Solva 2 : des obligations proportionnées aux activités externalisées

à retenir

• Il existe principalement trois régimes d’externalisation : - standard, - important, critique, - fonction clé.
• Pour les fonctions importantes ou critiques ainsi que les fonctions clés, une information préalable à l’ACPR est requise.

Le nouveau cadre prudentiel Solvabilité 2 met fin à une régle­mentation parcellaire sur l’externalisation. Trouvent ainsi à s’appliquer à cet exercice les nouvelles dispositions issues du corpus législatif Solvabilité 2, entrées, sauf exception, en vigueur au 1er janvier 2016. En droit français, la directive Solvabilité 2 a fait l’objet d’une transpo­sition à travers une ordonnance du 2 avril 2015, précisée le 7 mai par un décret et un arrêté. Outre ces textes, il convient également de se référer au règlement délé­gué du 10 octobre 2014 (n° 2015-35), d’application directe en droit interne, pour parfaire le cadre juridique de l’externalisation.

Sortir du néant

Avant l’introduction de ce régime prudentiel, peu de dispositions enca­draient en droit interne les activités déléguées par les entreprises d’assurance. À titre d’exemple, l’ancien­ne version de l’article R. 336-1 du code des assurances apparaissait comme une des rares dispositions traitant directement de l’externalisation. Ainsi, cet article précisait sobre­ment qu’un rapport de contrôle interne transmis à l’ACPR devait détailler « les mesures prises pour assurer le suivi de la maîtri­se des activités externalisées » et les « risques pouvant en résulter ». Le caractère succinct de cette réglementation pour les activités d’assurance se justifiait difficilement en comparaison de la réglementation bancaire prévoyant quant à elle un cadre précis.

Solvabilité 2 change la donne. Les dispositions introduites au sein du code des assurances définissent et réglementent l’externalisation par les compagnies d’assurance et de réassurance. Ainsi, le nouvel article L. 310-3, 13° du code des assurances définit l’externalisation comme « un accord, quelle que soit sa forme, conclu entre une entreprise et un presta­taire de services, soumis ou non à un contrôle, en vertu duquel ce prestataire de services exécute, soit directement, soit en recourant lui-même à l’externalisation, une procédure, un service ou une activité, qui serait autrement exécuté par l’entreprise elle-même ».

Outre l’apport de cette définition, la directive Solvabilité 2 introduit des précisions quant aux régimes applicables aux activités externalisées ou sous-traitées (outsourcing). Schématiquement, la directive Solvabilité 2 prévoit trois régimes distincts d’exter­nalisation qui s’appliqueront alternativement en fonction de la nature de l’activité visée : activités standards, fonctions « importantes ou critiques » et « fonctions clés ».

Le régime standard de l’externalisation

Aux termes du nouveau régime prudentiel, les activités ou fonctions ne constituant ni des activités « importantes ou critiques » ni des « fonctions clés » se verront appliquer le régime d’externalisation dit « standard », qui est le régime le plus souple en ce que le nouveau corpus prudentiel n’impose aucune obligation particulière.

L’article R. 354-7, II, a) du code des assurances donne quelques indications afin d’identifier les activités relevant de ce régime « standard », en listant, de manière non exhausti­ve, certaines fonctions qui ne sauraient être considérées comme importantes ou critiques. Tel est par exemple le cas de « la fourniture à l’entreprise de services de conseil et d’autres services ne faisant pas partie des activités couver­tes par son agrément, y compris la fourniture de conseils juridiques, la formation de son personnel, les servi­ces de facturation ».

Des fonctions « importantes ou critiques » omnipotentes

Les fonctions ou activités dites « importantes ou critiques » sont définies par le nouvel article R. 341-7, I du code des assurances. Schématiquement, elles regroupent les fonctions clés ainsi que « celles dont l’interruption est susceptible d’avoir un impact significatif sur l’activité de l’entreprise, sur sa capacité à gérer efficacement les risques ou de remet­tre en cause les conditions de son agrément ». En ce sens, la définition des fonctions « importantes ou criti­ques » capture la quasi-totalité des fonctions pouvant potentiellement être sous-traitées par les entreprises d’assurance ou de réassurance.

