[DOSSIER] Cahier pratique : externalisation, maîtrise des [...] 5/9

La future réglementation de l'externalisation : les directives Solvabilité 2 et Dia 2

La directive Solvabilité 2 met en place une structure d'encadrement des activités externalisées inspirée de ce qui existe déjà en matière bancaire, et orientée autour de deux axes majeurs : le contrôle de l'externalisation par l'entreprise elle-même, et par son régulateur lorsque sont en jeu des activités importantes ou critiques.

La directive Solvabilité 2 propose une définition (1) de la sous-traitance plutôt pragmatique : « Un accord, quelle que soit sa forme, conclu entre une entreprise d'assurances ou de réassurance et un prestataire de services, soumis ou non à un contrôle, en vertu duquel ce prestataire de services exécute, soit directement, soit en recourant lui-même à la sous-traitance, une procédure, un service ou une activité, qui serait autrement exécutée par l'entreprise d'assurance ou de réas-surance elle-même. »

La sous-traitance selon Solvabilité 2

Il est intéressant de relever que cette définition admet, en tant que telles, les externalisations « en chaîne » par l'entreprise d'assurances à un premier prestataire qui, lui-même, pourrait donc déléguer la réalisation de l'activité ou de la prestation en cause à un tiers.

De manière logique, compte tenu de la nature régulée du secteur, la sous-traitance ou l'externalisation ne doit pas avoir pour effet de décharger l'entreprise de ses responsabilités, tant vis-à-vis des assurés que de son autorité de contrôle. Ce principe, issu du droit commun de la sous-traitance, est réaffirmé par la directive précisant que l'entreprise d'assurances ou de réassurance conserve l'entière responsabilité du respect de l'ensemble des obligations lui incombant lorsqu'elle sous-traite « des fonctions ou des activités d'assurance ou de réassurance ».

Les activités sous-traitées susceptibles d'entrer dans le champ d'application de la directive sont, a priori, celles ayant trait aux fonctions ou activités d'assurance (ou de réassurance). Il s'agit donc a minima, pour l'assurance, des activités de gestion des contrats et des sinistres. L'Eiopa (la fédération européenne des autorités de contrôle de l'Union européenne) a précisé à cet égard que les relations entre un organisme et un intermédiaire en assurances portant sur la souscription ou la gestion de sinistres seront soumises aux exigences relatives à l'externalisation, telles qu'issues de la directive Solvabilité 2, ainsi que les opérations d'externalisation intragroupe (2).

Les textes imposent de disposer de connaissances et d'une expérience suffisantes pour assumer la supervision des activités externalisées.

Fonctions critiques et fonctions importantes

Les obligations issues de la directive Solvabilité 2 devraient s'appliquer à la sous-traitance d'activités ou de fonctions opérationnelles dites « critiques ou importantes » (3), soit celles qui seraient susceptibles, alternativement, de :

- compromettre gravement la qualité du système de gouvernance de l'entreprise concernée ;

- accroître indûment le risque opérationnel ;

- compromettre la capacité des autorités de contrôle de vérifier que l'entreprise concernée se conforme bien à ses obligations ;

- nuire à la prestation continue d'un niveau de service satisfaisant à l'égard des preneurs.

La définition des activités critiques ou importantes (à supposer qu'il s'agisse effectivement d'une définition et non d'une préconisation de démarches ou de limites à respecter) se révèle d'apparence trompeuse : l'énumération est, en réalité tellement large qu'elle capture la quasi-totalité des fonctions potentiellement sous-traitées, puisque les situations ou conséquences visées par la directive pourraient être caractérisées en cas de défaillance de la majeure partie des services ou fonctions.

Le Ceiops (Comité européen des contrôleurs d'assurance et de pensions professionnelles), dans sa recommandation d'octobre 2009, évoque les fonctions « clés » pour définir ces concepts, soit les fonctions fondamentales d'une activité d'assurance : tarification, conception des produits, gestion d'actifs, de portefeuille de contrats et de sinistres.

