[DOSSIER] Cahier pratique : externalisation, maîtrise des [...] 2/9

Quel contrôle pour les assureurs qui souhaitent externaliser ?

Quel contrôle pour les assureurs qui souhaitent externaliser ?
Diane Odier avocat à la Cour L

Si l'on ne peut parler, à ce jour, de régime juridique proprement dit lorsqu'il s'agit d'externalisation dans le secteur de l'assurance, un certain nombre de dispositions légales s'imposent néanmoins sous l'oeil vigilant de l'Autorité de contrôle prudentiel.

Dans un secteur réglementé, soumis au contrôle de l'État et par nature risqué, tel que celui de l'assurance, il peut sembler étonnant que le législateur français n'ait pas souhaité encadrer les opérations d'externalisation, comme il a pu le faire pour d'autres opérations, par exemple les transferts des portefeuilles d'assurances, ou dans d'autres domaines comme en matière bancaire. D'autant que l'objectif final de protection du client sous-tend une grande partie de la réglementation de l'assurance.

Le code des assurances (1) est quasi muet sur les opérations d'externalisation. La réglementation actuelle contient des principes généraux, sans traiter spécifiquement du sujet. Contrairement à l'état du droit dans les pays voisins, les règles françaises ne traitent pas les sujets essentiels, tels que la nature des activités ou fonctions qui peuvent être externalisées, les conditions d'externalisation, la qualité du prestataire ou encore son contrôle. Pourtant, ces opérations n'échappent pas à la supervision de l'Autorité de contrôle prudentiel (ACP), tant au stade de la délivrance de l'agrément que pendant la vie de l'organisme d'assurances.

À retenir

  • Absence quasi totale de textes spécifiques à la réglementation de l'externalisation en assurances.
  • Contrôle de l'ACP à tous les stades du processus, y compris chez les prestataires de l'assureur.

Contrôle lors de l'octroi de l'agrément

Le contrôle de l'ACP sur les activités externalisées et les conditions d'externalisation s'exerce en pratique au moment de la délivrance de l'agrément. Tout organisme qui souhaite exercer des opérations d'assurance, quelle que soit la branche dans laquelle il entend pratiquer, doit demander un agrément administratif auprès de l'ACP, en application des articles L. 321-1 et suivants du code des assurances (2).

Pour accorder son agrément ou le refuser, l'ACP étudie un certain nombre de paramètres, notamment « les moyens techniques et financiers dont la mise en oeuvre est proposée ainsi que leur adéquation au programme d'activité de l'entreprise » (C. assur., art. L. 321-10) (3).

Ce programme d'activité est un élément essentiel de la demande d'agrément : aux termes de l'article A. 321-1 du code des assurances, outre les indications relatives à la nature des risques et au mode d'établissement des primes et tarifs, il doit comprendre « la description de l'organisation administrative et commerciale et des moyens en personnel et en matériel dont dispose l'entreprise », ainsi que « les prévisions de frais d'installation des services administratifs et du réseau de production » et « les moyens financiers destinés à y faire face » (4).

Dès lors, un organisme d'assurances qui souhaiterait, dès le démarrage de ses activités, recourir à l'externalisation de certaines fonctions, devrait, sans aucun doute, le préciser dans le programme d'activité soumis à l'ACP. Ce dernier a en effet pour objectif de permettre à l'ACP d'appréhender le fonctionnement de l'organisme d'assurances au plus près de la réalité, afin d'évaluer, entre autres, si la gestion de son activité est, théoriquement, suffisamment adéquate et sécurisée.

Contrôle durant la vie de l'organisme d'assurances

Durant la vie de l'organisme d'assurances, plusieurs mécanismes permettent également à l'ACP de contrôler les conditions d'externalisation des activités de l'organisme.

Aux termes de l'article R. 321-16 du code des assurances, l'organisme d'assurances doit présenter à l'ACP, pendant cinq ans à compter de la date d'obtention de l'agrément et de façon semestrielle, un compte rendu d'exécution du programme d'activité précédemment évoqué.

En cas de changement intervenant dans ses modalités d'exécution (y compris des activités externalisées), l'ACP demeure donc régulièrement informée. En cas de non-conformité de l'activité de l'organisme d'assurances au programme d'activité, l'ACP peut prendre « les mesures utiles en vue de la protection des intérêts des assurés », sans préjudice de l'exercice de ses pouvoirs de police administrative et disciplinaire.