Concernant le régime d’externalisation applicable à ces activités, on peut lister cinq obligations principales s’imposant aux entreprises envisageant leur externalisation. En premier lieu, le nouvel article L. 354-3, alinéa 3, du code des assurances impose une information préa­lable de l’entreprise d’assurance à l’Autorité de contrôle prudentiel et de résolution (ACPR) de son intention d’externaliser ces activités, ainsi que de toute évolution ultérieure importante concernant ces fonctions.

En deuxième lieu, toute opération d’externalisation devra faire l’objet d’une politique écrite détaillée approu­vée par le conseil d’administration ou le conseil de surveillance de l’entreprise externalisatrice.

Des obligations complémentaires sont également apportées par le règlement délégué du 10 octobre 2014. Ses articles 274, 3 (c) et 274, 4 obligent à ce qu’une convention écrite soit rédigée entre le sous-traitant et l’entreprise externalisatrice, laquelle doit contenir certaines mentions obligatoires. La majorité de ces clauses semble être assez commune. On citera, par exemple, les clauses relatives aux devoirs et responsabilités, aux délais de préavis ou encore à la confidentialité. En quatrième lieu, l’entreprise externalisatrice devra également veiller à ce que le prestataire coopère avec l’ACPR et lui donne accès aux données relatives aux activités externalisées.

Enfin, le règlement délégué contient des dispositions applicables pour le choix du sous-traitant. L’article 274, 3 de ce règlement dispose que lors du choix du prestataire de services chargé d’une fonction « opérationnelle importante ou critique », ou fonction clé, l’entreprise d’assurance ou de réassurance au travers de son organe d’administration, de gestion ou de contrôle, doit veiller notamment à ce que diverses exigences tenant au sous-traitant soient remplies : absence de conflit d’inté­rêt, compétence professionnelle, respect de la confidentialité…

Une couche prudentielle supplémentaire

Au sens du nouvel article L. 354-1 du code des assurances, le système de gouvernance des organismes d’assurance et de réassurance doit comprendre les fonctions clés suivantes : la fonction de gestion des risques, la fonction de vérification de la conformité, la fonction d’audit interne et la fonction actuarielle (voir ci-contre).

L’externalisation d’une fonction clé devra répondre à toutes les obligations imposées dans le cadre du régi­me applicable à l’externalisation des fonctions importantes ou criti­ques. Mais, à titre complémentaire, obéir à des contraintes additionnelles liées à la nature spécifique des fonctions clés. L’importance de celles-ci pour l’entreprise d’assuran­ce ou de réassurance justifie ainsi le respect d’exigences plus lourdes.

Aussi, et même si l’activité est confiée à une autre entreprise, la société externalisatrice conservera « l’entière responsabilité du respect des obligations qui leur incombent lorsqu’elles recourent à l’externalisation des fonctions ou des activités », en application de l’article L. 354-3, alinéa 1, du code des assurances.

Au surplus, l’externalisation d’une fonction clé supposera aussi l’informa­tion préalable de l’ACPR, laquelle information devra nommément désigner le responsable de la fonction clé désigné chez le sous-traitant.

Au final, le code des assurances est doté d’un dispositif normatif, fidèle aux objectifs de Solvabilité 2, au prix d’une complexité certaine.

Luc Bigel, Avocat aux Barreaux de Paris et du Québec, Hamza Akli, Avocat à la Cour, cabinet Gide Loyrette Nouel

Des fonctions clés pour quel objectif

• La « gestion des risques » met en place un système présentant les risques de l’entreprise et leur interdépendance.
• L’« audit interne » évalue notamment l’adéquation et l’efficacité du système de contrôle interne et les autres éléments du système de gouvernance.
• L’« actuarielle » a pour rôle de garantir l’exactitude des données et des calculs utilisés pour les provisions techniques prudentielles.
• La « vérification de la conformité » correspond à un système de contrôle interne qui permet notamment d’évaluer l’impact que tout changement juridique peut avoir.