DORA Mutuelle : Obligations pour les Mutuelles Françaises

Les mutuelles françaises — organismes relevant du Code de la Mutualité, du Code des assurances ou du Code de la sécurité sociale — sont soumises au règlement DORA (EU) 2022/2554 depuis le 17 janvier 2025. Leur situation est particulière : elles constituent un tissu de plusieurs milliers d'entités de tailles très variables, des grandes mutuelles nationales aux petites mutuelles locales, avec des profils de risque TIC radicalement différents.

Quelles Mutuelles Sont Soumises à DORA ?

Les mutuelles soumises au Code de la Mutualité et relevant de la surveillance de l'ACPR sont dans le champ d'application de DORA. Cela inclut les mutuelles complémentaires santé, les mutuelles prévoyance, et les unions de mutuelles. Les organismes complémentaires santé qui ne sont pas des mutuelles au sens du Code de la Mutualité peuvent être soumis à DORA via d'autres régimes (institutions de prévoyance, assureurs santé).

Régime Proportionnel pour les Petites Mutuelles

Les petites mutuelles, nombreuses en France, peuvent bénéficier du régime proportionnel de DORA. L'article 4 du règlement impose aux superviseurs de veiller à ce que les obligations soient appliquées de manière proportionnelle à la taille et au profil de risque. Concrètement, une petite mutuelle santé locale peut avoir un cadre de gestion des risques TIC simplifié selon l'article 16 du règlement.

Grandes Mutuelles Nationales : Régime Standard

Les grandes mutuelles nationales (Harmonie Mutuelle, MGEN, Mutuel, etc.) sont soumises au régime DORA standard. Leur taille, leur nombre d'adhérents et leur dépendance à des systèmes de gestion complexes les placent dans la même catégorie que les assureurs classiques de taille comparable.

Enjeux TIC Spécifiques aux Mutuelles

Les mutuelles présentent des enjeux TIC spécifiques. La gestion des remboursements santé impose des systèmes de traitement d'un volume important de petites transactions à grande vitesse. Les données de santé des adhérents sont parmi les données personnelles les plus sensibles, soumises à des obligations RGPD renforcées en plus de DORA. Les mutuelles utilisent souvent des systèmes informatiques anciens (legacy), parfois développés sur mesure, dont la modernisation est coûteuse.

Articulation DORA et Gouvernance Mutualiste

La gouvernance mutualiste — avec son conseil d'administration composé de membres élus non professionnels — présente des défis spécifiques pour l'application de l'article 5 de DORA qui impose à l'organe de direction de définir et superviser la stratégie de résilience numérique. Des formations adaptées aux administrateurs élus et des outils de reporting simplifiés sont indispensables pour satisfaire cette obligation dans le contexte mutualiste.

Ressources pour les Mutuelles

Les mutuelles peuvent s'appuyer sur plusieurs ressources pour leur conformité DORA. La Mutualité Française a publié des guides et organisé des formations. L'ACPR met à disposition des questionnaires superviseurs et des FAQ. Des consultants spécialisés proposent des offres de conformité DORA mutualisées entre plusieurs petites mutuelles, réduisant le coût individuel de mise en conformité.

Conclusion

DORA est une réalité pour les mutuelles françaises, quelle que soit leur taille. La proportionnalité du règlement permet d'adapter les exigences à la réalité des petites structures, mais toutes doivent franchir le seuil minimal de conformité. Le secteur mutualiste a l'avantage de pouvoir mutualiser ses coûts de conformité, notamment via des groupements et des outils partagés.