L'état de l'art de l'outsourcing dans le secteur des assurances luxembourgeoises

Le premier novembre dernier, la Lettre Circulaire du Commissariat aux Assurances 22/16 relative à la sous-traitance d’activités ou de fonctions opérationnelles importantes ou critiques (« LC 22/16 ») datée du 19 août 2022 est entrée en vigueur. 

Sans apporter de changements majeurs au cadre réglementaire existant, la LC 22/16 vise principalement à structurer et rationaliser l’activité de contrôle du CAA à l’égard du respect de la législation déjà en place[1]. En amont, une organisation plus efficace du système de notifications à adresser à l’autorité de surveillance, préalablement à tout accord de sous-traitance d’activités/fonctions opérationnelles importantes ou critiques, était incontournable.

Un formulaire spécifique

Comme l’ACPR et l’IVASS[2] avant lui, le CAA a mis à disposition des organismes assujettis un formulaire informatique, téléchargeable à partir de son site internet, qui devra être rempli et renvoyé à l’occasion de la sous-traitance de certaines activités de (re)assurance.

Le formulaire est composé de six sections consacrées aux informations relatives à: i) l’entreprise de (re)assurance; ii) l’activité/fonction sous-traitée; iii) le prestataire de services; iv) la due diligence effectuée sur ce dernier; v) le contrat de sous-traitance et vi) le contrôle et la gestion programmés sur l’activité/fonction sous-traitée.

Pour toute activité/fonction que l’entreprise envisage d’externaliser, la compagnie doit remplir un formulaire. En cas de multiplicité d'activités à sous-traiter, les formulaires à notifier au CAA seront aussi nombreux que le nombre d'activités à déléguer, même si celles-ci sont toutes confiées à un seul et même prestataire de service.

Une « double » notification

La notification est organisée en deux communications écrites, la première préalable à la signature du contrat de sous-traitance, la deuxième successive.

La première notification doit être envoyée avant la conclusion du contrat et, au moins, un mois avant son entrée en vigueur. Dans les 10 jours ouvrables suivant la réception, le CAA adressera à l’entreprise un accusé de réception. Si par la suite, l’accord de sous-traitance n’est pas conclu, l’entreprise devra en informer le CAA dans les meilleurs délais.

 Par contre, dans les deux mois qui suivent sa signature, le responsable de la vérification et conformité de l’entreprise de (re)assurance doit confirmer au CAA, par une deuxième notification, que : i) l’accord de sous-traitance n’entraîne la violation d’aucune disposition législative ; ii) le contrat inclut les clauses telles que définies à l’article 274 du Reg UE ; iii) une due diligence du prestataire de service a été bien menée et iv) un contrôle régulier des performances et des résultats du prestataire de services a été mis en place.

Rien ne semble empêcher les entreprises de réunir les deux notifications, le délai de la première devant le cas échéant raisonnablement être respecté.

Les activités/fonctions à notifier

Quant à l’objet de la notification, il s’agit toujours des activités ou des fonctions importantes ou critiques, parmi lesquelles rentrent « d’office » les fonctions clés des entreprises telles que définies par la directive Solvabilité II ainsi que les activités principales lorsqu’elles sont « entièrement sous-traitées».

Est également à notifier toute évolution importante ultérieure concernant ces actions/fonctions ainsi que les activités qu’entraînent une modification majeure du plan d’activité.

Par évolution significative on entend notamment : i) un changement de prestataire ; ii) l’ajout d’une activité́ majeure à un contrat existant ; iii) une réduction importante de l’effectif de l’entreprise délégante ; iv) une modification (à la hausse comme à la baisse) de plus de 20%, sur une base annuelle, des frais ; v) un prestataire de service intra-groupe qui devient extra-groupe.

De manière plus générale, il semble donc nécessaire de notifier au CAA tout changement du contrat et/ou de l’activité/fonction importante ou critique sous-traitée qui puisse compromettre l’exercice d’un suivi régulier et une influence constante de l’entreprise ou encore un contrôle efficace du CAA à l’égard de l’activité/fonction sous-traitée et ses performances/résultats.

L’entreprise de (re)assurance conserve la responsabilité de déterminer et documenter du caractère important ou critique de l’activité/fonction sous-traitée mais le CAA met en évidence les éléments à prendre en considération à la fois lors de l’évaluation de l’activité/fonction, de l’analyse préalable à tout accord de sous-traitance et des exigences en matière de documentation.

D’ailleurs, par la LC 22/16, le CAA applique à toute opération de sous-traitance, les dispositions générales désignées par les encore récentes orientations EIOPA BoS-20-002 en matière de sous-traitance à des prestataires de services en nuage, et qui, transposées (quasiment) telles quelles dans la Lettre Circulaire du CAA 21/15, étaient auparavant applicables uniquement aux externalisations informatiques. 

