[DOSSIER] Cahier pratique : externalisation, maîtrise des [...] 3/9

Nos voisins européens sont-ils déjà au diapason de la future réglementation ?

Nos voisins européens sont-ils déjà au diapason de la future réglementation ?
Diane Odier avocat à la cour

Plus avancés que l'Hexagone en la matière, l'Allemagne, l'Italie, les Pays-Bas ou le plus libéral Royaume-Uni disposent d'ores et déjà d'un possible atout concurrentiel en matière de réglementation de l'externalisation.

Certains pays européens voisins disposent déjà d'une réglementation relativement aboutie en matière d'externalisation, qu'il s'agisse de soft law (recommandations, notamment des autorités de contrôle prudentiel), ou de textes législatifs. Ces réglementations traitent, souvent de façon assez précise, en amont, des conditions requises pour pratiquer l'externalisation et, en aval, des obligations de comptes rendus envers l'autorité de contrôle.

La faisabilité des projets

Aussi ces réglementations donnent-elles au moins un avantage - peut être concurrentiel, à tout le moins pratique - aux organismes d'assurances des pays voisins de la France qui envisagent d'externaliser une partie de leurs activités : des lignes directrices claires au plan réglementaire pour l'étude de faisabilité, la mise en oeuvre et le suivi de tels projets. Cette situation peut être avancée comme l'une des explications à la nette progression depuis quelques années de la pratique de l'externalisation dans ces pays.

À retenir

Les entreprises prestataires sont soumises à un contrôle d'un niveau identique à celui auquel doit répondre l'assureur.

Toute fonction ou activité peut être externalisée. Outre les activités ou fonctions « supports » classiquement externalisées, telles que les services informatiques ou la comptabilité, il est possible de recourir à l'externalisation pour des activités ou fonctions plus « coeur de métier », comme la distribution, la gestion administrative et technique des polices, celle des sinistres, la gestion financière et d'actifs. S'y ajoute même, dans certains pays, la souscription des risques : c'est l'une des caractéristiques du marché londonien (pratique très répandue sur le marché des Lloyds) que d'externaliser, outre la gestion administrative, les fonctions de souscription. Le régulateur anglais, dans sa nouvelle formation depuis le 1er avril 2013 (la Financial Conduct Authority ou FCA), a annoncé que le contrôle de ces pratiques serait une priorité compte tenu des risques accrus qui y sont associés. En Italie, en revanche, il n'est pas permis à un organisme d'assurances de recourir à l'externalisation pour son activité de souscription des risques.

Bien entendu, il n'est jamais question de permettre à l'organisme d'assurances, qui en demeure responsable, de se libérer de ses obligations en matière réglementaire ou vis-à-vis des preneurs d'assurance, ou d'opérer sous forme de coquille vide, ce qui aurait pour conséquence de soustraire les dirigeants à leurs obligations de direction. En Allemagne, par exemple, les fonctions de gestion de l'organisme d'assurances (à savoir, notamment, celles relevant de la responsabilité propre des dirigeants, la stratégie commerciale ou la politique de gestion des risques) ne peuvent pas être sujettes à délégation.

En pratique, la mise en oeuvre du projet d'externalisation est soumise à certaines contraintes. En Allemagne, par exemple, l'organisme souhaitant externaliser doit effectuer une analyse des risques que cette opération pourrait engendrer, notamment en matière de risques opérationnels, entendus au sens de la directive 2009/138/CE dite Solvabilité 2. C'est ainsi que doivent être garantis le système de gouvernance, la stabilité financière de l'organisme d'assurances externalisant, la qualité du contrôle interne, mais également la continuité et la qualité des services offerts aux assurés. Il en va de même en Italie, dont la réglementation impose de surcroît aux dirigeants d'établir une politique d'externalisation comportant les critères de la décision d'externaliser et de la sélection des entreprises prestataires, ainsi que le niveau de prestations attendues de celles-ci (service level agreements).

Dans certains pays (Allemagne, Italie, Pays-Bas), la conclusion d'un contrat d'externalisation est obligatoire ou recommandée. Le contrat doit décrire de façon claire et complète l'objet des prestations externalisées, contenir des stipulations permettant à l'organisme d'assurances de contrôler les activités externalisées (et les intégrer à sa politique et mécanismes de contrôle interne), de garantir le respect de la réglementation applicable, entre autres en matière de protection des données personnelles, de demander en cours de contrat à l'entreprise prestataire des modifications concernant les prestations externalisées, voire de résilier le contrat à tout moment sans que cela n'affecte la continuité de l'organisme d'assurances.

En ce qui concerne la communication avec le régulateur, certains pays imposent à l'organisme d'assurances d'en informer son autorité de contrôle par l'envoi d'un rapport détaillé, voire du projet de contrat d'externalisation accompagné d'une documentation complète, et ce, parfois, sous peine de nullité du contrat (1). Dans certains cas, le projet d'externalisation peut être soumis à une autorisation préalable du régulateur (prenant la forme d'une autorisation implicite en l'absence de réponse dans un certain délai).