L'organisme d'assurances doit par ailleurs inclure l'externalisation à son dispositif de contrôle interne. Aux termes des articles R. 336-1 et suivants du code des assurances, l'organisme d'assurances est tenu de « mettre en place un dispositif permanent de contrôle interne » (5), impliquant, notamment, l'élaboration d'un rapport de contrôle interne, approuvé par le conseil d'administration ou de surveillance et communiqué, au moins annuellement, à l'ACP.

Ce rapport doit décrire « les procédures permettant de vérifier la conformité des opérations d'assurance aux dispositions législatives et réglementaires » et détailler « les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales, la maîtrise des activités externalisées et des modes de commercialisation des produits de l'entreprise, et les risques qui pourraient en résulter ».

Le contrôle des activités externalisées relève à titre principal de la responsabilité de l'organisme d'assurances dans le cadre de son dispositif de contrôle interne. Il est également soumis par ce moyen à la surveillance de l'ACP.

En cas de recours à l'externalisation en cours de vie sociale, la question se pose de savoir si ce recours doit faire l'objet d'une autorisation de l'ACP ou d'une notification à celle-ci, préalablement à mise en place de l'externalisation et en dehors de l'information annuelle dans le cadre exposé précédemment. Contrairement aux dispositions en vigueur dans d'autres domaines, le code des assurances n'impose pas d'obligation à cet égard. La réponse à cette question dépendra essentiellement de la nature et des modalités de l'opération d'externalisation envisagée, ainsi que de la pratique de l'organisme d'assurances concerné quant à la gestion de ses relations avec l'ACP. Il nous semble cependant, dans le contexte économique et protectionniste actuel, que si l'externalisation porte sur des fonctions opérationnelles importantes ou essentielles, dont la défaillance peut potentiellement affecter la continuité de l'activité ou les engagements de l'organisme d'assurances vis-à-vis des preneurs, il est plus prudent d'en informer l'ACP avant la mise en oeuvre du projet.

Se pose également la question du périmètre du contrôle et des pouvoirs de l'ACP en ce domaine. L'ACP est informée de la maîtrise des activités externalisées (donc du contrôle effectué par l'organisme d'assurances sur l'entreprise à laquelle elle a délégué une partie de ses activités) par l'intermédiaire du rapport annuel de contrôle interne. Aucune disposition légale n'impose au prestataire de rendre compte directement à l'ACP des conditions d'exécution des activités externalisées.

Pourtant, il est aujourd'hui possible à l'ACP d'effectuer un contrôle direct auprès du prestataire sur le fondement des dispositions du code monétaire et financier.

À noter

La notion d'administration centrale française peut être un frein à l'externalisation des activités « non matérielles ».

Le contrôle étendu de l'ACP

L'ACP a pour missions principales de veiller à la « préservation de la stabilité du système financier et à la protection des clients, assurés, adhérents et bénéficiaires des personnes soumises à son contrôle » (6). C'est dans le cadre de ces missions que l'ACP délivre aux organismes d'assurances l'agrément nécessaire à l'exercice de leur activité et dispose de pouvoirs de contrôle aux fins de veiller au bon respect de la réglementation, tant dans le domaine financier qu'en matière de protection de la clientèle.

Ces deux missions étant définies de façon étendue, l'ACP pourrait, sans outrepasser ses fonctions, exercer un contrôle direct sur les entreprises chargées par les organismes d'assurances de l'exercice de certaines activités. En outre, si ces entreprises ne sont pas explicitement visées comme relevant de la compétence de l'ACP, l'article L. 612-2, II du code monétaire et financier énonce qu'elle peut soumettre à son contrôle « toute personne ayant reçu d'un organisme pratiquant des opérations d'assuran-ce un mandat de souscription ou de gestion ». Compte tenu de cette terminologie assez large, les pouvoirs de contrôle de l'ACP s'étendent bien, sous certaines conditions, aux entreprises chargées des activités externalisées. Il convient toutefois de noter que ce contrôle reste facultatif, contrairement à celui qui est effectué sur les organismes exerçant une activité d'assurance directe mentionnés à l'article L. 310-1 du code des assurances.

