L’ACPR vient de publier une nouvelle enquête réalisée au cours du troisième trimestre 2023 auprès de 189 organismes d’assurance et de réassurance. Son objectif ? Superviser et améliorer la connaissance des dispositifs d’externalisation des prestations importantes et critiques du secteur assurantiel. Un sujet de souveraineté et de gouvernance qui s’inscrit dans le cadre d’une préparation à l’entrée en application du règlement Dora en janvier 2025. Panorama des résultats.
Enquête ACPR : les assureurs ont davantage recours à l’externalisation de leurs activités critiques
Après l’analyse de la situation des assureurs français soumis à Solvabilité 2, l’Autorité de contrôle prudentiel et de résolution (ACPR) remet le couvert avec une nouvelle enquête sur les prestations critiques ou importantes que les assureurs externalisent. Reposant sur deux volets (à savoir un questionnaire en ligne et un inventaire des prestataires), cette autoévaluation est la première réalisée sur cette thématique. Elle témoigne de la volonté du superviseur d’avoir une plus grande visibilité sur cette tendance devenue prédominante. Les chiffres sont formels : 96 % des organismes d’assurance et de réassurance sondés ont aujourd’hui recours à l’externalisation de fonctions clés.
De la gestion des sinistres à celle des actifs, la sous-traitance sous toutes ses formes
C’est sans doute l’un des éléments à retenir de cette étude : la majorité des assureurs et des réassureurs externalisent la gestion des sinistres et des contrats quand leurs homologues mutualistes délèguent à des sous-traitants la gestion des actifs et des investissements.
L’enquête souligne la prise en considération (95 %) par les assureurs et réassureurs des principales obligations de conformité qu'ils doivent respecter, de la notification des activités sous-traitées à l’ACPR à l’existence d’une politique de sélection des sous-traitants stricte. Le tout s’imbrique dans une autre obligation : celle de s’inscrire en cohérence avec les dispositifs de contrôle interne et/ou de gestion des risques déjà existants au sein de l’entreprise. Toutefois, quand bien même la majorité des obligations de conformité sont respectées, on peut constater certains manquements dus au fait que certaines fonctions sont externalisées chez le même sous-traitant, ce qui génère un risque de concentration que 57 % des organismes d’assurance ou de réassurance déclarent ne pas évaluer. Autre exemple, certains contrats ne mentionnent pas des points pourtant obligatoires tels que la gestion des informations confidentielles ou les conditions d’une éventuelle sous-traitance par le prestataire. Reste à savoir si ces observations ouvriront la porte à des contrôles ciblés pouvant aboutir à des sanctions…
En définitive, les principes généraux de la mise en conformité sont respectés, mais, selon les propres mots de l’ACPR, "une application plus granulaire ou opérationnelle est nécessaire pour une meilleure maîtrise du risque de sous-traitance". Un enjeu primordial au regard de la nature des prestations externalisées, par exemple celle des systèmes d’information, au cœur du règlement Digital Operational Resilience Act (Dora) dont la mise en application est prévue en janvier 2025.
Dora, un règlement à explorer
Pensé pour répondre à l’augmentation des risques encourus par le secteur financier ayant recours aux Technologies de l’information et de la communication (TIC), le règlement Dora repose sur quatre piliers : la gouvernance et la gestion des risques informatiques, la déclaration des incidents majeurs liés aux technologies, les tests de résilience opérationnelle informatique et la gestion du risque de tiers.
Pour Jean-Baptiste Poulle, avocat associé chez Spitz Poulle Kannan, Dora introduit la notion de "risque lié au prestataire tiers", distincte de celle bien connue "d'externalisation" définie par l’Autorité Bancaire Européenne (ABE) – même si elle peut la recouper. Que ce soit pour l’accès à Internet et aux réseaux mobiles, la télésurveillance ou l'analyse de données, certaines fonctions confiées à un tiers pourront être soumises au règlement Dora alors qu'elles n'étaient pas considérées comme des fonctions externalisées dans le cadre des orientations de l’ABE.
Pour les organismes d’assurance et de réassurance se profile un véritable travail de fourmis pour identifier et mettre en conformité leur documentation contractuelle, au risque de s’exposer aux sanctions de l’ACPR, visiblement à l’affût sur le sujet.
Jonathan Banuelos