La chronique réglementaire de l’opus 18 des ENASS Papers est particulièrement importante parce qu’elle marque le point de départ de la révision « réglementaire » de la directive Solvability II (S II), dont la Commission a fixé le programme, et dont les premiers travaux sont déjà mis sur la place publique.
Elle contient également les premières démarches des Autorités européennes pour orienter, de façon réglementaire, l’activité des assureurs dans la nébuleuse de la durabilité, de la finance « verte », des investissements responsables, de la participation à la transition énergétique voire de la garantie des effets du changement climatique. Nul doute que ces sujets seront porteurs pour développer une réglementation nouvelle qui heurte, tout de même, de grands principes, dont le « principe de la personne prudente » en matière de gestion d’actifs.
En troisième lieu, le risque « cyber » et les évolutions technologiques continuent de préoccuper nos régulateurs qui, clairement, hésitent entre une approche libérale (la « neutralité technologique » et laisser faire les marchés pour produire les contrats adaptés au mieux des intérêts du consommateur assuré) et une approche régulatoire (la protection du consommateur, le risque de manque de capacités « pour les risques cyber les plus lourds et les silent covers », la stabilité financière).
Par charité, nous évoquerons à peine la suite de la longue saga des réglementations PRIIPs et le célèbre KID, où s’embourbent les Autorités de contrôle bancaire et assurantielle, entre PRIIPs et OPCVM, scénarios de résultats prévisionnels et benchmarks rétrospectifs pour les contrats en unités de comptes, etc.
Nous avons poursuivi notre démarche d’élargissement du champ de la chronique à l’ensemble des réglementations qui pèsent sur le secteur de l’assurance. L’actualité de la 5e directive sur la lutte contre le blanchiment et le financement du terrorisme nous a conduits à faire un point sur l’ensemble de la réglementation LCB/FT, gel des avoirs et fraude/évasion fiscale. La Cour des comptes a relancé le sujet des « contrats en déshérence », et il nous a paru nécessaire de donner un éclairage sur les obligations des entreprises en matière de lutte contre la corruption issue de la loi Sapin 2. Les synthèses sur ces sujets sont inspirées des caractéristiques communes à ces réglementations. Comme le RGPD et la DDA, elles imposent aux entreprises une organisation spécifique, la définition précise de responsabilités à l’intérieur de l’entreprise, un contrôle interne rigoureux, des « politiques écrites », un reporting au moins annuel et des contrôles sur pièces et sur place de nouvelles Autorités nationales de régulation. Le modèle de la Gouvernance institué par S II est ainsi dupliqué ou multiplié. La fonction « conformité », qui sera responsable de l’exacte information des dirigeants (AMSB) sur la bonne conduite de ces diverses fonctionnalités dans l’entreprise, se voit confier un rôle croissant et de plus en plus exigeant. Pour illustrer le propos sur l’extension du domaine de la réglementation des entreprises, nous ne résistons pas au plaisir de citer un article de l’Argus du 14 août 2019 déplorant qu’une moitié seulement des entreprises d’assurance de plus de 1 000 salariés soumises à l’obligation de calcul et de publication de l’indice d’égalité homme-femme y aient satisfait, que 2 entreprises d’assurances seulement aient obtenu un score parfait, mais que 12 % (en nombre) des entreprises aient obtenu un score inférieur à 75 % et « risquent donc à terme des sanctions pécuniaires pouvant s’élever jusqu’à 1 % de la masse salariale ».
L’École nationale des assurances est bien fondée à développer un certificat de formation sur la conformité postmaster et en formation continue. L’emploi est assuré pour des compétences indispensables et donc très recherchées.
I.1. Requête formelle de la Commission à l’EIOPA d’un avis technique sur la revue de la directive Solvency II – Réf : Ares (2019) 782244 – 11 février 2019
Dans cette lettre, adressée le 11 février dernier par Olivier Guersent à Gabriel Bernardino, le Directeur Général à la Stabilité financière, des services financiers et de l’union des marchés de capitaux, précise les domaines de la directive que la Commission entend voir revus. Tout d’abord les mesures garanties à long terme (LTG) et celles relevant du risque actions, les méthodes et les hypothèses et paramètres standards utilisés dans la formule standard de calcul du SCR, les pratiques nationales appliquées par les autorités de contrôle des divers États membres dans le calcul du capital minimum de solvabilité, la supervision des groupes et le pilotage de leurs fonds propres. Ces 4 points constituent le périmètre restreint de la révision, la Commission souhaite aussi une revue des activités transfrontalières, l’amélioration des principes de proportionnalité et du reporting ; l’avis technique est attendu par la Commission le 30 juin 2020 au plus tard. La sécheresse de la formulation et le rappel en gras de la date limite donnent à croire l’existence d’une certaine tension entre les organismes.
En annexe à ce courrier la requête est détaillée pour chacune des demandes énoncées. La Commission entend recevoir des avis circonstanciés respectant un certain nombre de principes au nombre de neuf. Parmi ceux-ci l’EIOPA insiste particulièrement sur le principe de proportionnalité et incite à ne pas aller au-delà de ce qui est nécessaire pour satisfaire aux exigences de la directive, la Commission veut éviter une charge administrative excessive des entreprises d’assurances et de réassurance en général et celle des petites entités en particulier. Ce dernier point est nouveau, il démontre que la Commission a compris la politique de l’EIOPA consistant à concentrer le secteur autour d’un nombre réduit de gros participants, Gabriel Bernardino n’a pas récusé pas cette affirmation dans une interview à un journal hollandais dont nous rendons compte dans cette chronique.
Autre principe : l’EIOPA est invité à consulter largement les participants du marché, en tout cas plus largement que ce qui a été fait jusqu’à présent. On verra dans cette chronique comment l’EIOPA conçoit les discussions de façon restreinte. De même l’EIOPA devra déterminer ses propres méthodes de travail en fonction des affaires qu’elle traite. Cette remarque est sibylline pour le commun des mortels, nous l’entendons comme un rappel à l’ordre concernant la variabilité des méthodes utilisées par le superviseur. Il est également enjoint à l’EIOPA de proposer quand il soumettra un avis technique plusieurs options avec une évaluation chiffrée des bénéfices. Dans ce même esprit la Commission attend un chiffrage du coût des tâches administratives supplémentaires et de conformité subséquente. Bien entendu le superviseur est tenu de fournir des données factuelles suffisantes à l’appui de ses analyses, ces données devront faire appel à des éléments requis auprès des NCAs et des acteurs du marché. Une analyse complète sur les sujets concernés sera fournie à la Commission et des dispositions ad hoc proposées tant pour la directive que pour le Règlement Délégué. L‘avis technique transmis par l’EIOPA ne devra d’aucune manière prendre la forme d’un texte juridique. Quel recadrage ! Faut-il y voir une reprise en main ou une forte suspicion d’indépendance de la Commission à l’égard de l’Autorité européenne de supervision des assurances ?
Dans la suite du texte la Commission « invite » l’EIOPA à délivrer une information technique sur les 19 points suivants :
- l’extrapolation du calcul du taux sans risque ;
- le « matching » et le « volatility adjustment » ;
- les mesures transitoires ;
- la marge de risque (« Risk Margin ») ;
- le calcul du risque de marché ;
- la modélisation dynamique du « volatility adjustment » dans les modèles internes ;
- la formule standard de calcul du SCR en étudiant particulièrement le calibrage du risque de taux dans l’environnement actuel des taux, le sous-module du défaut de contrepartie, la formule simplifiée de calcul du SCR, le calibrage du risque de souscription, le traitement des risques CAT-NAT ;
- les techniques d’atténuation des risques et autres techniques destinées à diminuer les exigences du SCR ;
- une révision du calcul du MCR, une harmonisation des pratiques nationales de contrôle en cas de non-conformité du MCR ;
- une évaluation de l’adéquation des dispositions S II avec une supervision macroprudentielle ;
- l’harmonisation des règles de reprise et de résolution ;
- l’harmonisation des règles d’intervention des fonds de garantie dans les divers États membres ;
- une évaluation du pouvoir des NCAs en cas de faillite d’une entreprise ayant des activités transfrontalières ;
- l’amélioration de la supervision des groupes concernant en particulier le périmètre d’application de la supervision, le contrôle des transactions intra-groupe, les règles de calcul de solvabilité des groupes, l’adéquation des règles de calcul du SCR consolidé minimum, les lacunes par rapport aux exigences de gouvernance au niveau groupe ;
- une évaluation des exigences de reporting et de diffusion de l’information, il est demandé à l’EIOPA d’apprécier si les exigences sur les éléments à communiquer sont appropriées et proportionnées pour les petites entreprises ;
- vérifier si les seuils d’exclusion du périmètre Solvability II sont appropriés, s’il y a lieu renoncer à certaines exigences et revoir les règles de simplification de calcul des sous-modules ;
- établir un rapport sur les divergences constatées dans les pratiques de supervision des calculs de « Best Estimate » ;
- donner un avis à la Commission sur les différences dans le classement des fonds propres entre les réglementations bancaire et assurantielle, cet avis devra également dire si ce classement peut générer une volatilité non fondée et déterminer si les critères de disponibilité des fonds sont clairs et adéquats ;
- donner un avis sur des méthodes supplémentaires d’évaluation des notes de crédit afin d’élargir leur usage.
I.2. EIOPA – BoS 19/033 – Application du principe de proportionnalité dans la supervision du SCR
Dans ce texte publié le 11 mars dernier l’EIOPA précise ce qu’il entend sur l’application du principe de proportionnalité lors du calcul du « Solvency Capital Requirement » ou SCR, principe brandi par le superviseur pour alléger la tâche des entreprises. Le superviseur vise à unifier la pratique des superviseurs nationaux (NCAs) en ce qui concerne l’application de ce principe.
L’EIOPA délègue aux autorités en charge de la supervision, les « National Competent Authorities » ou NCAs, le pouvoir d’autoriser l’adoption d’une approche proportionnée pour le calcul de certains sous-modules du SCR considérés comme peu importants ou immatériels.
L’entreprise qui décrète l’immatérialité d’un sous-module doit pouvoir démontrer à l’autorité de contrôle :
- que le montant de l’exigence de capital du sous-module est immatériel par rapport au SCR de base ;
- que l’application d’une approche proportionnée est justifiée par la nature et la complexité du risque ;
- que le modèle du sous-module est resté stable pendant les trois derniers exercices ;
- que le montant et le modèle sont alignés avec le « business model » et la stratégie de développement des années suivantes ;
- que l’entreprise ait mis en place un système de pilotage du risque et des process susceptibles de contrôler toute évolution du risque déclenchée par une source externe ou interne pouvant affecter la matérialité du sous-module considéré.
Le SCR du sous-module immatériel devra être recalculer complètement tous les 3 ans. En outre le responsable de la fonction actuarielle devra se prononcer sur l’immatérialité du sous-module et sur les calculs qui y ont conduit.
Après avoir pris des risques inconsidérés en autorisant cette approche l’EIOPA entend l’encadrer avec la mise en place d’indicateurs d’alerte à faire figurer dans le processus ORSA avec obligation d’informer la NCA en cas de déclenchement d’un indicateur. De même l’EIOPA est d’avis d’augmenter l’information communiquée via le « Regular Supervisory Reporting » (RSR) et le « Solvency and Financial Conditions Report » (SFCR) en y ajoutant des éléments d’information sur les sous-modules en approche proportionnée (nombre, montant, date du dernier calcul, indicateurs d’alerte avec seuils de déclenchement). Pas sûr que cela allège la tâche des entreprises !
Les autorités de contrôle devront informer l’entreprise de toute préoccupation sur l’application de cette approche, sur la matérialité/immatérialité du sous-module, sur l’évolution du profil de risque de l’entreprise, sur l’impact du sous-module sur les branches concernées, sur le fonctionnement du système de pilotage des risques, sur la classification propre du risque effectué par l’entreprise. Le superviseur a donc tout pouvoir d’interrompre à tout moment l’application de cette approche, laquelle n’est pas autorisée pour les groupes.
I.3. EIOPA – BoS 19/172 – Avis technique de l’EIOPA sur l’intégration des risques et facteurs de durabilité dans les règlements délégués Solvency II et DDA
Cet avis technique de l’EIOPA, publié le 30 avril dernier, s’efforce de répondre aux demandes d’inclusion des risques de durabilité (« sustainability ») dans les directives S II, UCITS, AIFM (2011/61/EU), MIFID II (2014/65/EU), IDD (2016/97/EU), les produits visés sont essentiellement les contrats vie épargne. Ces demandes avaient été adressées au superviseur européen en juillet 2018 qui avait jusqu’au 30 avril 2019 pour y répondre. Une consultation des entités d’assurances et de réassurance a été lancée à partir du 28 novembre 2018.
La principale difficulté pour l’EIOPA a été de cerner les notions de risque de durabilité ainsi que les facteurs de durabilité. La Commission a proposé, dans un plan d’action rédigé après l’accord de Paris sur le climat, trois axes pour les investissements :
- Axe 1 : réorienter les flux de capitaux afin d’atteindre une croissance durable et inclusive ;
- Axe 2 : évaluer et piloter les risques financiers significatifs dus au changement climatique, dus à l’épuisement des ressources et à la dégradation sociale et environnementale ;
- Axe 3 : favoriser la transparence et le long terme dans les activités économiques et financières.
- 1° « les investissements dans une activité qui a participé à un objectif environnemental mesuré par des indicateurs clés d’efficacité sur l’utilisation de l’énergie, de l’énergie renouvelable, de produits bruts, et de leur impact sur la biodiversité et l’économie circulaire » ;
- 2° « les investissements dans une activité avec un objectif social en particulier ceux qui contribuent à réduire les inégalités, qui renforcent la cohésion sociale et les relations de travail, ou les investissements dans le capital humain ou les communautés économiquement ou socialement désavantagées ».
La Commission semble s’être rendu compte du manque de clarté de ces notions et elle propose d’établir une réglementation pour « faciliter l’investissement durable » qu’elle dénomme « taxonomy », terme suffisamment obscur pour être promis à un bel avenir. Autrement dit on ne devra plus dans le futur parler d’investissement durable, un peu vulgaire, mais d’investissement taxonomique respectant les conditions indiquées plus haut au 1° et 2°.
Par ailleurs la Commission propose de rendre effective la notion de durabilité en faisant référence aux facteurs environnementaux, sociaux, et de gouvernance (« ESG factors »).
L’EIOPA utilise donc dans cet avis technique le terme « facteurs de durabilité » lorsqu’il s’agit de risques et d’opportunités portés par des considérations durables.
L’EIOPA a choisi de considérer l’introduction des risques de durabilité sous quatre angles :
- les contraintes organisationnelles ;
- les conditions opérationnelles ;
- le risk management ou pilotage des risques ;
- l’évaluation du marché cible.
- amender l’article 269 du Règlement Délégué (RD) qui traite de la fonction risk management, en y ajoutant une tâche d’identification et d’évaluation des risques de durabilité ;
- ajouter à l’article 275 du RD, qui concerne la politique de rémunération, un nouveau paragraphe sur l’information à donner sur la cohérence de cette politique après intégration des risques de durabilité.
L’EIOPA propose aussi de compléter la mission des actuaires en complétant l’article 272 du RD en la chargeant de vérifier les risques de durabilité. Concrètement l’avis du chef actuaire sera requis lors d’un changement dans la composition des actifs comme il l’est déjà sur les effets de l’inflation ou sur le risque juridique.
Comment inscrire ce risque de durabilité dans le pilotage des risques, s’est interrogé le régulateur. Il y répond par une proposition d’amendement des articles 260 du RD et 262 de la directive. L’article 260 relatif au risk management pourrait être complété par la prise en compte dans la partie souscription de facteurs internes ou externes tels ceux liés à la durabilité. L’article 262 de la directive S II pourrait également être complété dans l’exposition des risques pris en compte par les risques de durabilité dont ceux liés au changement climatique. Ces risques de durabilité sont à prendre en compte au titre des changements futurs du profil de risque, comme c’est déjà le cas pour la modification de la stratégie commerciale de l’entreprise et le changement d’environnement économique et financier. Le risque de durabilité est maintenant dans la cour des Grands Risques.
L’EIOPA fait aussi des propositions de modification du règlement délégué IDD, DDA en France, de deux sortes :
- a) Concernant les conflits d’intérêts susceptibles de s’élever entre les clients, les entreprises et les intermédiaires en raison de considérations ESG, le régulateur souhaite compléter l’article 3-1° du règlement délégué IDD en citant l’atteinte aux objectifs ESG parmi les causes potentielles de conflit à côté de celles relatives à la rémunération ;
- b) Le « Product Oversight Governance » devrait intégrer parmi les objectifs, intérêts et caractéristiques de la clientèle, un point sur les préférences ESG du marché cible dans la procédure d’approbation du produit qui prévoit une segmentation du marché par groupes de clients compatibles ; le régulateur envisage, apparemment de façon sérieuse, de regrouper les clients selon leurs préférences. Qui va, dans ces conditions, lancer un produit nouveau ? ;
- c) Il est envisagé pour les produits à commercialiser de tester auprès du marché cible les besoins, la durée de vie souhaitée, les préférences ESG. Une fois que le produit aura franchi ces tests et été commercialisé, l’entreprise devra procéder à une révision régulière du maintien dans la durée des préférences ESG du marché cible. On peut s’interroger sur la façon dont vont s’y prendre les NCAs pour contrôler cette adéquation du produit avec les préférences ESG des clients.
Les distributeurs n’ont pas été oubliés par le régulateur qui prévoit d’augmenter leur tâche en modifiant l’article 8 du RD IDD en leur demandant de comprendre le produit et d’identifier son marché cible, de repérer les clients pour lesquels le produit n’est adapté ni à ses besoins, ni à ses objectifs y compris ses préférences ESG. Ils devront adapter leur politique de distribution de façon à s’accorder avec les meilleurs intérêts de leur clientèle.
Tout ceci est-il cohérent avec la volonté affirmée (par la Commission) de simplifier et d’alléger la tâche des petites entreprises d’assurance ? Quels seront les critères d’appréciation de ces préférences ESG ?
Les compagnies, groupements professionnels et fonds de placement ont été très réservés sur ces dispositions qui impliquent un personnel supplémentaire pour en vérifier la bonne application. Le GDV (Fédération allemande des assurances) a même chiffré le coût des mesures pour les sociétés adhérentes. L’EIOPA a répondu qu’elle introduira systématiquement l’expression « where relevant » (si cela est pertinent) dans chacun des textes amendables, ce qui permettra aux entreprises de ne pas appliquer la vérification des préférences ESG.
I.3 bis. Documents EIOPA – BOS 10/172 et BOS 19/241 – Avis technique et document de consultation publique sur l’intégration des « risques et facteurs » de durabilité (sustainability) dans les directives et règlements délégués Solvency II et DDA – Aperçu des résultats de la Consultation publique et compte rendu des questions/réponses (Assureurs et « Parties prenantes »)
La Commission a requis un avis technique devenu, le 3 juin dernier, un document de Consultation (BOS 19/241) sur l’opinion fournie par l’EIOPA sur l’inclusion de la « durabilité » dans la réglementation S II. Le galimatias du titre résulte de la confusion des termes et peut-être des objectifs poursuivis. Après examen des divers textes, on peut expliquer la notion de « risques et facteurs » de durabilité de la façon suivante :
- pour répondre à la Commission, il faut modifier les textes législatifs de S II et de la DDA de façon à introduire les préoccupations qui sont souvent dénommées « d’économie sociale et solidaire » ou « environnementales, sociales et de gouvernance » (ESG) en anglais, mais aussi les sujets de « risques environnementaux », tels que les catastrophes naturelles liées au changement climatique, les risques sur les actifs qui peuvent être dépréciés par la « transition énergétique » (ou écologique ?), tels que les investissements dans les mines de charbon et (pourquoi pas ?) dans le fret maritime ou le transport aérien ;
- la démarche associe donc des risques que courent ou couvrent les assureurs et des « facteurs » de « verdissement » dont les assureurs sont les vecteurs. C’est le cas de fonds d’investissement qualifiés d’ESG (et inclus dans les contrats en unités de comptes) ou de financements directs d’investissement de la transition écologique (économies d’énergie, recyclage, installations d’éoliennes ou de centrales photovoltaïques, etc.) ;
- l’EIOPA et la Commission ont promis une « taxonomie » (nomenclature) de ces « risques et facteurs », que nous attendons avec impatience. Elle clarifierait (et éventuellement infirmerait) ce que nous avons cru comprendre, et surtout fixerait une liste des investissements « éligibles » au « label » ESG (ou ISR en français).
- Ce n’est pas la démarche de l’EIOPA qui pare au plus pressé (pour elle) : répondre à la demande de la Commission sur les modifications législatives à apporter aux textes pour « introduire » la « durabilité », sans préciser de quoi il s’agit.
Pour S II (Règlement délégué), il faut introduire, dans la définition de la fonction-clé gestion de risque, une responsabilité dans la mesure et la gestion des « risques émergents et du risque de durabilité ».
De même (et curieusement !), la politique de rémunération doit être cohérente avec « l’intégration du risque de durabilité ».
Du côté des actifs (investissements), le principe de la personne prudente qui gouverne l’allocation d’actifs (RD. Chapitre IX, section 6), l’EIOPA propose d’introduire une phrase sur le fait que les entités devront respecter les préférences ESG (ISR in French) du marché cible, « Where relevant » (en tant que de besoin ?). Cela figurerait aussi dans un nouveau considérant (« recital ») du RD.
La fonction actuarielle doit faire un rapport (à l’AMSB) sur les « risques de durabilité » (au même titre que les « risques d’inflation »), donc sur l’exposition aux risques de la transition écologique.
L’EIOPA propose d’inclure aussi, dans la « gestion du risque » (fonction-clé, article 260 du RD), à propos de la surveillance des risques de pertes, les « risques de durabilité » et les actions à prendre pour vérifier que ces « risques de durabilité », dans le portefeuille d’investissements, sont convenablement identifiés, mesurés et gérés.
De même, ces risques « incluant le changement climatique » seraient inclus dans le premier calcul de l’ORSA (besoin global de solvabilité, article 262).
Quant à la DDA, l’EIOPA propose :
- d’introduire les objectifs ESG dans les objectifs des « marchés cibles », de prendre en compte les conflits d’intérêts liés aux contrats en unités de compte, incluant des préoccupations ESG (lorsque le client annonce de tels objectifs pour son investissement), et considère que le sujet concerne aussi les rémunérations des commerciaux ;
- d’introduire la notion de « préférence ESG » dans la description des pour les définitions du marché cible de ce produit.
La lecture cursive des réponses à la consultation montre de réelles tensions entre les positions des assureurs et celles des « parties prenantes » qui sont, pour la plupart, des ONG environnementales.
L’EIOPA redéfinit les risques de durabilité comme ceux qui affectent le profil de risque à l’actif et au passif, y compris le principe de la personne prudente. Faut-il une organisation spécifique de l’entité pour gérer ce risque (au titre de la fonction-clé « gestion du risque » ?). L’EIOPA estime que la gestion de ce risque n’implique pas de modification des textes sur les questions de compétences, de rémunération et de sous-traitance.
Les assureurs estiment qu’il n’y a pas lieu à des modifications d’organisation. Le principe de la personne prudente pourvoit aux préoccupations de durabilité dans les investissements et à la protection du consommateur (et donc à ses préoccupations ESG). L’EIOPA note que ces préoccupations ESG sont prises en compte dans la définition du marché-cible.
Les ONG demandent une large modification de la directive S II, en conformité avec des travaux du Groupe d’experts de haut niveau (HLEG) sur la finance durable. Elles demandent que les préoccupations environnementales soient intégrées dans la directive (et non dans des lignes directrices) et, notamment, dans la gestion des risques de souscription, le risque de marché et le risque de crédit.
La question de l’inclusion dans le principe de la personne prudente, ne semble pas contestée, mais l’ampleur de cette inclusion fait débat. L’ambiguïté de la notion de risque de durabilité, de son impact sur le « profil de risque » (notion au demeurant ambiguë elle aussi), ainsi que l’inquiétude des assureurs devant le risque de faire face à des normes, voire à la déclaration d’inassurabilité de certains risques (mines de charbon) prennent une place importante dans les réactions des assureurs. S’y ajoute le débat sur la notion de « stewardship » (HLEG) qui imposerait aux investisseurs d’influencer la politique des émetteurs en matière environnementale. WWF veut fixer des objectifs aux assureurs, qui doivent demander des garanties aux investisseurs sur leur engagement écologique. L’EIOPA résiste en invoquant la liberté de choix d’investissement de l’assureur. Mais il est clair que le débat sur le « stewardship » (l’influence) n’est pas clos, d’autant que les ONG font valoir que les intérêts d’un assureur investisseur de long terme sont alignés avec les intérêts de l’écologie, en développant le désinvestissement dans les activités hautement carbonées, dont la rentabilité est, par définition, condamnée à long terme.
Quant à l’inclusion du « risque de durabilité » dans les fonctions actuarielles, dans la gestion du risque de souscription et de tarification (calcul des provisions), les assureurs paraissent globalement réticents à placer ce risque nouveau dans les travaux sur le passif (les couvertures d’assurance).
Les ONG estiment nécessaire d’introduire les dérèglements climatiques (avec des scénarios de réchauffement climatique à 1,5 ;/2 et supérieurs à 2 degrés C.), de communiquer sur l’exposition de leurs portefeuilles au dérèglement climatique et de les introduire dans leur politique de souscription et de provisionnement. Les assureurs estiment que c’est déjà le cas et que la réglementation serait, en l’espèce, redondante.
Le débat sur le niveau de réglementation (niveau 1/directive et RD ou niveau 2. RTS/.ITS) et l’introduction de la « durabilité » dans la catégorie des « Autres politiques de gestion de risque » se poursuit autour de l’introduction générale et absolue ou avec une réserve « en tant que de besoin » (« relevant » et « where appropriate »).
Les désaccords sont vifs sur l’introduction de scénarios climatiques dans l’ORSA. Les Actuaires font valoir que, faute d’une solide définition de la « sustainability », on risque des doubles comptes et l’on manque de modèles. Les ONG veulent une publication de l’exposition des assureurs aux secteurs de l’économie qui sont intensifs en production carbonée.
Quant à la directive sur la distribution, les ONG estiment que les produits d’assurance estampillés ESG (économie sociale) ne sont pas satisfaisants et ne reflètent pas la volonté des consommateurs de financer « l’économie réelle ». Elles estiment qu’il existe de graves conflits d’intérêts entre les assureurs ou les gestionnaires de fonds de pension et leurs clients qui souhaitent investir dans des contrats ESG, et exprimer leur préférence pour le développement durable. Les assureurs estiment que la DDA pourvoit à ces conflits d’intérêts et qu’il est exclu de contraindre les assureurs à proposer systématiquement des contrats ESG. À juste titre, ils font valoir qu’une « taxonomie » (nomenclature) des points d’application de l’ESG permettrait de clarifier le débat. Globalement, il y a bien, de la part des ONG, l’affirmation que les produits ESG actuels participent à la politique de « green washing », que les fonds de pension ne respectent pas les intentions (forcément très tournées vers la « durabilité ») des investisseurs et que les actionnaires des assureurs et fonds de pension sont en conflit d’intérêts avec les consommateurs. Il faut donc surveiller de près les votes dans les Assemblées générales, et notamment ceux des « proxys », très sensibles traditionnellement à la bonne conduite des entreprises en matière d’économie durable.
À noter des débats complexes sur la rémunération des commerciaux, et sur le risque de voir apparaître des rémunérations différentielles au profit des contrats ESG, voire des conflits d’intérêts entre des consommateurs orientés vers l’investissement durable et les investisseurs aux objectifs plus traditionnels.
La Commission et l’EIOPA se sont engagés imprudemment dans un débat sur l’ouverture de la réglementation prudentielle (et notamment le principe de la personne prudente) à l’introduction de normes environnementales (ou sociétales et de gouvernance). Les Autorités ont essayé de limiter la prise en compte des idées ESG à un minimum (where appropriate). Il n’est pas certain que cela suffise à satisfaire des ONG qui voient, dans le secteur financier (Rapport du High Level Expert Group), un instrument de la politique de « décarbonisation » de l’économie. La conclusion du débat pourrait bien être une « taxonomie » et des obligations introduites dans les règles prudentielles, de respecter des seuils d’investissement, de proposer des produits estampillés ESG et de modifier en profondeur les politiques de souscription. La révision de S II en 2020 montrera si ces anticipations d’une nouvelle réglementation directive, voire interventionniste, et non plus prudentielle mais non moins contrôlée, sont exagérées.
I.4. Structures du taux d’intérêt sans risque (RFR). Calcul du taux d’intérêt ultime (UFR) – BoS 19/115 publié le 21 mai 2019
Pour la zone euro le taux ultime sans risque (UFR), qui s’applique sur les engagements et les actifs à 30 ans et au-delà, est établi chaque année par l’EIOPA. Au 1er janvier 2020 il a été fixé à 3,75 % contre 3,90 % pour l’année 2019.
Le calcul théorique, résultant de la somme entre un taux réel attendu de 1,55 % et le taux d’inflation prévu de 2 %, donne un chiffre de 3,55 %. Pour information le taux de 1,55 % est la moyenne des taux d’intérêt entre 1961 et 2018. Ce taux théorique est inférieur de 35 points de base au taux actuel, il n’a pas été retenu car la réglementation S II limite la variation de l’UFR d’une année sur l’autre à 15 points de base, limitation qui évite une trop grande variation de la valorisation des engagements longs.
Pour les autres zones monétaires les taux théoriques sont calculés de la même manière avec un taux d’inflation propre pour chaque zone. Le spectre des taux va de 2,75 % pour le franc suisse à 5,50 % pour le rand sud-africain. Pour la majorité des zones l’UFR est de 3,75 %.
I.5. EIOPA – BoS 19/274 – 22 juillet 2019 – Discussion sur les principes méthodologiques des stress-tests
Le document émis en juillet a pour objet de recueillir l’avis des assureurs européens sur la méthodologie mise en place dans la conduite des stress-tests (ST), exercices destinés à évaluer la solidité des entités d’assurance et de réassurance dans un contexte de marché défavorable et à estimer le risque systémique que peut poser le secteur de l’assurance. Le superviseur a fixé au 18 octobre la date ultime de réception des réponses des assureurs. Une des intentions de l’EIOPA est de mieux apprécier tel ou tel aspect de résilience des bilans prudentiels comme la liquidité des positions dans diverses situations défavorables ou bien évaluer l’évolution des positions en prenant en compte les risques physiques et de transition liés au changement climatique.
Ce papier est divisé en 2 parties :
- présentation des principes méthodologiques et des orientations à suivre pour ces exercices futurs de ST ;
- structuration des informations attendues par l’EIOPA sur les éléments clés des ST.
1. Les procédures et les objectifs des ST
Les procédures sont cartographiées, elles se suivent de façon chronologique en commençant par la définition des objectifs et en se terminant par le suivi des résultats et leur divulgation. L’EIOPA voit deux objectifs pour ces ST, ceux à visée microprudentielle qui sont centrés sur la résilience de telle ou telle entité en cas d’évènements défavorables, ceux à visée macroprudentielle dont l’objet est de déterminer la résilience du secteur et en particulier celle des assureurs systémiques auquel il faut ajouter l’évaluation des éventuels débordements vers le système financier et l’économie réelle causés par la réaction des assureurs à ce type de crise systémique. Jusqu’à présent l’EIOPA s’est cantonné au microprudentiel. À la fin de cette partie le superviseur se tourne vers les assureurs pour leur demander d’exprimer une opinion sur ces objectifs des ST et sur leur idée, s’ils en ont une, sur une combinaison comprenant un test microprudentiel avec une évaluation quantitative des réactions des assureurs après stress. Autrement dit deux tests à faire pour le prix d’un et un résultat confus à la clé.