Toutefois, externaliser ne signifie jamais, et dans aucun pays, se soustraire à la réglementation en vigueur applicable aux organismes d'assurances. En effet, même si l'entreprise prestataire n'est pas agréée, elle sera soumise aux règles applicables aux organismes d'assurances comme si le fait d'opérer dans le domaine de l'assurance suffisait à étendre, par capillarité, l'applicabilité de la réglementation assurantielle à des entités non agréées. L'exemple du Royaume-Uni est sur ce point intéressant : si le sous-traitant exerce, via l'externalisation, une activité qualifiée de réglementée (regulated), il devra y être autorisé par le régulateur britannique.

À noter

Favorable à l'externalisation, le Royaume-Uni en contrôle cependant strictement l'exercice via le Financial Conduct Authority.

Omniprésence du contrôle

Il en va de même en matière de contrôle : les entreprises prestataires doivent être surveillées avec le même degré d'exigence que celui requis pour les organismes d'assurances. C'est ainsi qu'elles sont contrôlées et supervisées par l'organisme d'assurances lui-même, mais doivent également se sou-mettre à toute vérification ou évaluation jugée nécessaire par l'Autorité de contrôle prudentiel. Dans certains pays (Italie, Pays-Bas), le contrat doit également permettre au régulateur d'avoir accès aux informations concernant les acti-vités externalisées et d'exercer son contrôle directement (avec accès aux locaux) sur celles-ci. En tout état de cause, l'organisme d'assurances a obligation de rendre compte, notamment lors de la transmission des rapports annuels, de l'activité externalisée, toujours avec cette idée de trans-parence dans l'exercice de la pra-tique, pour assurer un suivi adéquat et efficace.

Cette importance de la transparence explique d'ailleurs pourquoi les autorités de contrôle, si elles sont, de manière générale, assez favorables à la pratique de l'externalisation, voire en reconnaissent les avantages, demeurent dans certains cas réticentes face à celle-ci vers des pays tiers (non européens), puisqu'elles ne peuvent alors effectuer aucun contrôle sur place. Ces inquiétudes sont d'ailleurs justifiées, tant les exigences aujourd'hui requises en Europe sont élevées. À tel point que certaines réglementations ne seront pas de bouleversées, voire seront très peu modifiées par l'entrée en vigueur de la directive Solvabilité 2.

En outre, même quand elles paraissent moins réticentes face à la pratique de l'externalisation transfrontalière, à l'instar du Royaume-Uni, les autorités de contrôle restent attentives aux facteurs qui pourraient être modifiés par la localisation géographique, comme la possibilité ou non d'effectuer des contrôles et des audits, ou encore la capacité à faire respecter les dispositions relatives à la lutte contre le blanchiment d'argent.

Qu'elle soit largement autorisée ou relativement restreinte, la pratique de l'externalisation dans les pays européens voisins ne s'épanouit donc pas hors des sentiers battus, les autorités de contrôle jouant un rôle important dans ce domaine.

Le fait d'opérer dans le domaine de l'assurance suffisait à étendre par capillarité la réglementation assurantielle.

Focus sur la pratique de l'externalisation au Royaume-Uni

L'externalisation est une pratique courante au Royaume-Uni, souvent considéré comme précurseur en la matière. Au premier abord, ce pays peut sembler se démarquer par son approche libérale lorsqu'il s'agit de pratiquer l'externalisation.

Un organisme d'assurances y est autorisé à externaliser des activités réglementées ou contrôlées à d'autres entités, qu'elles soient ou non agréées par l'autorité de contrôle. Dans la même optique, l'externalisation d'une activité à une entreprise située en dehors du Royaume-Uni, aussi appelée off-shoring, est tout à fait possible, et la Financial Services Authority (FSA, nouvellement séparée en Financial Conduct Authority, FCA, et Prudential Regulation Authority, PRA) traite indifféremment les entreprises qui pratiquent l'externalisation au sein ou hors de l'Union européenne. Aux dires de l'autorité de contrôle britannique « l'externalisation off-shore n'est pas intrinsèquement plus risquée que l'externalisation pratiquée au niveau national » (2).

En dépit de cette souplesse apparente, le recours à l'externalisation et son exercice sont l'objet d'une réglementation écrite (soft law) et sont très contrôlés au Royaume-Uni : les principales règles et directives sur l'externalisation sont inscrites dans le « Senior Management Arrangements Systems and Controls Sourcebook » du FSA Handbook (3).

L'organisme d'assurances qui a recours à l'externalisation doit ainsi prendre toute mesure nécessaire pour éviter une aggravation indue du risque opérationnel et ne doit pas utiliser l'externalisation pour l'exercice de fonctions opérationnelles importantes dans une proportion telle que cela nuise à la qualité du contrôle interne et à la capacité de surveillance du régulateur.

En outre, l'entreprise prestataire chargée d'activités réglementées, telles la gestion et l'exécution du contrat d'assurance, doit se voir octroyer une autorisation par le régulateur ou en être expressément exemptée. L'organisme d'assurances, quant à lui, ne peut pas se soustraire à ses obligations réglementaires, doit prendre des mesures adéquates pour supervi-ser l'exécution des activités externalisées et doit informer le régulateur avant toute conclusion d'un contrat d'externalisation ou en cas de changement significatif dans le contrat en vigueur.

Dans le processus d'externalisation, l'Autorité de contrôle britannique joue un rôle très important, puisqu'elle émet des recommandations sur plusieurs de ses aspects, relatives, notamment, à la gestion du personnel, à l'emplacement géographique de l'entreprise chargée des activités externalisées, à la continuité des affaires, mais également en matière de contrôle. Sur ce dernier point, il existe des règles assez précises imposant à l'organisme d'assurances de garantir l'efficacité du système de gestion des risques mis en place pour évaluer et surveiller le risque opérationnel et de maintenir une procédure de contrôle interne adéquate.

L'Autorité de contrôle britannique intervient également de façon active au cours de l'exercice des activités externalisées. Elle n'hésite pas à prononcer des amendes à l'encontre des organismes d'assurances qui n'auraient pas respecté ses recommandations, tant en cas de défaillance de l'entreprise prestataire que de l'organisme d'assurances en cas de défaut de contrôle effectif sur cette dernière ou de s'assurer de l'efficacité de ses propres systèmes de contrôle interne.

C'est ainsi qu'en août 2010, le FSA a condamné un assureur européen à une amende de 2 275 000 £ (2 668 000 €) pour n'avoir pas mis en place des systèmes de contrôle adéquats permettant d'éviter la perte des données à caractère personnel de ses clients, dont le traitement avait été l'objet d'une externalisation. Outre la perte d'une sauvegarde de données, l'événement n'avait été signalé qu'une année plus tard, en raison de l'absence de mécanisme de compte rendu entre les deux entreprises.

1. Cette règle est applicable en Allemagne, sans distinction entre l'externalisation intragroupe ou à une tierce partie.

2. Issu du rapport intitulé « Offshore Operations : Industry Feedback » (avril 2005), lequel ne constitue pas une directive officielle, mais est une source d'informations utile pour les assureurs qui souhaitent externaliser certaines de leurs activités.

3. Règlement général du FSA.

La réglementation de l'externalisation dans les pays asiatiques

  • Deux tendances majeures se dégagent de l'étude de la pratique de l'externalisation dans les pays asiatiques (1). Tout d'abord, la plupart des pays opèrent une distinction entre les fonctions essentielles et fondamentales d'un organisme d'assurances et ses fonctions administratives. Encore faut-il savoir ce que recouvrent ces notions dans un organisme d'assurances. Une certaine homogénéité existe en la matière, puisque sont généralement considérés comme fonctions essentielles l'activité de souscription, la gestion des primes et le paiement des indemnités. Les fonctions administratives, quant à elles, s'entendent des activités de back-office ou des fonctions supports, comme les services informatiques et les centres d'appels.
  • En second lieu et dans la majorité des pays, les fonctions essentielles et fondamentales ne peuvent pas être l'objet d'une externalisation interne ou à un organisme tiers. L'externalisation d'une activité est d'ailleurs parfois expressément prohibée non par une loi générale relative à l'externalisation ou par une loi spécifique aux organismes d'assurances, mais parce que le domaine auquel appartient l'activité est sensible. Ainsi, la Chine interdit, de manière générale, l'externalisation de la gestion de la sécurité des systèmes d'information.
  • En revanche, les autorités de contrôle sont généralement plus souples concernant l'externalisation des fonctions administratives, même si la majorité des pays ont instauré un système de notification préalable du contrat d'externalisation à l'autorité de contrôle prudentiel, sans que cette étape ne soit partout une obligation. 1. Par pays asiatiques, nous entendons la Chine, la Corée du Sud, Hongkong, l'Inde, l'Indonésie, le Japon, la Malaisie, Taïwan et la Thaïlande. L'étude de la réglementation de l'externalisation dans ces pays est accessible sur le site Internet de Norton Rose, à l'adresse suivante : http://athena2.corp.nortonrose.com/en/Headlights/FinancialInstitutions/Pages/Ten_things_to_know.aspx.

Testez L'Argus de l'assurance en mode abonné. Gratuit et sans engagement pendant 15 jours.

Le Magazine

ÉDITION DU 25 septembre 2020

ÉDITION DU 25 septembre 2020 Je consulte

Emploi

Institut National de Recherche et de Sécurité (INRS)

Expert Engins de chantier (H/F)

Postuler

SAS COHEN CORPORATE ASSURANCES

Commerciaux Sédentaires H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Assurances pour les besoins du Département de la Savoie.

Conseil Général de la Savoie, Direction des Routes Départementales

27 septembre

73 - CONSEIL DEPARTEMENTAL

Assurances pour les besoins de la ville et du CCAS de St Pierre d'albigny.

Ville de St Pierre d'Albigny

27 septembre

73 - ST PIERRE D'ALBIGNY

Souscription de services d'assurances d'une collectivité territoriale.

Ville d'Estrées St Denis

27 septembre

60 - ESTREES ST DENIS

Proposé par   Marchés Online

Commentaires

Nos voisins européens sont-ils déjà au diapason de la future réglementation ?

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié