Relégué au rôle de porteur de risque, contourné par de nouveaux intermédiaires, l’assureur traditionnel fait face à un risque de désintermédiation qui n’est plus théorique. Cette transformation est portée par une triple contrainte qui rend l’ouverture des systèmes d’information des assureurs inévitable. L’exigence des clients, d’abord : depuis la crise sanitaire, ils attendent une expérience omnicanale et une comparaison en temps réel que les systèmes fermés peinent à offrir (Dufour et al., 2022). La pression concurrentielle, ensuite : les InsurTechs captent les segments à forte valeur tandis que les géants du numérique intègrent l’assurance en quelques clics (Eti et al., 2024). L’accélération réglementaire, enfin : le futur règlement européen FIDA (Financial Data Access) imposera à l’assurance, comme la DSP2 l’a fait pour la banque, le partage sécurisé des données via des interfaces ouvertes (Calvo, 2024).

Dans ce contexte, l’Open Insurance : le partage de données, des services métiers et des offres via des micro-services et API standardisées, n’est plus une simple exploration, mais un tournant structurel reconnu par l’EIOPA (2021). Il place les dirigeants devant un dilemme : ouvrir trop tard, c’est être dépassé ; ouvrir sans méthode, c’est perdre le contrôle de ses actifs et de sa réputation. Pour naviguer dans la complexité managériale, une compétence devient essentielle : l’ambidextrie, soit la capacité à exploiter rigoureusement le modèle existant tout en explorant avec agilité de nouveaux écosystèmes. C’est ce double impératif, déterminant pour la performance en environnement turbulent (Gibson & Birkinshaw, 2004), que cet article se propose d’explorer, en articulant les résultats de 15 entretiens exploratoires avec des cadres supérieurs de l’assurance et des insurtech, et l’étude d’un corpus d’archives de plus de 60 documents (rapports, white papers, analyses sectorielles, en anglais en en français).

Ambidextrie : gérer la tension entre exploitation et exploration

Pour le Directeur de département d’un assureur: « L’Open Insurance permet d’ouvrir les systèmes d’information pour collaborer avec des partenaires afin enrichir son offre de services. L’Open Insurance est avant tout une question de partenariat stratégique, de relation de collaboration et de confiance qui soit forte».

Cette ouverture contraint les assureurs à maîtriser l’ambidextrie organisationnelle, une compétence théorisée de longue date mais dont la maitrise est aujourd’hui urgente. Il s’agit de la capacité d’une entreprise à exceller simultanément dans deux logiques contradictoires : l’exploitation des activités existantes et l’exploration de nouvelles opportunités (O’Reilly & Tushman, 2004). L’exploitation vise l’efficience, la prévisibilité et l’amélioration continue du cœur de métier (tarification, gestion des sinistres). L’exploration, à l’inverse, requiert la flexibilité, la prise de risque et l’expérimentation pour découvrir les relais de croissance de demain. Ignorer l’exploitation met en péril la rentabilité actuelle ; négliger l’exploration garantit l’obsolescence future (March, 1991).

Cette tension se manifeste sur trois registres complémentaires :