L’EIOPA passe ensuite en revue les différentes approches possibles d’un exercice ST. Elle distingue trois sujets pour lesquels un avis des participants est sollicité : la définition et/ou le recalcul de la situation de départ (« Base Line »), l’horizon temporel choisi, l’usage d’actions du management. Le superviseur est d’accord pour considérer que, dans le cas d’un recalcul de la Base Line, il puisse y avoir des écarts par rapport à la situation de fin d’année communiquée aux autorités de supervision. C’est le cas si des changements de périmètre ou de modèle sont intervenus depuis l’établissement de la situation de fin d’année. Une discussion est alors engagée par l’EIOPA avec lui-même sur les avantages et inconvénients d’un choc instantané par rapport à un choc s’étendant sur plusieurs exercices. Des scénarios de choc sur plusieurs périodes sont envisagés, l’EIOPA sollicite l’avis du marché. Il sera intéressant de découvrir la réponse des assureurs alors qu’ils ne peuvent pas évaluer l’augmentation de charge de travail informatique occasionné par un scénario multipériodique. Les actions entreprises par le management auxquelles se réfère le superviseur sont de deux types, les « embedded management actions » et les « reactive post-stress management actions ». Les premières sont des actions ayant déjà été informatiquement modélisées avec la réponse de l’entreprise en cas de scénario défavorable, les secondes ne sont pas réalisées par les applicatifs de l’entreprise mais par des décisions à prendre en cas de scénario défavorable une augmentation de capital par exemple. L’EIOPA pose alors 6 questions sur cette distinction entre les deux sortes d’action dont on peut douter de l’utilité et de la validité des réponses qui y seront apportées. Le superviseur exprime alors son opinion sur ce qu’il recherche : dans le cas d’un ST microprudentiel c’est l’approche instantanée qui prévaut avec une limitation des « embedded actions » et une prohibition des « reactive post-stress actions » ; si l’objectif est d’évaluer la vulnérabilité du secteur le scénario choc instantané est à privilégier avec des composants particuliers tels des chocs spécifiques pour l’activité d’assurance sur une période longue et sans limitation des « embedded actions » et autorisation éventuelle des « reactive post-stress actions ». Si l’objectif est macroprudentiel et focalisé sur les effets de débordement l’avis de l’EIOPA est d’adopter une approche « choc instantané » avec un usage limité des « embedded » et des « reactive post-stress actions » en première variante, sans limitation des « actions » en seconde variante. Ces trois cas de figure seront très probablement appliqués dans les prochains exercices de ST.
2. Portée des ST
Selon l’EIOPA, la question de la cible de l’exercice est ramenée au choix entre trois approches : celle des entreprises agissant en mode isolé dit « solo », celle des groupes avec un modèle interne, celle des groupes synthétiques où ne sont pris en compte, pour la consolidation des résultats, que le sous-ensemble des entreprises « solo ». Ces différentes approches permettent de différentier les résultats selon que l’on cherche à obtenir des résultats au niveau du marché national ou au niveau européen, ou encore au niveau d’une branche d’activité. En ce qui concerne les entités « solo » la référence utilisée par l’EIOPA sera toujours leur taille sur le marché national, mesurée selon trois « métriques » : le total des provisions techniques (TP), le total des primes émises brutes (GWP), le total des actifs (TA). Dans un tableau le superviseur indique la métrique à utiliser pour apprécier la taille de l’entreprise en distinguant selon un critère géographique (pays, UE), selon la branche étudiée (vie, non-vie, toutes branches). En vie la métrique préférée par le superviseur est le TP vie, en non-vie le GWP non-vie, pour une branche spécifique vie ce sera le TP de la branche, pour une branche spécifique non-vie le GWP de la branche, si l’objectif vise l’ensemble du marché sans distinction vie/non-vie ou bien une ligne de produits la métrique sera le TA. Pour les groupes les métriques de référence sont les mêmes mais la référence est le marché européen. Par exception l’EIOPA admettra une métrique supplémentaire dans le cas d’un ST basé sur un facteur de risque spécifique par exemple dans un scénario CAT-NAT la somme assurée pourra être retenue.
En conclusion l’EIOPA estime que la cible la plus appropriée pour des ST microprudentiels est l’entreprise en mode « solo ». Un interrogatoire sur ces approches est adressé aux participants.
3. Conception des scénarios
L’EIOPA a tenté d’identifier les critères des scénarios. Il en a retenu deux, sévérité et crédibilité. Le superviseur voit quatre aspects à cette conception de scénarios : un aspect historique et prévisionnel, la cohérence nécessaire avec le cadre réglementaire S II, la prise en compte d’un seul scénario ou de plusieurs, le niveau de granularité des chocs.
Après avoir comparé les avantages et inconvénients des approches historique et prévisionnelle l’EIOPA considère qu’une approche hybride mêlant des hypothèses relevant de chacune des approches reste la meilleure. En fait l’EIOPA entend rester maître des hypothèses ce que personne ne lui conteste.
Le problème de la cohérence des scénarios dans le cadre S II est vu à travers la difficulté du calcul du taux sans risque (RFR), du taux d’intérêt ultime (UFR) dans une période prolongée de taux d’intérêt bas voire négatifs. Pour ce faire l’EIOPA propose deux options d’ajustement de l’UFR : la première consiste à ajuster dans le scénario ce taux ultime, la seconde est de maintenir inchangé l’UFR mais de traiter à la marge l’impact de l’UFR avant et après stress. Il est proposé pour évaluer la position selon S II de garder le même UFR que pour la position « Base Line », par contre pour évaluer l’impact économique d’un scénario l’EIOPA préfère que l’UFR soit ajusté. Tout ceci est compliqué et relève de la basse cuisine. Il faut espérer que les assureurs participants émettent un avis négatif.
L’EIOPA pose ensuite la question de l’approche la plus appropriée pour combiner des facteurs de risque dans le même scénario. Trois approches sont retenues : celle avec facteurs de risque unique telle une baisse unique et instantanée de x % ou une hausse du RFR de x points de base ou bien une variation de l’espérance de vie, une seconde approche pour le superviseur serait celle du scénario unique avec de multiples facteurs de risque mais avec une amplitude de choc limitée (e.g. une limitation aux seuls chocs de marché ou à des chocs spécifiques à l’assurance) ; la troisième approche évoquée est dite du scénario combiné (« combined scenario ») consistant à appliquer en même temps un choc sur marché et un choc assurance. Pour l’EIOPA, les « combined scenarios » sont ses préférés, elle espère que les assureurs interrogés valideront ce choix.
Granularité des chocs : les ST réalisés jusqu’à présent ont spécifié pour un certain nombre de pays le niveau du choc à appliquer sur les actions (de -1 % en Slovaquie à -19 % pour l’Italie) ou sur les obligations souveraines pour lesquelles le niveau du choc était variable selon le pays et l’évènement déclencheur. Face à cette approche l’EIOPA milite pour une approche groupée (« bucketing approach ») où il s’agit par exemple pour les actions d’appliquer le même choc pour les pays émergents et un autre niveau de choc pour les pays développés, pour les obligations d’État l’EIOPA suggère d’appliquer le même niveau de choc pour toutes les émissions ayant le même rating (AAA, AA, A, BBB, BB, B).
Incorporées à cette section, deux approches possibles pour « stress-tester » l’impact du changement climatique sont présentées. Un scénario climatique du long terme tout d’abord où il serait demandé aux assureurs d’analyser l’impact de leurs actifs, de leurs engagements et leurs « business models » dans différents scénarios climatiques s’étendant sur plusieurs années sans plus de précision. L’approche climatique courte à intégrer dans le ST s’étendrait sur un horizon de à 3 ans et ferait intervenir risques physiques et de transition climatique. Les risques physiques se rapporteraient à une augmentation soudaine de l’importance et de la fréquence d’évènements climatiques majeurs. Pour les risques de transition les ST pourraient être liés à une augmentation substantielle du prix du carbone, à un choc technologique ou à un changement des habitudes de consommation se traduisant par un choc sur les actifs basés sur des émissions de gaz carboniques intenses. Tout cela est bien vague et va demander beaucoup de temps à être précisé avant de devenir un vrai choc, par contre on peut penser que les assureurs vont compléter leur « black list » d’achat de valeurs liées aux énergies fossiles et probablement à l’automobile.
4. Les chocs et leur application
Ce chapitre traite des chocs de marché en premier lieu, des chocs liés à l’assurance (« insurance based schocks »). Il s’agit d’un passage en revue des approches proposées par l’EIOPA.
4.1. Chocs de marché. Sont présentés les chocs sur obligations, actions, taux SWAP, actifs immobiliers, prêts et créances hypothécaires, organismes de placement collectif, créances sur réassureurs.
L’EIOPA rappelle tout d’abord que pour les différentes valeurs à revenu fixe il faut tenir compte de l’effet combiné d’un changement de rendement et d’une modification du RFR résultant de chocs sur les taux SWAP pour diverses devises (pas seulement l’euro). Tout ceci permet de calculer un changement d’écart de crédit pour une obligation donnée selon l’équation : Δ Credit Spreadbond = Δ Ybond – Δ SWAP, où Y est le rendement. Ainsi l’écart de SWAP est relié à un écart sur le rendement et un écart de crédit pour une maturité donnée. Le choc sur les obligations d’État peut être différentié par pays, par maturité ou par rating. Pour les obligations émises par des organismes supra ou multinationaux l’EIOPA ne procède à aucun choc spécifique sur le rendement mais elles seront réévaluées par suite résultant d’une modification du taux sans risque qui provient de variations du taux SWAP.
Les chocs sur les actions sont donnés en pourcentage sur les cours cotés dans chaque pays ou zone géographique. Si le scénario prévoit un choc actions sans précision sur le pays il sera utilisé la moyenne des chocs appliqués dans la zone géographique la plus proche. Pour les actions cotées sur plusieurs places on pourra appliquer la réduction de valeur sur la cotation constatée dans le pays de la société cotée. Pour les actions liées à des indices le choc s’appliquera directement sur le DAX pour les actions allemandes, sur l’Euro Stoxx 50 pour les autres actions européennes. Pour les non-cotées, le niveau du choc sera égal à celui appliqué à la société parente émettrice.
Pour les biens immobiliers, comme pour les actions dans le cas où le choc ne précise pas le pays, il faudra appliquer un niveau de choc égal à la moyenne des chocs appliqués dans la zone géographique la plus proche. Le choc immobilier peut également s’étendre aux équipements de la même manière que cela est pratiqué pour l’immobilier commercial.
Le choc sur le rendement des créances hypothécaires sur la résidence (« RMBS ») utilisé pour déterminer la valeur, après exercice du stress, du portefeuille de prêts et d’hypothèques en fonction du rating dudit portefeuille et de sa localisation. En cas de difficulté pour établir le rating il sera classé BBB. Sans indication de pays il faudra traiter les RMBS et les prêts de manière similaire à ce qui sera appliqué dans la zone la plus proche.
Les investissements dans les organismes de placement collectif sont traités à travers une approche par transparence (« look through approach ») donc les dispositions ci-dessus pour les obligations, les titres cotés s’appliquent. Pour les autres organismes de placement collectif investis dans du non-coté il faudra faire le même traitement que pour l’organisme de placement le plus semblable. Sont concernés hedge funds, fonds d’investissements immobiliers (REITS). Ceci est très approximatif et le niveau de choc devra être reprécisé si ce type de placement devait prendre de l’importance dans les portefeuilles d’actifs des entreprises.
Les expositions liées aux opérations de réassurance classées 1 sont également à choquer au moyen d’une dégradation du rating de la contrepartie, le réassureur, ce qui modifie la probabilité de défaut et augmente la perte probable (« loss given default – LGD »). Les créances sur les réassureurs sont à réduire à hauteur du montant des pertes attendues d’un défaut de contrepartie. Là encore l’EIOPA attend des participants avis et/ou observations.
4.2. Chocs spécifiques à l’assurance. Les chocs spécifiques à l’assurance vie sont examinés tout d’abord puis ceux relatifs à la non-vie, avant de terminer cette section par une analyse des autres impacts sur le bilan dus à la réévaluation des positions post-stress.
• Les chocs vie. L’EIOPA livre ses approches de ST pour trois types de risque : longévité/mortalité, rupture de contrat, augmentation des frais. Les risques morbidité/invalidité, révision soudaine de valeur des engagements, pandémie donneront lieu ultérieurement à des études de calibrage et seront incorporés, nous dit l’EIOPA, dans les ST.
Longévité/mortalité : les ST ne retiennent que les cas de variation de taux de mortalité ou de longévité occasionnant un risque de perte. Autrement dit si le scénario prévoit une augmentation du taux de mortalité on retiendra cette hypothèse sous condition qu’il en résulte une hausse des provisions techniques (« TP »), de la même façon une décroissance du taux de longévité ne sera retenue que moyennant une hausse des « TP ». Il s’agit d’éviter tout impact positif sur la solvabilité. L’EIOPA rappelle ensuite les éléments principaux se trouvant dans les modèles utilisés pour le calcul des taux de mortalité et de longévité et donne ensuite deux tables de taux de mortalité et de longévité qui ont pour but de montrer une approche granulaire des taux fonction de l’âge atteint et de la durée restante d’ici le terme du contrat. Concernant le choc le superviseur refuse d’appliquer un choc uniforme sur tous les taux de mortalité sans tenir compte du montant « Best Estimate » des engagements. L’EIOPA fait remarquer qu’en se limitant à un choc uniforme sur les taux on fait abstraction de l’âge de l’assuré, de son sexe, du type de produit. Une modification des taux de mortalité entraînant trop de modifications dans les paramètres directeurs comme la tendance ou la volatilité du taux de mortalité qu’il est apparu préférable pour l’EIOPA d’appliquer les chocs sur les hypothèses utilisées pour le calcul des provisions estimées au BE.
La rupture du contrat vie provoqué par un changement du taux de participation bénéficiaire se traduit par une volatilité du taux des rachats, des fins de contrat, des non-renouvellements. C’est un élément clé des exercices de ST. Le niveau des chocs est fixé à dire d’experts, nous dit l’EIOPA, en raison paraît-il de la rareté des données sur la plupart des marchés, cela n’est pas exact pour le marché français. Pour le superviseur deux points prêtent à discussion, l’interdépendance spécifique entre la conception du choc de rupture et son application d’une part, l’impact marginal potentiellement positif d’autre part.
Le choc de rupture (« lapse schock ») peut s’imaginer comme un choc permanent sur le taux de chute (ou de rachat) des polices se traduisant par une modification des hypothèses sur les engagements au BE. Mais on peut aussi procéder à un choc sur les paiements intervenant lors des fins de contrat. C’est l’option choisie par l’EIOPA qui communiquera des taux de chute portant sur le BE quelle que soit l’assiette considérée (nombre de contrats, somme assurée, montant des primes, etc.). Cela n’est cependant pas suffisant pour caractériser un « lapse schock » ; pour le superviseur, il faut y adjoindre la prise en compte des caractéristiques des contrats constitutifs de l’encours. L’EIOPA propose une solution dénommée « bucketing criteria », que l’on peut traduire par « critères de regroupement », qui est envisagée sous deux approches :
- l'approche « Formule Standard » consiste à calculer l’exigence de capital pour le sous-module « lapse » dans la formule standard dans trois cas de figure (augmentation/réduction du taux de rupture, risque de rupture massive pour les contrats dont la disparition provoque une augmentation des TP) et l’on prend le maximum de ces trois chiffres ;
- une autre approche est proposée, dénommée « classification approach », liée à la sensibilité des taux de rupture selon le type de produit ; ainsi, les temporaires décès, les polices mixtes, les produits multi-supports se verraient attribuer des taux de rupture propres. L’EIOPA voit d’un œil favorable cette segmentation.
Dernière approche baptisée « uniform approach » fondée sur l’évidence empirique !!! Cette fois le superviseur envisage une augmentation instantanée du taux de rupture pendant 2 à 3 ans, tous les types de produit seraient concernés. À l’issue de cette période les taux de rupture reviendraient à leur niveau initial.
Les participants sont invités à répondre aux questions d’ici le 18 octobre. On peut supposer que l’EIOPA fera un mix de ces approches. Il en résultera pour les entreprises une segmentation précise des portefeuilles et des calculs segmentés par produit qui engendreront chez certains quelques frais d’analyse et de programmation.
Le risque d’augmentation des dépenses ou des engagements en branche vie résulte de changements du niveau, de la tendance ou de la volatilité des dépenses sur les contrats en cours. Le niveau de choc peut être relié aux objectifs de taux d’inflation de la Banque Centrale Européenne (BCE) mais l’EIOPA estime que la composante importante est constituée par l’ajustement des hypothèses BE de dépenses, ajustement dépendant d’un taux de dépenses mal défini (pourcentage sur chaque contrat, sur les primes émises, sur d’autres mesures de volume). En bref le superviseur n’est pas d’avis d’appliquer un unique facteur d’inflation à touts les dépenses, il attend des assureurs des propositions.
Concernant la branche morbidité/invalidité, la révision des engagements, les pandémies, les chocs sur ces facteurs de risque donneront lieu ultérieurement à des études de calibrage des chocs à mettre en place.
• Les chocs non-vie. Les chocs potentiels concernent l’insuffisance de provisions et les évènements catastrophiques.
Nul n’ignore qu’une augmentation des provisions techniques non-vie résulte d’une croissance du coût des sinistres et/ou de leur fréquence, ainsi que de la hausse des dépenses afférentes à leur liquidation, ou d’une révision des annuités dues aux assurés et aux victimes suite à des modifications légales ou à une détérioration de l’état de santé de l’assuré ou de la victime. Les chocs envisagés sont des augmentations en pourcentage du taux d’inflation prévu pour chaque génération de dossiers sinistres. L’EIOPA propose 3 façons d’estimer les coefficients d’inflation applicables sur la série chronologique de liquidation des provisions.
Les scénarios utilisés pour les Cat-Nat et les catastrophes d’origine humaine s’appliquent à toutes les branches. L’EIOPA privilégie le scénario « event-based », qui s’appuie sur une évaluation d’impact basée sur un ensemble d’évènements Cat-Nat ayant touché le secteur européen de l’assurance, au détriment d’une approche fondée sur les sous-modules de la réglementation S II. Pour les catastrophes d’origine humaine (« man-made ») l’EIOPA est d’avis d’utiliser des bases de données telles que celle du World Trade Center (située dans le « New York Worker Compensation System ») ou celle éditée par Swiss Re.
Le règlement des sinistres catastrophes est plus ou moins long et fait intervenir les traités de réassurance en cours. Selon le niveau et le type de couverture accordée par les réassureurs le montant à charge de l’assureur sera plus ou moins lourd et le SCR augmenté. Mais l’EIOPA entend appliquer dans ce cas un choc supplémentaire sur le défaut des réassureurs touchés. Avis est demandé aux participants.
5. La situation après ST des postes du bilan
L’EIOPA disserte ensuite sur la position, après application du ST de certains postes du bilan prudentiel, des postes d’impôts différés à l’actif et au passif (DTA et DTL), des dérivés, des simplifications, de l’exemption de ST pour quelques postes, et de la capacité d’absorption des pertes par les impôts différés (« LACDT »). Seul ce dernier item sera commenté dans cet article, nous renvoyons au texte original pour les autres.
Le LACDT est un amortisseur permettant d’utiliser une perte économique provoquée par exemple par un ST dont il résulte une réduction d’impôt imputable éventuellement sur le poste impôts à payer. À l’issue de l’exercice du ST l’EIOPA propose, à titre de simplification, de plafonner le LACDT au montant du DTL enregistré dans la situation « Base Line ». Le LACDT intervient dans le calcul du SCR et souvent de façon significative pour les entreprises vie.
Les ST prévoient une modification de la courbe des taux ce qui a pour effet de faire varier une majorité des postes du bilan. Le superviseur admet néanmoins qu’une partie d’entre eux soient exemptés de réévaluation s’ils se trouvent au-dessous du seuil de matérialité défini spécifiquement. Ce seuil peut selon le cas être exprimé en fonction du total des actifs, du total des engagements BE, des fonds propres éligibles, du SCR.
L’EIOPA précise que le calcul de l’impact des mesures « Long Term Guarantee » (LTG) et transitionnelles sera aligné avec les objectifs du ST. Les dispositions LTG restent a priori identiques à ce qu’elles sont en situation « Base Line » ; sauf si un choc est prescrit concernant ces dispositions et alors la recalibration de certaines grandeurs (TP, RFR, Equities) sera effectuée sur la situation BL et gardé constant lors de l’exercice de ST. L’EIOPA se chargera de communiquer le niveau de l’ajustement de volatilité et l’ajustement symétrique. Le résultat sera communiqué séparément à l’EIOPA.
La marge de risque post-stress sera recalculée en utilisant soit la même méthode qu’en Base Line soit la seconde méthode prévue dans la « Guideline 61 » de l’EIOPA sur l’évaluation des provisions techniques.
Le superviseur termine ce chapitre en marquant son insatisfaction sur l’approche utilisée en 2018 par les groupes concernant la consolidation des résultats post-stress de leurs filiales et participations. Il est demandé aux groupes leur avis sur une approche spécifique de modèle.
6. Collecte des données et validation
Ce chapitre expose quelques principes relatifs aux données et tableaux à fournir à l’issue de l’exercice de ST ainsi que la façon dont l’EIOPA les valide.
La série des tableaux qui donne les résultats figurant dans la « Base Line » et dans les scénarios stressés doit être aussi rapprochée que possible des états trimestriels. La collecte des données devra être cohérente avec la portée de l’exercice. Un aspect fondamental de cette collecte est la distinction entre les données d’analyse et celles nécessaires à la validation. Les données d’analyse sont suffisantes dès que les rapports sont complets et remplis correctement.
Le principe général de validation réside dans la vérification de l’évolution des chiffres entre la situation BL et celles avant et après ST. Quatre niveaux de validation ont été fixés. Le niveau 0 consiste à vérifier la complétude et la cohérence des tableaux, au niveau 1 est vérifiée l’application cohérente des chocs prescrits avec usage de formules de vérification des chiffres des tableaux, au niveau 2 sont réalisés des comparaisons avec les chiffres des autres participants, au niveau 3 un certain nombre de postes sont vérifiés et comparés par rapport à un modèle interne développé par l’EIOPA.
Que peut-on conclure de ce long soliloque de l’EIOPA ? À notre avis peu de choses, si ce n’est que le superviseur va mettre en place des ST de plus en plus nombreux afin de pouvoir mesurer des sensibilités micro ou macroprudentielles, calculer théoriquement les limites de solvabilité d’un marché, d’une entreprise. Ces exercices sont également un moyen de constituer une base de données suffisamment vaste pour exercer un contrôle de chaque entité du marché sous prétexte de contrôle permanent de solvabilité. Les chocs envisagés sont exclusivement économiques, financiers, assurantiels, quid du choc de « verdissement » ? Sera-t-il intégré dans la révision de la réglementation de 2020 ?
Cela étant cet éclairage sur les scénarios et la façon dont l’EIOPA l’interprète n’est pas inutile pour les entreprises. Mais elles devront probablement s’engager dans de nouveaux développements informatiques, bonne occasion pour augmenter les frais d’exploitation et les faire supporter en partie par la clientèle. Au fond, on peut considérer que le fonctionnement de cette supervision européenne est financé par le supervisé et en partie par la clientèle qui est très contente de savoir que les assurances sont de plus en plus solvables et de plus en plus chères.
I.6. EIOPA – BOS 19/131 du 29 mars 2019 (Discussion paper) – Le risque systémique et la politique macroprudentielle dans l’assurance
L’EIOPA poursuit ses réflexions sur les instruments nécessaires pour prévenir les risques « macroprudentiels » et le risque systémique dans l’assurance, sur lesquels il a déjà produit des textes de réflexion. L’Autorité défend évidemment l’idée que le contrôle des assurances, par définition microprudentiel (situation de solvabilité des entreprises considérées individuellement ou groupe d’assurances) ne saurait être remplacé par des mesures « macroprudentielles » : S II doit, pour elle, demeurer le centre de l’attention des Autorités. Mais elle ne peut ignorer l’existence de risques systémiques et la pression en faveur d’une vision globale de l’industrie affectée par des phénomènes macroéconomiques. La persistance de taux d’intérêt bas est significative à cet égard. Et la Commission, dans le cadre de la revue de S II pour 2020, sollicite son avis sur l’adaptation de S II à la maîtrise du risque systémique.
Le document ambitionne de répondre à trois questions : l’assurance est-elle systémique (les Global Systemically Important Insurers – GS II – sont déjà listés par le Financial Stability Board) ? Les outils de S II peuvent-ils être utilisés (et sont-ils déjà conçus) pour réduire le risque systémique ? Faut-il créer d’autres outils ?
1. L’assurance est-elle systémique ?
L'assurance est moins systémique que la banque, mais des mesures macroprudentielles sont nécessaires pour éviter que l’assurance ne crée ou n’amplifie des risques systémiques, dont la crise de 2008 a montré l’existence.
Les sources de risque systémique sont de trois ordres :
- directes, et liées à des entités spécifiques : le défaut d’une GS II ou d’un important assureur domestique (D. S II), ou la sensibilité d’un grand nombre de petites entités à un choc général (les taux) ;
- indirectes et liées à un type d’activité : l’EIOPA cite les dérivés de crédit, les « variable annuities », les produits à taux garantis. Pour l’essentiel, il s’agit de produits ou d’investissements très liés à la gestion d’actifs ;
- sources liées au « comportement » des entités : concentration de risques excessifs, provisionnement faible et tarification insuffisante (la crise de la RC américaine dans les années 2000), gestion d’actifs (ventes brutales et massives, « search for yield », politique de prise de risque excessive.
L’Autorité intègre cette analyse dans une approche « conceptuelle » du risque systémique : l’événement déclencheur (mouvement de taux d’intérêt), le profil de risque de l’entité, l’existence d’éléments qui peuvent transformer un risque d’entreprise en risque systémique, les canaux de transmission à l’économie globale (par exemple, la disponibilité de la capacité de souscription, la liquidation d’actifs, les anticipations) et, enfin, les sources de risque systémique.
L’Autorité en conclut que les mesures « macroprudentielles » doivent équilibrer les mesures liées à l’entité (microprudentielles) et fondées sur l’activité. Les mesures macroprudentielles à prendre sont, dès lors, fondées sur des objectifs opérationnels qui s’adressent aux trois « sources » de risque systémique. L’EIOPA, malheureusement, énonce à ce sujet des évidences : vérifier la capacité suffisante d’absorption des pertes par les provisions, éviter la souscription de certains produits ou dans certaines activités, éviter la concentration de risques, limiter la procyclicité, et décourager « le comportement à risque ». On ne saurait mieux dire, mais un lourd appareil méthodologique était-il nécessaire pour produire de telles évidences ?
2. Solvency II dispose d’outils de prévention des risques systémiques
La réglementation prévoit des modalités de provisionnement qui assurent une capacité suffisante d’absorption des pertes et découragent le comportement risqué. Le principe de la personne prudente, l’ORSA, les obligations d’augmentation de charge en capital (capital Add-ons) ont un effet macroprudentiel indirect Les mesures du « paquet branches longues » (LTGA) et la surcharge de capital sur le risque « Actions » ont un effet macroprudentiel direct. Enfin, l’EIOPA interdit ou restreint certains types d’activités financières (les célèbres activités NT-NI : non traditionnelles/non assurantielles).
3. L’EIOPA propose une liste d’instruments supplémentaires pour pallier le risque systémique et les soumet à consultation.
i) Deux ratios de levier sont proposés pour l’assurance :
- l’excès de l’actif sur le passif (excédent de capital) + les dettes subordonnées rapporté au total des actifs (hors U.C.) ;
- passifs subordonnés + dettes aux institutions financières + autres dettes financières rapportées à l’excédent de capital + dettes subordonnées.
ii) La surveillance accrue du risque de sous-réservation généralisée sur le marché. Il s’agit d’accroître la précision des états sur la variation des best estimates, sur les taux d’intérêt, la longévité/mortalité, les taux de résiliation, l’incapacité/invalidité, la réassurance, les frais et charges, les variations de taux de change.
iii) L’augmentation de capital pour risque systémique. Il s’agit des G-S IIs (si la FSB en publie la liste), des Domestic S IIs (grands assureurs non internationaux), des assureurs engagés dans des activités à risque systémique (à définir), des assureurs dont le comportement collectif serait à risque (à définir nationalement et/ou par l’EIOPA). C’est la démarche, désormais bien connue, du FSB et de l’IAIS (association des contrôleurs d’assurance).
iv) Comme le demande la Commission, la mise en place d’un reporting sur le risque de liquidité. L’EIOPA propose une liste de « points de contrôle » : l’existence d’options de résiliation, la durée des actifs, les garanties incluses dans les produits, la politique de rémunération de l’épargne, l’impact en termes de pénalités des résiliations avant terme et les effets fiscaux.
Les risques sont évidemment liés à des liquidations précipitées.
L’EIOPA propose d’accroître le nombre et la précision des états trimestriels, mais aussi de calculer des ratios de liquidité (avec de nombreuses possibilités évoquées page 31 du document).
v) Décider la possibilité de geler temporairement la possibilité de résilier les contrats, ce qui, évidemment, limite la procyclicité du comportement des assureurs. L’EIOPA souligne que l’usage de cette mesure implique l’existence de circonstances « très exceptionnelles » : heureusement !
vi) Fixer des seuils de concentration du risque sur actifs : les corporate bonds, les actions, les dérivés, les placements sur les « marchés émergents ». Il s’agirait de « seuils indicatifs » (« soft thresholds »). Mais l’EIOPA est obligé de considérer que c’est une exception à la règle de la personne prudente, puisque l’investissement serait limité et contrôlé comme dans l’ancien Code des assurances.
vii) Renforcement de l’ORSA (prévu par la Commission), en introduisant des considérations macroprudentielles. Sur ce sujet, l’EIOPA ne semble pas avoir une vision très précise de ce qui pourrait être fait. En particulier, elle fait allusion à des « Autorités nationales chargées de la politique macroprudentielle », ce qui n’est pas très clair pour les lecteurs français.
viii) Renforcement du principe de la personne prudente. L’Autorité semble reprendre ses considérations sur les « seuils » de concentration de risques.
ix) Développer les plans de rétablissement (recovery), suggéré par la Commission. C’est un point déjà largement développé par l’EIOPA.
x) Développer des plans de résolution, également évoqués par la Commission. Ces plans préventifs sont déjà préparés par les Autorités de contrôle. Comme pour le point précédent, l’extension de ces obligations aux assureurs non considérés comme « Globally Systemic » (G-S IIs) implique une lourde charge : l’EIOPA rappelle, à juste titre, l’application du principe de proportionnalité.
xi) Demander aux assureurs de rédiger des « plans de management du risque systémique ». L’Autorité propose les mêmes remarques sur la charge de travail et le principe de proportionnalité : mais il s’agit d’une demande de la Commission, soumise à questions pour l’industrie.
xii) Enfin, l’EIOPA soumet à consultation l’idée de la Commission de faire souscrire des plans de gestion du risque de liquidité. Les mêmes questions se posent que pour les plans précédemment évoqués.
L’Autorité, heureusement, rappelle qu’elle a écarté l’idée de créer des suppléments de capitaux « contra-cycliques » et de créer des obligations ou contraintes de liquidités.
Il reste à attendre les résultats de la consultation. Mais, d’ores et déjà, on peut penser que le S III de 2020 sera plus exigeant en matière macroprudentielle que S II. Les services de gestion des risques et de conformité vont être soumis à de rudes pressions, et la réglementation va sans doute franchir un nouveau seuil de complexité. Il est vrai que la persistance des taux d’intérêt très bas fait peser une menace systémique sur l’ensemble de l’industrie, ce qui dépasse, de loin, les risques systémiques appréhendés jusqu’ici par le FSB et l’IAIS avec la réglementation, somme toute bénigne, des G-S IIs.
I.7. Joint Committee des Autorités européennes de contrôle (ESAS) : JCP/CO/2019.01 –Consultation sur des standards techniques de mise en œuvre (ITS) sur le reporting des transactions intragroupes et du risque de concentration (directive 2002/87. EC)
Cet improbable titre dissimule un texte important sur le risque systémique et le risque de contagion, à travers le réglementation des transactions intragroupes à l’intérieur des « Conglomérats financiers » (FICOD), qui bénéficient du régime de la « supervision complémentaire » Depuis longtemps, l’Europe cherche à maîtriser le fonctionnement des conglomérats financiers, souvent transfrontaliers, et comprenant des banques, des établissements de crédit et des assureurs, soumis à des contrôles différents, et particulièrement actifs dans la recherche de l’optimisation réglementaire. Donc, il faut créer un reporting uniforme (harmonisé) sur les transactions financières intragroupes (IGT), et qui permettra un contrôle « consistant » (coordonné/cohérent) des IGT, et donc du fonctionnement des Groupes.
Le système actuel de reporting concerne les IGT dites « significatives » (bien entendu, non définies), entre :
- « les entités régulées » de différents secteurs appartenant au même conglomérat (institutions de crédit, assureur, réassureur, société d’investissement, société d’asset management et gestionnaire de fonds d’investissement alternatifs) ;
- les entités régulées du même secteur appartenant au même conglomérat ;
- une entité régulée et une entité non régulée du même conglomérat ;
- une entité régulée et une personne morale ou physique « étroitement liée » aux entités du conglomérat.
1. Les nouveaux états déclaratifs (les « templates ») sont fondés sur les états S II (S 36/04, 02, 03, 04). Les ESAS proposent de diviser S.36/04 en deux états, l’un sur les « éléments hors bilan » et l’autre sur les éléments de compte d’exploitation échangés à l’intérieur du Groupe (paiement de redevances, par exemple) et de créer un état récapitulatif des IGT.
Une procédure interne au conglomérat doit être écrite sur les modalités de présentation d’une opération économique unique qui regrouperait (nécessiterait) un ensemble de transactions intragroupe.
Les transactions dites « indirectes » excitent particulièrement la curiosité des ESAs : elles permettent de changer les expositions au risque d’entités réglementées. La question est donc de savoir qui porte véritablement (et non réglementairement) le risque. Ces transactions doivent être réalisées à un prix de marché ou assimilé (at arm’s length), ce qui doit être contrôlé. Enfin, il importe de vérifier que le risque de contagion et les conflits d’intérêts ont été correctement appréhendés.
Enfin, le seul de notification est ici fixé à 5 % du « capital adequacy requirement » (SCR en langage S II).
2. Quant au contrôle de la concentration de risques au niveau du conglomérat, l’information annuelle, requise par la directive FICOD, est d’ores et déjà importante. Les ESAs proposent de l’élargir à la description de l’ensemble des risques de concentration, des conflits d’intérêts et des risques de contagion. La proposition consiste à enrichir les états prévus par S II, et de cibler, en outre, la déclaration sur les protections et collatéraux obtenus des tiers ; sur les contreparties fortement liées au porteur de risque (réassurance interne, par exemple), et sur une évaluation du risque net après déduction des transferts de risques.
Bien que pesante et bureaucratique dans leur approche (faire souscrire de nouveaux états !), les ESAs sont parvenues, dans ce document, à normaliser les modalités de gestion et d’autorisation des échanges financiers intragroupe, qui sont la vie quotidienne d’entités qui cherchent à optimiser l’emploi de leurs fonds propres.
I.8. EIOPA 19/299 du 25 juillet 2019 – Document de consultation sur le projet de supervision des principes de rémunération dans l’assurance
La directive S II et le Règlement délégué ont posé le principe du contrôle des politiques de rémunération dans les entités d’assurances. L’idée centrale est que les modalités de rémunération ne doivent pas inciter les salariés (souscripteurs, commerciaux, gestionnaires d’actifs et dirigeants) à prendre des risques au-delà des limites fixées par la politique de souscription ou les « limites de tolérance ».
Le Règlement institue « l’approche fondée sur le risque » du contrôle et la référence au profil de risque de l’entreprise. C’est la poursuite de l’extension du flou juridique dans un domaine (la rémunération) qui s’y prête particulièrement peu. L’EIOPA veut donc légiférer pour pallier ce « flou » des principes.
Le champ de la supervision est défini comme s’appliquant aux membres de l’AMSB, des fonctions clés, et les « personnes dont les activités ont un impact matériel sur le profil de risque de l’entité » (« material risk takers » [MRT], commerciaux, souscripteurs, gestionnaires d’actifs au moins).
Les principes établis par EIOPA :
- partage 50/50 de la rémunération entre partie fixe et partie variable, sauf dérogation spécifique qui doit être justifiée au contrôle ;
- lutter contre les rémunérations fixes très basses ;
- 40 % au moins de la partie variable de la rémunération ne doit être acquise qu’au terme d’une période de 3 ans : les dérogations doivent être justifiées ;
- les critères de performance, qui conditionnent l’octroi de la rémunération variable, doivent être financiers (quantitatifs) et non financiers (qualitatifs) et appréciés dans un cadre pluriannuel. On notera que les critères qualitatifs incluent la conformité, les objectifs stratégiques et les objectifs de durabilité (ESG et éthiques), réputation, etc. L’équilibre des critères quantitatifs et qualitatifs devrait être (du moins l’EIOPA le suggère-t-il) de l’ordre de 50/50.
Les versements de fin de contrats de travail « ne doivent pas rémunérer l’échec » et doivent rémunérer l’effort consenti et les résultats obtenus pendant la période d’activité. L’EIOPA souffre manifestement à définir des règles face aux droits du travail nationaux, aux clauses de non-compétition et aux conditions de départs négociés. L’EIOPA esquisse aussi une « nomenclature » des échecs : celui de l’entité qui détermine des versements d’indemnités de départ qui ne doivent pas excéder la réduction de coûts qui résulte des licenciements (c’est assez évident !), et celui de certains membres du management qui devrait se traduire par la diminution ou la suppression des indemnités.
L’EIOPA estime que la rémunération variable doit être composée à 50 % d’actions et stock-options avec des règles de rétention de ces actions.
L’assurance européenne entre donc dans une période de police très précise des rémunérations de ses dirigeants et managers, au moins quant aux modalités, sinon aux niveaux absolus. Dans la période actuelle de tensions sociales sur les sujets de rémunération des dirigeants, de politique de dividendes, d’essai de contrôle des Assemblées générales, c’est une démarche inquiétante. Son seul aspect positif est de « normaliser » quelque peu la concurrence entre sociétés cotées et non cotées, dans un pays (la France) où la plupart des entités d’assurance ne sont pas cotées. L’Autorité de contrôle prudentiel et de résolution
(ACPR) pourrait ainsi exercer le contrôle que n’assurent pas les Assemblées générales des mutuelles et IP. Cela dit, il est regrettable que des règles très strictes viennent se substituer à une démocratie actionnariale ou mutualiste, pourtant logiquement souveraine dans ces questions délicates de rémunération des dirigeants et managers. Quant au « principle » et « risk based approach », on voit qu’elle ne résiste pas au souhait des bureaucrates de Bruxelles et Francfort de réglementer à tout va.
I.9. EIOPA BOS19/304 du 25 juin 2019 – Consultation sur les propositions de l’EIOPA pour la révision de S II en 2020 – Cover note sur le reporting et la transparence
Il s’agit de la consultation lancée pour répondre aux questions de la Commission sur l’opportunité des divers reporting auxquels sont soumises les entités : SFCR, RSR, Financial Stability Report et les innombrables QRT, et notamment ceux sur le « Paquet branches longues » (LTG).
L’EIOPA s’intéresse, comme il se doit, à la « proportionnalité », mais souligne qu’il ne peut s’agir d’exemptions automatiques fondées sur la part de marché des petites entités. Il faut une « proportionnalité fondée sur l’analyse du risque », ce qui en restreint évidemment la portée. L’Autorité répète qu’il faut, avant de dispenser les petites entités de reporting, considérer le « profil de risque » de la branche d’assurance, la composante fréquence/gravité du risque en cause, la spécificité du risque en réassurance et la situation des « captives » d’assurance. La complexité est, autant que la taille du risque, une composante de l’analyse de la proportionnalité. On va donc introduire des notions de proportionnalité liées à la complexité des risques, et du « profil de risque ». L’EIOPA note qu’il y a une simplification « automatique » puisque les entités, qui n’investissent pas dans les dérivés ou ne souscrivent pas de contrat en unités de comptes, n’ont pas à remplir d’états sur ces sujets, ce qui est évident.
Heureusement, l’EIOPA note que, dans des cas fréquents, l’information des autorités est insuffisante (impôts différés et capacité d’absorption des pertes, cyber-risque, par exemple). Il faut donc renforcer et augmenter le nombre d’états (templates). De même, pour les « lecteurs professionnels », il faut renforcer l’information contenue dans le SFCR (public) en rapprochant son degré de détail de celui du RSR (destiné aux autorités de contrôle).
En fait de simplification et d’allègement de tâches pour les entreprises, il y a peu à attendre évidemment de ce type d’exercice. Demander aux contrôleurs eux-mêmes (EIOPA) de réduire leur capacité de contrôle est une démarche objectivement vouée à l’échec.
I.10. EIOPA BOS19/306 du 25 juin 2019 – Consultation sur la révision 2020 de S II – Paquet Pilier III –
Rapport sur la stabilité financière
Cette information a été introduite dans les Standards techniques de mise en œuvre (ITS) en 2015 et n’existe pas dans la directive elle-même. Elle est utilisée par… l’EIOPA pour son propre rapport sur la stabilité financière. Dès lors, il n’est pas surprenant que l’Autorité juge l’information lacunaire.
Les propositions principales sont les suivantes :
- de nouveaux états ;
- une amélioration du calcul de la duration des provisions techniques (abandon de la « duration Macaulay ») ;
- le calcul des primes nettes acquises ;
- des informations sur le compte technique (profit and loss).
I.11. EIOPA BOS19/309 du 25 juin 2019 – Consultation sur la révision de Solvabilité 2 2020 – Pilier III - SFCR
Les questions de la Commission portent sur la proportionnalité et le caractère approprié des informations incluses dans le SFCR, Rapport public que doivent fournir les entités solos et Groupe soumises à S II.
L’EIOPA propose des modifications substantielles du SFCR.
• Créer deux SFCR, l’un destiné aux détenteurs de contrats et l’autre aux autres utilisateurs.
• Le SFCR « clients » ne contiendrait que des informations « solo » et non-Groupe et des informations simples et compréhensibles. Il devrait décrire l’activité (un compte technique, les branches pratiquées) et la prise en compte d’objectifs ESG dans la politique d’investissement. Le rapport doit aussi décrire la politique de sous-traitance (par exemple, celle de la gestion des sinistres, mais pas la distribution et donner une description du « profil de risque » et de la politique de réassurance. Naturellement, le SFCR, destiné aux clients doit reprendre les informations S II : il est peu probable que la Veuve de Carpentras sera passionnée d’apprendre que son assureur vie calcule le SCR avec un modèle interne ou sur la base de la formule standard et applique ou non les mesures LTG, ainsi que les mesures transitoires (taux et/ou provisions techniques). L’aveuglement bureaucratique est manifestement présent ici.
• Pour les autres usagers (les « professionnels »), l’essentiel tient dans l’augmentation du nombre d’états qui doivent être recopiés dans le SFCR, ainsi que dans la nécessité de supprimer les répétitions des obligations légales. En effet, nombre d’entités se sont contentées d’affirmer qu’elles remplissaient les obligations légales décrites. À noter que l’EIOPA ne dit rien dans sa proposition sur la nécessité de développer la partie « Groupe » des SFCR.
• Faire figurer, systématiquement, dans le SFCR, les résultats d’un ST sur les fonds propres de l’entité avec baisse des actifs, hausse des taux de résiliation, etc. Donc, le ST est annuel et ses résultats sont publiés.
• L’EIOPA propose d’introduire l’obligation d’auditer les chiffres S II par un auditeur extérieur avant sa publication. Voilà qui va faire la fortune des structures d’actuariat présentes dans les grandes sociétés de Commissariats aux Comptes.
• En revanche, l’EIOPA souhaite maintenir le Rapport actuariel dans l’ordre interne à l’entreprise, et non le sous-traiter ou créer une activité indépendante d’Actuariat proche du Commissariat aux comptes.
Cette démarche de l’EIOPA est très importante. Elle alourdit nettement la construction du SFCR (deux documents, dont l’un est clairement destiné aux professionnels : agences de notation, investisseurs, etc.). Mais elle crée aussi de nouvelles obligations de certification des comptes prudentiels, donc des coûts et probablement des difficultés supplémentaires, notamment pour les entités ayant obtenu la mise en place d’un modèle interne. Et, malheureusement, toujours pas de vision claire de la structure et de l’information sur le Groupe, qui est la vraie préoccupation des analystes et des clients. La solvabilité du Groupe d’assurance vie et non-vie, globalement, leur importe plus que le SCR/MCR d’une petite entité spécifique.
I.12. Les questions/réponses de l’EIOPA (Q&A) sur la réglementation de S II
Au cours du semestre, l’EIOPA a publié ses réponses aux questions des dirigeants d’entité. Beaucoup portent sur des détails de comptabilisation de certains postes du bilan prudentiel ou de remplissage des états (QRT). Certains, pourtant, contiennent des informations importantes sur l’interprétation de la réglementation par l’EIOPA. L’Autorité a fait connaître elle-même, à diverses reprises, que ses prises de position dans ses Q & A valaient décisions et fixaient la doctrine.
Nous avons donc cherché à sélectionner les sujets qui nous ont paru de portée générale (au contraire des précisions sur le contenu des QRT). Comme les réponses publiées par l’EIOPA, ils ne sont pas proposés au lecteur dans un ordre logique mais sous des rubriques synthétiques.
1. Gestion des Groupes
Transférabilité des fonds propres, fongibilité, possibilité de « faire masse » des fonds propres des filiales pour démontrer le niveau de solvabilité (couverture du SCR du Groupe [Q&A 438-1685-1700]). L’EIOPA reconnaît la légitimité du sujet, encore qu’il soit attaché à la solvabilité du Groupe et de chacune des filiales. Mais la logique de S II est aussi de favoriser la « fongibilité » des fonds propres. Il faudrait donc, pour édicter une règle, empiéter sur le pouvoir des Autorités nationales de contrôle. C’est donc avec elles qu’il faut négocier la levée d’obstacles éventuels à la transférabilité des fonds propres qui empêcheraient la comptabilisation globale de ces fonds dans le ratio de SCR.
Faire bénéficier la filiale de la notation de crédit de la société mère (Q. 1392). L’EIOPA confirme le principe de la notation entité par entité. La garantie par la société mère des obligations émises par sa filiale, ne saurait lui conférer la notation de la société mère. Cette démarche est surprenante, car elle revient à nier la logique de solvabilité de Groupe, pourtant reconnue par la réglementation S II (et d’ailleurs par la logique économique).
Le périmètre du calcul du SCR Groupe (Q.1344, 1712 et 1033 sur les entités « composites »). Le sujet s’étend à la définition des Groupes composites et, surtout, des groupes « mixtes » composés d’entités régulées (Q. 1033, 1678 et 1714). Il s’agit de savoir s’il y a consolidation des fonds propres pour le calcul du SCR entre les sociétés régulées et non régulées. La réponse est évidemment négative pour éviter des « transferts » de fonds propres vers la solvabilité des sociétés non régulées au détriment des sociétés régulées. Les banques sont des entités régulées. L’EIOPA précise (1675) que les « Other Financial Sectors » (les entités financières incluses dans un conglomérat) doivent être exclues du calcul des « risques de marché » et de « risque de défaut des contreparties » de l’entité assurance, car ces risques sont appréhendés par le contrôle d’une autre régulation.
Les questions liées aux financements Intra Groupe (Q&A 408, 708, 968, 983, 1011, 1120, 623, 710, 915, 490, 1160, 1610 et 1072) portent essentiellement sur les obligations déclaratives des entités et des groupes quant à la nature des intra-group transactions (IGT). Une question introduit, en particulier, les notions de transactions « significatives » et « très significatives » : la réglementation à venir précisera cette distinction. L’EIOPA a fait, par ailleurs, une analyse détaillée des IGT (voir la présente chronique). Le sujet principal est évidemment le seuil (en valeur) au-delà duquel ces transactions doivent être « reportées » et doivent être déclarées et approuvées par les Autorités de contrôle nationales. C’est évidemment un sujet majeur pour les démarches d’optimisation de l’utilisation des fonds propres au sein d’un groupe, celui-ci s’efforçant de réduire au minimum les fonds propres des filiales, tout en assurant leur ratio de SCR, et de ramener les fonds propres à la société mère. Tout cela sous condition que la société mère (holding) demeure « régulée ».
2. Les modèles internes (1310, 1308, 1312, 1008 et 1438)
Les questions portent essentiellement sur leur validation avant soumission aux Autorités de contrôle. Sans être formel, l’EIOPA souhaiterait, en pratique, une validation par des experts extérieurs, même si l’Autorité reconnaît que le Règlement délégué permet à l’entité de conduire elle-même cette validation, et que l’audit externe du modèle interne n’est pas nécessaire. Cela étant, l’Autorité rappelle que si une validation extérieure est utilisée, celle-ci doit être menée par des experts indépendants qui doivent prouver l’absence de conflits d’intérêts avec l’entité qui construit son modèle interne.
3 Les questions de sous-traitance (Q&A n° 1309, 1311, 1312, 1662 et 1801)
Les questions portent essentiellement sur la sous-traitance des fonctions-clés et des fonctions importantes. L’ACPR a produit un document de doctrine sur le sujet (dans la présente chronique). Mais la question demeure ouverte pour nombre de fonctions ou d’organismes (le GIE-Européen est évoqué dans l’une des questions). Il en est de même pour la gestion de certains risques : le cyber risque est évoqué par l’EIOPA qui estime qu’il s’agit d’une fonction majeure, et dont la sous-traitance pourrait être interdite. Or, une part importante de l’expertise avant souscription est ou sera sous-traitée, ainsi que la définition des limites de risque du contrat d’assurance (exclusions). Il en est de même pour la sous-traitance de tout ou partie de la gestion des investissements (allocation tactique notamment), sans oublier la sous-traitance totale à une entité spécialisée dans la gestion d’actifs, à l’intérieur des grands groupes. La question globale de la sous-traitance, variable majeure de l’organisation des groupes, et demain pour la gestion santé et la gestion des sinistres de particuliers dans les entités « solos », n’est manifestement pas close. C’est la question des « fonctions critiques ou importantes ». L’EIOPA laisse entendre que l’approbation de la sous-traitance pourrait impliquer que le sous-traitant bénéficie d’une « licence professionnelle », ce qui impliquerait de nouvelles réglementations. À noter également plusieurs questions sur la sous-traitance de l’expertise préalable à des « investissements directs » (prêts immobiliers) des assureurs. Là aussi, la réglementation est possible.
4. Les questions liées aux assurances de dommages
4.1. La question lancinante de la différence de gestion des branches qui fonctionnent en « année de souscription » (où les résultats ne sont acquis qu’à l’achèvement des indemnisations de sinistres rattachés à l’année de souscription de la police) et en « année de survenance » (Accident-Year) revient de nombreuses fois. En France, les cas typiques sont les branches Construction et Transport. La directive S II est pratiquement muette sur ces sujets majeurs pour le processus d’acquisition des primes et de provisionnement des « sinistres futurs ». Or, ces différences sont sensibles pour les calculs de « best estimates ». L’EIOPA consent (882, 894, 1366, 1439, 1512, et 1513) qu’il convient d’y travailler, mais ne propose pas vraiment de solution.
4.2. Les questions sur les « Unlimited guarantees » sur certaines branches (607, 770, 871, 885 et 891), ainsi que celle voisine sur la garantie illimitée donnée par la CCR (966) en matière de catastrophes naturelles (à travers les stop loss) paraissent être relativement simples. Il s’agit de calculer des best estimates de chaque dossier, ce à quoi sont accoutumés les gestionnaires de corporels « graves », notamment dans la branche automobile en France. Mais c’est une préoccupation sérieuse pour les réassureurs qui l’évoquent régulièrement.
4.3. Une question est posée sur la comptabilisation des « recours » des assureurs. La réponse est évidemment l’évaluation au best estimate et la comptabilisation des recours encaissés. Serait-ce le retour d’une vraie préoccupation de gestion des assureurs, trop longtemps ou trop souvent négligée ?
Plus généralement, l’EIOPA considère que les « recoverables » (créances recouvrables, sur les réassureurs notamment. Q&A numéros 1181 et 1480) doivent être évalués au « best estimate », en prenant en compte « l’ajustement pour risque de contrepartie ».
4.4. Les questions sur les catastrophes naturelles sont, en définitive, peu nombreuses (1302 et 1597). Il s’agit de la distinction française des tempêtes et des catastrophes naturelles soumise au régime légal, qui concerne surtout les modalités de reporting. Il s’agit aussi de la notion de « cumul de tempêtes » (Art. 121 du Règlement délégué). Le dernier ST a montré le peu de sensibilité de l’assurance (mais non de la réassurance) à ce risque en Europe, au regard de la stabilité financière du secteur. L’EIOPA semble peu enclin à contraindre à la modélisation du risque, parfois appelé « risque de la 3e tempête dans l’année ». Il n’en serait pas de même si l’on considérait le risque de survenance dans la même année de plusieurs événements catastrophiques différents. Et, évidemment, le risque de cumul n’est pas le même pour des réassureurs (par exemple, les ouragans Harvey + Irma + Maria en 2017).
Une seule question a été posée sur le traitement de la pandémie (1445) par renvoi au Règlement délégué.
5. Les questions sur la réassurance sont moins nombreuses
L’EIOPA affirme clairement qu’un traité de « facultative obligatoire » doit être traité sous S II comme une « cession facultative » (778), ce qui n’est guère surprenant, mais de peu d’effet : il s’agit de cessions en quote-part. Quant à la question sur la « réassurance non proportionnelle » (1386), l’EIOPA rappelle que l’ajustement pour non-proportionnalité « doit être utilisé sans référence à la réassurance réelle » (« irrespective of the actual reinsurance »). Cette phrase définitive et obscure montre bien que le traitement des traités en excédents de sinistres dans S II (pour les cédantes), doit faire l’objet d’un réexamen.
6. Plusieurs questions comptables sont d’importance
Une question relève (908) les différences de traitement des unités de compte en IFRS et dans les règles prudentielles. Une autre (1183) souligne la nécessité de prévoir, dans le Rapport aux contrôleurs (RSR), une « passerelle » entre les comptes prudentiels et les comptes en « local Gaap » (ou en IFRS). Une troisième (1742) concerne le mode de calcul de la « réserve de réconciliation » (traitée en fonds propres Tier 1), qui mesure les plus values latentes et les excédents de provisions comptables sur le best estimate et s’avère un élément majeur de confort pour le ratio de couverture du SCR par les fonds propres.
Une autre, enfin, souligne que l’IFRS 17 traitera les contrats d’épargne en assurance vie comme des « deposits » (dépôts) et non comme des contrats d’assurance.
Plusieurs questions traitent (1294 et 1688) du classement des actifs émis par certaines agences gouvernementales (Euratom et l’International Development Association, [AID], par exemple). L’EIOPA ne semble pas très à l’aise sur le sujet, mais rappelle qu’il n’y a pas de « charge en capital » pour ces investissements, ce qui revient à leur donner une notation AAA.
Diverses questions portent sur l’analyse des « clauses de rachat » (1651, notamment) et particulièrement sur la valorisation du rachat, les clauses de pénalité et finalement le traitement des taxes diverses (plus-value, « exit tax », etc.) en comptabilité prudentielle.
Quelques questions traitent de la gestion des frais et chargements (notamment la question des commissions aux forces de vente [1729-1107]), des frais de gestion [415, 1201, 1399, 1787 et 1788] et de leurs classements (sujets traditionnels des frais de gestion de sinistres et des frais de gestion des investissements), ainsi que de l’évaluation du risque opérationnel. Les réponses de l’EIOPA sont malheureusement souvent évasives, mais il souhaite que les ST incluent les effets sur les dépenses administratives et les frais de salaires.
7. Les questions liées à l’assurance vie ne sont pas très nombreuses mais importantes
Il s’agit d’abord des garanties en capital sur les « annuités variables » dites GMAB-GMDB (1246) où les garanties décès reviennent à garantir le capital. Il s’agit de valoriser le risque pris par l’assureur sur ces produits. C’est particulièrement délicat et l’EIOPA se montre évasive.
La question de la valorisation des engagements pris en matière de rentes indemnitaires (Q. 1237, 1567, 1709) est plus courante et fait l’objet de travaux actuariels dans les compagnies, qui s’apparentent à des évaluations best estimates.
8. Capital contingent (Q.1329)
Il s’agit de savoir si un capital appelable auprès d’une personne morale, s’engageant à souscrire à une augmentation de capital, peut ou non être classé dans les fonds propres auxiliaires. La réponse est négative car les fonds ne sont pas disponibles sur demande. En outre cet engagement ne transférant aucun risque il ne peut, selon l’EIOPA, être considéré comme un instrument de réduction du SCR.
9. Obligations sécurisées (Q.1454-1506)
Ces titres, appelés en anglais « Covered Bonds », sont des obligations à revenu fixe dont le versement des intérêts et le remboursement du capital sont garantis par des crédits hypothécaires ou des créances sur le secteur public. La question posée concerne l’exposition de ce type d’émission. En cas d’émission d’une « Covered Bond » faut-il la considérer une exposition unique ou l’assimiler à l’exposition globale de l’émetteur avec le « Credit Quality Step (CQS) » afférent ? L’EIOPA répond que chaque obligation sécurisée doit être traitée comme une exposition séparée unique, ce qui est conforme à l’article 187 du Règlement Délégué. Si l’exposition sur cette « Covered Bond » dépasse la limite de 15 % pour une signature unique, l’excès est traité selon le CQS attribué à cet émetteur.
10. L’approche par transparence (Q.1212-1571-1811)
Trois sujets ressortent des questions posées par les entreprises sur la façon d’appliquer cette approche sur les fonds d’investissement. L’un concerne la transparence des « Alternative Investment Fund » (AIF) (Q.1212). Le second sujet est très particulier puisqu’il s’agit de l’achat par un assureur d’un portefeuille de contrats, l’acquéreur se demande quel type de transparence appliquer (Q.1571). Troisième sujet porte sur la mise en place d’une approche par transparence pour un fonds de dettes dont le CQS est 2 (Q.1811).
Pour les AIF le régulateur rappelle que les investissements AIF sont classés comme des actions de type 2 (actions cotées sur une place hors EEE ou hors OCDE, actions non cotées) et à ce titre se voient infliger un choc de 49 % pour le calcul du SCR sauf s’il s’agit d’une filiale ou d’une entreprise liée. Si l’AIF a investi dans des dettes il devra pour le calcul du SCR procéder aux calculs décrits dans les sous-modules risque de taux et risque de change (s’il y a des créances libellées dans des monnaies autres que l’euro).
Dans le cas d’un fonds investi dans un portefeuille de contrats la réponse se trouve à l’article 84 du RD, il s’agit d’un actif classé en type 2 comme le non-coté.
Pour le fonds de dettes avec un CQS de 2, le SCR sera calculé séparément pour chacune des dettes ou des titrisations présentes à l’actif du fonds. Pour les obligations et les prêts il y a lieu de tenir compte d’un risque de spread et d’appliquer l’article 176 du RD. L’article 178 du RD s’applique pour les positions de titrisation et permet de répondre à la question de l’évaluation du SCR afférent au risque de spread. Ces deux articles, 176 et 178, s’appliquent aux prêts comme aux positions de titrisation cotées ou non, classifiées ou non.
11. Limites du contrat (Q.1288 – 1346 – 1380 – 1361)
Les questions 1288 et 1380 sont des demandes de clarification de l’article 116 du Règlement Délégué intitulé « Mesure de volume pour le risque de primes et de réserve en non-vie », fondement du calcul du module risque de primes et de réserve. Le questionnement porte sur les trois composantes primes présentes dans la formule de calcul de la mesure de volume. Cette mesure est la somme des primes nouvelles à acquérir dans les 12 prochains mois et non émises, des primes à acquérir dans les 12 prochains mois pour les contrats existants, des primes à acquérir relatives aux contrats dont l’enregistrement comptable aura lieu dans les 12 prochains mois mais en excluant les primes à acquérir des 12 prochains mois. Cette clarification nécessaire est subtile et a pour effet de ratisser large en incluant les probables émissions de primes non acquises (« PENA » dans le jargon comptable français).
La question 1346 concerne directement les limites du contrat. S’appuyant sur l’article 18 du RD, une entreprise roumaine se demande comment l’appliquer en Roumanie sachant que le Code Civil du pays accorde aussi bien à l’assureur qu’au client le droit de mettre fin au contrat sous préavis de 20 jours. L’article 18 dispose que le contrat est hors limite si l’assureur a un droit unilatéral de rejet des primes à recevoir. L’EIOPA dans sa réponse ne donne aucun avis tranché, elle considère qu’il y a unilatéralité du contrat si et seulement si le client ou un tiers n’a pouvoir de restreindre ce droit de rejet. Le régulateur n’a pas voulu, dit-il, interpréter le Code Civil roumain, autrement dit l’entreprise est libre de limiter la mesure de volume.
La question 1361 est une demande de clarification du paragraphe 5 de l’article 18 du RD, lequel prévoit que « les engagements qui ne se rapportent pas aux primes déjà payées ne font pas partie du contrat, à moins que l’entreprise ne puisse contraindre le preneur à payer la prime future » et que soit exclue toute disposition prévoyant une indemnisation d’un évènement incertain spécifié. Le régulateur confirme la position exprimée dans le RD et ajoute qu’est exclue du contrat la couverture d’évènements et de garanties sans effet discernable sur l’économie du contrat. Ce n’est pas d’une limpidité parfaite mais l’interlocuteur devra s’en satisfaire.
12. Loss given default (Q.930 – 1408-1500)
Les trois questions portent sur l’application de l’article 192 du Règlement Délégué intitulé « Perte en cas de défaut (Loss given default – LGD) ». Cet article 192 donne la formule de calcul de la perte en cas de défaut sur un contrat d’assurance ou de réassurance, sur un produit dérivé ou sur un prêt hypothécaire. Le résultat de calcul ne peut être négatif autrement dit il y a un plancher nul.
Les questions 930 et 1408 portent sur le point de savoir si l’on peut compenser dans ce calcul plusieurs contrats ou titrisations se rapportant à une signature unique. La réponse du régulateur est négative et conforme à ce qui est écrit dans l’article 193 -1° ; la LGD se calcule pour chaque contrat conclu avec la contrepartie.
La question 1500 est une demande de clarification de l’article 192-6° sur les créances recouvrables. L’EIOPA confirme qu’elles doivent être évaluées au « Best Estimate » comme les autres éléments d’actif ou de passif de l’assureur.
13. Risque massif de cessation (Q.1678)
Ce risque, plus souvent désigné par son expression anglaise « Mass Lapse Risk », est un risque majeur pour l’activité de l’assureur. À l’article 142-6° du RD ce risque massif de cessation est calibré à hauteur de 70 % des contrats. L’assureur qui a posé la question souhaite savoir comment chiffrer la baisse des frais de gestion concomitants. Faut-il ou non maintenir inchangé le calcul des frais de gestion souvent évalués en pourcentage de la prime ? L’EIOPA estime, à juste titre, que maintenir en l’état cette évaluation des frais est bien optimiste puisque la réduction du montant des réserves n’implique pas forcément une baisse équivalente du nombre de contrats en vie. Cela étant le régulateur ne propose aucune solution alternative.
14. Les collatéraux (Q.939 – 988 – 1073 – 1233)
Trois questions (Q.939, 988, 1233) sur les quatre concernent des collatéraux garantis en particulier les « covered bonds ». Il est demandé au régulateur s’il est nécessaire de fournir la liste des actifs sous-jacents du collatéral. La réponse est non. Autre question : faut-il déclarer dans les formulaires trimestriels (« templates ») les pools collatéraux dont l’entreprise est partenaire ? La réponse est conditionnée au fait que l’assureur a ou n’a pas un droit d’accès direct au collatéral. Si elle ne l’a pas elle n’a pas l’entreprise n’inclut pas le collatéral dans son reporting.
En réponse à la question 1073, l’EIOPA précise que les dépôts espèces doivent figurer dans les « templates » comme actif nanti. Le régulateur indique qu’un crédit hypothécaire inclus dans un pool de crédits hypothécaire est à déclarer dans la catégorie « Collatéral calculé sur base d’un seul contrat »
14. Analyse des variations (Q.1143 – 1285 – 1393 – 1421 – 1479 – 1487 – 1652 – 1699)
Toutes les questions sont relatives à la façon de remplir les « templates » trimestriels sur ce sujet. Devant la fréquence des interrogations sur la façon de remplir ces tableaux l’EIOPA a clarifié dans une note d’explication intitulée EIOPA – 17-403_rev) du 20 mars 2018, revue le 5 juillet 2018, la présentation des modèles d’analyse de la variation (états S.29.01 à S.29.04).
Cette note explicative répond précisément aux questions posées sur les modèles d’analyse, nous ne pouvons qu’inciter le lecteur à y jeter un regard pour avoir une explication sur le processus de réglementation et sur les modèles quantitatifs utilisés (S.39.01 à S.29.04). Quatre modèles composent l’analyse de la variation de l’excédent d’actif sur le passif (EAoL) expliquée par la variation des fonds propres, des investissements, des provisions techniques. Dans cette « Explanatory Note » les lignes en rouge ont été ajoutées lors de la révision de juillet 2018 de la note initiale datée du 20 mars 2018.
II.1. Recommandation ACPR du 21 mai 2019 – Externalisation d’activités importantes
L’ACPR prend parti sur le sujet sensible des externalisations (sous-traitance) des activités qualifiées d’importantes ou critiques. Il s’agit des 4 fonctions-clés de S II : audit interne, gestion des risques, actuariat et conformité. Mais aussi, selon l’ACPR, des activités dont l’interruption peut avoir un impact sur le fonctionnement et la capacité à gérer les risques, « voire à mettre en cause l’agrément de l’entité ».
Le développement de cette remarque générale n’est pas très éclairant : compromettre la gouvernance, accroître le « risque opérationnel » et nuire à la qualité du service aux assurés. Il revient donc à l’entreprise de déterminer si la sous-traitance, par exemple de la gestion des sinistres en non-vie, de la comptabilité générale, de l’informatique voire des investissements, est correctement organisée. La clé se trouve sans doute dans la précision de la « politique écrite » de sous-traitance, dans le maintien d’un contrôle efficace des sous-traitants, et dans les garanties de l’accès aux données pour l’entreprise, les Commissaires aux comptes et l’ACPR.
L’ACPR ajoute trois autres critères : le coût de la prestation, la capacité à trouver un autre prestataire et/ou à reprendre l’activité en direct. C’est évidemment le point central, sur lequel les entreprises doivent activement travailler : sortir du cloud, retirer des délégations de gestion de sinistres, reprendre en direct la gestion des investissements requiert de lourds investissements et une solide étude préalable à la décision de sous-traitance.
L’ACPR exige d’être informée de l’intention d’externaliser. L’entreprise doit démontrer que l’externalisation ne compromet pas la gouvernance, n’accroît pas le risque opérationnel et ne dégrade pas le service aux assurés.
Ce document est majeur en ce qu’il organise un contrôle de l’évolution du management des chaînes de valeur de l’assurance, et même de l’organisation des fonctions-clés au sein d’un groupe. On revient toujours au positionnement des fonctions-clés (au niveau du Groupe ou des entités solos ?).
II.2. Directive 2017/828 du 17 mai 2017 – « Promouvoir l’engagement à long terme des actionnaires »
Cette directive, que la loi PACTE a partiellement transposée, présente de l’intérêt pour les investisseurs institutionnels et les gestionnaires d’actifs, donc pour les assureurs vie en particulier (voir Article 1er, définitions), et les institutions de retraite professionnelle.
En effet, l’article 3 « octies » prévoit la publication d’une « politique d’engagement » des entités, « décrivant la manière dont ils intègrent l’engagement des actionnaires dans leur politique d’investissement ». Cela décrit « la manière dont ils assurent le suivi des sociétés détenues sur […] l’impact social et environnemental et la gouvernance d’entreprise ». « Ils rendent publique la manière dont ils ont exprimé leur vote lors des Assemblées générales ».
Il est par ailleurs prévu de vérifier que l’action des gestionnaires d’actifs soit en adéquation avec le profil et la durée des engagements de l’investisseur institutionnel.
Compte tenu des évolutions en cours sur les contraintes de durabilité des investissements, et l’opinion émise par diverses organisations gouvernementales selon laquelle il convient que les politiques d’investissement des assureurs (et de leurs gestionnaires d’actifs) reflètent les attentes en matière de développement durable, des assurés ou bénéficiaires de fonds de pension, cette directive risque de fonder des contentieux avec les assurés et actionnaires ou leurs représentants.
La directive sur les droits des actionnaires introduit donc la possibilité pour les assurés vie notamment, de contrôler, dans les Assemblées générales, la tenue des engagements ESG pris par les assureurs, soit généralement, soit dans le cadre de produits en UC, spécialement construits pour les attentes ESG des clients.
II.3. Délibération n° 2018-236 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact (AIPD) prévues par le RGPD
Cette délibération a, pour objectif de définir les attentes de la CNIL à l’égard des AIPD (analyses d’impact), obligatoires, non obligatoires, soumises ou non à la CNIL. On rappelle que les AIPD se substituent, en principe, à la demande d’autorisation à la CNIL du régime antérieur au RGPD. Les deux délibérations (voir ci-dessous 2018/37 sur les AIPD obligatoires dont la CNIL fait la liste) ont, pour effet, de restreindre nettement cette nouvelle « responsabilisation » des responsables du traitement.
i) Il y a d’abord une liste d’AIPD obligatoire.
ii) Il y a ensuite des traitements soumis à la réalisation d’une AIPD si ledit traitement répond à deux des neuf critères de « risque élevé » définis le 25 mai 2018 par le Comité européen de la protection des données (CEPD) :
- traitement à grande échelle ;
- données sensibles (liste connue des données d’origine raciale ou ethnique, santé, données biométriques, convictions religieuses, opinions politiques, inter alia), et « données à caractère hautement personnel » (dont les données financières) ;
- concernant des personnes vulnérables (patients, enfants, etc.) ;
- croisement et combinaison de données ;
- évaluation, scoring et « profilage » ;
- prise de décision automatisée ; surveillance systématique de personnes ;
- traitement pouvant exclure d’un droit, d’un service ou d’un contrat (par exemple, fraude présumée ?) ;
- application de nouvelles solutions technologiques (intelligence artificielle ?).
En pratique, la très grande majorité des travaux menés par les assureurs devraient faire l’objet d’une AIPD.
iii) Les AIPD doivent être transmises à la CNIL si :
- il y a des « risques résiduels élevés » (selon le Délégué à la Protection des Données) ;
- il s’agit de traitements à caractère personnel dans le domaine de la santé.
v) La CNIL publiera une liste des traitements non soumis à AIPD.
vi) Le respect d’un référentiel sectoriel édicté par la CNIL permet de considérer qu’il n’y a pas de « risque résiduel ».
vii) Les traitements régulièrement mis en œuvre avant le 25 mai 2018 (et donc, ayant fait l’objet d’une formalité auprès de la CNIL) n’ont pas à faire l’objet d’une AIPD.
La CNIL impose une méthodologie des AIPD :
- contenu : description des traitements et de leur finalité, évaluation de leur nécessité (et proportionnalité), évaluation des risques pour les droits et libertés, mesures prises pour faire face au risque ;
- gouvernance : le responsable du traitement, le DPO, le Responsable de la sécurité informatique (RSI), les sous-traitants, les « personnes concernées par le traitement » la maîtrise d’ouvrage ou d’œuvre ;
- la documentation des apports de chacun est nécessaire Il serait même utile de disposer d’un Rapport du responsable, « ayant vocation à être publié ».
II.4. CNIL – 6 novembre 2018 (RGPD) – Délibérations n° 2018-327 du 11 octobre 2018 – Adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) et la liste des types d’opérations de traitement pour lesquelles une analyse d’impact est requise
La CNIL publie sa propre liste des opérations pour lesquelles l’AIPD est obligatoire, dont elle souligne qu’elle n’est pas exhaustive, et qui sera complétée d’une liste des traitements pour lesquels une AIPD n’est pas requise. Il s’agit d’un point majeur, car l’AIPD entraîne consultation de la CNIL et autorisation de celle-ci, par exception au RGPD qui tendait à supprimer les autorisations préalables. Or, la liste d’octobre 2018 est fournie et ce sont 14 types de traitement qui doivent donner lieu à AIPD :
- données de santé recueillies dans les établissements de santé, les EPHAD et les établissements gérés par les Centres communaux d’action sociale ;
- traitement des données génétiques des personnes « vulnérables » (patients, employés, enfants) ;
- profils de personnes physiques à des fins de gestion des ressources humaines (exemples : les « hauts potentiels », l’algorithme de sélection, la prévention des départs) ;
- surveillance constante des « employés concernés » : les préposés à la manipulation de fonds, par exemple ;
- gestion des alertes en matière sociale et sanitaire (les mineurs en danger) ;
- gestion des alertes en matière professionnelle (évaluation des salariés, gestion du devoir de vigilance) ;
- données de santé pour un registre ou un data warehouse (ex. constitué à des fins de recherche) ;
- profilage ayant pour but d’exclure du bénéfice d’un contrat : crédit, lutte contre la fraude ;
- traitement « mutualisé » (?) de manquements contractuels (ex. : les impayés) ;
- profilage faisant appel à des ressources externes : achats de données, ciblage de la publicité en ligne ;
- traitement de données biométriques : ex. empreintes digitales ;
- instruction des demandes de logements sociaux ;
- accompagnement social ou médico-social des personnes ;
- géolocalisation.
III.1. EIOPA. BOS. 19/157 – 29 mars 2019 – Stress-test 2019 sur les Fonds de Pension – Spécifications (IORPS)
Le ST biennal s’adresse principalement aux Fonds de pension britanniques et néerlandais ; mais cinq Fonds de pension français ont été agréés à la suite de la loi Sapin 2 (2016), et la loi PACTE pourrait induire de nouveaux mouvements en faveur de ces structures dans les années à venir.
Il s’agit de mesurer la vulnérabilité des IORPS à des scénarios adverses au niveau de leur solvabilité, mais aussi de mesurer les chocs en retour de ces scénarios : demande de contributions aux employeurs (« sponsors »), réduction des rendements versés, changements de comportement des gestionnaires d’actifs (recherche de rendement, « flight to quality ») et leurs effets sur les marchés financiers. Enfin, l’EIOPA ajoute une préoccupation liée à l’exposition des IORPS (et surtout de leurs placements) aux contraintes (dites ici « risque ») Environnement, Social et de Gouvernance (ESG), en français, investissement socialement responsable (ISR).
L’EIOPA impose en pratique à tous les IORPS (cotisations définies, mais aussi prestations définies) la production d’un bilan prudentiel en valeur de marché, et du bilan en « local Gaap » (pour les prestations définies), donc l’usage de la valeur de marché des actifs et du taux d’intérêt sans risque de l’EIOPA, ainsi qu’une analyse de cash-flow. Pour les IORPS en « contribution définie », l’EIOPA demande d’évaluer le revenu à la retraite et le taux de remplacement pour 3 catégories d’adhérents, respectivement situés à 35, 20 et 5 ans de leur retraite. Il demande une évaluation du comportement de la gestion de l’IORPS (changement de l’allocation d’actifs) et des « effets de retour », ainsi qu’une vision de « l’exposition au risque ESG ». On rappelle que les IORPS sont des investisseurs de long terme et donc sensibles à la « conformité » de leurs investissements avec les aspirations « socialement responsables » de leurs adhérents et, surtout, à la rentabilité à terme d’investissements dans les secteurs soumis à la « transition écologique » (charbon et secteurs à forte intensité carbone). L’Autorité fournit d’ailleurs une nomenclature en 10 postes des types d’industries classées selon leur intensité carbone. Elle rappelle aussi les effets de la directive (dont la transposition doit s’achever le 10 juin 2019 sur les « Nouveaux droits des actionnaires »).
Les « chocs » concernent les taux d’intérêt (de 80 à 15 points de base sur la courbe de 1 à 30 ans du taux d’intérêt sans risque), de la courbe d’inflation (de 101 à 18 points de base), des stress sur les obligations d’État (France : de +84 à +54 points de base de 1 à 10 ans), de hausse des rendements des obligations des entreprises financières, non financières, « covered », de baisse des valeurs des actifs immobiliers (-30 % en France pour les immeubles résidentiels et -17 % pour les immeubles d’exploitation), 38 % de baisse des valeurs d’actions européennes et 47 % pour les valeurs américaines, etc.
Pour les IORPS à contributions définies, le ST requiert une analyse de 3 archétypes d’adhérents en fonction de l’éloignement de la prise de la retraite, notamment en ce qui concerne le « profil », le taux de remplacement et un « best estimate » de l’âge de la retraite. Il s’agit de savoir comment évoluera l’allocation d’actifs pour les 3 profils, en fonction du ST. L’EIOPA note – un peu naïvement – que l’attitude pourrait aussi résulter des conditions de « sortie » soit en rente, soit en capital.
Les résultats de ce ST très « dur » dans ses hypothèses seront connus au début de 2020.
III.2. Décisions de l’EIOPA sur la base de données des IORPS et sur les « Registres de Pension » – 7 mars et 12 avril 2019
Ces textes ne sont mentionnés que pour mémoire. Il s’agit d’imposer aux Autorités de contrôle nationales de transmettre des informations (à définir) pour construire une base de données des Plans et Produits de pension européens.
L’EIOPA prévoit, en outre, de tenir un registre des Provisions prudentielles des IORPS et un Registre général des IORPS. Lorsqu’on se souvient des difficultés de l’EIOPA à dénombrer les IORPS, avec la confusion entre les Institutions et les Produits (chacun étant parfois compté pour une institution spécifique), on ne peut que féliciter l’EIOPA d’améliorer ainsi la visibilité sur le secteur.
IV.1. EIOPA – 20 février 2019 – Rapport sur le cadre général de l’identification du risque de « mauvaise conduite » au long du cible de vie des produits
La DDA a mis en avant ce risque de mauvaise conduite (conduct risk) des assureurs, à l’intérieur du risque opérationnel, que la directive Solvabilité 2 avait traité assez sommairement. L’EIOPA entend combler ce vide et instituer un cadre pour établir le contrôle du conduct risk par les Autorités nationales.
Il s’agit de protéger le consommateur non seulement lors de la conception du produit, mais lors de sa vente et, surtout, dans le cadre de la gestion du « cycle de vie » du produit. Le texte de l’EIOPA insiste sur l’approche « holistique » adoptée et sur « l’approche préventive fondée sur le risque » du contrôle qui doit ainsi veiller à la protection du consommateur. D’emblée, le document adopte un jargon pesant et répète de nombreux thèmes déjà abordés par ailleurs.
Le « modèle d’affaires » adopté par l’assureur peut être cause de « mauvaise conduite ». L’EIOPA esquisse une charge contre les investisseurs de private equity dans l’assurance, qui peuvent être tentés par une politique de croissance agressive et des pratiques de « cost cutting » qui dégraderaient le service rendu aux assurés (gestion des sinistres ?). La structure de la chaîne de valeur peut encourager les conflits d’intérêt, par exemple entre entités membres d’un même groupe, développer cross-selling et ventes liées, vente « forcée » de produits préfabriqués en provenance du groupe auquel appartient l’entité, des produits « que l’on ne peut résilier », etc. Il y a sans doute des exemples anglo-saxons sous-jacents à ces phobies de l’EIOPA. L’Autorité poursuit l’exposé de ses inquiétudes sur la technologie, le Big Data, l’entrée de Google et d’Amazon qui disposeraient d’un « pouvoir de marché » excessif. Il en est de même pour la sous-traitance, et notamment l’existence et les assurances « voyages » aux commissions élevées. Et l’EIOPA de répéter l’importance du contrôle de la sous-traitance, de la gouvernance adéquate et de la « régulation » des sous-traitants Rien ici de bien nouveau, mais l’EIOPA s’émeut d’une « culture de profit » qui prendrait le pas sur le traitement loyal du consommateur, et de revenir sur la rémunération des commerciaux.
Dans les risques liés à la conception (manufacturing) du produit, l’EIOPA se perd dans le vieux dilemme du marketing de l’assurance entre les produits complexes, très adaptés mais opaques, et les produits simples avec des risques de mauvaise couverture des risques. Il est probable que si la solution existait, elle serait depuis longtemps appliquée. EIOPA s’inquiète du risque de produits sans grande valeur pour le consommateur : c’est le retour des assurances « auxiliaires » à la vente de produits industriels (téléphones portables). L’Autorité reprend aussi ses inquiétudes sur le « misseling » et les produits « inadaptés » au client et, à l’inverse, les discriminations et exclusions liées au Big Data et à la construction de « marchés cibles » trop étroits. Là encore, rien de très nouveau.
Quant aux risques liés à la distribution, ils sont peu différents des risques liés à la conception du produit : les ventes liées (« bundling ») de produits, où l’EIOPA cite la vente de la Garantie du Conducteur Responsable en inclusion dans les garanties RC Auto, montrant ainsi son incompétence, et les ventes liées des garanties d’emprunteurs.
La suite contient un ensemble de banalités sur la compétence des distributeurs, la gouvernance des réseaux de distribution, et des considérations étranges sur l’asymétrie d’information, entendue par l’EIOPA comme étant en faveur de l’assureur, le distributeur ayant un rôle de réduction de cette asymétrie d’information sur le produit au profit du consommateur. Il faut, au demeurant, pousser les assureurs à plus de transparence, car l’assurance est « poussée par l’offre » et doit offrir des choix clairs aux assurés. L’Autorité termine cette palinodie de contre-vérités par son thème habituel sur les commissions, « fonction du nombre et de la valeur des ventes » et comme telles, principal déterminant de la conduite des commerciaux et facteur de risque de mauvaise conduite. Sans parler de la traditionnelle charge contre les Agents généraux exclusifs qui, ne proposant que les produits de leur compagnie mandante, travaillent forcément au détriment du consommateur. C’est évidemment un retour aux sources de DIA1 inspirée jadis par le courtage britannique.
Le texte sur les risques de gestion des produits n’apporte rien de neuf, sauf des remarques sur les risques liés à la mauvaise gestion des sinistres, et l’intérêt qu’il y a à mettre en place des procédures externes à l’entreprise de « redress » ou d’arbitrage entre les clients et les assureurs. Et l’EIOPA de vanter ses « guidelines » sur la gestion des réclamations.
Concrètement, ce document est de peu d’intérêt. Les Autorités françaises de régulation n’ont nul besoin de cette liste d’évidences ou d’erreurs. Il n’en demeure pas moins dangereux, dans la mesure où il accrédite l’idée que, faute d’une réglementation et d’un contrôle sévères, les assureurs agissent au détriment des consommateurs. Et l’on voit reparaître les discours négatifs sur le marketing, les Agents généraux exclusifs, le Big Data et l’asymétrie d’information, etc. En attendant, l’EIOPA passe à côté de ce qui eût été intéressant : l’adaptation des produits et de leur gestion au cycle de vie du client (et non du produit).
IV.2. EIOPA – 22 juillet 2019 – DDA – Rapport analysant les règles nationales « d’intérêt général »
La DDA prévoit l’existence, dans chaque État membre, de dispositions nationales fondées sur « l’intérêt général » tel que le définit l’État membre. Ces règles s’appliquent dans le pays « hôte » aux succursales (liberté d’établissement) et aux opérations en liberté de prestations de services d’un autre État membre (« home ») de l’Union européenne. L’EIOPA est tenu de faire un Rapport sur ces « règles d’intérêt général » nationales, au demeurant non définies par les textes.
Le Rapport ne permet pas vraiment de tirer des conclusions claires sur ce sujet, dont la restriction à la distribution réduit singulièrement l’intérêt. Il eût été plus important de traiter des obligations d’assurance R.C. diverses et de leur conséquence sur la gestion de la LPS (France : RC construction, par exemple).
L’EIOPA constate que la plupart des pays ont publié la liste (en anglais, insiste l’Autorité européenne) des règles d’intérêt général (26 sur 28), et donc que les acteurs, notamment de LPS, savent à quoi s’en tenir sur les dispositions imposées par l’État « hôte » au profit de ses consommateurs.
L’analyse par thème de ces obligations nationales est sans grand intérêt. Si l’on cherche les cas où la France est citée, on trouve les suivants :
- information du client : obligation de publicité du nom de l’intermédiaire et du nom de la Compagnie d’assurance porteur de risque ;
- conflits d’intérêts : interdiction du transfert de commissions à des acteurs qui ne sont pas enregistrés comme intermédiaires d’assurance, sous réserve de la situation des apporteurs d’affaires ; obligation de publier au client le montant de la commission pour des primes de plus de 20 000 euros, et publication du nom de l’assureur avec lequel l’intermédiaire réalise plus de 33 % de son chiffre d’affaires ;
- vente « sans conseil » : en France, le distributeur doit spécifier les raisons de sa proposition, par écrit, et avec une motivation de la proposition (bien que ce soit une vente sans conseil) ;
- Product Oversight and Governance. La France demande aux intermédiaires qui distribuent des produits en unités de compte de conclure un accord avec la Société d’assurance, portant notamment sur le contrôle de la publicité sur le produit ;
- vérification des célèbres « suitability » et « appropriateness » : en France, la vérification prend en compte la situation financière du client et ses objectifs d’investissement, et pas seulement l’expérience dudit client en matière d’investissement (comme prévu dans la directive pour l’appropriateness, alors que la situation financière n’est prise en compte que pour l’analyse de « suitability ») ;
- la France, enfin, a mis en place des règles de responsabilité civile pour les entités employeurs de salariés ou mandataires fautifs ou négligents. Il est curieux que l’EIOPA relève cette règle de bon sens comme une particularité française.
IV.3. PRIIPs (produits en Unités de compte) – Nouveaux développements – ESAs, juillet 2018 et Commission 14 mai 2019 – ESAs, mars 2019
1. Le premier échange de lettres concerne l’inclusion de certaines catégories d’obligations (« bonds ») dans la directive PRIIPs. En juillet 2018, les ESAs considèrent que les incertitudes sur ce sujet peuvent décourager les émetteurs de proposer certains produits aux particuliers, motif pris de ce que ces produits pourraient être soumis à la directive.
Les ESAs souhaitent que les obligations à taux variable, les obligations bénéficiant d’un « call » (possibilité ouverte à l’émetteur de rembourser l’obligation avant la date d’échéance), et les obligations convertibles soient considérées comme soumises à la réglementation PRIIPs, les autres (perpétuelles, subordonnées, à taux fixe et contenant un « put ») n’y étant pas soumises.
Ce débat recouvre évidemment de redoutables querelles commerciales, les émetteurs et vendeurs cherchant à échapper à la réglementation PRIIPs.
La Commission a pris presque une année de réflexion, puis a refusé de s’engager dans cette voie et répète que les obligations sont soumises à la réglementation PRIIP si les montants de principal ou d’intérêt sont susceptibles de varier dans le temps et que, dès lors, le montant à payer n’est pas certain à la souscription du contrat. La soumission à la réglementation PRIIP doit donc être établie au cas par cas, pour chaque émission, en fonction des caractéristiques spécifiques du contrat de prêt.
2. Par ailleurs, les échanges de vues se poursuivent sur les conséquences de l’exonération des OPCVM de l’obligation de souscrire un KID (de la directive PRIIPs) en parallèle au KIID auxquels ils sont contraints par les directives OPCVM. Les préoccupations bureaucratiques ne perdent manifestement pas leurs droits. Entre-temps, les divergences demeurent sur les scénarios à utiliser pour informer les clients des perspectives de résultats des OPCVM qui construisent le contrat en unités de compte. Là aussi, l’EIOPA s’entête à vouloir donner une information sur les perspectives de la performance des produits dans l’avenir, et non seulement des informations sur les performances passées, sachant que celles-ci ne préjugent évidemment pas leur maintien dans l’avenir. Le débat n’est pas clos.
IV.4. Rapports annuels du Pôle commun ACPR/AMF pour 2017 & 2018
1. Le rapport 2017 ne contient guère de remarques originales en ce qui concerne les diverses dispositions sur la vente des produits, en particulier sur les informations précontractuelles. On notera, cependant, le rappel des dispositions sur l’abus de faiblesse, sachant que les Autorités de régulation travaillent activement sur le sujet des « personnes vulnérables » dont la définition est encore à venir.
Le rapport rappelle également la « police » des documents publicitaires et, en particulier, les mentions obligatoires et la nécessité de conventions avec les intermédiaires sur les documents à caractère publicitaire, dont l’information contenue doit être « exacte, claire et non trompeuse ». Il est rappelé que le Ministre (et ses délégués) dispose d’un droit de demande de retrait de documents contractuels et de la publicité.
L’information précontractuelle est évidemment concentrée sur les délais de renonciation (en non-vie, notamment), mais plus encore sur le devoir de conseil, l’étendue de la connaissance du client que doit obtenir le vendeur, en particulier sur la compétence financière dudit client (qui est une spécificité française). En revanche, on connaît le peu d’appétence des Autorités françaises sur la complexe distinction entre la « suitability » et « l’appropriateness » des contrats, qui ont fait l’objet d’importants travaux de l’EIOPA (en vie essentiellement).
Enfin, le Rapport insiste sur les obligations faites aux assureurs de rechercher les bénéficiaires des contrats d’assurance vie après le décès du souscripteur et en l’absence de réclamation des fonds par ces bénéficiaires (Loi Eckert).
Le plus intéressant, pour nos lecteurs, est l’annexe III, tableau 1, « Cartographie des dispositifs de protection de la clientèle dans le domaine de l’assurance ». Ce document réunit par thème (dispositions générales, information promotionnelle, précontractuelle, etc.) la liste des articles pertinents des Codes civil, de la consommation, des assurances, de la mutualité et de la Sécurité Sociale. Ce résumé est particulièrement utile, et c’est ce document qui justifie le commentaire du Rapport– il est vrai tardif – dans cette chronique.
2. Le Rapport 2018 donne plusieurs éclairages intéressants et nouveaux. Sur les demandes d’information recueillies sur l’ABEIS
Le sujet « contrôle de la publicité » concerne le risque en capital sur les unités de comptes (UC), les cryptomonnaies, les produits à risques (options binaires, « contracts for difference ») inclus dans des contrats UC et plus souvent interdits à la vente aux particuliers (voir travaux des ESA sur le sujet). Enfin, les deux Autorités rappellent l’existence d’une « liste noire » de sites Internet non autorisés à proposer des offres de contrats et produits, comportant 750 noms.
Elles reprennent le thème des « personnes vulnérables », et notamment les personnes âgées, pour qui elles voudraient réglementer la vente des produits. Après avoir renoncé à fixer un « âge seuil » (75 ans), elles cherchent de nouveaux indicateurs. Un appel à contribution a été lancé en décembre 2018.
IV.5. L’Argus du 8 mars 2019
L’Argus du 8 mars 2019 attire l’attention sur le développement d’une nouvelle catégorie d’intermédiaires d’assurance, dénommés « agents sans agence », actifs essentiellement en assurances de personnes. Ces Agents généraux bénéficient des mêmes règles de commissionnement que les Agents généraux dotés d’une agence et sont mandatés par des traités conformes aux normes fixées par les accords FFSA/Agea de 1996, et sans doute par les accords d’entreprise qui résultent de ces conventions générales. En principe, et compte tenu de leurs faibles frais de structure, ils ne sont pas titulaires de mandats d’assurance dommages. Selon l’Argus, AXA aurait mandaté 1 116 Agents et le Conservateur 534. Les autres compagnies auraient plus faiblement développé cette solution. Il s’agit sans doute d’une stratégie visant à fidéliser les « producteurs salariés » en leur permettant de mieux structurer leur portefeuille et de réviser en profondeur leur mode de rémunération qui, trop étroitement lié à la quantité de contrats produits, posait sans doute question au regard de la DDA.
V.1. Rapport annuel 2018 du Comité conjoint des Autorités européennes (ESAS) – EBA-EIOPA-ESMA (JC 2019-19)
Ce document est un résumé rétrospectif des sujets qui préoccupent les Autorités de contrôle. Il n’a pas la prétention d’innover mais indique les sujets d’actualité qui orientent l’activité des contrôles.
Les risques « cross-sectoriels » (banques, assurances, marchés financiers) sont, sans surprise, le Brexit (mais traité plutôt allusivement), la hausse des primes de risques (crise potentielle des spreads), les risques cyber et le « risque de durabilité » qui couvre à la fois les risques liés à la transition écologique, à son financement et le développement des contraintes dites ESG, sans oublier le « risque opérationnel » et un mot sur les « risques émergents » (il existe une liste annuelle du CRO Forum, mais qui n’est pas visée ici).
La question des contrats en Unités de compte (ou PRIIPS) et l’éternel retour de la conception du Key Information Document (KID) et de l’association des gestionnaires d’OPCVM de le souscrire (en parallèle à leur propre document) fait craindre sa prolongation pour de nombreuses années encore.
Les ESAs rappellent leur position très « balancée » sur le Big Data et le contrôle des Fin Tech (les « innovation hubs » et les « bacs à sable » réglementaires) : la méfiance n’exclut pas la « neutralité technologique ».
Compte tenu de la position de la Commission qui se veut très active sur le sujet, les ESAs réaffirment leur volonté de coopération en matière de la lutte contre le blanchiment et le financement du terrorisme. Elles ont élaboré un projet de guidelines (JC 2019-59) sur la coopération entre les autorités de contrôle et, surtout, recommandent la création de Collèges de contrôleurs en matière de LCB/FT. C’est en effet une évolution majeure dans le domaine, surtout s’il s’agit bien de contrôler les activités transfrontalières.
Curieusement, les ESAs rappellent leur souci quant au développement des Fin Techs et les risques qu’elles présentent au regard du respect des réglementations LCB/FT.
Enfin, elles publient la liste des conglomérats financiers : 78 conglomérats dont le siège social se trouve dans l’Union ou les pays de l’espace économique européen, 1 conglomérat dont le siège est en Suisse, 1 aux Bermudes et 1 aux États-Unis. Les ESAs ne développent guère la description de leur activité, sinon le travail sur la confection d’états de reporting. Les travaux menés en 2019 sur les transactions intragroupes (IGT) sont beaucoup plus importants (voir la présente chronique).
V.2. Rapport des ESAs (EIOPA-EBA-ESMA) sur les risques et vulnérabilités du Système financier de l’Union européenne – 2 avril 2019
Nous relèverons ci-dessous les seuls éléments originaux par rapport au Rapport de l’EIOPA.
1. Le Brexit. Le principal sujet est la relocalisation des services financiers britanniques dans l’Union après la révocation de leur agrément, en LPS notamment. Les ESAs attirent l’attention sur la nécessité d’autorisation de supervision et d’agrément pour de « nouvelles entités », désormais filiales ou succursales d’un Pays tiers. Le second thème est celui de la continuité des contrats existants, notamment les éventuelles assurances vie souscrites au Royaume-Uni par des résidents européens. Un Memorandum of Understanding a été conclu sur ce sujet entre l’EIOPA et les Autorités britanniques.
2. Les questions liées aux taux d’intérêt occupent évidemment la première place. Le Rapport s’inquiétait des effets d’une hausse des taux d’intérêt, et de la baisse de valeur des actifs. Les décisions récentes des banquiers centraux donnent un caractère théorique à ces inquiétudes. Les perspectives sont plutôt de taux d’intérêt durablement bas, et donc des taux garantis inclus dans les contrats existants. Les ESAs s’inquiètent plutôt des tendances à la diversification des actifs, en particulier vers les actifs à haut rendement et les titres non cotés Les discussions de 2020 sur les « chocs » sur les actions et sur la charge en capital du risque « Actions » seront sans doute animées…
V.3. EIOPA – juin 2019 – Rapport sur la Stabilité financière
L’exercice est pour partie convenu : les risques vont croissant et se diversifient, il convient donc, pour les autorités de contrôle, d’être particulièrement vigilantes face aux fortes menaces qui s’exercent sur la stabilité financière. Heureusement et malgré tout, la solvabilité moyenne et médiane des assureurs, mesurée par le SCR de Solvabilité 2, s’est… améliorée.
Les facteurs de risques ne sont pas nouveaux. L’économie globale inspire des inquiétudes, comme il se doit, de la guerre commerciale au Brexit. Les conditions financières demeurent ou redeviennent permissives : la BCE reprend des formes d’injection de monnaie dans le système bancaire (TLTRO). Mais l’EIOPA reprend l’antienne traditionnelle ; il y a un risque de spread élevé lié aux taux bas et à l’endettement, y compris sur les dettes souveraines (Italie) ; le risque de hausse des taux (le texte a été écrit dans le 1er semestre) s’étend à la non-vie (sur la base d’un raisonnement alambiqué, où la baisse des best estimates de provisions actualisées à un taux en hausse serait plus faible que la baisse de valeur de marché des actifs) ; la hausse des taux de résiliation nous menace également et peut créer des contraintes de liquidité (d’où, sans doute, les questions nouvelles de la Commission sur le sujet de la liquidité). Plus intéressante est l’attention donnée au risque de contagion lié à l’interconnection des assureurs avec les banques : c’est le syndrome AIG 2008. Outre les risques macroéconomiques, le secteur est soumis au « risque climatique ». Pour les réassureurs, le risque de catastrophes naturelles s’accroît avec le changement climatique ; l’ampleur des « risques non assurables » et en particulier « le déficit de couverture » tend à augmenter ( c’est particulièrement vrai pour les événements naturels dans les pays émergents) ; les risques de la « transition » écologique et énergétique, avec une demande croissante de la société pour des investissements « responsables » et le désengagement des industries productrices de carbone et le développement des « obligations vertes ».
Néanmoins, conclut l’EIOPA, le secteur doit s’engager plus fermement dans la couverture des risques climatiques. Enfin, le cyber risque est traité, notamment en ce qui concerne les « couvertures silencieuses » : on sait que l’EIOPA veut, sur ce sujet, obtenir un leadership sur la gestion du risque (scénarios, lignes directrices, rédaction de clauses, etc.).
Quant à la situation de l’assurance, on note une croissance de 4,2 % (soit plus de 3 fois le taux de croissance du PIB), le bon niveau de résultats techniques (le ratio combiné est inférieur à 100 %), la liquidité reste forte (68 %), la solvabilité est étale, mais en général avec un taux de couverture du SCR à 200 %. Seule la profitabilité demeure sous pression, même avec la baisse des contrats à taux garantis en vie.
Sur le plan de la régulation, les deux principales innovations en cours sont les travaux (achevés en mars 2019) sur le risque systémique et le contrôle macroprudentiel, et surtout les efforts de la Commission et de l’EIOPA pour introduire les sujets de durabilité (et donc d’investissement responsable) dans la législation DDA et S II. C’est la notion ambiguë de « Stewardship approach », dont on croit comprendre qu’il s’agit de prendre une attitude militante dans l’appréciation de l’impact des investissements sur la durabilité. Il est amplement fait référence à cette démarche dans la présente chronique. Trois mesures réglementaires sont en cours de finalisation entre les Institutions de l’Union : la réglementation sur les obligations de publication sur les questions de durabilité pour les institutions financières, la réglementation des « benchmarks » sur la transition climatique, et la réglementation sur la « taxonomy » (nomenclature) des investissements socialement responsables (ESG). Ces trois réglementations ont pour but d’y voir clair (pour le public et les clients) sur le niveau d’implication et la nature de celle-ci, des institutions financières dans la promotion de l’économie à bas carbone.
Pour la réassurance, l’EIOPA est toujours aussi pessimiste : quatrième année la plus coûteuse en catastrophes (il est vrai que le coût du cyclone japonais « Jebi » continue d’augmenter à mi 2019), augmentation de la part de marché du financement alternatif, trop faible taux d’augmentation des primes (c’est désormais inexact), mais la solvabilité s’est améliorée (213 % pour la médiane). L’EIOPA conclut tout de même que les perspectives demeurent « difficiles » (challenging) : curieuse hostilité ancienne de l’EIOPA à l’encontre des réassureurs !
À l’inverse, le ton est plus bénin pour les Fonds de pension, dont la situation paraît pourtant catastrophique : très touchés par la baisse de taux d’intérêt, les actifs sont en baisse de valeur, le taux de pénétration baisse et le taux de couverture est de 101 %.
Quelques remarques tirées de « l’analyse des risques » :
- la « hiérarchisation » des risques met en premier les taux d’intérêt puis les risques sur actions, avant les risques macroéconomiques, mais le risque « cyber » vient en 4e position, avant les risques géopolitiques et les catastrophes : c’est significatif ;
- l’exposition des assureurs au risque bancaire (investissement dans les institutions financières) est de 13,4 % des actifs en France, de 23,61 % en Allemagne, de 13,6 % en Espagne, de 9,81 % au Royaume-Uni et seulement de 7,97 % pour l’Italie. L’écart entre l’Allemagne et l’Italie, pays dont les secteurs bancaires sont très menacés, est significatif pour la situation d’Allianz et de Generali, par exemple ;
- beaucoup de bruit sur le risque des « senior non preferred debt » et l’exposition aux dettes subordonnées hybrides et convertibles qui pourraient devenir non vendables en cas de faillite de la banque. Quant à la réapparition des obligations de titrisation de prêts à la consommation et d’hypothèques, notamment en Irlande et au Royaume-Uni, elle ne concerne aujourd’hui que 0,06 % des actifs des assureurs.
V.4. Rapport annuel EIOPA – 2018
La liste des activités de l’EIOPA serait fastidieuse : elle est d’ailleurs connue des lecteurs attentifs de la chronique. Nous nous contenterons de commenter les éléments qui indiquent des priorités nouvelles de l’EIOPA.
L’EIOPA poursuit ses travaux sur la Distribution, et en particulier publie un Q&A de juillet 2018 sur l’application de celle-ci. De même, l’EIOPA s’applique à mettre en place un cadre pour le contrôle du risque de mauvaise conduite (cf. section IV ci-dessus).
Elle constate l’achèvement de la première révision de S II et la nouvelle demande de février 2019 de la Commission. Il est significatif qu’elle traite de la question des taux d’intérêt et de sa demande de charge en capital pour les risques de taux d’intérêt négatifs, sans dire un mot du débat nourri sur la charge des investissements en actions. Elle commente ses travaux (chronique 17) sur les « illiquid liabilities ».
L’Autorité réaffirme son intention de pousser les feux sur le contrôle des modèles internes et d’introduire des éléments de contrôle de ces modèles, la mise en œuvre d’études comparatives sur la calibration de risques non-vie spécifiques, et sur les traitements comparés entre les modèles des risques de crédit et de marché.
Elle participe à 46 collèges de Contrôleurs de groupe.
Enfin, l’Autorité développe ses travaux sur les « risques et facteurs de durabilité ». Sous ce vocable, elle traite à la fois de modification législative (comment introduire la « finance durable » dans S II ?), la prise en compte de l’impact environnemental des investissements des assureurs (le « stewardship principle » !), et l’intégration des demandes des assurés en matière environnementale, sociale et de gouvernance, dans les produits. Et tout cela conduit à des modifications dans la DDA.
L’EIOPA conclut sur les perspectives d’un avenir positif pour le PEPP.
V.5. BOS 19.372 – juillet 2019 – Tableau de bord des risques de l’EIOPA.
L’essentiel de ce tableau tient dans la qualification de risques élevés (dans un univers de risques stable par ailleurs) des risques dits « macro » (macroéconomiques ou d’environnement) et du « risque de marché », avec le retournement des politiques monétaires vers une nouvelle baisse des taux et un retour à des formes de quantitative easing en Europe.
Les risques sur la solvabilité et la profitabilité des assureurs sont jugés moyens mais en croissance. Même si ce n’est pas très sérieux, il faut bien que les palinodies sur les taux d’intérêt et la conjoncture se traduisent dans les résultats financiers, ne serait-ce que pour les crédibiliser. Ces discours font partie depuis très longtemps de la communication institutionnelle des assureurs.
V.6. Le Rapport annuel de l’ACPR pour 2018
Il s’agit ici de relever les points d’attention que suscite ce Rapport, notamment sur les orientations du Contrôle des assurances, sachant que l’ACPR dénombre 713 entités sous sa gestion en 2018, soit 29 de moins qu’en 2017.
La préoccupation du Contrôle fait apparaître des priorités évidentes : la surveillance des effets des taux d’intérêt bas sur la solvabilité et/ou la rémunération des contrats d’assurance vie, le suivi des modèles internes, et la vigilance forte (et dont la nécessité est répétée par le Secrétaire général de l’ACPR) sur la qualité des données. Mais des priorités apparaissent sur le contrôle des risques : risque cyber et assurance construction (et rôle du FGAO). Enfin, l’ACPR développe la nécessité de mise en place rapide des « Plans préventifs de rétablissement » (à remettre mi-2019) sur la base de 3 scénarios de crise au minimum : un scénario « idiosyncrasique » (ce qui voudrait dire lié à des causes internes à l’entreprise), un scénario systémique (la hausse brutale des taux !) et un scénario « mixte ». Ces trois scénarios doivent être assortis de mesures crédibles de rétablissement.
Quant à protection de la clientèle, l’ACPR rappelle ses « grands chantiers » : la loi Eckert (Annexe II), la vente à distance d’assurance vie, les clients en situation de « fragilité », l’insertion des facteurs ESG dans la gouvernance de la distribution des produits, et l’évolution du règlement PRIIPs et la « saga » du KID (Key Informations Document).
Pour la lutte contre le blanchiment, le Rapport fait surtout état de la 5e directive LCB/FT, et le contrôle de l’organisation préventive des Groupes, ainsi que la création de Collèges de supervision de Groupe. L’ACPR rappelle l’obligation de lui soumettre des Rapports sur l’organisation du contrôle interne LCB/FT.
Enfin, sur les nouvelles technologies, outre la création d’un « bac à sable » pour tester les innovations au regard de la réglementation, l’ACPR rappelle ses préoccupations en matière d’intelligence artificielle : la gouvernance interne à l’entité des algorithmes, l’auditabilité (notamment par le Contrôle) des algorithmes et, enfin, la portée des interventions humaines.
On notera que l’ACPR insiste sur l’organisation en son sein d’un Collège de résolution et sur la remise mi-2019 des plans préventifs de rétablissement. La « Résolution » est une nouvelle et complexe charge à assumer (organisation-scénarios-reporting) pour les entreprises.
V.7. ACPR – Analyses et synthèses n° 103 de juin 2019 – Situation des assureurs soumis à Solvabilité 2 en France à fin 2018
L’intérêt des chiffres publiés par l’ACPR est qu’ils sont dénués d’ambiguïté sur le périmètre qui regroupe les entités des 3 « codes » : assurances, mutualité, sécurité sociale.
1. Activité en 2018
Les primes vie ont augmenté de 3,6 % en 2018 à 170,5 milliards d’euros. Sur les « contrats rachetables » (épargne), les primes atteignent 123,5 milliards (en 2018) et produisent une collecte nette de 20 milliards. La « décollecte » de 2017 sur les contrats euros a connu un retournement et les supports en unités de comptes progressent rapidement.
Les primes non-vie (y compris santé) ont progressé de 3,4 % en 2018 à 123 milliards. L’ACPR note que la sinistralité se maintient à un niveau élevé, mais que le ratio combiné est en baisse par rapport à 2017 et inférieur à 100 % (hors assurance Santé).
2. La solvabilité est largement garantie
Le taux de couverture moyen du SCR est à 240 %, le taux médian étant de l’ordre de 220 %. Les entités vie dégagent un ratio de solvabilité moyen de 225 % (médiane 200 %) et les entités non-vie de 278 % (médiane vers 250 %).
3. Dans le contexte du Brexit
L’ACPR constate une baisse de 11 points (de 47 à 36 %) de la part de marché des entreprises britanniques sur le marché de la LPS en France de 2016 à 2017. Les entreprises représentaient 50 % du « marché de la LPS » « entrante » en France en incendie, RC, automobile et frais médiaux.
210 entités britanniques pratiquent la LPS et utilisent la liberté d’établissement en France, alors que 72 entités françaises pratiquent la LPS au Royaume-Uni et 7 succursales y sont implantées.
le Royaume-Uni est en 5e position des expositions françaises à l’étranger, ce qui relativise les effets du Brexit sur le chiffre d’affaires des entités françaises.
À noter, dans ce document de l’ACPR, une excellente définition de la « réserve de réconciliation », élément majeur des fonds propres de base classés en Tier1. Elle permet notamment de « réconcilier » les comptes prudentiels avec les comptes « comptables » : elle comprend donc le solde des plus et moins-values latentes (non prises en compte dans la valeur de marché des actifs utilisée par les comptes Solvency I), l’écart entre les prévisions techniques comptables et le Best Estimate + Marge de risque de S II, et les réserves comptables.
De même, l’ACPR fournit une description du calcul du MCR particulièrement éclairante. Elle distingue :
- un MCR « linéaire » : combinaison linéaire des BE et des primes par branche non-vie et des provisions techniques par type de contrats et des capitaux sous risque ;
- un MCR « combiné » qui applique au MCR linéaire une contrainte pour le ramener entre 25 % et 45 % du SCR ;
- le MCR est obtenu en comparant le MCR « combiné » au « MCR absolu » (valeur plancher) ; il est égal à la valeur la plus élevée entre MCR absolu et MCR combiné.
V.8. ACPR – Analyse et synthèse n° 105 et 106 – juin 2019 – Revalorisation 2018 des contrats d’assurance vie et de capitalisation – Dominante épargne et retraite individuelle (105) et retraite collective (106)
L’ACPR suit de près les revalorisations des contrats d’assurance vie au regard du faible niveau de taux, et donc de rendement, des actifs qui financent les participations aux bénéfices des contrats en euros.
• Les contrats individuels ont bénéficié d’une collecte nette en hausse de 20 milliards d’euros (essentiellement due à l’augmentation de la collecte des contrats en unités de compte) à 1 165 milliards d’euros au global. Les taux de revalorisation sont stabilisés à 1,83 %, au même niveau qu’en 2017 (contre 3,02 % en 2011). Ce rendement est, aujourd’hui, net d’inflation, à 0 % contre 1,7 % en 2016. Il est encore inférieur au taux de rendement des actifs qui est, en 2018, de 2,67 %. Les assureurs traditionnels revalorisent leurs contrats à 2 % (soit un peu plus que l’inflation à 1,83 %), et les bancassureurs réévaluent très légèrement à 1,71 % les PAB.
Malgré les inquiétudes actuelles liées à la nouvelle baisse des taux, il faut rappeler, comme le fait l’ACPR, que les taux garantis ne concernent que des contrats très anciens et que le taux technique moyen des contrats d’assurance vie se situe à 0,43 %.
• Les contrats collectifs à dominante retraite occupent une place modeste dans les encours d’assurance vie et dans l’ensemble de l’activité retraite complémentaire. L’encours est de 128 milliards d’euros pour un montant de provisions mathématiques en assurance vie de l’ordre de 1 160 milliards dans les contrats à dominante épargne.
Le taux de revalorisation à 2,43 % en 2018 a cessé de baisser (tendance depuis 2012) et la revalorisation est proche du rendement de l’actif (à 2,67 %) et nettement supérieur à l’inflation (à 1,80 %). Comme pour les contrats individuels, les taux versés par les assureurs traditionnels (2,70 %) sont plus favorables que les taux versés par les bancassureurs (1,93 %). Les provisions du PAB sont plus élevées chez les bancassureurs qui assurent, ainsi, une meilleure probabilité de lissage des rendements. Il est vrai que les assureurs traditionnels subissent des taux techniques plus élevés que les autres intervenants.
Enfin l’ACPR relève que les chargements payés par les assurés sont en moyenne supérieurs au taux technique, en particulier chez les assureurs traditionnels.
V.9. ACPR – Conférence annuelle du 21 juin 2019 – « Actualité de la supervision en assurances »
L’ACPR a d’abord développé son analyse des nouveaux risques : le changement climatique et le cyber risque.
1. Le changement climatique
Sur le changement climatique, elle souhaite établir un état des lieux des risques encourus et/ou couverts par le secteur, à l’actif et au passif. Elle dresse une typologie de ces risques : les expositions « physiques » (liées à l’augmentation de la fréquence/gravité des phénomènes climatiques : thème traditionnel du coût croissant des catastrophes naturelles), les « risques de transition » (modification du comportement des agents économiques et des investisseurs : par exemple, le financement des mines et du commerce du charbon), et un « risque de responsabilité ». Ce dernier semble s’adresser à la fois à l’entreprise assurance (qui contribuerait au réchauffement climatique en finançant la dette d’un exploitant minier) et à l’assureur porteur de risque (assureur du risque minier ou du transport de charbon).
Globalement, l’ACPR juge le secteur modérément exposé (en France), mais constate une « appropriation croissante » des risques liés au changement climatique. Elle fait état de l’intense activité européenne sur le sujet, et en particulier les demandes d’avis à l’EIOPA de la Commission et, surtout, l’élaboration de la future taxonomie (nomenclature) des investissements durables (ESG en anglais) promise pour fin 2019.
2. Le cyber risque
L’ACPR constate la modestie du marché français à l’heure actuelle et note la diversité des offres d’assurance : produits spécifiques soit standardisés, soit sur mesure, ou adaptations (par options, rachats, inclusions) de produits multirisques existants. Selon l’ACPR, les garanties proposées sont assez larges : reprise d’activité informatique, pertes et coûts occasionnés, couverture des demandes de rançon (suite à encryptage) et d’amendes (?), les conséquences des actes de malveillance ou d’erreurs humaines et les conséquences pécuniaires des réclamations introduites par les tiers.
L’ACPR participe de l’inquiétude du secteur sur la mauvaise connaissance des « silent covers » (appelées « garanties non affirmatives ») pour lesquelles les assureurs n’ont pas dressé de cartographie de leur portefeuille.
Enfin, la conclusion témoigne de la faible maturité du marché français. L’ACPR appelle à la clarification des définitions des risques, à la construction des bases statistiques et à la « construction d’une offre veillant à l’adéquation de la prime à l’exposition au risque ». On ne saurait mieux dire que le risque est probablement sous tarifié. La solution de ces problèmes techniques est, sans aucun doute, le défi technique des assureurs dans les prochaines années.
3. L’application de la directive Solvency II
3.1. RSR/SFCR
L’ACPR donne ses recommandations sur les améliorations à apporter aux documents de reporting général (RSR pour les Contrôleurs ; SFCR pour le public) : nécessité d’une synthèse, respect de la cohérence RSR/SFCR/états trimestriels (QRT), le soin apporté à la rédaction des rapports solos et groupe (ce qui tend à montrer qu’ils ne sont pas fusionnés). Par ailleurs, l’ACPR indique des points d’attention : la description de l’activité (performance de la souscription), de la gouvernance, du profil de risque (et en particulier du respect du principe de la personne prudente) et des techniques d’atténuation des risques et de l’évolution probable du SCR et du MCR. Quant aux travaux de Groupe, l’ACPR attend notamment des informations sur les transactions intragroupe, sur la contribution des filiales à la stratégie du groupe, sur la gouvernance (dont la politique de rémunérations), la sous-traitance, le contrôle interne, les mesures transitoires, la diversification du groupe et, surtout, la gestion des fonds propres et leur transférabilité/fongibilité pour assurer la couverture du SCR. S’y ajoutent, évidemment, les sources de diversification et les risques spécifiques liés au Groupe.
Par rapport au plan « statique » du RSR/SFCR donné par la directive, l’ACPR a le mérite de mettre en lumière les véritables sujets sur lesquels l’attention des contrôleurs et du public doit être attirée.
3.2. ORSA
Les principales remarques de l’ACPR sur la qualité des documents ORSA portent sur des aspects critiques de la gestion des assureurs : absence d’ORSA spécifiques lorsque nécessaire, absence de chiffrage du besoin global de solvabilité, défaut de description de l’appétence au risque. Les scénarios de tests sont parfois insuffisants (en nombre, en niveau de développement) ou trop optimistes (résultats techniques ou maintien de la couverture du SCR incluse dans les hypothèses).
3.3. Le bilan prudentiel
L’ACPR s’est préoccupée de cerner les calculs des « Futures décisions de gestion » (FDG), telles qu’elles doivent être établies dans un document approuvé par l’AMSB. Il s’agit de concilier le principe de continuité d’exploitation et celui de « frontière des contrats », ce qui exclut des FDG prévoyant une réduction des actifs risqués et des mesures asymétriques (ne s’appliquant que dans des scénarios défavorables).
Pour les « rachats conjoncturels » (fire-selling), il faut valoriser les options de rachat et s’en tenir au « corridor » défini par la loi sur les Orientations nationales complémentaires.
Les « Undertaking Specific Parameters », USP (Paramètres propres à l’entité), l’ACPR rappelle la nécessité et les conditions de son autorisation de cette facilité qui permet de modifier en partie la formule standard.
L’ACPR rappelle l’importance et la nécessité de la phase dite de « précandidature » au dépôt d’une demande formelle d’autorisation d’un modèle interne. Cela permet de contourner le délai de 6 mois imposé à l’ACPR par la directive pour prendre sa décision.
Les règles de valorisation des filiales et, en particulier, la valorisation à zéro du goodwill et des autres immobilisations incorporelles non cotées sur un marché, sont rappelées.
La question de l’interdiction de la réduction de la participation minimale aux bénéfices par un traité de réassurance non-vie est rappelée. Il doit s’agir d’un problème spécifique rencontré par l’ACPR, qui consacre beaucoup d’énergie à la défense des droits des assurés en matière de participation aux bénéfices.
4. Surveillance de la gouvernance
Enfin, l’ACPR rappelle ses pouvoirs en matière de surveillance de la Gouvernance :
- dirigeants effectifs et fonctions-clés : contrôle à la nomination et au renouvellement ;
- AMSB : évaluation de l’honorabilité à la nomination seulement, mais nouvelle évaluation en cas de changement au sein de l’entité : nouvel agrément ou extension :
- actionnaires « qualifiés » : la qualification est évaluée dans le cadre de l’autorisation préalable de l’ACPR lors de modification d’actionnariat.
V.10. Discours du vice-président de l’ACPR du 21 juin 2019
Bernard Delas a fait le 21 juin dernier un point sur l’actualité prudentielle dans le secteur des assurances. Son intervention était centrée sur trois thèmes, la solidité du secteur de l’assurance française, la révision de la S II, les défaillances de l’assurance construction transfrontalière.
Après avoir noté que l’assurance française est devenue en 2018 le premier marché de la zone Euro, vie et non-vie cumulées, avec 30 % du total, il a rappelé qu’en ce qui concerne la solvabilité le marché affichait un taux de couverture de 240 % qui le place dans la moyenne européenne. Il pense donc pouvoir affirmer que l’assurance française est solide et bien capitalisée.
Il voit deux défis pour le marché, le niveau des taux d’intérêt, la consolidation des mutuelles relevant du Code de la Mutualité et des Institutions de Prévoyance.
Afin de faire face à la baisse prolongée des taux B. Delas incite la profession à poursuivre la réorientation des politiques commerciales et la diversification de l’offre de produits (traduire : moins de contrats vie investis en fonds Euro et plus en unités de compte) et à « prolonger le mouvement d’ajustement des rémunérations servies en assurance vie » (traduire : continuer à réduire le niveau des participations bénéficiaires et ramener le taux minimum garanti à 0).
Tout ceci devra s’accompagner d’un effort maintenu de réduction des frais de gestion et de distribution.
La consolidation des mutuelles inquiète l’ACPR qui note la baisse de leur rentabilité à la suite des diverses réformes de l’assurance Santé et de l’ouverture du secteur à la concurrence. Les regroupements en cours afin de réaliser des économies d’échelle ne se passent pas facilement.
Le vice-président attire l’attention sur le fait que « les bénéfices d’un regroupement ne se matérialisent que si les protagonistes sont prêts à abandonner une partie de leur souveraineté ». En outre la question du niveau insuffisant des fonds propres réglementés par S II est souvent posée.
Concernant la revue de la réglementation S II, qui doit intervenir en 2020, Bernard Delas a évoqué trois dossiers qui sont sur la table du régulateur. Premier dossier : le traitement prudentiel de l’investissement en actions où il espère que soit revue en baisse l’exigence de fonds propres afférant à ce type d’actif. Second dossier : la simplification de S II permettant une application homogène de la réglementation dans toute l’Europe (comprendre : ce n’est pas le cas à présent, des normes plus simples et moins nombreuses seraient bienvenues en permettant de se concentrer sur l’essentiel). Troisième dossier : l’application du principe de proportionnalité, l’ACPR en souhaite un usage systématique.
Bernard Delas a rappelé les défaillances d’un certain nombre de compagnies étrangères souscrivant en France des risques de construction depuis l’Irlande, Gibraltar, ou le Danemark en régime de Liberté de Prestations de Services (LPS). La crise a été gérée par l’ACPR, il ne dit pas comment, elle a fait apparaître une insuffisance des dispositions réglementaires européennes. L’EIOPA a mis en place des plates-formes de coopération entre superviseurs nationaux (NCAs) qui a permis de mener des actions coordonnées. Il estime néanmoins que les exigences existantes à l’égard des assureurs en LPS devraient être renforcées.
Le Vice-Président de l’ACPR a conclu en évoquant l’importance des risques liés au changement climatique sans donner de précision sur les évolutions réglementaires à attendre.
V.11. Étude de la DREES (Ministère de la Santé) n° 1101 sur le nombre de personnes couvertes par les organismes privés d’assurance par risque social – janvier 2019.
L’intérêt est évidemment de comparer ces travaux avec ceux (souvent parcellaires) des Fédérations d’assureurs complémentaires (assureurs, « Mutuelles 45 » et institutions de prévoyance). L’étude permet aussi de confronter les nomenclatures de produits (Code des assurances vs « risques sociaux »).
Les principales données publiées (pour 2016 !) montrent l’ampleur de la couverture complémentaire ou surcomplémentaire, notamment en santé et incapacité/invalidité :
- 64 millions de personnes bénéficient d’une complémentaire santé ;
- 28 à 32 millions d’une garantie incapacité ;
- 23 à 30 millions d’une garantie invalidité ;
- 10,4 millions bénéficient de garantie de retraite complémentaire ;
- 7,5 millions d’une garantie dépendance ;
- on ne connaît pas les personnes garanties en cas de décès « accidentel » ;
- 5,7 millions bénéficient d’une garantie décès « en capitalisation ».
Le débat sur la réforme de la retraite est, évidemment, de nature à relancer la question des retraites complémentaires dans le cadre nouveau défini par la loi PACTE.
Les contrats complémentaires « dépendance » ne sont manifestement pas à la hauteur des enjeux : la dépendance – si les chiffres de croissance rapide étaient confirmés – est aujourd’hui très sous-assurée.
VI.1. EIOPA 19/144 du 26 avril 2019 – Recommandations de l’EIOPA aux Autorités de contrôle à la suite du ST de 2018
L’EIOPA tire les conclusions pour le fonctionnement du Contrôle des résultats du ST de 2018. Elles sont globalement peu originales mais expriment bien les orientations que l’EIOPA veut donner au Contrôle, ce qui est important dans la période actuelle de révision de S II.
Accroître la supervision des groupes exposés à la crise des taux et utilisant les mesures transitoires (Allemagne).
Réviser les stratégies (ORSA) et l’appétence au risque de ces groupes : mesurer les effets du ST en termes de gestion du risque et du capital.
Évaluer les actions managériales possibles et prévues par les groupes, et en particulier les effets de « choc en retour » sur l’économie.
Encourager l’utilisation générale de ST et, en particulier, vérifier la flexibilité de la modélisation des groupes et s’assurer qu’il existe, au niveau national, des experts pour soutenir l’utilisation et l’application des ST de l’EIOPA.
Développer la coopération avec les autres Autorités de contrôle nationales afin d’assurer le contrôle des conglomérats. C’est le refrain traditionnel lié à l’inquiétude devant le risque de l’optimisation régulatoire, les liens excessifs entre les banques et l’assurance au niveau des actifs, et le risque systémique.
Clairement, l’EIOPA renouvelle ses craintes sur la qualité du contrôle des groupes (éventuellement systémiques) et des modèles internes.
VI.2. Interview de G. Bernardino par Thijs Rösken réalisé le 22 février 2019
1. Retraite
Gabriel Bernardino, en réponse à une première question posée par le journaliste du « De Financiële Telegraaf » sur la réduction des pensions de retraite, a affirmé que l’utilisation par les organismes de retraite de l’UFR était une décision politique et pas de sa compétence étant donné que le taux d’escompte n’est pas fixé par l’EIOPA. Cela étant il estime que pour assurer la pérennité du système il faut soit augmenter les cotisations soit réduire le montant des retraites. Il a fait ensuite l’éloge du système de retraite néerlandais qu’il considère comme l’un des plus stables au monde.
2. Solvency II
Il considère la réglementation S II mise en place comme très supérieure à Solvency I dans la mesure où le niveau du capital est lié aux risques qui sont maintenant pilotés. Il fait observer que maintenant la comparaison entre assureurs est possible. Enfin il est très heureux de constater les bons ratios de solvabilité malgré un environnement de taux bas et un marché actions volatile.
À la critique, exprimée par le CEO d’Aegon, comme quoi les garanties sont trop chères et dans le cas des produits à prestations définies que le risque est assumé par le consommateur, le Président de l’EIOPA a rétorqué qu’il n’est pas possible d’offrir des rendements garantis à 4 ou 5 % sur des décennies. À son avis la seule offre possible pour ce type de produit à prestations définies est un engagement avec un taux garanti égal à 0.
Concernant le tarif des produits à taux garanti il sera attentif à la valorisation des engagements illiquides étant entendu que les garanties ne s’appliqueront qu’au terme des engagements et non de façon continue. Commentaire : le marché français est particulièrement concerné avec ses polices investies en tout ou en partie en fonds euro et rachetables à tout moment.
3. Fusions/acquisitions
À propos de la vague de fusions acquisitions qui a envahi le secteur il estime qu’il y a beaucoup de petites entreprises d’assurances et il ne voit pas d’inconvénient à l’augmentation de la taille des entités. Il a ajouté qu’aux Pays-Bas le niveau de consolidation est déjà élevé.
4. Acquisition de portefeuilles vie par des fonds d’investissement
G. Bernardino approuve cette entrée de nouveaux partenaires qui, dit-il, « approfondit la compétitivité ». Il précise que ces nouveaux venus devront se comporter en assureurs. C’est le moins que l’on puisse en attendre ! Le journaliste intervieweur lui demandant alors de préciser sa position quant à la cession d’une partie du capital de la compagnie Vivat à un fonds de « Private Equity » il répond qu’il s’apprête à examiner la stratégie d’investissement de chacun des 5 candidats au rachat de ce portefeuille de contrats fermé.
5. Taux bas
Il pense que l’on va rester dans le même environnement de taux bas pendant un certain temps mais il n’envisage pas pour autant une modification de la réglementation pour cette raison.
VII.1. EIOPA – BOS 19-259 du 9 juillet 2019 – Consultation Paper sur les Propositions de révision de Solvency II concernant l’harmonisation des systèmes nationaux de garantie des assurés
L’idée de mettre en place des Fonds de garantie des assurés est ancienne et l’EIOPA a publié plusieurs analyses (consultation Paper), notamment dans le cadre de la mise au place des politiques de « résolution » et, surtout, à propos de la « crise » de la liberté de prestation de services récente, où il est apparu que certains États membres indemnisaient plus ou moins les victimes de leurs assureurs défaillants, à condition que les assureurs aient cotisés aux fonds de garantie du pays du siège (Host), laissant ainsi leurs nationaux sans garantie s’ils étaient allés chercher un assureur d’un autre pays de l’EEE devenu défaillant. Il s’agissait, pour la France, d’assurance RC, de dommage-ouvrage, de RC construction ou de de RC médicale.
La question ressurgit avec la « commande » de la Commission qui vise les systèmes de garantie d’assurés dans le cadre de la révision de S II. La Commission est probablement poussée dans cette voie par la partie bancaire, où la garantie des dépôts est considérée comme élément majeur de « l’Union bancaire » et de « l’Union des marchés de capitaux », et dont l’harmonisation européenne est en cours.
1. L’EIOPA conclut (ou plutôt propose cette conclusion à la consultation) que l’harmonisation est nécessaire, sous l’aspect d’une harmonisation des conditions de fonctionnement des fonds de garantie d’assurés, qui devraient être mis en place dans tous les pays européens. Au demeurant, cette harmonisation devrait être mise en place dans le cadre de la réglementation de la « résolution ». On se souviendra des travaux complexes de l’EIOPA sur la réconciliation douloureuse des textes sur la « résolution » avec les éléments figurant dans S II sur la « recovery », le retrait d’agrément et les procédures de faillite. Les arguments en faveur de cette harmonisation de législations qui doivent demeurer nationales, sont évidemment liées à la facilitation de la LPS, la limitation du « hasard moral » (en faveur de pays ayant créé des fonds), l’assurance d’éviter une intervention financière des Pouvoirs publics, et l’égalité de la concurrence (le « level playing field »). Donc, l’EIOPA veut des règles harmonisées d’intervention au sein d’un « réseau » de fonds de garantie nationaux, et écarte l’idée d’un « Fonds européen » unique. Bien qu’elle ne le dise pas, l’agence y voit, sans doute, l’émergence possible d’une structure bureaucratique lourde et coûteuse.
2. La garantie apportée, telle que la propose l’EIOPA serait d’offrir la bonne fin des contrats et/ou l’indemnisation des sinistres laissés pendants par l’insolvabilité de l’assureur défaillant. Il s’agit en effet (bien que l’EIOPA ne le dise pas clairement) soit de contrats vie (et/ou « long tail » comme les contrats RC construction décennale français), soit de contrats non-vie, généralement annuels.
3. L’Autorité cherche à trancher le dilemme entre les modes de fonctionnement des Fonds existants :
- les « Home country principle based funds » qui couvrent les assureurs domestiques, et donc leurs clients soit nationaux, soit garantis en LPS dans l’EEE ;
- les « Host country funds » qui couvrent les assurés nationaux, qu’ils soient garantis par un assureur national ou un assureur agissant en LPS.
4. Les contrats éligibles posent la question des différences entre vie et non-vie, et d’ailleurs de l’application du Fonds : continuité des contrats ou indemnisation de sinistres pendant ou survenant avant l’expiration des obligations contractuelles ?
L’EIOPA consulte sur le principe de couvrir seulement des polices « spécifiques » en vie et en non-vie (au gré des législateurs nationaux ?). Ces polices « spécifiques » seraient celles (selon l’EIOPA) dont l’interruption produirait des conséquences graves sur le plan financier ou social pour les assurés ou bénéficiaires, et les polices afférentes à des branches où les affaires transfrontalières représentent une part de marché importante (construction ? RC médicale ?). On notera que la référence aux assurances obligatoires n’est pas faite, mais il est vrai que l’EIOPA a exclu d’emblée les contrats de RC Automobile de son étude.
5. Les personnes habilitées à se prévaloir des dispositions du Fonds : c’est le sujet des personnes physiques et/ou de personnes morales. À juste titre, l’EIOPA recommande de s’en tenir aux personnes physiques et les entités (personnes morales) de petite taille, en avouant que ce sujet doit être défini à un stade ultérieur, mais sans doute harmonisé au niveau européen.
6. Niveau de couverture. L’EIOPA veut instituer un niveau minimal d’indemnisation par le Fonds, donc exclut la reprise de fait des contrats par le Fonds. Mais il laisse libre les Autorités nationales d’aller au-delà de ce minimum, tout en soulignant qu’il faut éviter de peser trop lourdement sur le financement des Fonds.
7. Un long développement est consacré aux modes possibles de financement des fonds, notamment en ce qui concerne le paiement récurrent (« ex-ante ») de contributions, ou l’appel de fonds en cas de besoin (insolvabilité) par le Fonds.
L’EIOPA est évidemment en faveur de Fonds exclusivement financés par les professionnels, par des cotisations, éventuellement plafonnées, et complétées en tant que de besoin par des appels complémentaires.
8. Questions de publication et de « transparence ». L’EIOPA est très soucieuse que les consommateurs soient avertis de l’existence et du fonctionnement des Fonds de garantie.
9. L’Autorité passe en revanche assez vite sur les droits de recours des Fonds les uns contre les autres, mais prévoit des accords de coopération transfrontalière et de coordination, comme il se doit.
Le texte de base est clair et solidement argumenté, sans excès de préoccupations bureaucratiques. Reste cependant à mettre tout cela en musique : chaque État doit mettre en place un Fonds fonctionnant suivant les normes proposées par l’EIOPA ou modifier les règles de gestion du ou des Fonds existants, avant de conclure des Accords de coopération. Les perspectives d’aboutissement sont probablement lointaines.
VII.2. ACPR – Plans préventifs de rétablissement pour le secteur – Déclinaison opérationnelle (sans date) et Réunion de Place du 8 novembre 2018 (M. Peyret. SGA de l’ACPR)
Cette note commente l’Ordonnance de 2017 qui, elle-même, transposait en droit français les textes européens sur le « rétablissement » (recovery) et la « résolution » des organismes d’assurance.
1. Le texte de l’ACPR rappelle d’abord que ces deux situations sont prévues dans la directive S II, mais que celle-ci renvoie au droit national l’organisation de ces deux situations. Les dispositions sur la résolution viennent compléter les textes de S II. L’ACPR souligne, à cet égard, qu’il existe une continuité évidente entre l’activité de contrôle de la solvabilité, exprimée dans le Rapport sur la solvabilité (SFCR), le Rapport aux contrôleurs (RSR) et l’ORSA (besoin global de solvabilité), et les mesures à prendre pour faire face aux crises : plan de rétablissement en cas d’insuffisance du SCR et plan de financement en cas de franchissement à la baisse du seuil du MCR. Ces mesures sont prévues par S II. Les mesures de « rétablissement » et « résolution » viennent donc « s’intercaler » dans le temps entre la situation normale et la situation de crise. L’ACPR, comme l’EIOPA jadis, peine un peu à réconcilier ces multiples et concomitantes initiatives de la Commission. « Rétablissement » n’est plus simplement le plan transmis aux Contrôleurs par l’entité en difficulté mais, avant, se caractérise par la mise en place d’un « plan préventif de rétablissement » qui simule les sorties possibles d’une quasi-faillite. Le plan préventif de résolution est dressé par l’Autorité de résolution (ACPR) pour, en cas de faillite, organiser la liquidation ordonnée de l’organisme en cause.
On rappelle que les groupes et entités, directement soumis à l’application d’un plan préventif de rétablissement, sont ceux dont le total de bilan excède 50 milliards d’euros. L’ACPR souligne aussi que ORSA/SFCR et Plan de rétablissement sont fondés sur des analyses de risques, mais que les premiers correspondent à la notion d’« on going business » et de mesures managériales traditionnelles (réduction de la PAB, augmentation de tarif, révision de l’allocation d’actifs), tandis que les autres se réfèrent à des mesures exceptionnelles prises dans une situation de crise profonde.
L’ACPR insiste ensuite sur les objectifs de ces mesures : préserver la stabilité financière (la crainte d’un effet systémique de la faillite d’un grand assureur) et « maintenir la continuité des fonctions critiques » (définies à l’article 311-2 du Code des assurances). Cette notion est, à notre connaissance, nouvelle. Les fonctions critiques présentent les caractéristiques suivantes :
- activités d’un assureur « fournies à des tiers qui ne lui sont pas liés » (cette périphrase pourrait désigner les contrats d’assurance) ;
- cette interruption d’activité/de fournitures serait susceptible d’avoir un impact « important » sur la stabilité financière et l’économie réelle (c’est sans doute l’effet systémique) ;
- l’assureur ne peut être remplacé à un coût ou dans un délai raisonnable (substituabilité de l’assureur).
En assurance de personnes, l’apparition d’une « fonction critique » est possible pour les contrats en euros et en Unités de compte (faillite d’un acteur majeur), mais faiblement probable. La situation est la même pour l’assurance emprunteur. En revanche, en prévoyance, la défaillance d’un acteur en matière de paiement des sinistres est possible mais faiblement probable. Dans toutes les branches, l’ACPR constate la substituabilité du Fonds de garantie des assurances de personnes (FGAP), sauf pour l’assurance emprunteur. Mais il n’est rien dit de la capacité financière de cet organisme, particulièrement discret depuis sa création en 1988.
Quant au risque sur la stabilité financière, l’ACPR constate que le sujet est évidemment lié au risque de rachat massif en assurance vie et aux recours, côté actifs, aux produits dérivés et aux opérations dites « de repo ».
2. Les annexes fournissent d’autres indications sur la recherche des « interdépendances » (et des « fonctions critiques ») au sein du Groupe lors de la construction des « plans de rétablissement ». Il s’agit de mettre en exergue les interconnexions internes au Groupe (financement intragroupe, réassurance interne, cash pooling) et externe (investissements et leur notation, et actionnariat du Groupe).
3. Contenu du Plan de rétablissement. Le plan de continuité est fondé sur la définition des mesures nécessaires pour la continuité de l’activité. Il doit être inclus dans le plan de rétablissement. De même, le Plan est fondé sur des scénarios de crise grave : un scénario « idiosyncratique » (ce qui doit signifier « lié à des événements spécifiques à l’entreprise »), un scénario systémique (et ses conséquences sur l’économie réelle), et un scénario mixte. Enfin, le plan présentera des mesures de rétablissement qui doivent être jugées crédibles par les Autorités (même, semble-t-il, au niveau du plan préventif).
Enfin, le plan doit contenir un plan de communication et d’information interne et externe en cas de crise provoquant le passage en situation de rétablissement.
La Réunion de Place du 8 novembre 2018 a utilement éclairé le contenu de ce document, en précisant que les Groupes et entités visés par le Réglementation devaient remettre leur plan préventif de rétablissement avant le 1er juillet 2019 et qu’ils seraient révisables tous les deux ans.
De même, on rappelle les difficultés spécifiques à la bancassurance, du fait de la dualité des sources de droit pour les « conglomérats financiers » : il faut deux plans préventifs de rétablissement mais, naturellement, solidement articulés.
Enfin, on sépare, dans l’analyse des « fonctions critiques », la couverture d’assurance (continuité des contrats, risque de non-substituabilité), le paiement des sinistres (moins critiques) et la notion de risque systémique (les rachats massifs).
Ces documents témoignent d’une volonté de transformer une logique de rétablissement/financement/liquidation (S II) en démarche préventive. Malheureusement, d’autres préoccupations viennent s’emmêler dans cette logique parfaitement saine : gestion du « risque systémique » et des risques dits macroprudentiels, rendus plus présents que jamais par l’aberration des taux d’intérêt ; rapprochement banques/assurances, dont chacun sait qu’il est, dans ce domaine encore plus que dans d’autres, aberrant : invention de la notion bizarre de « fonction critique » et perspective d’une évolution des Fonds de garantie. On notera que l’ACPR met une confiance très forte dans ces fonds pour gérer la substitution auprès des clients (créanciers d’indemnités ou bénéficiaires de contrats d’assurance vie) de la défaillance d’un grand acteur de l’assurance. Est-on si sûr de la fiabilité de ses structures ? On dit le FGAO en récurrente difficulté et le Fonds de garantie des assurances de personnes est très discret. Quant aux grandes entités et Groupes, ils font face à une nouvelle et considérable activité de modélisation.
VIII.1. Recommandations et Rapport des Autorités européennes de contrôle (EAS : EIOPA. EBA et ESMA) sur le contrôle des services financiers aux particuliers (retail) fournis dans un cadre transfrontalier (LPS et LE) – JC 2019-22 du 9 juillet 2019
Dans la ligne des difficultés de la LPS-assurance, les ESAs explorent les conditions d’exercice de la « supervision » (contrôle) des activités de vente de produits d’assurance, de crédit/épargne et de produits financiers aux particuliers
La problématique est bien posée. Les Autorités « Home » et « Host » reçoivent des notifications an matière de LPS et de Liberté d’établissement insuffisantes pour bien exercer leur contrôle. Les responsabilités de « Home » et « Host », en matière de contrôle, ne sont pas clairement réparties. Les conditions de marketing des produits financiers complexes, à travers les systèmes de distribution transfrontaliers (y compris le démarchage électronique), ne sont pas clairement établies Les Autorités de contrôle tendent à donner la priorité à la supervision des entités domestiques, au détriment du « Home Country Control » des entités utilisant la LPS ou la Liberté d’établissement. Et la question de « l’arbitrage réglementaire » (au demeurant évident dans certains cas : Malte, Liechtenstein, Gibraltar, etc.) revient de façon lancinante.
Les ESAs définissent des principes généraux de coopération entre les Autorités nationales qui ne sont guère originales, ou sont de pur bon sens. Notamment, la fixation de points de contact entre Home et Host, la possibilité pour « Host » de demander de l’information à Home, de demander une vérification sur place (de l’entité) à Home, d’accompagner la vérification de « Home » et même, d’autoriser « Host » à faire des contrôles (après avoir prévenu « Home »). Mais tout cela est, en fait, contraire à l’esprit du Passeport unique et des Libertés de prestations de service et d’établissement.
Les ESAs produisent, en conséquence, un ensemble de recommandations à la Commission qui pourraient changer substantiellement le fonctionnement, de la LPS :
- rendre obligatoire la vérification de l’organisation et des ressources d’une Institution financière avant de lui donner un « Passeport » en LPS (c’est le cas pour la création d’une filiale en liberté d’établissement) ;
- interdire ou rendre explicite au client l’exercice simultané de la Liberté d’établissement et de la LPS (LPS dans un pays où l’entité dispose d’une succursale) ;
- définir la responsabilité de l’un et l’autre contrôle lorsqu’une succursale exerce en LPS dans un troisième pays de l’Union ;
- légiférer sur la nature LPS ou LE de la souscription électronique ;
- Prendre des mesures (mais lesquelles ?) contre l’utilisation de « havres réglementaires » (jurisdiction shopping) ;
- « Host » doit être informé des produits vendus sur son territoire et doit disposer d’une possibilité de retrait d’agrément : c’est évidemment une modification substantielle des principes du Home Country Control ;
- légiférer pour traduire les « principes généraux » du contrôle LPS/LE définis ci-dessus ;
- légiférer en qui concerne l’action des « tiers » (ce qui désigne sans doute, pour l’assurance, les courtiers) dans le domaine de la LPS. C’est la thèse, de bon sens, de Bernard Delas, VP de l’ACPR, qui sait que les cas français de LPS (RC Médicale en Irlande et Construction au Danemark et au Liechtenstein) sont des initiatives de courtiers. Mais la traduction juridique n’est pas simple.
VIII.2. La mise en œuvre de l’accord bilatéral États-Unis/Europe sur la réassurance, dit « Covered Agreement » – (Argus 15 novembre 2018)
Insurance Europe et le Comité consultatif de la Réassurance (RAB) font part de leurs inquiétudes sur la mise en œuvre de cet Accord (cf. chroniques précédentes) de septembre 2017. L’Association nationale des Insurances Commissioners américains tenterait de donner aux régulateurs de chaque État américain (l’assurance est de la compétence des États Fédérés) le pouvoir de réglementer les conditions de réassurance des entités qui relèvent de leur juridiction, ce qui induirait des pratiques différentes, notamment en matière de collatéralisation des traités, au détriment des réassureurs européens.
La question est à suivre.
IX.1. Groupe de travail de l’EIOPA sur l’assurance cyber – Discours d’ouverture de Gabriel Bernardino, président de l’EIOPA – Francfort, 1er avril 2019
Ce document important donne le programme de travail de l’EIOPA sur le risque cyber, dont la gravité est de plus en plus évidente.
Gabriel Bernardino constate que la quantification du risque est insuffisante aujourd’hui pour permettre une mesure actuarielle du coût du risque. Cela est dû à l’indisponibilité des données sur les accidents cyber du passé, aux changements rapides de la nature du risque, à l’incertitude sur l’efficacité des mesures de précaution et de réduction du risque, et aux risques de cumuls des pertes. L’EIOPA aurait pu ajouter que les « couvertures silencieuses » ont aussi un facteur de mauvaise ou d’insuffisante quantification du risque. G. Bernardino en conclut qu’il y a encore fort à faire pour passer de modèles fondés sur des scénarios à des modèles probabilistes solides. Il souhaite donc engager le débat avec les marchés autour de cinq questions : l’harmonisation des données sur les sinistres est-elle possible et souhaitable ? Faut-il créer une catégorie (une branche d’assurances) spécifique ? Comment créer une base de données européenne centralisée ? Quelles mesures doivent être prises pour assurer la confidentialité (l’anonymisation) de cette base ? Quelles bonnes pratiques doit-on définir pour suivre l’accumulation des risques ?
Quant à la couverture du risque cyber, l’EIOPA suggère cinq pistes :
- standardisation des clauses (termes et conditions), éventuellement par la voie de la « régulation » ;
- cette standardisation peut-elle aider au transfert des risques à la réassurance et aux marchés financiers ? ;
- faut-il imaginer des « pools » de risques pour couvrir les risques catastrophiques (« peak ») ? ;
- faut-il une intervention publique, notamment pour les risques terroristes et les risques de guerre ? ;
- l’assurance cyber doit-elle devenir obligatoire ?
IX.2. Cyber sécurité et cyber risk : un défi universel – Discours de G. Bernardino le 26 février 2019 à Bruxelles – (3e annuel Fin Tech and Regulation Conference)
Ce discours donne les grandes lignes de l’action de l’EIOPA en matière de cyber risque où l’Autorité entend jouer un rôle majeur (cf. l’ensemble de ce chapitre et notamment le texte de consultation sur le cloud).
G. Bernardino rappelle la double implication de l’assurance dans le risque cyber, en tant que gestionnaire de données (et donc en tant qu’entités soumises au RGP) et en tant qu’assureur du risque cyber, et en particulier du risque de réputation et de vol de propriété intellectuelle qui est fortement associée au risque cyber.
Il souligne que ce risque est difficile à quantifier et tarifer pour 3 raisons : l’absence de données historiques sur les accidents et attaques intervenues depuis plusieurs années, l’évolution constante de la nature et des modalités des attaques cyber et le risque systémique lié au cloud et, d’une manière générale, la détection lente du sinistre (146 jours en moyenne), et la réparation à la fois complexe (systèmes fortement connectés) et lente (diagnostic, élaboration des solutions).
Les solutions proposées par l’EIOPA :
- définir une « taxonomie » (nomenclature) des accidents permettant le recueil d’informations pertinentes sur une base homogène, et donc une meilleure connaissance du risque cyber ;
- accroissement global de la demande d’assurance, notamment sous l’effet de la réglementation (RGPD) pour lutter contre la sous-assurance en Europe ;
- faire passer la tarification de modèles qualitatifs (scénarios) à des modèles quantitatifs ;
- traiter la question des « garanties silencieuses » (réassurance ?) ;
- développer la compétence de souscripteurs spécialisés dans ce risque, qui font aujourd’hui globalement défaut en nombre ;
- réglementer, modérément, pour aider à faire face aux défis de niveau des capacités. Cela pourrait être favorablement accueilli par la profession (cf. les idées de pool de réassurance émises par l’OCDE notamment).
IX.3. Avis conjoint des Autorités européennes (EBA/ESMA/EIOPA) à la Commission sur la nécessité d’améliorer la législation sur le management du risque informatique (ICT-information & communication technology) dans le secteur financier européen (10 avril 2019)
Les ESAs cherchent à formuler un avis sur les modifications à apporter à la réglementation au profit du secteur financier (banques, assurances, marchés) sur la gestion du risque IT et, principalement, du cyber risque, auquel les institutions financières sont exposées. Ceci concerne aussi l’information sur les accidents cyber (ce qui permet d’ailleurs d’améliorer leur assurabilité) et la gestion de l’outsourcing des données et traitements dans le cloud (monitoring critical services providers).
La partie assurance fait seule l’objet de nos commentaires.
L’EIOPA constate, comme à l’accoutumée, que la directive S II pourvoit à l’essentiel puisqu’elle prévoit l’évaluation du risque opérationnel où le risque informatique doit être classé, la mise en œuvre de plans de continuité d’activité, et l’ORSA qui reflète la situation et l’évolution du risque opérationnel dans le cadre de la formule standard ou dans les évolutions divergentes spécifiques (dit 3e calcul de l’ORSA). L’EIOPA convient n’avoir pas donné de lignes directrices sur le risque cyber, mais souhaite y travailler, surtout après avoir constaté que la réglementation était « fragmentée » par pays, ce qui est évidemment la cause de tous les maux. Elle développe les risques de vulnérabilité spécifiques des activités Santé et vie (?) particulièrement sensibles aux risques d’interruption de services (allusion probable aux contrats en Unités de compte avec arbitrage), et la vulnérabilité créée par l’Internet des objets (accroissement des risques et probabilité de piratage lié à la multiplication des objets connectés).
L’EIOPA propose de mettre le risque cyber « en base » dans la réglementation S II, de réglementer l’introduction du risque informatique dans le « profil de risque » de l’entité (lignes directrices, certes, mais lesquelles ?).
Elle prévoit aussi d’édicter des normes de contrôle de ces lignes directrices, et de consacrer un chapitre du « Supervisory Handbook » au contrôle de la sécurité informatique et des obligations de gouvernance (sans doute le rôle de l’AMSB, la gouvernance des données et la future politique écrite de sécurité informatique). Nous allons tout droit vers la construction d’un nouveau pan de réglementation et une extension de pouvoir des Contrôles nationaux et de l’EIOPA.
Sur le plan intersectoriel, les ESAs recommandent l’harmonisation des documents de notification d’incidents et une taxonomie (jargon pour dire « nomenclature ») de ces incidents (il existe, en effet, diverses nomenclatures de recensement d’accidents cyber : OCDE, EIOPA, CRO forum, etc.).Les Autorités mettent également en avant la notion de « fournisseur critique de services » pour désigner notamment les opérateurs de clouds, avec les risques de concentration et les risques d’irruptions dans le cloud : il faut donc contrôler l’externalisation des traitements informatiques vers les tiers. Nous allons donc ainsi vers une nouvelle réglementation, non pas des clouds, mais des entités financières qui y ont recours. Dans les annexes, l’EIOPA semble sous-entendre que l’amplitude des fonctions externalisées est un facteur de risque aggravé : la sous-traitance accroît le risque cyber. Il en résulte l’idée que le profit de risque IT est fonction du modèle d’affaires et de l’utilisation plus ou moins extensive du Big Data sur chacun des éléments de la chaîne de valeur. Il est donc important pour les assureurs d’évaluer le plus tôt possible les risques cyber sur chacun de ces éléments en prenant en compte l’importance des fonctions sous-traitées (par exemple, en matière de gestion de contrats et de sinistres) et aussi des types d’assurance dont il s’agit (santé et vie sont, selon l’EIOPA, les plus sensibles à des risques d’interruption de service).
Quant aux risques majeurs, l’EIOPA rappelle, sans surprise, les questions liées à la confidentialité des données et à la protection, les problèmes d’intégrité des données (pertes, encryptage), les questions de protection de la propriété industrielle (algorithmes de tarification), et les risques d’indisponibilité des données.
Ce texte des ESAs est probablement majeur. Il ne fait pas de doute que l’EIOPA et les Autorités nationales vont développer une réglementation lourde de la sécurité cyber, des contrôles importants des mesures prises et, sans doute, une évolution majeure de l’ORSA. Or, jusqu’ici, le « risque opérationnel » était traité de manière « forfaitaire » et globale dans le corpus de règle S II. Les charges de gestion vont sans doute s’en trouver accrues et les exigences des contrôles être d’autant plus agressives.
Il faut cependant noter que dans la « Commande » d’avis techniques de la Commission à l’EIOPA sur la modification de S II (révision de 2020), celle-ci ne fait pas allusion (sauf de façon générale dans « l’amélioration de l’ORSA ») à la prise en compte d’un profil de risque IT dans le risque opérationnel.
IX.4. Consultation Paper BOS 19/270 de l’EIOPA sur des lignes directrices sur la sous-traitance aux fournisseurs de services du Cloud
Ce document marque le commencement de la démarche régulatrice de l’EIOPA, dans le domaine des technologies informatiques, comme prévu dans le discours de G. Bernardino ou dans le Rapport des Autorités européennes.
L’angle d’attaque de cette réglementation est, à juste titre, la question de la sous-traitance (en l’espèce les divers types de services proposés par les opérateurs du cloud : Software as a Service [Saas] - Platform as a Service [Paas] et Infrastructure as a Service [Iaas]), telle qu’elle est déjà réglementée dans S II. Les lignes directrices se situent dans le prolongement de S II, qu’il n’est donc pas nécessaire de faire évoluer. Le cloud est un cas particulier de sous-traitance.
Il est clairement affirmé d’emblée que les assureurs et réassureurs qui donnent en sous-traitance demeurent responsables de la conformité de leur action avec l’ensemble de leurs obligations au titre de la « régulation » quand ils sous-traitent, et notamment à un opérateur du cloud. Sur cette base, les lignes directrices sont sans surprise :
- les entités doivent, dans le cadre de leur système de contrôle interne, identifier, mesurer, contrôler, gérer et documenter les risques liés à la sous-traitance (pour le cloud comme pour les autres sous-traitances) ;
- la Gouvernance dispose que le recours au cloud doit être décidé par l’AMSB sur la base de l’étude des risques (conformité, cumul, risque informatique) ; l’ORSA doit prendre en compte la modification du profil de risque, le recours au cloud doit être cohérent avec la stratégie de l’entité ;
- il faut rédiger une « politique écrite » de l’outsourcing dans le cloud : effet sur les 4 fonctions-clés, description du processus, modalité de la surveillance/contrôle, disposition des contrats, notification à l’Autorité de contrôle (disposition générale), stratégies de sortie du cloud (pourquoi en sortir ?) et processus de sortie en cas de nécessité (comment en sortir ?) ;
- le contenu de la consultation (notification) aux Autorités de contrôle est détaillé, en particulier la substitution d’un autre prestataire et la stratégie de sortie du contrat de sous-traitance ;
- l’EIOPA s’étend avec complaisance sur la liste des documents à fournir : le registre, le contrat, le principe « par entité » (solo), le compte rendu des vérifications de risque et des audits, les coûts, l’existence de Plans de continuité d’activité (chez les 2 cocontractants), les moyens de contrôle mis en œuvre ;
- avant la sous-traitance, l’EIOPA impose une évaluation des risques, des « due diligences » et la vérification de l’absence de « conflits d’intérêt » ;
- de même, avant la conclusion du contrat, l’EIOPA impose de vérifier si le cloud affecte le profil de risque, s’il est lié à des fonctions critiques ou essentielles (voir ACPR sur la définition de ces fonctions), les impacts potentiels sur le risque opérationnel, le risque stratégique, le risque de réputation, la continuité des affaires, la solidité à long terme, voire les conditions de rétablissement ou de résolution. Il faut aussi vérifier l’impact sur la gestion des risques, la conformité, la capacité d’audit de l’entité, l’exposition au cumul des risques. Il faut évaluer les coûts et les relations d’affaires éventuelles avec le sous-traitant (l’EIOPA craint la réassurance par l’entité du service provider ?). Il importe aussi de vérifier la bonne application du RGPD par les deux parties. Et enfin, il faut s’assurer de la substituabilité d’un autre cloud service provider, ou des ressources de l’entité, avant de conclure le contrat de sous-traitance ;
- d’autres dispositions prévoient la vérification du risque opérationnel, des risques de sous-sous-traitance (pays tiers), du risque de concentration et, surtout, l’étude du lieu de situation du fournisseur de service de cloud. Il serait plus intéressant de produire une règle claire : le RGPD interdit-il l’usage de services d’un cloud situé en Nouvelle Zélande ? Le RGPD semble interdire l’exportation de données vers les pays tiers. Mais ce n’est évidemment pas tenable ;
- dans cet ordre d’idées, l’EIOPA exige une description exhaustive du contrat (c’est la même litanie que la vérification des risques). Il s’agit essentiellement de vérifier que le lieu de juridiction du contrat (problème des lois locales applicables) ne limite pas les pouvoirs de l’Autorité nationale de contrôle de l’assureur ;
- les lignes directrices visent à assurer les droits d’audit et d’accès de l’entité chez le fournisseur de services, avec des remarques pesantes sur la sous-traitance de ces audits à des organismes « certifiés » (mais, dit l’EIOPA, attention à la qualité de la certification et à la compétence des auditeurs externes qu’il faut vérifier ! quis custos, etc.) ;
- l’EIOPA recommande aussi de vérifier la sécurité des données (le risque de confidentialité et de pérennité des données) et des systèmes eux-mêmes. On retrouve la question – non résolue – de la localisation (« juridique » !) des données ;
- la sous-traitance est une question délicate, car inévitable : l’EIOPA souhaite que les NSAs prévoient des exclusions de « sub-outsourcing » de certaines activités et que chacun soit informé des changements de sous-sous-traitants ;
- l’EIOPA esquisse des recommandations sur la gestion des incidents, la gouvernance des systèmes, les plans de continuité d’activité et, surtout, sur l’information récurrente de l’AMSB sur l’évolution du contrat et le risque de concentration (un seul fournisseur de services en situation de monopole) ;
- l’Autorité consacre beaucoup d’attention, à juste titre, à la « sortie » du contrat : les événements qui déclenchent la décision de changer de fournisseur, les plans de sortie, les solutions alternatives, la période de transition, etc. ;
- l’EIOPA recommande aux Autorités nationales de vérifier la conformité, le risque opérationnel, le risque de réputation et le risque stratégique. Elle impose de vérifier l’ensemble de la gouvernance de ce processus de sous-traitance et formule les mêmes obligations pour les Groupes que pour les entités « solo » ;
- enfin, l’EIOPA donne quelques orientations de la politique qu’elle va – après consultation – recommander à la Commission. Elle souhaite réglementer le recours au cloud et donc publier des lignes directrices. Celles-ci doivent être spécifiques à la sous-traitance cloud. La documentation de la sous-traitance cloud et le contenu des obligations, due diligence, contrôle contrats, etc., doit faire l’objet d’une réglementation (c’est bien le sujet). Enfin, les contrôles sont l’affaire des Autorités nationales et non du Collège des Superviseurs.
IX.5. JC 2019-25 – 10 avril 2019 – Avis conjoint des Autorités européennes de contrôle (ESAs) sur l’opportunité d’un test cohérent de « cyber résistance » commun à l’ensemble des acteurs du secteur financier européen
Ce document est d’une particulière confusion dans le fond comme dans le discours. La Commission, dans son plan d’action Fin Tech de 2018, salue les efforts de diverses institutions de contrôle pour développer un cadre de test de « résistance cyber » des institutions financières, commun à l’ensemble de l’Europe. Il s’agit donc de concevoir un test de pénétration dans les systèmes informatiques « fondé sur la menace » (« Threat led penetration testing ») ou délictuel. C’est un test (mis en œuvre par la BCE, sous le nom de TIBER.EU, et par la Banque Centrale Néerlandaise) qui reproduit (simule) les tactiques, les techniques et procédures de pirates informatiques.
La Commission voudrait, semble-t-il, avec l’appui des ESAs, obtenir la diffusion de ce test auprès des entreprises « significatives » de l’ensemble du secteur financier (banque et assurance) des 27 pays européens Le test serait conduit par les Autorités nationales de contrôle, mais les conclusions de l’avis des ESAs sont particulièrement prudentes. Certes, ce test est nécessaire et utile. Mais, au-delà, rien n’est défini : le niveau de « maturité cyber » des entités est très différent suivant les secteurs et les pays ; le niveau d’implication des diverses autorités de contrôle n’est pas défini ; le caractère volontaire ou obligatoire du test n’est pas arrêté ; l’environnement juridique du test n’est pas défini ; la certification de compétence des testeurs n’existe pas. On est donc très loin de la mise en place de règles d’une sorte de ST de sécurité informatique.
En réalité, les ESAs n’osent pas dire clairement qu’un test « unique », destiné à la banque et à l’assurance et à tous les États membres, n’a probablement pas de sens. L’objet du délit est différent dans une banque (vol d’argent et/ou interruption de service) et dans une société d’assurance (vol de données ou « kidnapping » de bases de données). Quant à la sophistication des systèmes d’information des établissements financiers, elle doit être substantiellement différente à Londres et à Bratislava. En outre, personne ne parle des obligations considérables de secret qui doivent entourer la conception de ce test, ni surtout sa mise à jour permanente de l’évolution des processus d’intrusion et des objectifs dolosifs poursuivis par les pirates.
L’Europe souhaite légiférer dans le domaine du cyber-risque : il n’est pas certain qu’elle ait choisi, dans ce TLPT (« Threat led penetration testing ») le meilleur outil pour réaliser son objectif.
IX.6. Revue thématique de l’EIOPA sur le Big Data appliqué aux assurances Auto et Santé – 8 mai 2019
Ce document n’apporte pas de véritable innovation. L’EIOPA constate que les modèles d’affaires des assureurs auto et santé sont largement fondés sur l’usage de données. Les sources traditionnelles sont de plus en plus combinées avec des données liées aux caractéristiques, au comportement et au style de vie du client potentiel. Les modèles de tarification utilisent désormais des sources d’information extérieures aux traditionnels questionnaires. L’augmentation du nombre de critères de tarification tend à réduire la taille des catégories de risques et augmenter le nombre de celles-ci. Toutefois, l’EIOPA affirme qu’il n’y a pour l’instant pas de preuve que cette plus forte « granularité » des tarifs auto et santé crée des cas d’exclusion pour les clients à haut risque, mais cela pourrait évoluer.
Plus significative est l’information selon laquelle 31 % des entités (en nombre) utilisent l’intelligence artificielle et le « machine learning », et 24 % sont en cours de tests de « proof of concept », 33 % utilisent le cloud, et 32 % supplémentaires l’utiliseront dans les 3 ans.
L’EIOPA considère que l’internet des objets (connectés), les automobiles connectées et la technologie 5G vont développer l’usage des données Big Data dans la tarification et la gestion des sinistres.
L’Autorité reprend son appréciation « équilibrée » de ces progrès technologiques : amélioration de la connaissance du risque, meilleure tarification au profit du consommateur, mais redoute les questions éthiques (la confidentialité des données), les questions techniques (le cyber risque) et les problèmes de souveraineté. Ces derniers sont abordés de façon détournée à propos du cloud et dans le cadre du « dialogue assurance entre les États-Unis et l’Europe ».
Tout ceci n’est pas très nouveau et, finalement, l’EIOPA semble hésiter à prendre position. Elle craint de paraître rétrograde dans un refus (qui serait d’ailleurs inutile) des technologies nouvelles, mais reste sensible aux avantages pour le consommateur (développement des assurances liées à l’usage, tels que le Pay how you drive et le « Pay how you live » en santé, inconnus à peu près en France). Le Big Data permet aussi de « lutter contre la fraude », vieille obsession des assureurs anglo-saxons, alors qu’il n’est pas fait allusion à l’amélioration des conditions de gestion des sinistres.
Curieusement, une partie du rapport s’émeut de pratiques dites de « price optimisation ». Le Big Data permettrait de définir les capacités financières des futurs clients et de leur faire accepter des prix plus élevés pour leurs contrats auto et santé. Cela semble inquiéter notamment les assureurs américains (livre blanc de l’Association des superviseurs américains). Pour un lecteur français, ces développements laissent à penser que la concurrence sur les prix pourrait être moins exigeante en Europe et aux États-Unis qu’en France.
Les questions « éthiques » pour l’EIOPA se résument aux pratiques de « subventions croisées » entre produits (cas classique des tarifs « en portefeuille » et « affaires nouvelles »), aux clients à haut risque (bien que la discrimination et l’exclusion ne semblent pas fréquentes), aux clients « vulnérables » (les surcharges de prix). Sur ce plan, les événements récents en Europe et en France semblent freiner efficacement le développement des technologies nouvelles dans l’assurance : le RGPD crée un ensemble de barrières efficaces à l’utilisation de données personnelles par les assureurs, et « sanctuarise » à peu près complètement les données de santé individuelle.
En outre, au cours des derniers mois, le législateur français a voté des propositions de loi (heureusement sans suite), étendant la notion de données de santé aux informations issues de l’internet des objets et interdisant aux assureurs la communication des données contenues dans les systèmes électroniques des automobiles. Le Pay how you drive pourrait ainsi être réservé aux constructeurs automobiles (à condition qu’ils puissent garantir la R.C. Auto sans construire une société d’assurance, ce qui reste à imaginer).
En définitive, le mérite de ce document est peut-être, « en creux », celui que souligne l’Association Insurance Europe qui constate que l’EIOPA n’envisage pas de « réglementer » dans le domaine des nouvelles technologies employées dans l’assurance, et en reconnaît les bienfaits. À la lumière des événements récents, et compte tenu des difficultés tenant à la gestion de l’externalisation dans le cloud dans le cadre du RGPD, on peut être moins optimiste.
Annexe I
La lutte contre la corruption et l’Agence française anticorruption (AFA)
L’Agence française anticorruption (AFA) a été créée par la loi (2016-1691) du 9 décembre 2016, dite loi Sapin, relative à la transparence, la lutte contre la corruption et la modernisation de la vie publique. Bien qu’elle s’applique à l’ensemble de l’activité économique (et donc sur les personnes morales de droit privé et de droit public), ces nouvelles législation et réglementation concernent évidemment les sociétés d’assurances, bien que non spécifiquement. Elle s’applique au fonctionnement interne des entreprises d’assurances qui doivent prendre les mesures de prévention et de détection des cas de corruption, comme les autres entités économiques, mais qui doivent aussi réfléchir aux conditions d’assurance du risque (de réputation, de sanction administrative) que courent leurs clients-entreprises. L’EIOPA, elle-même, ne manque jamais de rappeler l’existence – dans l’assurance, mais sans doute dans d’autres secteurs- d’un risque de « conduite des affaires » qui couvre l’ensemble des « mauvaises pratiques » professionnelles. Il est donc utile de donner un aperçu de cette nouvelle réglementation émergente qui induit de nouvelles charges administratives pour les institutions financières.
1. Recommandations de l’AFA du 22 décembre 2017 (Journal officiel de la République française)
Ce document définit d’abord la notion de corruption dont l’AFA doit organiser la prévention et la répression. Il s’agit pour les personnes morales de droit privé (les sociétés, les associations, mais aussi les fondations), de corruption (payer ou être payé pour accomplir un acte qui entre dans les fonctions d’un acteur économique). Ceci s’applique aussi aux personnes morales de droit public. L’AFA est également compétente pour le trafic d’influence appliqué aux personnes publiques (recevoir des dons pour accomplir les actes de son mandat), la concussion (extorsion de fonds par voie de taxes) des personnes publiques, la prise illégale d’intérêt s’agissant des dépositaires d’une autorité publique, le détournement de fonds publics et le favoritisme en matière d’action publique (recrutement d’agents publics, dévolution de marchés publics). L’AFA paraît donc tournée vers la prévention et la répression de la « corruption » dans le secteur public. Pourtant, le reste de l’instruction (« recommandation ») s’applique bien à toutes les personnes morales de droit public ou privé :
- il s’agit d’abord de définir un « programme de conformité » anticorruption dans le cadre de la stratégie de gestion du risque (de réputation et de valeur économique de l’entreprise), sur la base d’une cartographie des risques de corruption. On retrouve bien ici les notions phares de la réglementation des institutions financières : cartographie, « organisation » fondée sur le risque, conformité (dont la mission se trouve ainsi, de facto, étendue), politiques écrites ;
- la politique de prévention/détection de la corruption suppose la mise en œuvre d’un code de conduite de l’entité qui matérialise l’engagement de l’instance dirigeante de celle-ci. L’AFA se réfère à la notion « d’éthique des affaires », dont l’instance dirigeante (les entités financières diraient l’AMSB) serait conceptrice et gardienne. On est à nouveau dans le domaine du droit « fondé sur les principes », qui guide l’ensemble de la réglementation financière européenne ;
- la lutte contre la corruption est une fonction transverse de l’entreprise et doit s’intégrer dans l’ensemble des procédures et politiques de l’organisation, et notamment les ressources humaines, les procédures de nomination des dirigeants (« fit and proper » au regard de l’éthique) et les modalités d’évaluation de leurs performances. Elle est responsable de la protection des lanceurs d’alerte (notion et principes juridiques établis également par la loi Sapin 2) ;
- les recommandations prévoient la création d’une fonction de responsable de la conformité (logique de la création « d’Officers » à l’anglaise dans ce domaine comme dans beaucoup d’autres, notamment la « compliance » dans S II et le responsable de la protection des données – DPO dans le RGPD). Il est responsable de la cartographie des risques et de l’élaboration du programme de conformité anticorruption ;
- les textes recommandent la mise en œuvre d’une communication interne et externe sur la prévention et la détection de la corruption. Ils définissent le « Code de conduite anticorruption » qui doit être écrit, être intégré au règlement intérieur et concerner tous les salariés. Il doit décrire la cartographie des risques et fixer les procédures à respecter en ce qui concerne les cadeaux, les invitations, le paiement de « facilitations », les conflits d’intérêts, le mécénat, le sponsoring et, le cas échéant, le lobbying. Il doit également organiser le dispositif interne d’alertes lancées par les salariés.
La Recommandation définit les étapes de la méthode de cartographie des risques de corruption d’autant plus contraignantes que cette cartographie figure dans le Code de Conduite et qu’elle est vérifiée par l’AFA. Il faut donc :
- i) clarifier les rôles et responsabilité des dirigeants, des managers et du responsable de la conformité (qui peut être le même que celui institué par d’autres réglementations) ;
- ii) définir les risques propres à l’entreprise (évidemment différents pour une compagnie d’assurances et une entreprise de travaux publics) ;
- iii) le niveau de vulnérabilité et notamment la probabilité d’occurrence et les facteurs d’aggravation ;
- iv) l’adéquation des moyens aux besoins de lutte contre la corruption et le niveau de maîtrise de celle-ci ;
- v) la hiérarchisation des risques et les limites d’acceptabilité ;
- vi) la formalisation écrite et la mise à jour (annuelle ?) de la cartographie. Nous sommes dans des procédures classiques d’Enterprise Risk Management (ERM), à ceci près qu’elles sont quasi obligatoires et contrôlées par l’AFA, même si (par précaution) le texte de la Recommandation prévoit que celle-ci ne « crée pas d’obligation juridique ». S’agissant d’un « avis » publié au JO d’une Autorité administrative, on ne peut que déplorer ce supplément de flou juridique dans un domaine où fleurissent les sanctions financières et où s’organise, à travers la protection des lanceurs d’alerte, une brèche dans le bon fonctionnement des libertés publiques. Ce qui implique des coûts économiques élevés en matière de risque de réputation et valeur des actifs cotés ou non.
Dans le domaine comptable, l’AFA découvre les bienfaits de l’existence de Commissaires aux Comptes indépendants et insiste sur l’obligation qui leur est faite de révéler les faits délictueux qu’ils constatent. Elle leur enjoint de cibler leur contrôle sur certains flux : les dons, les cadeaux, les frais de représentation, les flux typiques, les « opérations à fort enjeu » (acquisitions), le recours à des intermédiaires ou consultants, les flux vers des tiers « présentant un risque élevé ». Il y a fort à parier que les Commissaires aux Comptes devront, à court terme, fournir des rapports à l’AMSB (au même titre que la « Compliance ») mais aussi à l’Assemblée générale et, sans doute, à l’AFA.
On ne saurait négliger la formation des salariés au risque de corruption, en choisissant de former les collaborateurs exposés, sans oublier tous les autres, comme il se doit, et, bien sûr, il faut avoir des indicateurs de résultat de la formation et contrôler cette formation (en appliquant les trois niveaux de contrôle).
Cette réglementation anticorruption ajoute une couche de contraintes, nouvelles pour les sociétés commerciales, supplémentaires pour les entités financières. Toutes ces « couches » réglementaires présentent des caractéristiques communes : « principle based », « fondées sur l’analyse du risque », exigeant la mise en place d’une fonction « transverse » indépendante de la hiérarchie de l’entreprise, la rédaction de Rapports plus ou moins publics, exposant les entreprises aux sanctions financières lourdes d’Autorités administratives indépendantes, multiples et pas forcément coordonnées. L’ensemble a un coût économique de mise en œuvre et des coûts éventuels en termes de valeur des actifs ou de risque de réputation des entreprises.
Outre la nécessaire mise en œuvre de ces dispositions dans les entités d’assurances, il importe que des services juridiques travaillent activement sur ces évolutions vers une « pénalisation » du droit commercial et, surtout, vers un durcissement du contrôle réglementaire sur des entreprises non réglementées (fonction Compliance, Rapport anticorruption, etc.). Les citoyens devraient aussi s’interroger sur les bienfaits de l’institutionnalisation (dans le droit du travail notamment) de la délation (« alerte ») qui va bien au-delà, dans son principe, des questions de corruption. Il serait regrettable de ne pas souligner un point très positif dans les objectifs poursuivis par les Recommandations mais, hélas, non développé dans le corps du texte (notamment en termes d’outils de procédure). Les Recommandations ont pour but de « se prémunir contre les sanctions d’une autorité étrangère » : voilà une intéressante allusion aux efforts répétés des États-Unis et du Royaume-Uni (bientôt un pays tiers par rapport à l’Union européenne) pour internationaliser l’application de leur droit interne, d’ailleurs avec succès.
2. Janvier 2019 – AFA – La fonction conformité anticorruption dans l’entreprise – Guide pratique
S’agissant de la principale innovation de la réglementation anticorruption, l’AFA a précisé les grandes lignes de cette fonction, nouvelle dans de nombreuses entreprises, mais pas dans les établissements financiers.
Ce guide pratique, répète largement la « recommandation », notamment sur le rôle de la structure dirigeante (AMSB) qui supervise la conception et la mise en œuvre du programme de conformité. Elle est aussi porteuse de la « culture anticorruption » : les législateurs s’appuient de plus en plus sur cette dimension « culturelle » de la gestion des entreprises (culture du risque de S II), tout en prescrivant la rédaction de procédures contraignantes, ce qui est largement antinomique : les procédures tiennent-elles lieu de culture ? Le responsable de la conformité sera d’ailleurs le diffuseur de cette « culture » anticorruption.
Quelques points particuliers méritent commentaire :
- la fonction « conformité » est bien une fonction transverse qui couvre de nombreux domaines, notamment les services informatiques et la distribution, ainsi que l’ensemble des relations avec les régulateurs dans le secteur financier ;
- il n’y a pas de recommandation sur le caractère « unique » du titulaire de la conformité, mais l’AFA reconnaît l’existence de nombreux points de contacts et l’articulation nécessaire avec la conformité AMF, les questions de blanchiment, l’éthique (harcèlement), les questions d’investissement responsable, sociétal et environnemental (ISR/ESG en Novlangue), le contrôle des exportations et de l’application des sanctions internationales, le RGPD (donc le Data Protection Officer), les questions de concurrence, de conflits d’intérêts (le Product Oversight and Governance) et les délits d’initiés. Le Guide pratique ajoute les questions de fraude. Il y aurait tout de même quelque mérite à instituer une fonction unique dans l’entreprise, ne serait-ce que pour coordonner ces initiatives multiples d’Autorités administratives sans doute concurrentes et dont, probablement, les démarches sont en partie contradictoires. Le Guide pratique affirme toutefois que la conformité « anticorruption » ne nécessite pas de compétences spécifiques (il n’y a pas de norme établie) alors que le Délégué à la protection des données doit être compétent – et reconnu comme tel – sur la gestion des systèmes d’information ;
- le spécialiste de la conformité est « indépendant » et agit par délégation de l’instance dirigeante, rapporte au Comité exécutif et au Conseil, dispose d’un « réseau » dans l’entreprise de « référents conformité », chargé notamment de recueillir les dénonciations des « lanceurs d’alerte ». C’est donc bien, lui aussi, un « Officer » au sens anglo-saxon. Dès lors, compte tenu de la multiplicité de ces fonctions, soit les Comités exécutifs vont devenir pléthoriques, soit les opérationnels (par exemple : le patron de la souscription, des indemnisations, de la réassurance, le directeur commercial) céderont leur place dans les instances dirigeantes ;
- on notera que le Guide souligne la non-responsabilité pénale du responsable de la conformité. Celle-ci pèse sur le seul mandataire social. Donc, les directeurs généraux dirigent de moins en moins, mais sont de plus en plus responsables devant les Autorités administratives et la Justice ;
- pour le reste, le Guide n’apporte rien de neuf sur la cartographie, le Code de conduite, l’évaluation de l’intégrité des « tiers » (sans doute les clients et les fournisseurs en termes judiciaires ?), la mise en place de la procédure d’alerte, les contrôles, la relation privilégiée avec le contrôle comptable.
3. L’AFA a publié son rapport annuel 2018 au mois de mars 2019. C’est sa première année de plein exercice, après sa création en 2017
Le Rapport laisse entrevoir la complexité des travaux de l’AFA. L’Autorité cherche à avoir un rôle international en concluant des Accords avec des autorités anticorruption étrangères, dans des pays dont la liste ne manque pas de surprendre : Serbie, Croatie, Argentine, Colombie, Liban, Guinée et Mali. Elle s’adresse, dans son action, autant aux administrations et collectivités publiques qu’aux entreprises (mais aussi aux associations et fondations). Cette action est d’abord « accompagnement des entités », notamment sur la mise en place des outils (Code de conduite, cartographie, évaluation de l’intégrité des « tiers »). Elle est également une activité de contrôle de l’efficacité des dispositifs anticorruption sur la base de la charte des droits et devoirs « destinée aux acteurs économiques » de fin 2017, et du questionnaire et liste des pièces relatifs au contrôle public de février 2018. Ces contrôles portent sur la mise en œuvre des huit mesures prévues à l’article 17 de la « Loi Sapin » : le Code de conduite interne, le dispositif d’alerte interne, la cartographie des risques, le processus d’évaluation des « tiers », les contrôles comptables internes ou externes, le dispositif de formation, le système disciplinaire interne pour sanctionner les salariés, le dispositif de contrôle et d’évaluation interne à l’entreprise. L’AFA a procédé à 28 contrôles « d’acteurs économiques », contre 15 contrôles dans le secteur public et associatif. Elle a également procédé à une enquête sur la mise en place des mesures en cause. Pour l’heure, les résultats en sont évidemment décevants, mais il s’agit du secteur public local.
L’appréciation de l’état de mise en œuvre des mesures dans le « secteur économique » est non moins décevante, selon l’AFA : faible engagement des dirigeants, mauvaise connaissance de l’exposition au risque, système lacunaire de management des risques, y compris en ce qui concerne la gestion des signalements donnés par les « lanceurs d’alerte », mauvaise appréciation des « conflits d’intérêts », dont il est dit « qu’aucun texte ne définit le conflit d’intérêts dans le secteur privé », indice d’une certaine légèreté de l’information de l’AFA.
Par ailleurs, l’AFA se veut « défenderesse des intérêts français ». On pourrait imaginer que cela la conduit à intervenir auprès des services américains et britanniques qui enquêtent en permanence au profit de leurs ressortissants contre leurs concurrents étrangers (en l’occurrence français) sur les cas de corruption d’acteurs économiques dont nos exportateurs se seraient montrés coupables. L’AFA se contente de veiller à l’application de la « loi de blocage » de 1968 sur la communication de documents et renseignements d’ordre économique et commercial, dont l’inefficacité est désormais à peu près démontrée, notamment dans les relations avec les États-Unis. C’est si vrai, qu’en 2018, l’AFA n’a été saisie que de trois « dossiers » à ce titre, ce qui n’est rien au regard de l’agressivité des juges et du ministère de la Justice américain.
Enfin, il faut noter qu’heureusement l’AFA est, pour l’instant, un acteur du contrôle et un agent de signalement, mais laisse l’exercice de sanctions entre les mains de Parquets avec lesquels elle a conclu des partenariats. Il n’y a donc pas de « double peine » avec des sanctions financières pesant sur les entités qui n’auraient pas mis en œuvre les diligences nécessaires à la détection de la corruption. Il est probable que la compétence donnée à l’AFA sur l’ensemble du secteur public, où la pratique de l’amende est inconnue, explique cette situation.
En conclusion, l'AFA apparaît aujourd’hui comme une institution faible. Mais elle pourrait, dans l’avenir, développer un véritable pouvoir de contrôle avec l’aide, notamment, des lanceurs d’alerte, véritable institutionnalisation de la délation. En outre, les textes sur lesquels s’appuie l’agence (qui n’est pas encore une « Autorité ») sont très ambitieux et renforcent substantiellement le rôle et les obligations de résultat d’un « Compliance Officer » dont l’institution est plus que jamais nécessaire.
Annexe II
Les contrats d’assurance vie en déshérence (Loi Eckert)
Divers documents de l’ACPR et de la Cour des comptes font le bilan de l’application des lois dites Eckert de 2014 et Sapin 2 de 2016 sur les contrats en déshérence. En soulignant que 13,3 milliards de rentes de retraite supplémentaires et de prévoyance seraient aujourd’hui non liquidées, l’ACPR pourrait relancer le débat sur la gestion des contrats dont le bénéficiaire ne se manifeste pas. Or, la loi oblige les entités non seulement à apurer le passé, mais à prendre des mesures d’organisation et de gestion pour éviter la reproduction du phénomène : ce que la Cour des comptes appelle « la prévention de la déshérence ».
L’organisation actuelle est fondée sur la consultation annuelle du RNIPP (répertoire national d’identification des personnes physiques) tenu par l’INSEE (dispositif connu sous le nom de « AGIRA2 » du nom de l’organisme professionnel qui gère cette procédure). Les assureurs, selon la Cour des comptes, ont multiplié par dix leurs effectifs entre 2009 et 2015, et 150 000 dossiers ont été confiés à des cabinets de généalogistes.
L’ACPR constate la mise en place d’une Gouvernance spécifique auprès des Directions générales, le renforcement de la Direction conformité, et l’affectation d’importants moyens en personnel. En 2015, 2 100 ETP étaient affectés au traitement des contrats d’assurance vie en déshérence.
En 2007, les assureurs avaient mis en place des critères de consultation du RNIPP (âge du client supérieur à 90 ans et valeur du contrat supérieure à 2 000 euros) et exclu certains types de contrats (obsèques, temporaires décès ou contrats de prévoyance collective ou de retraite). L’ACPR a mis en œuvre des mesures de redressement à l’encontre de ces pratiques à partir de 2014, ce qui a porté le nombre de consultations AGIRA à 221 000 en 2015 (contre 52 000 en 2013) et porté le montant des « capitaux à régler » à 1,7 milliard en 2015 (contre 731 millions en 2013).
Dès 2016, dans son Rapport au Parlement, l’ACPR souligne que d’autres « contrats en déshérence » ne font pas l’objet du même soin que les capitaux dus en cas de décès. Il s’agit des contrats dénoués par arrivée du terme (assurance vie, bons et contrats de capitalisation), de contrats collectifs de prévoyance et des contrats collectifs de retraite. Des efforts des entreprises sont constatés, mais l’ACPR met en lumière « un défaut dans le suivi des stocks non réglés » ce qui justifie d’imposer un rapport annuel à l’ACPR pour chacune des entités portant sur le stock des contrats non réglés.
La Cour des comptes (Rapport public 2019) suggère d’importantes évolutions pour améliorer la gestion des données clients et la liquidation des « stocks » de contrats en déshérence, et la prévention de leur reconstitution :
- ouvrir à l’AGIRA les coordonnées (fiscales) des bénéficiaires de capitaux décès. Une convention entre la Direction générale des Finances publiques et l’AGIRA, à conclure en 2019, devrait permettre d’obtenir ces informations ;
- l’accès au Numéro d’identification des personnes physiques (NIR) pourrait être ouvert aux assureurs et aux banquiers par un décret après avis de la CNIL. Il s’agit du « Numéro de Sécurité sociale », qui permettrait de fiabiliser les bases de données de l’assurance décès. Le décret est prévu par la loi d’application du RGPD du 20 juin 2018. L’ACPR notait, dès 2016, l’importance de cette possibilité pour limiter notamment les cas d’homonymies.
Il est probable que, dans l’avenir, l’attention de l’Autorité de contrôle va se concentrer sur les stocks de contrats de retraite souscrits dans le cadre des entreprises.
Annexe III.1.
Lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB/FT) – GAFI (FATF) – Guide pour une approche des questions LCB/FT fondée sur le risque – Secteur de l’assurance vie – 25 octobre 2018
Ce document est le premier des « guides » du GAFI, l’Autorité intergouvernementale qui régule et pilote les activités de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB/FT) ; celui-ci traite de l’activité d’assurance vie. Il permet d’appréhender la notion – désormais généralisée – d'« approche fondée sur le risque » – qui est d’emblée posée par ce texte comme « centrale », dans la mise en œuvre des « Standards » du GAFI.
L’idée est que ce document a pour but d’« identifier, évaluer et comprendre les risques LCB/FT et de faire mettre en place, chez les assureurs et distributeurs d’assurance, des dispositifs de prévention et de signalement adaptés au « profil du risque » de chaque « relation d’affaires » (transaction) et de chaque produit d’assurance vie. Le jargon est un peu torturé pour dire que les produits et les clients ne présentent pas les mêmes probabilités d’être des « blanchisseurs » et des « financiers du terrorisme ».
Le GAFI se donne d’ailleurs beaucoup de peine pour montrer que cette « nouvelle approche » « risk-based » (2014) est fondamentalement différente de l’approche antérieure (les recommandations de 2003). Si l’on comprend bien, il s’agit d’affirmer que les assureurs et les distributeurs d’assurance vie sont responsables de la compréhension et de la mesure des « risques » LCB/FT en fonction des mesures déjà mises en place dans le pays (par exemple, les mesures sur l’anonymat des bons d’épargne, les règles sur l’utilisation des paiements en liquide). Donc, les autorités de contrôle, dans chaque pays, et les assureurs doivent définir les risques de LCB/FT auxquels ils sont exposés (les « risques inhérents ») et ceux auxquels ils demeurent exposés après avoir pris les mesures utiles de précaution. On attend des Autorités de contrôle qu’elles mettent en place des lignes directrices ou des réglementations pour faire face aux « risques » de LCB/FT, et ces mesures doivent être adaptées à l’intensité ou à la gravité probable de ceux-ci.
Toute cette abondante littérature a pour but d’introduire des notions de « responsabilisation » des acteurs économiques, d’obligation de résultat plutôt que de moyen (l’application aveugle d’une réglementation, la pratique du « ticking the box ») et de proportionnalité des moyens et des procédures aux risques présentés par les produits.
Ainsi, le GAFI esquisse une sorte de nomenclature des risques de blanchiment (que nous appellerions plutôt « indices » de blanchiment), mais le terme de « risk » – déjà popularisé par les directives européennes – est sans doute considéré comme plus élégant.
Une échelle de risques liés aux produits : les produits complexes (Unités de compte !), et les produits destinés aux catégories CSP+ (« High Net Worth ») sont plus « risqués » que les produits de retraite, les « endowments » (sans doute les bons de capitalisation), les rentes indemnitaires. Les produits simples (et peu rentables) destinés aux catégories modestes sont moins risqués que les produits complexes destinés aux riches : la réglementation sait présenter la discrimination sociale de façon élégante.
Un florilège des « risques » (ou des indices) de blanchiment : croissance du nombre de clients, difficultés d’identification du client, complexité du schéma de propriété, circonstances inhabituelles de retrait provoquant des pertes, l’implication de « personnes politiquement exposées » (PPE) dans une transaction financière, modalités anormales de paiements (multiples comptes), origine des fonds (obscure ou soupçonnable), personnalités à haut risque (ONG, courtiers en métaux précieux, etc.). De même, les produits, en tant que tels, peuvent être porteurs de risques : paiements aux expatriés (!), produits conçus pour des dépôts importants, produits anonymes ou faciles à transférer, produits prévoyant une possibilité de rachat rapide, produits qui sont vendus sans contact face à face, ou par des réseaux non régulés, ou qui prévoient le management des paiements par un tiers. Il y a aussi le racisme ordinaire à l’égard de pays où le risque LCB/FT est élevé : les produits, les clients résidents ou les intermédiaires de ces pays sont évidemment soupçonnables.
L’analyse du risque doit évidemment conduire à apprécier si les conditions législatives et le contrôle locaux sont suffisants, et les modalités de détention des fonds par l’intermédiaire réglementées, ainsi que le régime fiscal des versements (même si les modalités font l’objet d’un « tax planning »).
Enfin, les sujets de LCB/FT supposent une méthodologie spécifique de définition des risques dans les groupes complexes et multinationaux où figurent des assureurs vie et qui peuvent faciliter le développement de blanchiment.
Après avoir ainsi ciblé les produits « dangereux », le GAFI expose les modalités de prévention des risques. On invente ainsi la « Customer due diligence », connaissance du client, qui permet de cibler les clients à haut risque, de connaître l’activité du client, ses préoccupations fiscales, savoir s’il s’agit d’une des personnes « exposées politiquement » et, dans ce cas, connaître la source des fonds et examiner ses activités. Les « due diligences » doivent être également développées lors de la survenance de certains événements (sinistres, changement de bénéficiaire de contrat…).
Le GAFI définit ensuite les conditions de « Due diligence simplifiées » pour les risques faibles : la prévoyance, les plans de retraite, les produits sans clause de rachat, etc. Pour les autres, il convient de procéder à des « Due diligences renforcées » : (paiements à des tiers, multiples rachats), demande de l’origine des fonds, de la résidence fiscale, etc. Les personnes politiquement exposées étrangères ou nationales doivent faire l’objet de ces enquêtes.
Naturellement, les transactions suspectes doivent être notifiées aux Autorités compétentes.
Le GAFI ne manque pas d’établir solidement la responsabilité de l’AMSB, dans la mise en place et le bon fonctionnement des contrôles LCB/FT. Il rappelle la règle traditionnelle (et anglo-saxonne) des « trois lignes de défense » du contrôle interne : le niveau de management opérationnel, le niveau des « fonctions de contrôle » – l’activité compliance et gestion des risques –, et le niveau de l’audit interne.
Puis, le GAFI décline les règles traditionnelles, homogènes avec les pratiques S II, DDA, RGPD : des politiques écrites, l’implication du sénior management (surtout dans les groupes), la formation du management et des salariés, la recherche des conflits d’intérêt, etc.
Suivent des recommandations aux Autorités de contrôle, parfois non dépourvues de naïveté. On recommande, par exemple, à ces Autorités, de cartographier le risque LCB/FT en se fondant sur les « montants d’argent illicite générés à l’étranger et blanchis localement » : les connaître ne serait-ce pas y mettre fin ? Ainsi que sur le « poids de l’économie informelle » dans le PIB local. Le reste est à avenant : il faut connaître les risques associés à l’implantation géographique des groupes (les pays « gris »), à la mauvaise qualité des réseaux de distribution, etc. Il faut aussi donner la priorité aux zones où le risque est élevé, ajuster l’intensité du contrôle sur divers critères (en fait, très nombreux). En réalité, le GAFI rêve de pouvoir mettre en œuvre un contrôle général des transactions d’assurance vie sur un certain nombre d’entités (définies en fonction de la délation (ou « whistleblowing » de divers « stakeholders ») dans certains pays, et sur certains types de contrats.
Comme pour le contrôle de la solvabilité, le GAFI intègre les problèmes du Contrôle de groupe et notamment des groupes transfrontaliers. Il s’en tire avec le discours traditionnel sur la coopération et l’échange d’informations entre les Autorités nationales de contrôle.
Mais il prévoit également la création de « Collèges de superviseurs » : espérons qu’il s’agit du même que celui du contrôle prudentiel.
Enfin, le document GAFI insiste sur la nécessité pour la législation nationale de prévoir des sanctions sur les entreprises qui ne respecteraient pas les normes de « risk based approach » du contrôle LCB/FT, et cite l’exemple des sanctions infligées à un assureur vie français.
Les normes édictées par le GAFI inspirent les directives européennes qui, elles-mêmes, fondent la démarche de lutte contre le blanchiment de chacun des États membres. Nous vivons dans un foisonnement de textes réglementaires complexes, dont la cohérence n’est pas assurée. Le GAFI entend créer les bases d’une nouvelle pratique (« risk based ») du contrôle LCB/FT et se fonde sur la réglementation du contrôle de l’assurance vie (contrôle de Groupe, contrôle des Intermédiaires) en y imposant sa marque (dangerosité LCB des produits, indices spécifiques, surveillance diversifiée). Tout cela implique, comme en matière de solvabilité, une importante organisation de l’entreprise, des processus/politiques écrits, une formation d’un nombre élevé de collaborateurs et de commerciaux, et une forte responsabilisation des dirigeants effectifs, de la fonction « conformité » et de l’AMSB.
Annexe III.2.
Conférence de l’ACPR du 21 juin 2019 – « Actualité de la lutte contre le blanchiment »
La Conférence annuelle de l’APCR, du 21 juin 2019, a fait le point sur les divers aspects réglementaires de la réglementation LCB/FT.
• La transposition de la 4e directive a été achevée par le Décret du 18 avril 2018 et est entrée en vigueur le 1er octobre 2018. Elle comprend de nouvelles exigences à l’égard des Groupes : désignation d’un responsable au niveau du Groupe, gestion des relations avec les implantations dans les Pays tiers dont la réglementation locale fait obstacle à l’application des règles LCB/FT ; rédaction d’un Rapport de « Groupe » sur l’organisation du contrôle interne (LCB/FT et Contrôle du gel des avoirs) homogène avec celui demandé aux entités « solo ».
• La 5e directive doit être transposée au plus tard le 10 janvier 2020. Elle pose le principe de la « supervision consolidée » au niveau du Groupe et fonde la démarche d’encadrement des crypto-actifs (cf. annexe III ci-dessus de la présente chronique).
• L’ACPR insiste sur l’augmentation de ses pouvoirs en matière de « police » et de « pouvoirs disciplinaires ».
• La 5e directive, selon l’ACPR, accroît le contrôle des groupes transfrontaliers (échanges d’informations) et, surtout, met en place des « Collèges de supervision » de Groupe. La question sera de savoir si ceux-ci sont différents des Collèges « prudentiels » établis par S II. Il faut rappeler que l’organisation de lutte contre le blanchiment dans chaque État est de la responsabilité de l’État membre. Il peut donc établir une structure de contrôle du LCB/FT séparée de l’Autorité de contrôle prudentiel de l’assurance (et/ou de la banque).
• L’ACPR a développé ses contrôles sur la mise en place du dispositif préventif de LCB/FT dans les entreprises et sur les modalités de détection des personnes et entités soumises au gel des avoirs. Les priorités de choix des contrôles ont évidemment porté sur l’assurance vie. Les points d’attention, fondés sur le relevé des ’insuffisances, sont : l’identification des risques de LCB/FT (c’est l’objet principal de la 4e directive), la connaissance de la clientèle et, en particulier, des « bénéficiaires effectifs » (lignes directrices ACPR de décembre 2018), et la couverture (au niveau solo et groupe, y compris les « tiers introducteurs ») de l’activité LCB/FT par le contrôle interne.
• La lutte contre le financement du terrorisme repose sur la bonne maîtrise des obligations déclaratives de « soupçon » à Tracfin (« lignes directrices ACPR/Tracfin de novembre 2018), et, en particulier pour les entreprises, de la connaissance des typologies de risques du financement du terrorisme (Tracfin et Gafi).
• Le « gel des avoirs » est traité par l’ACPR comme une catégorie à part, qui ne relève pas d’une approche par les risques, mais réglementaire (détection des avoirs détenus par des entités ou personnes désignées). L’ACPR considère que les moyens de détection sont aujourd’hui insuffisants (« filtrages » faibles et mauvaise qualité des bases de données clients). Une mise à jour des lignes directrices de l’ACPR serait en cours (voir les lignes directrices ACPR/Trésor sur le sujet).
• L’ACPR a développé ses attentes sur le fonctionnement du dispositif LCB/FT au niveau du Groupe d’assurances :
- le Groupe définit un dispositif en son sein, avec un responsable ayant accès à l’AMSB et bénéficiant d’un rattachement fonctionnel des responsables LCB/FT dans les entités. On s’oriente donc vers la notion de Chief Officer (comme pour la protection des données et les fonctions clés de S II) ;
- malheureusement, l’ACPR constate que si la mise en place est assurée, l’implication de l’AMSB demeure faible, que le « cadre procédural » (la politique écrite) est moyennement assuré, que le « pilotage » (contrôle interne, exercé notamment sur les filiales à l’étranger) est insuffisant au-delà de l’animation du « réseau » des spécialistes LCB/FT dans chaque filiale. Enfin, l’ACPR relève des contradictions entre les entreprises/groupes quant à la présence de restrictions légales locales à l’échange d’informations.
Annexe III.3.
Directive 2018/843 du 30 mai 2018 dite 5e directive LCB/FT
Ce texte, particulièrement difficile d’accès, modifie et complète la 4e directive de 2015 ; il a été publié le 19 juin 2018 et la transposition devait en être achevée avant le 10 janvier 2019.
Comme toujours, il faut aller chercher, dans l’exposé des motifs, les « points forts » de ce texte nouveau et ses motivations.
1. Le premier objectif est d’étendre le champ d’application des mesures LCB/FT à, d’une part, les monnaies virtuelles et cryptomonnaies ainsi qu’aux opérateurs, et notamment la blockchain et, d’autre part, à l’univers des « fiducies/trusts » et des « constructions juridiques similaires » dont la « transparence » est jugée nécessaire. On sait que les « rançons » des cyberattaques sont payables en bitcoins, et que les Associations et ONG confessionnelles servent au financement d’opérations terroristes. D’une façon générale, la 5e directive établit un cadre solide de lutte contre l’anonymat des transactions et des « bénéficiaires effectifs » (article 1, paragraphe 6).
2. En second lieu, la directive renforce la surveillance des transactions (financières en ce qui nous concerne) avec les « pays tiers à haut risque », en leur appliquant le régime de la « vigilance renforcée ». Reste à établir la liste noire des pays tiers, ce pour quoi la Commission semble rencontrer de réelles difficultés. C’est un problème voisin de la liste des « organisations terroristes » avec lesquelles les transactions sont interdites et dont les avoirs sont gelés. Dans ces domaines, où prévalent en réalité les décisions américaines appuyées sur une forte volonté d’application extraterritoriale de la loi américaine, l’Europe pourrait sans doute apporter une pratique commune aux États membres et une nécessaire clarification.
L’article 1er (paragraphes 5 et 11) a le mérite de définir le contenu de la vigilance renforcée sur les transactions avec ces pays : informations supplémentaires sur le client, sur l’origine des fonds, les raisons de la transaction, une décision à haut niveau dans l’entité financière, et continuité de la surveillance. De même, la directive prévoit l’interdiction d’échanger les implantations de filiales et succursales avec les pays à haut risque, et l’obligation de mettre fin aux relations de correspondants nouées par les établissements financiers dans ces pays.
3. La directive rappelle et précise la base des « déclarations de soupçon » qui légitiment la « vigilance renforcée » : transaction complexe, montant anormalement élevé, « schéma inhabituel », absence d’objet économique ou licite apparent.
4. La directive esquisse les contours des organisations qu’elle voudrait voir mise en place dans les États membres. C’est la distinction entre les Autorités de régulation de la LCB/FT (spécifiques ou confondues avec les Autorités prudentielles pour les institutions financières « régulées »), les « Centres de renseignement financiers » (CRF, ce qui désigne Tracfin en France) et, au-delà, les Autorités judiciaires (cf. la directive 2018/1673 ci-dessous). Les premières seraient chargées de la prévention et de la détection, les autres de l’investigation, les derniers de la sanction pénale. Évidemment, la directive reprend les préoccupations traduites en France dans la loi Sapin 2 sur les lanceurs d’alerte et leur protection. Les « Considérants » sont longs et embarrassés sur les questions de protection de la vie privée et sur le « contrôle accru des informations par la société civile, la presse, et les ONG (cf. considérant 42 sur le rôle des journalistes d’investigation).
5. La directive impose la création et la publication de la liste des « Personnes politiquement exposées » au niveau européen.
6. Elle prévoit surtout la création de fichiers centralisés de comptes bancaires, comme en France, et l’interconnexion de ces fichiers. D’autre part, elle impose la création de fichiers centraux de bénéficiaires effectifs constitués au niveau national et susceptibles d’être « interconnectés » (fichier central disponible le 10 janvier 2020 et, pour les « fiducies » et autres, le 10 mars 2020 ; interconnexion prévue le 10 mars 2021).
Enfin, l’identification complète des comptes bancaires, comptes de paiement et coffres-forts, est prévue pour le 10 septembre 2020.
7. Subrepticement, la directive introduit la notion de supervision consolidée (et transfrontalière) des Groupes bancaires et d’assurance. La question, pour l’assurance, est de savoir s’il s’agit de créer un nouveau « collège des superviseurs » spécialisés dans la LCB/FT et composé des « Tracfin » nationaux ou des Autorités de contrôle, ou de confier cette compétence aux Groupes prudentiels de contrôle établis. Quoi qu’il en soit, il est certain que le sujet de contrôle du groupe, et notamment des Groupes transnationaux (européens ou mixtes européen/pays tiers) et plus encore des conglomérats financiers, recèle encore de grandes difficultés.
Globalement, pour la France et l’assurance française, on ne peut considérer que la 5e directive innove considérablement. Elle crée de nouvelles obligations de « transparence » et rend encore plus périlleuse la recherche de « conformité » des activités LCB/FT et Tracfin avec les obligations du RGPD et les décisions de la CNIL, ainsi que les dispositions sur le « devoir de vigilance », « les lanceurs d’alerte » et leur protection.
Annexe III.4.
Directive LCB/FT 2018/1673 du 25 octobre 2018 (JO de l’Union du 12 novembre 2018)
Cette nouvelle directive européenne, dont la transposition doit être achevée le 3 décembre 2020, complète et renforce la directive de 2015, en insérant la lutte contre le blanchiment et le financement du terrorisme dans le droit pénal des États membres et en permettant une meilleure coopération transfrontalière.
Elle vise à élargir et préciser le domaine LCB/FT, en encourageant les États membres à prendre en compte les risques liés aux monnaies virtuelles, à alourdir les sanctions applicables aux titulaires de charges publiques et, surtout, à inclure les infractions fiscales liées aux impôts directs et indirects dans le périmètre LCB. Elle vise également l’ « auto blanchiment », soit les activités de blanchiment commises par l’auteur de l’activité criminelle (mise en circulation de biens provenant d’une activité criminelle, en dissimulant leur origine illicite). Elle élargit la LCB/FT aux infractions pénales commises par imprudence ou à la suite d’une négligence grave Elle engage une analyse sur la création de règles communes aux États membres en matière de confiscation de biens (le « gel des avoirs »).
Enfin, elle constate que le Royaume-Uni, l’Irlande et le Danemark ne participent pas à l’adoption de la directive et ne sont pas liés par ses dispositions ni soumis à son application.
L’intérêt majeur de cette directive tient dans l’article 2 et la définition en droit pénal de « l’activité criminelle » de blanchiment, soit des infractions punies d’une peine de prison de plus d’un an (au maximum de la peine), ou de plus de 6 mois pour les pays prévoyant un « seuil minimal » de peine. Il s’agit de crime organisé et de « racket d’extorsion », de terrorisme, de traite des êtres humains (et trafic illicite de migrants), d’exploitation sexuelle (proxénétisme), de trafic de drogues, d’armes et de bien volés (recel), de corruption, de fraude, de fausse monnaie, de contrefaçon de produits, d’infractions contre l’environnement, de meurtre, d’enlèvement (kidnapping) et prises d’otages, de vol, de contrebande, d’infractions fiscales liées aux impôts directs et indirects, d’extorsion, de faux, de piraterie, de délits d’initiés et manipulation de marché, de cybercriminalité.
Tous ces délits et crimes produisent des ressources qui doivent être considérées comme sources de blanchiment, ayant pour but d’en dissimuler l’origine criminelle (dont la liste est fixée ci-dessus), dès lors que « le blanchisseur » connaît cette origine.
Ceci concerne les infractions commises sur le territoire d’un État membre ou d’un pays tiers.
La directive établit également les notions de complicité et de « circonstances aggravantes ». Elle insiste surtout (art. 7) sur la responsabilité des personnes morales (par exemple, les établissements financiers) qui peuvent être tenues pour responsables du défaut de surveillance ou de contrôle des risques de blanchiment dont seraient responsables les dirigeants (mandataires, décideurs ou contrôleurs). La directive fait la liste des « autres sanctions » que peuvent recevoir les personnes morales, dont l’interdiction d’exercer, la dissolution, la fermeture temporaire ou définitive (pour l’assurance, sans doute, le « retrait d’agrément »).
Enfin, la directive esquisse les bases d’une coopération transfrontalière et l’idée de « centraliser les poursuites dans un seul État membre ».
Le grand mérite de ce texte est de préciser la liste des exactions, pénalement sanctionnées, qui peuvent générer des sources financières de blanchiment et de financement du terrorisme, en y incluant la fraude (et l’évasion ?) fiscale, la cyber criminalité (et donc, dans certains cas, l’utilisation des crypto monnaies aux fins de blanchiment) et, plus étrangement, les infractions à l’encontre de l’environnement. C’est tout le sujet, pour les Assureurs, de l’origine des fonds et de l’utilisation des produits d’assurance vie et non-vie (faux sinistres) à des fins d’occultation de cette origine délictueuse. On notera aussi l’utile référence aux actes commis dans les Pays-tiers, et l’utilisation des fonds de cette activité délictueuse dans les États membres de l’Union (sauf l’Angleterre et l’Irlande ?).
Annexe III.5.
Documents de la Commission européenne – État de l’Union 2018.12/09/2018 – Communication du 12/09/2018 Com. (2018). 645 – Fact Sheet du 1/04/2019 sur l’Union des marchés des capitaux
Les premiers documents annoncent la mise en œuvre de la 5e directive antiblanchiment. Il s’agit notamment d’améliorer la coopération entre les Autorités antiblanchiment et les Autorités nationales de contrôle prudentiel, et la conclusion d’un Accord cadre (Memorandum of Understanding) entre les Autorités antiblanchiment et la BCE.
Il s’agit surtout de renforcer les pouvoirs de l’Autorité bancaire européenne en matière de lutte antiblanchiment, qui contrôlera les efforts de surveillance des diverses autorités nationales compétentes dans ce domaine. Il s’agit de vérifier que toutes les enquêtes sont effectuées, que les autorités de supervision collaborent avec les Autorités « antiblanchiment », de développer des standards communs de contrôle, etc. Le plus important est la création d’un nouveau Comité permanent qui rassemble les Autorités nationales « antiblanchiment », institué par l’EBA.
Concrètement, la Commission introduit, dans sa proposition de réforme des Autorités européennes de supervision, un renforcement des pouvoirs de l’Autorité bancaire, qui devient pilote dans l’organisation des contrôles antiblanchement (en anglais : « renforcer la convergence des contrôles »). Cela se traduit par des changements d’affectation des personnels et la création du « Comité permanent » chargé de mettre en place les règles obligatoires connues (ITS, Guidelines, recommandations). Nous ne sommes pas loin de l’apparition d’une nouvelle ESA, spécialisée dans l’antiblanchiment. Seul le rattachement à l’EBA nous en préserve, au moins pour l’instant.
Cela étant, les pouvoirs de ce Comité permanent ne sont pas fortement étendus : revues des pratiques des États, construire un « data-lake » des pratiques antiblanchiment et des turpitudes découvertes, et possibilité de demander des investigations aux États membres.
Le reste du texte de 2018 traite de commandes faites à l’EBA sur des lignes directrices communes en matière de « Supervision » « fondée sur le risque » (c’est le jargon de la 4e directive, qui renvoie aux entités le soin de construire leur système de prévention en fonction de leur propre analyse du risque). Enfin, l’EBA est invitée à conclure un accord (Memorandum of Understanding)-MOU) avec la BCE pour, dit naïvement la Commission, « clarifier la répartition des tâches entre la BCE et les Autorités nationale de contrôle ». La Commission conclut en disant qu’il faudrait réfléchir à transformer les directives LCB/FT en Règlement, pour assurer son application uniforme dans les États membres. Voilà qui va sans doute agacer des États membres (et un Parlement européen), de plus en plus soucieux de leurs prérogatives.
Le 1er avril 2019, la Commission a émis un « Fact Sheet » sur le lien entre la lutte contre le blanchiment et l’architecture de contrôle des établissements financiers, dans le cadre de l’Union des marchés de capitaux. Il s’agit de placer les dispositions LCB/FT dans le cadre des grands projets financiers (Union bancaire, Union des marchés) et lui donner ainsi une priorité nouvelle dans le programme de travail de la Commission.
En pratique, la Commission « habille » sa proposition assez bureaucratique de renforcement des pouvoirs de l’EBA et mélange cette démarche avec un renforcement des pouvoirs de supervision et de mise en convergence des contrôles de chacune des ESAs. Pour l’EIOPA, lot de consolation pour la perte de la LCB/FT, un accroissement (vague) de ses pouvoirs sur les « modèles internes » et la « bénédiction » des « plateformes » de contrôle de la LPS. Pour l’ESMA (marchés), de nouveaux pouvoirs sur les cas « d’abus de marché », la supervision des « benchmarks critiques » (l’Euribor, l’EONIA), et la tutelle des DRSP (Data Reporting Services Providers).
Enfin, la Commission termine sa présentation positive de ce qui est, somme toute, une pure démarche bureaucratique, issue des luttes internes entre les Autorités européennes, par un discours sur le rôle crucial des ESAs dans la promotion de la « Finance durable » (les « critères » ESG qu’il va falloir intégrer dans la politique d’investissement et de prise de risques des entités financières), et dans la promotion des « Fin Techs ». On continue d’hésiter entre l’autoprotection contre le cyber risque et le respect du RGPD, et la création d’un grand marché des « services digitaux », mais on promeut la « culture commune à l’ensemble de l’Union de contrôle de l’innovation technologique ». La Commission ne reprend pas, chose curieuse, le thème – pourtant positif – de la « neutralité technologique » des contrôles.
La Commission termine par des propositions de renforcement du rôle du Président de chaque Autorité européenne, et par son regret de voir rejeter, par le Conseil et le Parlement, de faire financer partiellement les ESAs par les « industries » (les institutions financières). Mais les moyens financiers des ESAs seront renforcés sur le budget de l’Union européenne.
De même, la Commission souhaite « renforcer » les pouvoirs de l’European Systemic Risk Board (ESRB), pour l’heure peu efficace (et plus ou moins concurrent de l’European Financial Stability Board-ESB), du Single Supervisory Mecanism et du Single Resolution Board. Il s’agit surtout d’instituer le Président de la BCE comme Président permanent de l’ESRB.
Tout cela ne contribuera sans doute pas à une plus grande clarté des processus de décisions/recommandations, car les organismes et Autorités se multiplient. Mais c’est dans ce cadre complexe que s’exercera l’extension progressive d’un contrôle, naguère prudentiel, et de plus en plus « global » (holistique ?) des entités financières, en incluant les dispositifs LCB/FT.
Annexe III.6.
ACPR – Instructions n° 2017 I-11, 2018 I-05 et 2019 I-24
Il s’agit des diverses instructions de l’ACPR qui déterminent les obligations des institutions financières en matière d’informations sur le dispositif de prévention du blanchiment des capitaux et le financement des activités terroristes.
Les obligations sont imposées aux entités et acteurs qui distribuent des produits d’assurance vie et de capitalisation et qui portent le risque de ces produits, quel que soit le Code (des assurances, de la Mutualité, de la Sécurité sociale) qui les régit (2017). Ces obligations sont étendues en 2019 (3 juin) à l’ensemble des activités d’assurances (branches 1 à 18), donc à l’assurance de dommages.
Le contenu des informations à fournir est très nettement renforcé.
L’instruction de 2018 prévoit que doivent faire l’objet d’une communication à l’ACPR., l’évaluation des risques par l’entité, l’organisation du dispositif de LCB/FT (le responsable, le correspondant Tracfin, les « déclarants » Tracfin), le contrôle interne du dispositif (contrôle permanent, contrôle périodique), les questions de sous-traitance, la notion de « tiers introducteur », l’organisation au sein du Groupe, les « mesures » dites de vigilance simplifiée, complémentaire ou renforcée, le traitement des Personnes politiques exposées, les « déclarations de soupçon », l’application du « gel des avoirs ». S’ajoutent les déclarations spécifiques aux entités d’assurance : identification et vérification du bénéficiaire des contrats d’assurance vie, et vigilance à l’égard des bons, titres ou contrats de capitalisation au porteur.
L’instruction de 2019 introduit, dans les obligations déclaratives, celles relatives à la détection de la fraude et de l’évasion fiscales : mise en place de procédures internes de détection et de contrôle. La question est précisée dans les « obligations déclaratives » (Q.5.160) quant à la possibilité d’effectuer une déclaration de soupçon à Tracfin en cas de soupçon d’une provenance des fonds d’une opération de fraude fiscale (Idem Q.3160 sur l’effectivité de la déclaration de soupçon).
En pratique, les obligations liées à la lutte contre le financement du terrorisme et le « blanchiment » sont étendues à l’ensemble des opérations d’assurances (y compris l’IARD) et aux opérations qui contribuent à la fraude fiscale, mais aussi à « l’évasion », notion infiniment plus vague et ductile, comme le montrent les débats actuels sur les procédures utilisées par de grands groupes internationaux pour « optimiser » leur situation fiscale, y compris à l’intérieur de l’Union européenne. Cette réglementation fait peser une nouvelle et importante responsabilité sur les entreprises d’assurance vie et non-vie.
Enfin, ces dispositions récentes insistent sur la notion de « bénéficiaire effectif » des contrats d’assurance vie : obligation d’obtenir et de conserver les informations adéquates et actualisées sur les bénéficiaires effectifs et de les consigner dans un registre des « bénéficiaires effectifs ».
Annexe III.7.
ACPR – Publication de février 2019 – Lignes directrices relatives à l’identification, la vérification de l’identité et la connaissance de la clientèle (LCB/FT)
Il s’agit d’une note de synthèse qui annule et remplace un grand nombre de documents de 2012 et 2013 concernant la banque, l’assurance vie, et les obligations de LCB/FT en assurance non-vie. Elle fait suite à la transposition en droit français de la directive de 2015, dite 4e directive antiblanchiment. Ces lignes directrices ne sont ici résumées qu’en ce qui concerne l’assurance.
1. La notion de « relation d’affaires » est considérée comme centrale, malgré une définition plutôt confuse.
La notion se distingue de celle de « clientèle » qui peut concerner un « client occasionnel », et celle de « contrat » (certains pouvant être occasionnels), mais semble couvrir la conclusion d’un contrat d’assurance vie, et se caractériser par la multiplicité des contrats clients-assureur et la durée de la relation (régulière, à caractère continu). Malgré les efforts, la distinction relation d’affaires/client occasionnel laisse place à l’interprétation.
2. La « vigilance » s’applique avant et pendant la relation d’affaires.
Celle-ci peut être « simplifiée » lorsque le client ou le produit présente un faible risque de LCB/FT, par exemple les contrats d’assurance non-vie, ce qui limite les obligations de vérification de l’identité du client (simple identification) et du bénéficiaire, ainsi que du « bénéficiaire effectif » du contrat.
La « vigilance » est fondée sur une « approche par les risques » soit définis par le règlement, soit résultant de l’analyse menée par l’établissement, soit définis par le « profil » de la relation d’affaires. Elle impose l’identification du client et/ou de son représentant (délégation de pouvoirs), et la vérification de l’identité du client (avec des variantes selon qu’il s’agit de personnes physiques, de personnes morales, de l’utilisation de moyens électroniques). De même, la « vigilance » impose la détermination du « bénéficiaire effectif », personne physique ou personne qui « contrôle » le client/ personne morale (Président du Conseil de l’entité, mandataire social, etc.). La loi crée un « registre des bénéficiaires effectifs des personnes morales ». À noter aussi la particulière vigilance de la réglementation à l’égard des Associations, « qui sont exposées aux risques d’être utilisées à des fins notamment terroristes » (ACPR et Tracfin). Cette réglementation des « bénéficiaires effectifs » est complétée par celle qui fixe la notion de « bénéficiaire effectif en dernier ressort » (surtout utilisable pour la banque et les OPCVM), et celle qui désigne les « Personnes politiquement exposées » (dirigeants d’entreprises publiques, officiers généraux et Ambassadeurs, membres d’une Cour Suprême, élus et les membres de leur famille). Il en existe heureusement une liste pour mettre de l’ordre dans la multiplicité des critères de définition et d’exclusions (celle-ci est notamment fixée par les lignes directrices du 20 avril 2018, article R. 561.81 du Code monétaire et financier).
Pour l’assurance vie (et la capitalisation), les entités identifient et vérifient l’identité des bénéficiaires, et éventuellement des bénéficiaires effectifs des contrats (question des clauses bénéficiaires types de nombreux contrats décès : « mes ayants droit au jour du décès »). Mais si l’identification est obligatoire quoique libre dans ses modalités, la vérification de l’identité du bénéficiaire est nécessaire au versement des prestations (c’est une règle d’évidence !).
En outre, la « vigilance » s’applique (identification et vérification) « en cours de relation d’affaires », lorsque l’établissement financier à de bonnes raisons de penser que les éléments d’identification dont il dispose ne sont plus exacts.
Quant au contenu du recueil d’information de la « vigilance », il est assez banal : adresse (avec justificatif de domicile, « utile dans le cadre de la mise en œuvre des obligations relatives à la lutte contre la fraude et l’évasion », dit l’ACPR, en soulignant qu’il s’agit principalement de la fraude fiscale des particuliers), l’activité professionnelle et la situation financière (sans grande nouveauté : ce sont aussi des obligations qui figurent dans la directive Distribution – de façon d’ailleurs plus détaillée). Plus innovantes sont les questions sur l’origine des fonds (provenance de l’étranger, disproportion avec le niveau de vie du client) et la destination des fonds (crédit à la consommation, transmission régulière de fonds), ainsi que la nature des liens existants avec les tiers (parents).
C’est donc un ensemble de mesures de détection qui doit être mis en œuvre par les entités, sur la base de la notion de relation d’affaires, et du choix fait par l’entité (en fonction de son analyse de risque) de mettre en œuvre la « vigilance » (et non la « vigilance simplifiée »).
3. Les lignes directrices mettent enfin en avant la question du « recours à des tiers pour la mise en œuvre des mesures de vigilance »
Il s’agit de « tiers introducteurs », choisis par les institutions financières sous leur responsabilité (approche par les « risques ») à l’exception d’organismes figurant sur la « liste noire » européenne (dont on sait les difficultés d’élaboration). Il s’agit essentiellement de dispositions bancaires avec, pour l’assurance, le cas des « courtiers grossistes ». En pratique, le porteur de risques doit s’assurer que les mesures de vigilance LCB/FT sont prises par le « tiers introducteur » mais il demeure responsable de leur mise en œuvre.
Quant à l’externalisation, elle porte sur l’activité des intermédiaires d’assurance qui sont, eux aussi, assujettis à la LCB/FT. Les lignes directrices rappellent que les obligations déclaratives à Tracfin (déclarations de soupçon) ne peuvent être déléguées par l’établissement qui nomme et investit les « correspondants » et « déclarants » Tracfin. L’utilisation de solutions technologiques de détection des PPE et des opérations atypiques externalisées à des tiers accroît, en pratique, la responsabilité de l’établissement qui doit évaluer les risques de l’outil et veille à l’établissement de solutions de secours, en cas de difficultés.
4. Les lignes directrices prévoient les conditions de refus ou de résiliation des contrats d’assurance vie
Les lignes directrices prévoient les conditions de refus ou de résiliation des contrats d’assurance vie en cas d’information insuffisante ou refusée, lorsque l’établissement envisage d’effectuer une déclaration de soupçon à Tracfin, ou lorsqu’une nouvelle évaluation des risques ou de vérification de la qualité des données clientèles intervient et donne lieu au constat de l’insuffisance ou de l’inexactitude des données.
Ce document met en place un système général de prévention du risque LCB/FT pour les assureurs et leurs réseaux de distribution. Le dispositif permet de définir les obligations et responsabilités quant à la sécurité LCB/FT (y compris en matière de fraude et d’évasion fiscale) des processus de relations contractuelles, mais aussi de détection et de gestion de la « vigilance renforcée » sur les Personnes politiquement exposées (PPE) et les personnes en entités soumises au « gel des avoirs ». Tout cela se cumule avec les dispositions de « soupçon » qui doivent être souscrites auprès de Tracfin et qui font l’objet d’une réglementation spécifique et parallèle.
Annexe III.8.
ACPR – Arrêté du 21 décembre 2018
L’arrêté précise le contenu du Rapport annuel que doivent souscrire, avant le 30 juin 2019, les entités « solos » et les Groupes d’assurance sur l’organisation du contrôle interne en matière de blanchiment des capitaux, de financement du terrorisme et de gel des avoirs. Il s’appuie sur des questionnaires très détaillés.
Les principaux points évoqués sont :
- l’identification des facteurs de risques (par exemple, les produits, le caractère occasionnel ou de relation d’affaire du client, l’origine des fonds, la connaissance des sujets LCB/FT par les commerciaux) ;
- les modalités du contrôle interne (gouvernance, organisation…) ;
- les traitements et le filtrage de la base clients (dont la gestion des Personnes Politiquement Exposées) ;
- les insuffisances constatées et les plans d’action pour y remédier.
Annexe III.9.
Réunion de Place Tracfin/ACPR sur LCB/FT en assurance – 3 décembre 2018 – C/R dans la revue de l’ACPR de janvier 2019
Cette réunion préparait l’évaluation de la France par le GAFI (FATF). Elle concernait, essentiellement, l’activité « répression » (par opposition aux instructions ACPR qui organisent l’action préventive de la LCB/FT dans les entreprises). Le nombre de déclarations de soupçon s’est stabilisé en 2018, après une forte croissance en 2015, 2016 et 2017, et le nombre de déclarations des courtiers, des Mutuelles et des IP est jugé insuffisant.
Tracfin a présenté une typologie des méthodes de blanchiment : fraude fiscale, abus de biens sociaux et corruption en assurance vie ; mais, aussi, trafic de stupéfiants, escroquerie et fraude sociale et activité non déclarée dans le domaine de l’assurance vie (salariés et/ou sociétés fictifs). Enfin, des cas de financement de terrorisme ont été détectés dans les assurances vie et non-vie.
En 2018, Tracfin a analysé 79 376 informations, diligenté 14 534 enquêtes, produisant 3 282 notes (dont 637 à l’Administration fiscale). Il a adressé 1 038 notes à l’Autorité judiciaire concernant la lutte contre le financement du terrorisme.