Enfin, disposant d'une compétence exclusive en la matière, le secrétaire général de l'ACP peut décider, en vertu des dispositions de l'article L. 612-26 du code monétaire et financier, d'étendre le contrôle sur place d'une personne qui y est soumise à toute personne ou organisme avec qui elle a des liens susceptibles d'avoir une influence quelconque sur son autonomie de fonctionnement ou de décision. C'est ainsi un véritable « droit de suite » qui pourrait s'appliquer, entre autres, « aux filiales de la personne soumise au contrôle, aux personnes morales qui la contrôlent directement ou indirectement, aux filiales de ces personnes morales, à toute autre entreprise ou personne morale appartenant au même groupe, aux personnes et organismes de toute nature ayant passé, directement ou indirectement avec cette entreprise une convention de gestion, de réassurance ou de tout autre type susceptible d'altérer son autonomie de fonctionnement ou de décision concernant l'un quelconque de ses domaines d'activité ».

Ainsi, en dépit de l'absence apparente de réglementation en matière d'externalisation dans le code des assurances, cette pratique n'échappe pas à tout contrôle.

Quelles limites à l'externalisation ?

L'article L. 322-1-1 du code des assurances, disposant que « l'administration centrale des entreprises d'assurances et de réassurance ayant leur siège social en France doit être située sur le territoire de la République » mérite d'être examiné. Une telle exigence se retrouve également à l'article L. 345-1-1 du même code. La mise en perspective de cet article et de la pratique de l'externalisation conduit à se poser la question de la définition de cette notion, puisqu'elle pourrait limiter le recours à cette pratique.

Or, bien que mentionnée par la directive 95/26/CE du 29 juin 1995 dite « directive BCCI » et par la directive 92/49/CEE du 18 juin 1992 dite « directive vie », la notion d'administration centrale ne fait l'objet d'aucune définition dans le code des assurances. Il a cependant été relevé, dans le rapport de l'Assemblée nationale relatif à la directive BCCI, qu'il fallait sans doute l'entendre comme « se référant aux fonctions exécutives essentielles d'une entreprise : prise de décision stratégique, gestion de la trésorerie et des placements, gestion du personnel... » (7).

En outre, en l'absence de définition en droit français, il est envisageable de se tourner vers les dispositions du droit de l'Union européenne, notamment celles relatives à la société européenne, pour tenter de savoir ce que recouvre cette notion. Le traité instituant la Communauté européenne (8) fait référence à la notion d'« administration centrale » comme l'un des critères alternatifs de rattachement, aux côtés du siège statutaire et du principal établissement, permettant à une société de bénéficier de la liberté d'établissement. Le règlement 2157/2001 du 8 octobre 2001, relatif au statut de la société européenne, requiert que « le siège statutaire de la société européenne est situé à l'intérieur de la Communauté, dans le même État membre que l'administration centrale ».

Dans le contexte du droit des assurances, l'objectif de la réglementation est de permettre un contrôle de l'État sur les organismes exerçant des activités strictement réglementées, notamment sur leurs organes de direction chargés des fonctions exécutives essentielles.

La question se pose de savoir si la pratique de l'externalisation pourrait être affectée par cette notion d'administration centrale. Cela dépend de la nature des activités ou fonctions qui sont externalisées. Il est donc peu probable que les tâches purement matérielles, telles la gestion des contrats et la gestion des sinistres, relèvent de ces fonctions. Aussi, l'externalisation de ce type d'activités à une entreprise non domiciliée en France ne devrait pas poser de difficultés particulières à l'organisme d'assurances dont l'organe exécutif demeure sur le territoire de la République française, sous réserve d'une appréciation au cas par cas de l'ACP.

La situation actuelle de l'externalisation est donc celle d'un cadre « par défaut » et passant par le prisme de dispositions à caractère (trop ?) général ou bien spécifiques à un domaine. Au strict plan juridique, cet état des choses rend donc opportun, si ce n'est nécessaire, le futur cadre réglementaire prévu par la directive Solvabilité 2.

1. Ainsi que le code de la mutualité et le Livre IX du code de la sécurité sociale.

2. Cet agrément est également prévu pour les mutuelles et les unions (articles L. 211-7 et suivants du code de la mutualité) et pour les institutions de prévoyance (articles L. 931-4 et suivants du code de la sécurité sociale).

3. Une règle identique s'applique pour les mutuelles et les unions (article L. 211-8 du code de la mutualité) et pour les institutions de prévoyance (article L. 931-5 du code de la sécurité sociale).

4. Le programme d'activité doit apporter le même type de renseignements dans le cas des mutuelles et des unions (article A. 211-1 du code de la mutualité) et dans le cas des institutions de prévoyance (article A. 931-2-1 du code de la sécurité sociale).

5. La mise en place de ce dispositif de contrôle interne est également requise pour les mutuelles et les unions (articles R. 211-28 et suivants du code de la mutualité) et pour les institutions de prévoyance (articles R. 931-43 et suivants du code de la sécurité sociale).

6. Les articles L. 612-1 et suivants du code monétaire et financier présentent l'ACP, ses missions, son fonctionnement.

7. Rapport n° 1638, tome II, de l'Ass. nat., relatif au renforcement de la sécurité financière, en date du 27 mai 1999, aux fins d'introduction en droit français de la directive BCCI, adoptée à la suite de la défaillance de la Bank of Credit and Commerce International (BCCI).

8. Article 48 du traité instituant la Communauté européenne (version consolidée en date du 24 décembre 2002).

Le cas particulier de l'assurance de protection juridique

  • Il est un domaine dans lequel, sans dire son nom, le code des assurances impose à l'organisme d'assurances de recourir à l'externalisation.
  • Les organismes qui pratiquent l'assurance de protection juridique, au sens des articles L. 127-1 et suivants du code des assurances, doivent organiser leur fonctionnement selon trois modalités de gestion différentes prévues par le code des assurances, afin de maintenir une séparation entre les activités relatives à la protection juridique et les autres activités d'assurance.
  • C'est ainsi que l'article L. 322-2-3 du code des assurances propose soit de spécialiser certains membres du personnel à la gestion exclusive des sinistres de la branche protection juridique, soit d'en confier les sinistres à une entreprise juridiquement distincte. Dans cette seconde hypothèse, il s'agit bien ici d'une forme d'externalisation dont l'objectif est d'éviter les conflits d'intérêts entre l'assuré et l'assureur de protection juridique lorsque ce dernier exerce également dans d'autres branches.
  • Dans le cas le plus abouti, le code des assurances permet de confier la gestion des sinistres à un organisme d'assurances ou une entreprise tierce, à condition qu'elle ait une personnalité morale propre. Ce peut être, aux termes de l'article R. 322-1-2, une entreprise régie par le code des assurances, une société civile, une société commerciale ou un groupement d'intérêt économique.
  • Toutefois, adopter une telle modalité de gestion n'est pas sans conséquences pour l'organisme d'assurances, puisqu'en tant qu'entreprise objet de la surveillance de l'ACP, il doit l'informer de ce choix et lui transmettre copie des statuts de cette entreprise. Cette exigence est requise dès la demande d'agrément par l'organisme d'assurances. En outre, si l'entreprise chargée des activités externalisées a des liens juridiques, contractuels ou capitalistiques au sens de l'article L. 612-26 du code monétaire et financier avec l'organisme d'assurances, l'externalisation doit prévoir une spécialisation des membres du personnel à la gestion des sinistres de la branche protection juridique, ainsi qu'une absence d'identité des dirigeants.

Abonnés

Base des organismes d'assurance

Retrouvez les informations complètes, les risques couverts et les dirigeants de plus de 850 organismes d'assurance

Je consulte la base

Le Magazine

ÉDITION DU 30 septembre 2022

ÉDITION DU 30 septembre 2022 Je consulte

Emploi

STELLIANT

ASSISTANT ADMINISTRATIF PESSAC H/F

Postuler

STELLIANT

Assistant Administratif DIJON H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Prestation de services d'expertises comptables

CMIN - Chartres Métropole Innovations Numériques

10 janvier

28 - Chartres

Prestations de services d'assurance pour les besoins de l'OPH d'Aubervilliers (7 lots)

Office Public de l'Habitat d'Aubervilliers

10 janvier

93 - AUBERVILLIERS

Proposé par   Marchés Online

Commentaires

Quel contrôle pour les assureurs qui souhaitent externaliser ?

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié