff. de l’Origine du monde), D. 2016, p. 422. – Rochfeld J., Le « contrat de fourniture de contenus numériques » : la reconnaissance de l’économie spécifique « contenus contre données », Dalloz IP/IT, janv. 2017, p. 15 et s., spéc. p. 19).
Néanmoins, ces oracles ne sont pas encore soumis au statut de prestataire de services de confiance (PSC), encadré progressivement depuis 2001 (Douville T., Quel statut pour les prestataires de service de confiance, D. 2017, no 15, p. 825). Il conviendrait naturellement qu’ils le soient, avec un contrôle juridictionnel visant « en réalité à garantir une haute protection des consommateurs et une meilleure sécurité juridique » (Slim H., La consultation juridique à l’épreuve de la libre prestation de service, JCP G 2013, n° 23, 3 juin 2013, p. 662). L’ordonnance no 2017-27 du 12 janvier 2017 a imposé, en sus d’un agrément, une imminente certification des hébergeurs de données de santé. Le règlement européen du 23 juillet 2014, applicable depuis le 1er juillet 2016, a introduit un socle commun aux services de confiance et aux PSC, fait d’exigences de sécurité des services fournis, de transparence des atteintes à la sécurité ou des pertes d’intégrité du service. Certains PSC qualifiés sont tenus à des exigences particulières de fond et de forme, avec des sanctions définies par l’État-membre. La loi belge du 21 juillet 2016 mettant en œuvre le nouveau règlement « eIDAS » y a soumis les prestataires de service d’archivage électronique. Il faudrait aussi créer en France un régime général et large aux prestataires de service de coffre-fort numérique ou d’authentification électronique ou de fourniture de moyen d’identification électronique, là où la loi n° 2016-1321 pour une République numérique du 7 octobre 2016 (JO 8 oct.) a manqué le coche, avec un regrettable « manque d’ambition » (Douville T., op. cit., D. 2017, no 15, p. 825).
III. L’assurance dans la blockchain ou l’ « auto-assurance »
D’aucuns affirment pouvoir faire entrer l’assurance dans la blockchain, en d’autres termes pour opérer une fusion des deux mécanismes et en se libérant des contraintes pesant sur l’activité d’assurance. Mais l’assurance ne saurait, juridiquement, se faire absorber par la blockchain. En l’absence de toute novation, seule une requalification, vers le droit commun du contrat, est envisageable. Il s’agit, a priori, d’assurance en trompe-l’œil.
En Allemagne (Friednsurance, https://www.friendsurance.com) et en France (Otherwise, https://otherwise.fr et inSpeer, https://ve.inspeer.me), ont vu le jour des plates-formes d’automatisation des « assurances » dites collaboratives en « peer to peer » (souvent abrégé sous le sigle P2P). Il est désormais avancé que non seulement la blockchain serait susceptible de servir de socle pour ces assureurs et devenir un moyen à des sociétés de ce type, ou à des assureurs traditionnels, de développer une offre basée sur cette technologie, mais encore que la blockchain est de nature à complètement effacer les acteurs du secteur assurantiel par le biais notamment de DAO (Decentralized Autonomous Organization : Les nouveaux équilibres de la confiance entre algorithmes et contrat social, in Les cahiers de veille de la Fondation Mines-Télécom, no 9, juin 2017, p. 21) qui peuvent se monter en un faible temps et permettre à des individus de créer leur propre système d’assurance « peer to peer ».
Dans ce dernier cas appelé indûment « auto-assurance » car le régime juridique est brouillé (Péri M., La régulation de l’ « ubérisation », Dalloz IP/IT, mars 2017, p. 144 et s.), il est affirmé que le système fonctionne sur la base d’un séquestre partagé. En d’autres termes, le système enregistrerait les transactions dans un séquestre sur la blockchain. Or, juridiquement, le séquestre conventionnel est en principe le dépôt fait par une ou plusieurs personnes, d’une chose contentieuse, entre les mains d’un tiers qui s’oblige de la rendre, après la contestation terminée (C. civ., art. 1956). Il est ensuite indiqué que les indemnités seraient réglées selon une multisignature. Dit autrement, les utilisateurs du groupe décideraient entre eux de leurs indemnisations s’il y a lieu (Sauzade A., WeKeep - Assurchain, conférence du 6 avr. 2016, publiée le 18 mai 2016 sur https://bitcoin.fr/adrian-sauzade/). On voit ici tout l’enjeu des critères pouvant être retenus. L’assurance « peer to peer » utilisant la blockchain fonctionnerait sur un mode communautaire (Clément-Fontaine M., La genèse de l’économie collaborative : le concept de communauté, Dalloz IP/IT, mars 2017, p. 140 et s.), avec le vote de celle-ci sur la nécessité d'indemniser un sinistre ou non. Bien que nommées assurances, il s’avère que ces opérations conduites dans le phénomène général d’« ubérisation » (Martial-Braz N., De quoi l’ « ubérisation » est-elle le nom ?, Dalloz IP/IT, mars 2017, p. 133 et s.) ne relèvent aucunement du contrat d’assurance ni du régime de l’opération d’assurance. Il pourrait s’agir, en présence d’une forme de prix (prime), d’un contrat d’entreprise (v. Cayol A., Le contrat d’ouvrage, th. Paris 1, IRJS éd., t. 38, 2013). En l’absence de prix (ou prime) et donc en présence d’un objectif purement collaboratif, il s’agirait simplement d’un contrat de droit commun, voire d’un système associatif. On sort de l’opération d’assurance, et on retombe dans une forme d’acceptation des risques, de garanties collectives, de sûretés, de fiducie ou encore une situation contractuelle fort différente de l’assurance, le dépôt par exemple. Peut-être même se trouverait-on ramené « aux prémices de l’assurance, au temps des tontines et du prêt à la grosse aventure, mais par la grâce de l’innovation technologique la plus pointue » (Mayaux L., Voyage au pays de l’assurance collaborative, RGDA 2017, no 6, p. 337 : « L’avènement de l’assurance sans assureur, avec pour opérateur une simple plateforme fédérant la communauté des assurés, marque-t-il la fin de l’assurance classique ? Mais, tout d’abord, a-t-on encore affaire à de l’assurance ? Oui, si l’on considère qu’une prime est payée et qu’un risque est couvert. Non, si l’on estime qu’il n’y a pas transfert de ce risque à un tiers mais seulement prise en charge par la communauté des assurés qui, à la différence d’une mutuelle, n’a pas la personnalité morale. L’auto-assurance, même collective, par constitution d’une « cagnotte » commune, ne serait pas de l’assurance »). Le droit des contrats et le droit de la responsabilité sont amenés à y jouer pleinement. Le voyage au pays de l’ « assurance » collaborative pourrait alors s’avérer chaotique selon la conception fonctionnaliste ou organiciste de l’activité d’assurance qui sera retenue (Mayaux L., ibid., RGDA 2017, no 6, p. 337).
Source : Actualités du droit
