La gestion du risque opérationnel de sous-traitance

La gestion du risque opérationnel de sous-traitance

Une nouvelle obligation imposée aux entreprises d’assurance par la directive Solvabilité II

La complexité de la directive Solvabilité II n’est plus à démontrer. La présente contribution, résolument pratique, choisit un angle d’analyse original : l’étude d’un seul des nombreux sujets traités dans la directive, en l’occurrence le risque de sous-traitance des entreprises d’assurance, par deux spécialistes de la matière : un juriste spécialisé en droit de l’intermédiation en assurance et l’associé d’un cabinet d’actuariat.

L’analyse de la directive Solvabilité II est délicate en raison de sa densité (plus de 150 pages en police 8, directive composée de 142 considérants, 312 articles et 7 annexes !) et de la diversité des sujets traités (conséquence de la compilation de 14 directives européennes). Mais la principale difficulté réside en réalité dans la rédaction même de la directive dont, outre des principes (très) généraux clairement exposés, les dispositifs opérationnels restent souvent confus, trop généraux ou sujets à interprétation.

Ces raisons peuvent en partie justifier que les articles juridiques consacrés à cette nouvelle directive se bornent à exposer son origine, sa date de mise en œuvre sans cesse retardée (finalement fixée au 1er janvier 2013), et rappeler son désormais traditionnel trépieds constitutif (Pilier 1 : Quantification des risques – exigences quantitatives de marge de solvabilité ; Pilier II : Gestion des Risques – activité de contrôle interne et externe ; Pilier III : Communication sur les risques – informations pour le superviseur et pour le marché).

Deux principales raisons justifient ce constat. D’une part, l’analyse de la directive Solvabilité II nécessite une double compétence juridique et technique. Or, les dispositions techniques de la directive échappent souvent au juriste, parfois lors de l’analyse, souvent lors de la lecture. Cette analyse semble générer la même réaction de perplexité chez le professionnel, mais peut-être pour des raisons différentes. La priorité donnée aux chiffres, à l’élaboration des modèles internes a un peu relégué au deuxième plan les textes et leur interprétation.

Longtemps vue comme un texte à vocation avant tout «technique » la directive a donné lieu à des travaux quasi exclusivement centrés sur l’aspect quantitatif dans certaines compagnies. Ce n’est que plus récemment que la nature très «qualitative» de la directive, exprimée au travers de nombreux articles est apparue aux professionnels de l’assurance. C’est ce genre de «surprise» qui appelle une lecture détaillée de la directive. D’autre part, l’analyse de la directive dans sa globalité semble d’un intérêt limité au regard de son volume et de sa complexité. Dès lors, une double analyse juridique et technique de la directive Solvabilité II, effectuée par thème traité ou par article, semble plus appropriée.

Les auteurs ont choisi d’analyser le dispositif de la directive relatif à la sous-traitance des entreprises d’assurance, contenu à l‘article 49, c’est-à-dire le mode de gestion des risques opérationnels imposé par la nouvelle réglementation (l’article 38 traite aussi de la sous-traitance, mais plutôt en matière d’accès aux données pour les autorités). Cet article fait par ailleurs l’objet d’un commentaire dans le document : CEIOPS’ Advice for L2 Implementing Measures on SII : System of Governance (ex consultation paper 33). On rappellera à ce propos que les travaux concernant les textes de niveau 2 ont eu lieu en anglais et que les documents transmis à la Commission sur les différents sujets n’existent à ce jour, à notre connaissance, que dans cette langue.

L’article 49, 1 de la directive pose le principe général de responsabilité exclusive de l’entreprise d’assurance au titre des fonctions et activités d’assurance sous-traitées. L’intention du législateur est évidente : il faut éviter de manière pratique que les prescriptions de la directive ne soient contournées par le recours à des sous-traitants hors du champ de la directive. Ce principe n’appelle pas d’observations particulières dans la mesure où le droit positif reconnaît traditionnellement cette responsabilité s’agissant d’activités incombant par essence à l’entreprise d’assurance. Les clauses d’aménagement de responsabilité dans les mandats de distribution et/ou de gestion délivrés par une entreprise d’assurance à un sous-traitant (sur la qualité du sous-traitant, Infra 1) ne remettent pas en cause ce principe.

L’entreprise d’assurance reste en effet seule responsable au regard des autorités de contrôle de la non-exécution ou de l’exécution défaillante des obligations qui lui incombent, nonobstant les actions récursoires (et aléatoires) à l’encontre de l’éventuel débiteur (sous-traitant) fautif.

On notera que le Committee of European Insurance and Occupational Pensions (CEIOPS) prend la précaution de dire dans son « advice » que le recours à un consultant expert n’est pas une sous-traitance, sauf si ce dernier gère directement une fonction interne (par exemple un actuaire consultant qui assumerait la fonction actuarielle prévue par la directive, ou un avocat qui assumerait la fonction de « conformité »). Le CEIOPS recommande aussi que la politique de sous-traitance fasse l’objet d’un document écrit qui devra être approuvé par les instances dirigeantes de la société. La qualité juridique de cette pièce, son existence, sa possible utilisation par les tribunaux méritent sans doute quelque attention.

En pratique, le CEIOPS estime que l’assureur déléguant ne peut se prévaloir de l’existence d’un système de contrôle des risques chez le délégataire pour ne pas procéder à ses propres contrôles. Cette capacité à contrôler suppose elle-même, selon le CEIOPS, le maintien de savoir-faire suffisant chez l’assureur.

En revanche, le 2) de l’article 49 comporte des obligations nouvelles à la charge de l’entreprise d’assurance puisqu’elle interdit purement et simplement toute sous-traitance lorsqu’elle est susceptible de compromettre gravement (on remarquera que la version anglaise de la directive parle de « materially impairing the quality » qu’on aurait aussi pu traduire par « significativement ») la qualité du système de gouvernance de l’entreprise concernée, d’accroître indûment le risque opérationnel, de compromettre le contrôle par les superviseurs de l’exécution des obligations de l’entreprise d’assurance et de nuire à la prestation continue d’un niveau de service satisfaisant à l’égard des preneurs d’assurance.

À n’en pas douter, l’idée même d’activité «importante ou critique» n’est pas absolument évidente : le CEIOPS signale au titre des fonctions «importantes ou critiques» de l’entreprise, sans que la liste soit exhaustive, l’élaboration des polices, la tarification, le placement des fonds, la gestion de portefeuille et la gestion des sinistres. A l’inverse, la fourniture d’une opinion juridique sur un produit ou une opération n’est pas selon le CEIOPS une sous-traitance d’activité « importante ».

De même, l’article 49, 3 accentue les obligations de l’entre-prise d’assurance, revenant ainsi sur une prérogative de feu la Direction des assurances, en imposant une nouvelle obli-gation d’information des autorités de contrôle en cas de sous-traitance d’activités et de fonctions «importantes ».

 

1. Définition des « sous-traitants » dont le contrôle par l’entreprise d’assurance est renforcé

1.1 Les intermédiaires en assurance

A priori, la compilation de directives à l’origine de Solvabilité II exclut les dispositions de la directive no 2002/92/CE sur l’intermédiation en assurance (« Retour sur une directive qui dérange : la directive Solvabilité II », Ghueldre R. et Vannesson F, Bulletin d’actualités, Lamy Assurances, 2010, I). À bien y regarder toutefois, il est difficile de ne pas rattacher au moins partiellement, en matière de fonction et d’activité d’assurance déléguée, la notion de sous-traitant à celle d’intermédiaire en assurance. Plus encore, il semble illusoire de ne pas intégrer, à tout le moins implicitement, la directive intermédiation en assurance dans la directive Solvabilité II, la première complétant la seconde et inversement.

En matière de sous-traitance, la directive Intermédiation en assurance pose une principale obligation à la charge de l’entreprise d’assurance : celle de ne recourir, pour les activités d’intermédiation en assurance limitativement définies, qu’à un intermédiaire habilité au sens de la loi de transposition de la directive Intermédiation en assurance. L’intermédiation en assurance « consiste à présenter, proposer ou aider à conclure des contrats d’assurance ou de réassurance ou à réaliser d’autres travaux préparatoires à leur conclusion. N’est pas considérée comme de l’intermédiation en assurance ou en réassurance l’activité consistant exclusivement en la gestion, l’estimation et la liquidation des sinistres » (C. assur., art. L. 511-1).

L’activité d’intermédiation en assurance entre donc bien dans le champ des activités visées par la directive Solvabilité II dans la mesure où certaines activités d’intermédiation sont susceptibles d’accroire indûment le risque opérationnel de l’assureur, de compromettre le contrôle par les superviseurs de l’exécution des obligations de l’entreprise d’assurance et/ou de nuire à la prestation continue d’un niveau de service satisfaisant à l’égard des preneurs d’assurance.

Le non-respect de cette obligation est déjà assorti de sanctions civiles et pénales à la charge de l’entreprise d’assurance, en application du Code des assurances. Le contrôle existant consiste pour l’entreprise d’assurance à avoir recours à un intermédiaire en assurance inscrit à l’Orias dans la catégorie correspondant à son activité, mais également à contrôler l’exercice du mandat délivré à l’intermédiaire. La question se pose ici de savoir si d’autres sanctions, issues cette fois de la directive Solvabilité II viendront renforcer le dispositif existant ou si l’article 49, 2 ne constituera qu’un rappel de la réglementation existante.

 

1.2 Les prestataires non soumis à la réglementation sur l’intermédiation en assurance

L’apport de la directive Solvabilité II concerne également, voire essentiellement, les entreprises d’assurance qui recourent à des intermédiaires exclus du champ d’application de la réglementation sur l’intermédiation en assurance. Il s’agit notamment des sous-traitants effectuant exclusivement la gestion, l’estimation et la liquidation des sinistres, qui ne sont pas considérés comme des intermédiaires en assurance (C. assur., art. R. 511-1), des intermédiaires non rémunérés qui échappent à la réglementation sur l’intermédiation en assurance, des intermédiaires exerçant sous l’empire du régime dérogatoire issu de l’article R. 511-2, I du Code des assurances et enfin des indicateurs d’assurance. En effet, l’activité de ces prestataires est susceptible d’accroître indûment le risque opérationnel et par là-même d’entrer dans le champ d’application de la directive étudiée.

Le recours par une entreprise d’assurance à ces prestataires non intermédiaires en assurance sera évidemment assorti d’une sanction spécifique nouvelle à la charge de l’entreprise d’assurance, outre les sanctions de droit commun, lorsqu’il entraînera l’une des conséquences prévues à l’article 49, 2. Cette sanction prendra la forme d’un capital supplémentaire ajouté au capital de solvabilité calculé. Ce capital supplémentaire devra, par ailleurs, faire l’objet d’une communication au public par l’entreprise sanctionnée, communication assortie des motivations de la sanction.

 

1.3 Les obligations formelles en matière de sous-traitance

Le CEIOPS infidèle à l’adage « de minimis non curat pretor » n’hésite pas à détailler les étapes de l’entrée en affaire avec le sous-traitant : audit des capacités du sous-traitant, véri-fications des conflits d’intérêt entre sous-traitant et assu-reur, existence d’un document de sous-traitance écrit, revue des contrats par les organismes de direction de l’assureur, vérification par l’assureur de la légalité de l’accord et de la finalité de la sous-traitance et de la confidentialité des don-nées clients. Tous ces éléments doivent être documentés sans que le format de la documentation soit précisé. Par contre le contrat liant l’assureur au sous-traitant fait l’objet d’un inventaire à la Prévert quant à son contenu : les droits et obligations, les conditions de collaboration avec le régulateur, la conformité aux lois en vigueur, les risques qui pèsent sur la sous-traitance, des délais de rupture suffisants pour permettre d’assurer la continuité de la prestation, l’accès aux informations pour l’assureur ou son commissaire au compte, la propriété intellectuelle de l’assureur des travaux effectués…

1.4 La délicate question de la sous-traitance dans les groupes

Il n’est pas rare à l’intérieur des groupes que certaines fonctions soient sous-traitées. L’audit par exemple des plus petites entités peut relever d’un service d’audit groupe ou d’audit central. C’est bien au sens de la directive une sous-traitance (dans ce cas d’une fonction) qui doit répondre selon le CEIOPS aux obligations de toute sous-traitance. Le CEIOPS réaffirme dans ce cas l’idée de responsabilité de l’entité délégante sur la sous-traitance, mais il accepte l’idée que les relations de groupe est à même de réduire le champ des obligations.

2. Identification des « activités sous-traitées » dont le contrôle par l’entreprise d’assurance est renforcé

Pour éviter d’énoncer toutes les activités concernées par la directive Solvabilité II (article 49, 2), il peut être considéré que toute activité déléguée par l’entreprise d’assurance, de l’élaboration des documents précontractuels au règlement des sinistres, est visée par le texte. Ces activités sont fréquemment, voire systématiquement déléguées par l’entreprise d’assurance dans le cadre de la distribution et la gestion soit de contrats d’assurance dits affinitaires (distribution par des réseaux bancaires, de grande distribution, de cartes bancaires, d’opérateurs en téléphonie mobile ou de concessionnaires automobiles), soit de contrats d’assurance intermédiés par des courtiers grossistes.

Toutefois, la directive Solvabilité II met l’accent sur des pratiques moins identifiées, portant sur des activités non susceptibles d’être sous-traitées.

À titre d’exemple, l’article 49, 2c interdit la sous-traitance d’activités susceptibles « de compromettre la capacité des autorités de contrôle de vérifier que l’entreprise concernée se conforme bien à ses obligations ». Cette disposition permet d’établir une distinction entre les activités susceptibles d’être sous-traitées par l’entreprise d’assurance de celles qui ne le peuvent pas, principalement la prise en charge du risque d’assurance. Cette vérité d’évidence, seule une entreprise d’assurance dûment agréée dans la branche considérée est habilitée à effectuer cette activité sans la déléguer.

Or, la pratique de la sous-traitance induit parfois une violation de cette règle, notamment lorsque la rémunération du sous-traitant, souvent intermédiaire en assurance, est fonction des résultats techniques du contrat d’assurance. Deux cas peuvent être évoqués : une commission d’intermédiation fixe est accordée en début d’exercice à l’intermédiaire, charge pour lui de la restituer en fin d’exercice, en tout ou partie, en cas de résultats techniques déficitaires. Autre cas de figure, une participation bénéficiaire est accordée à l’intermédiaire au titre d’un exercice, charge pour lui de la restituer, en tout ou partie, en cas de résultats techniques déficitaires au cours des exercices suivants.

Dans le premier cas, la commission restituée semble devoir être requalifiée en fraction de prime pure, dans le second cas en provision technique. Dans les deux cas, l’intermédiaire en assurance semble exercer indirectement une activité illégale d’assurance au sens de l’article L. 310-27 du Code des assurances. L’entreprise d’assurance quant à elle, en transférant partiellement la prise en charge de son risque d’assurance sur un intermédiaire se rend complice (souvent actif) de l’exercice illégal d’assurance (au sens de l’article 121-7 du Code pénal).

Cette pratique constitue-t-elle une activité d’assurance sous-traitée ayant pour effet de « compromettre la capacité des autorités de contrôle de vérifier que l’entreprise d’assurance concernée se conforme bien à ses obligations » ? Il est permis de le croire.

Le sujet du manquement à l’obligation d’information et de conseil de l’entreprise d’assurance peut également ici constituer un autre exemple.

La superposition et la diversité de ces obligations dans la distribution d’assurance sont connues de tous les juristes (en fonction notamment de la nature du contrat), le contentieux est rendu d’autant plus complexe lorsque la distribution est effectuée par un intermédiaire, selon de surcroît le mode de distribution mis en œuvre. Dans ce cas, la juridiction saisie en cas de manquement doit identifier le débiteur de l’obligation défaillante : l’entreprise d’assurance ou l’intermédiaire.

L’article 49, 2d qui interdit la sous-traitance d’activité ou de fonctions susceptibles de « nuire à la prestation continue d’un niveau de service satisfaisant à l’égard des preneurs » pourrait encourager les juridictions à condamner plus systématiquement l’entreprise d’assurance à l’exclusion de l’intermédiaire, charge pour celle-ci d’agir en action récursoire contre l’intermédiaire. Une attention particulière devrait alors être prêtée à la rédaction des conventions de distribution.

 

3. Responsabilité renforcée des dirigeants et des risk-managers

La qualité du système de gouvernance des risques est la pierre angulaire du dispositif Solvabilité II dont la responsabilité repose sur les instances dirigeantes de l’entreprise. Cette responsabilité est mentionnée aussi dans l’article 49 : « La sous-traitance d’activités ou de fonctions opérationnelles importantes ou critiques n’est pas effectuée d’une manière susceptible d’entraîner l’une des conséquences suivantes : (…)

a) compromettre gravement la qualité du système de gouvernance de l’entreprise concernée »

Pour expliciter ce paragraphe, le CEIOPS demande que l’assureur intègre les risques liés à la sous-traitance dans son propre système de contrôle des risques. L’assureur ne peut s’abriter derrière les contrôles du sous-traitant. Mais cette idée n’empêche pas le CEIOPS de réaffirmer que le sous-traitant doit posséder ses propres systèmes de suivi des risques sans qu’on saisisse tout à fait à quelle fin : ou l’entreprise et ses dirigeants sont responsables du suivi des risques liés à la sous-traitance d’une activité, et ils englobent les risques du sous-traitant dans leur propre système de règles et de contrôle, ou ils s’en remettent aux contrôles du sous-traitant. Qui sera responsable en cas de problème lié à l’abandon d’un contrôle en place chez le sous-traitant mais jugé inefficace par le délégant ?

Pour le CEIOPS, la limitation du risque opérationnel associé à la sous-traitance demande :

  • une vérification de la surface financière du fournisseur ;
  • une idée des critères de recrutement : permettent-ils d’assurer une qualité adéquate des personnels ?
  • une revue des plans de continuité du sous-traitant,
  • une vérification de la confidentialité des données concernant l’assureur et ses clients.

 

4. Information préalable des autorités de contrôle quant aux activités sous-traitées

L’article 49, 3 de la directive Solvabilité II dispose que « Les entreprises d’assurance et de réassurance informent préalablement et en temps utile les autorités de contrôle de leur intention de sous-traiter des activités ou des fonctions importantes ou critiques, ainsi que de toute évolution importante ultérieure concernant ces fonctions ou ces activités ». A l’aune des activités susceptibles d’être sous-traitées (supra 2), la présente disposition laisse le lecteur dans une situation d’insécurité juridique flagrante, d’autant que sur le sujet le CEIOPS n’a pas vraiment fourni d’éclaircissements.

Il dit dans son « advice » : « This does not necessarily mean that the supervisor has to approve or authorise the outsourcing », avec un sens avéré de l’understatement en anglais. Quant à l’expression « temps utile » qui correspond à l’anglais « in a timely manner » elle est évaluée par le CEIOPS à 6 semaines, temps suffisant à une discussion entre l’autorité et l’assujetti pour évaluer la conformité aux impératifs de la directive. Si la formulation précédente se comprend bien dans un contexte anglo-saxon, elle s’adapte plus difficilement à notre système de droit écrit.

Si le principe général est bien compris : la communication préalable auprès des autorités de contrôle de l’intention de sous-traiter la mise en œuvre demande :

  • de répondre au périmètre exact des fonctions dont le caractère est « important ou critique » au delà des indications données dans l’advice ;
  • de fixer les délais raisonnables pour cette communication.

 

Conclusion :

Nous avons choisi de n’évoquer qu’un seul article de la directive qui ne figure pas parmi les plus significatifs. Cet exercice limité montre bien l’importance du travail que va représenter pour les entreprises la revue complète de la directive et son adaptation aux réalités des sociétés. Il demande de plus une revue complète des Advices associés à la directive et qui représentent plus de 2 000 pages.

Il est donc d’ores et déjà urgent de mener une réflexion sur les modes de gestion des risques pour préparer leur mise en conformité entre autres à l’article 49 de la directive et, le cas échéant, aux lois et règlements de transposition qui devront intervenir avant le 31 octobre 2012. Les délais seront donc très courts entre la transposition et l’entrée en vigueur de la directive le 1er janvier 2013.

 

L’analyse du seul article 49 que nous avons faite dans ce document illustre l’ampleur des changements à opérer dans la conduite des sociétés d’assurance, et met en lumière les incertitudes juridiques liées à ces nouvelles pratiques. Longtemps vue comme un problème de chiffres et de calculs, la directive pose, au fur et à mesure qu’elle approche de sa mise en place, des problèmes de gouvernance et des problèmes de relation avec l’ordre juridique actuellement existant dans chacun des pays ou au niveau européen (cas de la directive intermédiation).

 

En effet, ces éléments seront susceptibles d’engager la responsabilité civile et pénale des entreprises d‘assurance et de leurs dirigeants.

 

Pierre BICHOT  & Romain DURAND | Lamy Assurance – N°179 – Janvier 2011

Télécharger en PDF
2017-07-05T14:45:06+00:00 Articles complets|0 commentaires

Commenter