Analyse préalable à la sous-traitance

Avant tout accord de sous-traitance d’une activité/fonction de (re)assurance l’entreprise doit :

1. évaluer les risques liés à l’accord ;

2.  vérifier que la sous-traitance est conforme à toute disposition législative et règlementaire applicable, notamment que ;

• l’externalisation ne compromet pas : i) la qualité du système de gouvernance de l’entreprise ; ii) la possibilité du CAA de vérifier que l’entreprise de (re)assurance se conforme à ses obligations et/ou iii) le niveau de service à l’égard des preneurs;
• la sous-traitance n’accroît pas le risque opérationnel ;
• le prestataire de services coopère avec le CAA pour ce qui concerne l’activité/fonction sous-traitée ;
• l’entreprise et le CAA peuvent avoir accès aux données afférentes à l’activité/fonction sous-traitée ;
• le CAA soit en mesure d’exercer son pouvoir de contrôle via un accès effectif aux locaux du prestataire pour des inspections sur place ;
• le respect du secret professionnel ou plus généralement, des règles relatives à la protection des données, si l’entreprise est soumise à l’article 300 de la LSA et l’accord de sous- traitance comprend des données à caractère personnel des parties prenantes aux contrats d’assurances.

3.     tenir compte de l’étendue du contrôle exercé ou de l’influence que l’entreprise a sur les actions d’un prestataire membre de son groupe.

Évaluation des activités/fonctions à sous-traiter

Avant de conclure un accord de sous-traitance, l’entreprise ne doit pas seulement examiner si elle serait ou pas en mesure de fournir ses services de (re)assurance aux preneurs sans l’activité́/fonction à externaliser mais elle doit considérer aussi l’incidence de la sous-traitance sur : 

• le plan de ses activités (taille, nature, complexité, coûts et contributions aux revenus et bénéfices) ;
• le contrôle et la supervision, ainsi que le droit d’émettre des lignes directrices générales ou d’instructions particulières à l’égard du prestataire dans l’exercice de l’activité/fonction déléguée ;
• l’image de marque de l’entreprise.

Cette évaluation doit être renouvelée à tout changement significatif de la nature, ampleur ou complexité des risques liés à l’accord de sous-traitance.

Documentation de l’activité de sous-traitance

Les orientations EIOPA BoS-14-253 concernant le régime Solvabilité II établissaient déjà la mise en place d’une politique écrite en matière de sous-traitance tout en précisant les informations que cette politique devait comprendre[3].

La LC 22/16 étend l’obligation d’un registre à toutes les activités/fonctions externalisées.

Si ces activités ne revêtent pas un caractère important ou critique, l’entreprise peut définir discrétionnairement les informations à consigner au registre en fonction de la nature, de l’ampleur et de la complexité́ des risques afférents aux services fournis par le prestataire.

Au contraire, si les activités/fonctions déléguées sont importantes ou critiques, le registre doit consigner les informations soigneusement listées par le CAA[4], parmi lesquelles, les résultats des évaluations de la substituabilité́ du prestataire de services, la vérification que ce dernier a mis en place des plans d'urgence adéquats pour faire face aux situations d'urgence ou d'interruption de son activité et la liste des personnes responsables chez le prestataire des activités qui leur ont été confiées. 

Une auto-évaluation, comprenant un tableau de correspondance portant sur la conformité́ de l’accord de sous-traitance avec la LC 22/16, l’article 274 du Règ. UE et les orientations d’EIOPA, doit être enfin ajoutée au registre et l’ensemble de toutes ces informations tenues à disposition du CAA.

* * *

Comme toute clarification des attentes de l'autorité de surveillance, la LC 22/16 ne peut qu'être saluée. En considération de l’exclusion du périmètre de son application des sous-traitances informatiques qui restent disciplinées aux termes de la LC CAA 21/15, l'unification de la règlementation des activités de sous-traitances est néanmoins souhaitable. La possibilité d'une réunification des deux règlementations pourrait s’offrir au CAA à l’occasion de la prochaine révision des orientations de l'EIOPA, telle qu’annoncée dans la « Disposition finale » des dernières orientations de 2020.

[1]  Pour rappel : le cadre réglementaire luxembourgeois en matière d’externalisation dans le domaine des assurances est constitué par : i) la Loi du 7 décembre 2015 sur le secteur des assurance (« LSA »); ii) le Règlement délégué (UE) 2015/35 de la Commission du 10 octobre 2014 complétant la directive Solvabilité II (« Règ. UE »), iii) les orientations de l’EIOPA BoS-14-253 et BoS-20-002 auxquelles le CAA a déclaré se conformer respectivement par la LC CAA 15/13 du 15 décembre 2015 relative à des orientations supplémentaires concernant le régime Solvabilité II et la LC CAA 20/13 du 24 juin 2020 relative aux orientations en matière de sous-traitance à des prestataires de services en nuage.

[2] L’autorité de surveillance du secteur des assurances française et italienne qui ont mis à disposition des entreprises contrôlées des formulaires analogues respectivement en 2019 et 2008, modifiés et mis à jour par la suite en 2020 et 2014.

[3] Cfr. Orientation 63 – Politique écrite de sous-traitance, EIOPA BoS-14-253.

[4] Cfr. Article 9 – Exigences en matière de documentations, LC CAA 22/16.