1. Ambidextrie structurelle. Il s’agit surtout de séparer pour innover. La solution la plus radicale consiste à créer des entités distinctes. D’un côté, l’organisation principale, optimisée pour l’efficacité opérationnelle des back-offices réglementés. De l’autre, une digital factory, un lab ou une filiale dédiée à l’innovation, fonctionnant en mode agile et centrée sur une culture API-first. Cette séparation structurelle protège l’exploration des processus et des indicateurs de performance de l’exploitation, qui pourraient l’étouffer. Un exemple clef, issu de notre étude documentaire : le programme de « plateformisation » d’Allianz, qui a transformé ses briques métiers en une quarantaine de services modulaires et réutilisables via son portail API, qui illustre cette approche en créant une structure dédiée à l’exposition de ses actifs. Cela est confirmé par un cadre d’une Insurtech: « un enjeu majeur de l’Open Insurance est cette architecture plus agile et modulaire. Grâce à une approche API First et Microservices, l’assurance devient plug & play. Chaque brique métier (tarification, éligibilité, conseil, contractualisation, paiement…) devient exposable, les intégrations partenaires sont facilitées, et le time-to-market est considérablement réduit.» La modularité permet de mieux gérer la complexité de cette évolution du métier.
2. Ambidextrie contextuelle. Il s’agit ici d’intégrer pour s’adapter. Plutôt que de séparer, l’ambidextrie contextuelle vise à créer un environnement où les mêmes équipes peuvent jongler entre exploitation et exploration (Gibson & Birkinshaw, 2004). Cela passe par un leadership qui encourage à la fois la discipline et l’initiative, et par des systèmes de reconnaissance qui valorisent autant l’atteinte des objectifs de production que les expérimentations réussies (ou les échecs riches d’enseignements). Concrètement, cela se traduit par des relations graduées avec l’écosystème InsurTech. Trois relations sont mises en avant dans notre corpus documentaire :
   a) Fournisseur : Utiliser une InsurTech comme simple prestataire technologique en marque blanche pour une solution spécifique (ex: un chatbot de gestion de sinistres).
   b) Partenaire : Co-construire une offre où chaque acteur apporte son expertise, comme la collaboration entre l’assureur Element et l’insurtech Allemande Hepster, où le premier agit en porteur de risque et le second en gestionnaire de l’expérience produit.
   c) Investisseur : Prendre une participation minoritaire via un fonds de Corporate Venture Capital pour mutualiser l’innovation et garder une veille sur les technologies émergentes sans diluer le cœur actuariel.  
3. Ambidextrie et transformation des rôles. Cette double dynamique transforme inévitablement les modèles d’affaires. Les grands assureurs historiquement intégrés évoluent vers un rôle d’orchestrateur de plateformes complexes, où leur valeur ne réside plus seulement dans la détention du risque, mais dans leur capacité à agréger, sécuriser et distribuer les meilleurs services (les leurs et ceux de tiers) via leur écosystème. À l’inverse, les acteurs de niche (mutuelles, InsurTechs) peuvent se spécialiser sur un maillon précis de la chaîne de valeur : prévention, scoring comportemental, expérience d’achat – et se connecter à plusieurs plateformes. Pour tous, l’enjeu stratégique est de conserver la maîtrise de la connaissance client et des risques fondamentaux, sous peine de voir de nouveaux intermédiaires, plus agiles, capturer l’essentiel des marges.

Maîtriser les risques protéiformes de l’Open Insurance

L’adoption d’une stratégie ambidextre expose l’assureur à une nouvelle typologie de risques, mais ne rien faire serait encore plus dangereux. Comme le résume un dirigeant d’Insurtech interviewé dans le cadre de cet article : « Le principal risque pour un assureur est d’ignorer l’Open Insurance et de rester enfermé dans des systèmes monolithiques ». La gestion de l’ouverture n’est donc pas une simple question de conformité, mais un arbitrage constant et complexe entre les risques liés à l’exploration et ceux qui menacent l’exploitation du modèle existant.

L’exploration de nouveaux services via des API étend considérablement la surface d’attaque de l’assureur (English, 2023). Chaque API exposée à un partenaire est une porte potentielle pour des attaques par injection, des divulgations de données ou des dénis de service. Ce risque est amplifié par la dette technique : de nombreux assureurs s’appuient encore sur des systèmes legacy (mainframes, applications propriétaires, systèmes obsolètes mais maintenus des années 1990s) qui gèrent une part critique des opérations, mais n’ont pas été conçus pour des échanges agiles et en temps réel. Le rattrapage technologique a un coût et nécessite des choix d’architectures techniques adaptées. La maîtrise de ce risque impose d’intégrer la sécurité dès la conception (Security by Design) : en particulier la sécurité du SI (et des API) et gouvernance des partenaires…

Concernant le premier point, la sécurité du SI, l’Open Insurance repose sur le partage de données personnelles sensibles, une pratique strictement encadrée par le RGPD et le Data Act. Le défi majeur est d’assurer une traçabilité parfaite du consentement explicite du client pour chaque usage et chaque partenaire. Le futur règlement européen Financial Data Access (FIDA) renforcera cette exigence en contraignant les assureurs, en tant que détenteurs de données, à les rendre accessibles à des tiers autorisés via des interfaces standardisées, toujours sous réserve du consentement du client. Intégrer la validation de ce consentement au cœur même des API, en adoptant une approche « Privacy by Design » (Van Rest et al., 2014), transforme une contrainte réglementaire en un avantage concurrentiel basé sur la confiance.

Concernant le second point, l’ouverture à des partenaires, si elle n’est pas maîtrisée, peut éroder le cœur de métier de l’assureur. En effet, en déléguant une partie de la chaîne de valeur, l’assureur risque de perdre le contact direct avec le client. Comme le souligne un responsable chez un assureur majeur que nous avons interviewé, « L’un des risques majeurs est la perte de visibilité des cas d’usages des services et la fuite de données, qui concernent à la fois le client, le distributeur et l’assureur ». Il y a également le risque de dilution du devoir de conseil.  Lorsque la distribution est assurée par un tiers non spécialiste, notamment pour des produits complexes comme la prévoyance, le respect du devoir de conseil, qui incombe à l’assureur, devient plus difficile à garantir. Enfin, cette ouverture a des effets de bords complexes : la sélection adverse par exemple. Des acteurs hyper-spécialisés pourraient utiliser les données ouvertes pour cibler exclusivement les « bons risques », laissant les portefeuilles les plus coûteux et volatils aux assureurs traditionnels. Cette pratique, également mise en avant dans la littérature académique (Charpentier et Marescaux, 2023), menace le principe fondamental de mutualisation des risques et pourrait conduire à une inflation des primes pour les profils jugés moins bons, voire à une augmentation du nombre de non-assurés. Pour répondre à ces menaces, une gouvernance de partenariat explicite est indispensable, définissant clairement les rôles, les niveaux de service, les clauses de réversibilité et la propriété des données. Comme le suggère un expert Insurtech interrogé, « la diversification de la chaîne de valeur est essentielle pour bien gérer les risques», à condition que cette diversification soit orchestrée et non subie.

Conclusion : vers un leadership ambidextre pour gérer la complexité ?

L’Open Insurance n’est ni un buzzword technologique ni une contrainte imposée par Bruxelles ; c’est un repositionnement stratégique (Standaert et Muylle, 2022). Les assureurs capables de combiner la robustesse actuarielle de leurs actifs historiques et l’exploration orchestrée d’écosystèmes innovants bâtiront un avantage durable : la confiance issue d’une culture du risque, doublée de l’agilité que les clients attendent désormais. À l’inverse, ignorer le mouvement, c’est accepter une désintermédiation rapide et une érosion de la valeur.

Une mise en œuvre réussie commence par une cartographie de la valeur : quelles données constituent un avantage différenciant (historique sinistres, algorithmes de pricing) ? Les ouvrir trop largement éroderait la position compétitive ; les protéger excessivement ferait manquer l’opportunité de nouveaux relais de croissance. Vient ensuite la séparation des rythmes : une équipe run assure la stabilité réglementaire, tandis qu’une entité exploratoire (souvent organisée en équipes multidisciplinaires) expérimente des micro-services, et itère dans une approche tests-and-learn. Nos interviews confirment cette bonne pratique, mise en avant par un cadre interrogé : « les deux métriques les plus importantes et surveillés sont : les gains de productivité et l’amélioration de l’expérience client ».

La recommandation principale issue de cet article est donc de former dès aujourd’hui un leadership véritablement ambidextre : des managers aptes à arbitrer simultanément la continuité réglementaire et l’expérimentation API-first, à dialoguer avec un DPO aussi bien qu’avec un métier ou un client, et capables d’inscrire la sécurité et l’éthique des données au cœur de l’innovation.