À retenir

- La définition des fonctions critiques et importantes est de nature à englober toutes les activités externalisées. - La supervision concerne le donneur d'ordres et le sous-traitant.

La supervision de l'externalisation, obligations des organismes d'assurances

Les obligations à respecter par les organismes d'assurances dans le cadre d'une démarche d'externalisation sont permanentes et évolutives.

L'information de leur régulateur au fil de l'eau. Les organismes doivent informer « préalablement et en temps utile » les autorités de contrôle tant de leur intention de sous-traiter des activités importantes ou critiques que de toute évolution ultérieure « importante » concernant ces fonctions ou activités, pour que leur contrôle puisse être exercé de façon pertinente.

Les pouvoirs de contrôle conférés aux autorités de contrôle en matière de sous-traitance sont les mêmes que les pouvoirs généraux de contrôle qui leur sont attribués par la directive (mesures préventives, administratives ou financières à l'égard des organismes d'assurances, de leurs organes d'administration, de gestion ou de contrôle, demande d'information et investigations sur place). Ils pourront être exercés de manière coercitive et par le moyen d'actions judiciaires, si nécessaire.

L'établissement d'une politique écrite de sous-traitance, soumise à l'approbation préalable de l'organe d'administration, de gestion ou de contrôle, doit, d'une part, être réexaminée au moins annuellement et, d'autre part, être adaptée compte tenu de tout changement « important » affectant le domaine concerné.

D'après la recommandation du Ceiops de 2009, la politique écrite relative à la sous-traitance devra évaluer les impacts de l'externalisation sur l'activité de l'organisme d'assurances, ainsi que les modalités de reporting et de contrôle qui seront mises en place pour les besoins de l'externalisation (notamment s'agissant de la qualité de la prestation fournie), sans pouvoir se reposer uniquement sur les outils de contrôle interne et de risk-management de son prestataire.

L'Eiopa ajoute (4) que cette politique devrait également préciser ses processus et sa stratégie pendant la durée de l'opération d'externalisation, notamment la méthode et le processus de sélection du partenaire adéquat, les clauses (« types ») à inclure dans le contrat d'externalisation et les plans de continuité et stratégies de sortie devant être mis en oeuvre, le cas échéant.

La mise en place d'une gouvernance et d'un contrôle interne : le Ceiops recommande à cet égard que l'organisme d'assurances conserve (en interne) une capacité et des compétences nécessaires à l'évaluation des prestations fournies par rapport aux exigences contractuelles et qu'il désigne une personne chargée des activités ou fonctions clés externalisées. Elle devra notamment disposer de connaissances et d'une expérience suffisantes pour assumer la supervision des activités externalisées et l'examen de la performance du prestataire (5).

La supervision de l'externalisation, obligations à charge des prestataires

Les prestataires sont également impliqués dans la supervision de l'externalisation, qui les met à contribution afin de faciliter la supervision des activités externalisées. Ainsi, le prestataire chargé d'une activité d'assurance (ou de réassurance) devra :

- coopérer avec les autorités de contrôle de l'organisme d'assurances « pour ce qui concerne l'activité de sous-traitance ». L'étendue exacte de cette obligation de coopération devrait être définie ultérieurement et, a priori, demeurer « passive », c'est-à-dire rester limitée à la fourniture de réponses ou d'informations en cas de sollicitation de la part d'un régulateur ;

- laisser l'accès aux « données afférentes » aux fonctions ou activités confiées au prestataire tant à l'organisme d'assurances qui le mandate qu'aux « personnes chargées du contrôle de ses comptes » (commissaires aux comptes, direction financière et équipes d'audit ou de contrôle interne), ainsi qu'aux autorités de contrôle. Là encore, l'étendue effective de cette obligation de coopération devra être précisée. Toutefois, on peut déjà relever la rédaction ambiguë de cette obligation qui, si elle concerne en premier lieu l'organisme d'assurances ou de réassurance, concerne également le prestataire, qui serait donc susceptible de devoir communiquer de telles informations aux entités et organes désignés ci-dessus ;

- laisser l'accès à ses locaux aux autorités de contrôle, qui doivent effectivement pouvoir exercer ce droit d'accès.

La directive envisage ici le cas du prestataire situé dans un État membre, dont l'autorité de contrôle (ou à défaut le régulateur en assurances compétent localement) devra être informé en cas de contrôle sur place, ou qui pourra, le cas échéant, se voir déléguer ce contrôle sur place par l'autorité de contrôle de l'organisme d'assurances concerné.

Cela ne signifie pas pour autant que l'externalisation vers un prestataire établi dans un pays non membre de l'Union européenne n'est pas autorisée, mais il appartiendra dans un tel cas à l'organisme d'assurances de veiller en particulier à ce que la réglementation localement applicable ne restreigne pas les droits d'accès et de contrôle requis par la directive (6).

Il est entendu que si, en pratique, le prestataire de services doit coopérer, notamment avec les autorités de contrôle de l'entreprise d'assurances ou de réassurance, ce sont ces dernières qui sont concernées au premier plan par ces obligations, puisque ce sont elles qui devront faire le nécessaire afin que ces conditions soient satisfaites. En pratique, pourra-t-on considérer que ces obligations seront satisfaites lorsqu'elles auront été contractualisées vis-à-vis du prestataire ou si, à cette fin, l'autorité de contrôle pourrait imposer des standards minimaux devant être suivis pour que ces obligations soient considérées comme ayant été dûment matérialisées au plan contractuel ? La position exprimée par le Ceiops à ce sujet était de considérer que la contractualisation des obligations issues de l'article 38 de la directive devrait être suffisante.

À noter

Le droit d'accès et de contrôle ne doit pas être limité par par l'implantation hors de l'Union européenne de l'activité externalisée.

L'exigence de capital supplémentaire

Un dysfonctionnement au niveau des activités externalisées ou une insuffisance dans le suivi de ces dernières pourrait donner lieu à une demande d'exigence de capital supplémentaire, selon les modalités prévues par la directive, outre les sanctions pouvant être prononcées dans le cadre du pouvoir de contrôle général.

Ces dispositions deviendront impératives avec la transposition de la directive Solvabilité 2. Si cette nouvelle réglementation peut apparaître lourde, elle ne devrait pas constituer un bouleversement pour le marché en ce que certaines de ces exigences sont déjà en place dans la pratique contractuelle de l'externalisation et les préoccupations de due diligence préalables et de surveillance de la performance qu'elle exprime déjà mises en oeuvre sur le terrain.

Et la Dia 2 ?

Le projet de directive sur l'intermédiation en assurances ne viendra pas, en tant que telle, modifier les dispositions relatives à l'externalisation, mais pourrait en modifier le paysage via l'inclusion des activités de gestion de sinistres dans les activités d'intermédiation.

Ainsi, les prestations externalisées relatives à la gestion et au suivi des sinistres pour le compte d'organismes d'assurances ou d'intermédiaires ne devraient plus pouvoir être fournies que par des entreprises immatriculées en tant qu'intermédiaires en assurances. Par conséquent, les prestataires qui ne seraient pas déjà intermédiaires en assurances devraient effectuer les démarches nécessaires afin de pouvoir continuer à fournir de telles prestations à leurs partenaires.

1. Point 28 de l'article 13 de la directive.

2. Eiopa-CP-13/08 du 27 mars 2013, Guidelines 49 et 50.

3. Cf. en ce sens, « Les grands principes de Solvabilité 2 », Marie-Laure Dreyfuss, Éd. Argus, p. 190.

4. Eiopa-CP-13/08 du 27 mars 2013, Guideline 51.

5. Eiopa-CP-13/08 du 27 mars 2013, Guideline 14.

6. Cf. Ceiops, Recommandation octobre 2009.

L'AVIS DU COMITÉ DE CONTRÔLE EUROPÉEN

Rappel synthétique des recommandations du CEIOPS concernant les clauses contractuelles à intégrer dans les contrats d'externalisation conclus par des organismes d'assurances (1) Clauses recommandées dans tout contrat d'externalisation - Description des obligations et engagements respectifs des parties. - Engagement du prestataire de se conformer à la réglementation applicable, qu'il s'agisse de dispositions légales ou réglementaires ou de recommandations/guides de bonnes pratiques et engagement de coopération avec les autorités de contrôle de son donneur d'ordres en ce qui concerne les activités externalisées. - Obligation de déclaration/de notification au donneur d'ordres tout fait ou événement pouvant avoir une incidence matérielle sur la capacité du prestataire à fournir les prestations externalisées, en ce compris les conséquences défavorables de modifications législatives et réglementaires (dans la réglementation qui lui est applicable) ou toute modification significative de ses capacités financières et de son profil de risque. - Délai de préavis de résiliation du prestataire suffisant pour permettre au donneur d'ordres de trouver une solution de remplacement. - Faculté ouverte au donneur d'ordres de résilier le contrat (avec un préavis suffisant et raisonnable) si les prestations fournies s'avèrent inadéquates ou inadaptées (aux besoins ou aux attentes). - Obligation d'information du donneur d'ordres s'agissant des prestations externalisées et de leur réalisation par le prestataire et droit ouvert au donneur d'ordres d'émettre des recommandations, instructions (générales ou individuelles, spécifiques) relatives à l'exécution des prestations ou services externalisées. - Obligation de confidentialité à charge du prestataire (des informations relatives au donneur d'ordres et aux assurés). - Obligation du prestataire de donner accès au donneur d'ordres, à ses auditeurs et à son régulateur à toutes les informations relatives aux prestations ou services externalisés et à ses locaux, pour les besoins d'un audit ou d'une inspection. - Autorisation donnée (à l'autorité de contrôle du donneur d'ordres) d'adresser directement des demandes d'informations au prestataire.Clauses/vérifications additionnelles spécifiques à l'externalisation de fonctions critiques ou importantes - Existence d'un risk management ou d'un contrôle interne adaptés chez le prestataire. - Suivi/surveillance des prestations ou services externalisés par le risk management/le contrôle interne du prestataire. - Vérification de la capacité (financière) du prestataire à fournir des prestations ou services additionnels/complémentaires aux prestations déjà externalisées, vérification de ses compétences à exécuter de façon conforme les prestations ou services externalisés et vérification de ce que son personnel dispose des capacités et compétences nécessaires. - Vérification de la mise en place ou de l'existence de plans de sauvegarde et de continuité adaptés chez prestataire au regard des services ou prestations externalisés, vérification de la capacité de ces plans à répondre à une situation d'urgence et vérification d'essais ou simulations régulières par le prestataire pour vérifier la réactivité et l'adéquation de ces plans aux risques auxquels les prestations externalisées sont exposées. 1. SOURCE : CEIOPS-DOC-29/09 (TRADUCTION LIBRE)

Abonnés

Base des organismes d'assurance

Retrouvez les informations complètes, les risques couverts et les dirigeants de plus de 850 organismes d'assurance

Je consulte la base

Le Magazine

ÉDITION DU 30 septembre 2022

ÉDITION DU 30 septembre 2022 Je consulte

Emploi

STELLIANT

ASSISTANT ADMINISTRATIF PESSAC H/F

Postuler

STELLIANT

Assistant Administratif DIJON H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Prestation de services d'expertises comptables

CMIN - Chartres Métropole Innovations Numériques

10 janvier

28 - Chartres

Prestations de services d'assurance pour les besoins de l'OPH d'Aubervilliers (7 lots)

Office Public de l'Habitat d'Aubervilliers

10 janvier

93 - AUBERVILLIERS

Proposé par   Marchés Online

Commentaires

La future réglementation de l'externalisation : les directives Solvabilité 2 et Dia 2

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié