1. SOLVENCY II
L’ACPR annonce que 713 décisions ont été prises sur les dirigeants effectifs et les titulaires de fonctions clés dans l’assurance : 25 % de ces décisions ont été assorties de conditions (notamment de formation) et un seul refus a été notifié.
La proportion de femmes est restée stable dans la catégorie « dirigeants effectifs », aux alentours de 19 % ; pour les responsables de fonctions clés, la proportion atteint 41 %. L’âge moyen des dirigeants augmente de 53 à 57 ans et de 48 à 50 ans pour les titulaires de fonctions clés au cours de la période 2016-2024.
Deux consultations ont été lancées sur le sujet d’échanges d’information sur les caractéristiques « fit and proper » des dirigeants, personnes physiques et entités juridiques (membres de conseils d’administration). Les dispositions sur la transmission des informations dans le système d’information des Autorités européennes de contrôle (ESAs information system) sont parfaitement sans intérêt. Il s’agit de créer une base juridique pour permettre les échanges d’informations entre les ESAs elles-mêmes et les Autorités nationales de contrôle. L’aboutissement est sans doute un fichier général des dirigeants, administrateurs et titulaires de fonctions clés, qui pourra peut-être servir à divers recoupements. Belle construction bureaucratique !
L’EIOPA a publié en avril son étude comparative annuelle sur la façon dont 20 groupes d’assurances assujettis à SII ont modélisé les risques de marché et de crédit. L’étude a été réalisée à partir des données communiquées par les groupes fin 2022.
Pour permettre la comparaison l’EIOPA a choisi comme métriques la charge de risque (risk charge) et le choc (shock). La première correspond à la réduction relative de valeur initiale calculée selon la value at risk du modèle. La seconde dénommée choc est un évènement impactant la distribution d’un facteur de risque tel que le taux sans risque, les spreads de crédit, la variation soudaine du cours des actions, les prix de l’immobilier, etc..
Pour déterminer le risk charge des actifs le superviseur européen a mis en place des portefeuilles types qu’il appelle « benchmark portfolios – BMPs ». Il s’agit d’une combinaison linéaire d’indices synthétiques pour les valeurs à revenu fixe, pour les actions et pour l’immobilier. En annexe se trouve la composition des BMPs utilisés comme instrument, ainsi le BMP pour la France est composé de 86,5 % de valeurs à revenu fixe dont 41,7 % d’obligations souveraines européennes, britanniques ou américaines, de 9 % d’actions et 4,5 % d’immobilier. Sept portefeuilles ont été constitués pour l’ajustement de volatilité de la Belgique, de l’Allemagne, de l’Espagne, de la France, l’Irlande, l’Italie et des Pays-Bas. Outre ces portefeuilles l’EIOPA a constitué deux portefeuilles d’actifs à titre de référence, l’un ne comprend que des obligations souveraines et l’autre que des obligations corporate, dans ces deux cas un poids égal a été attribué à tous les éléments utilisés.
Du côté des engagements trois portefeuilles ont été mis en place constitués d’obligation « zéro coupon » permettant de simuler le profil du cash-flow moyen des différentes entreprises d’assurances européennes. Le premier portefeuille baptisé BMP-L-D. long est censé représenter le profil moyen de cash-flow des entreprises vie, santé et dommages aux biens. Le second portefeuille BMP-L-D. short est représentatif du profil moyen des flux sortants des entités non-vie. Le troisième portefeuille tout à fait théorique, dénommé BMP-L-D.A.EUR, est constitué d’obligations zéro coupon coïncidant parfaitement avec les cash-flows du portefeuille d’actifs « EUR asset BMP » lequel comprend 89,3 % d’instruments à revenu fixe dont 39,7 % d’obligations souveraines, 6,7 % d’actions et 4 % d’immobilier.
Partant de ces constructions indicielles l’EIOPA a formé des portefeuilles actif-passif « benchmarkés » sous l’acronyme A-L-BMPs dont la valeur d’actif net (NAV) reflète le ratio moyen NAV/Actif total des entreprises européennes d’assurances, soit 13 % environ.
1. La « risk charge »
La charge de risque (risk charge) exprimée en pourcentage de perte de la valeur nette comparée à la valeur totale initiale de l’actif est évaluée pour chaque BMP passif (L-BMP) selon la duration longue ou courte du passif. L’EIOPA rapproche ensuite les actifs des passifs en constituant des A-L. BMPs regroupés en 3 catégories selon que la duration de leurs actifs est plus longue ou plus courte que celle de leurs passifs (DG(+), DG(0), DG(-)). Tout ceci a pour objet de déterminer pour chacun des 5 profils d’actif sélectionnés (DE, IT, Souverain, Corporate, EUR) un sous-profil DG(+) et un sous-profil DG(-), le profil EUR a un sous-profil DG(0) supplémentaire. Avec chacun de ces sous-profils et il est calculé une charge de risque pour chacune des 20 entreprises modélisées. L’ensemble des résultats obtenus se présente sous forme d’un intervalle pour la charge de risque entre 10 et 20 %, intervalle regroupant entre 25 et 75 % des 20 entreprises étudiées. Selon le modèle et le type de duration du passif (DG(+), Dg(0), DG(-)) la taille de l’intervalle oscille entre 3,8 et 9,7 %. Si l’on compare avec ce qu’aurait donné le calcul de risk charge avec la formule standard pour chaque profil on s’aperçoit que la charge de risque est dans tous les cas à un niveau inférieur à l’intervalle 25/75. L’EIOPA s’empresse d’ajouter que la prochaine révision de SII mettra fin à cette anomalie en provoquant une hausse de la charge de risque qui devrait l’amener à la limite basse de l’intervalle de dispersion. Autrement dit la modélisation ne désavantage pas les entreprises l’ayant adopté il n’y a pas lieu pour elles de basculer vers la formule standard.
Armé de l’instrument risk charge les superviseurs de Francfort vont l’utiliser sans retenue. Ainsi ils ont comparé l’effet de l’introduction du volatility adjustment dynamique (DVA) dans les différents A-L. BMPs utilisés pour conclure que le DVA diminue la dispersion sauf dans le cas du modèle italien avec duration négative (DG(-)). L’exclusion de l’effet DVA augmenterait donc la dispersion de la charge de risque.
Autre application de la charge de risque réside dans la comparaison entre les différents assets-BMPs nationaux. Le benchmark français avec une dispersion de 7,4 % se situe dans la moyenne basse. Quant au niveau moyen pour ces A-BMPs il est plus élevé qu’en 2021 en raison de la hausse des taux d’intérêt de 2022.
2. Les chocs
Cette seconde partie consiste à apprécier l’impact de différents chocs (taux d’intérêt, spread, actions, immobilier) sur les BMPs.
Chocs sur le RFR : à la différence de la formule standard où les chocs sont cantonnés à une hausse ou à une baisse normée, dans les modèles internes des variations simulées multiples, comprenant des modifications de pente et de convexité de la courbe des taux, tiennent lieu de scénario. L’EIOPA a observé la dispersion des taux sans risque dans les différents modèles pour des maturités de 1 à 60 ans. Constatations : la dispersion est plus élevée pour les chocs à la hausse en particulier pour maturités courtes ou moyennes, cette dispersion se resserre pour les chocs à la baisse et pour les taux plus élevés à maturité égale. Une analyse plus fine portant sur les L-BMPs modélisés à durations longue, courte et neutre montre que plus la duration est longue plus le risque de charge et sa dispersion sont importants, ceci prouve, selon l’EIOPA, que l’augmentation des taux d’intérêt en 2022 a bien été répercutée par les modèles internes via la risk charge.
Chocs modélisés sur les écarts de crédit (credit spreads) : après avoir distingué les résultats de dispersion entre les modèles avec approche modulaire et ceux à approche intégrée l’EIOPA dégage les conclusions suivantes pour les corporate bonds :
a) les chocs sur les credit spreads sont généralement plus élevés pour les obligations dont la note de crédit est plus basse ;
b) la dispersion augmente significativement lorsque la note de crédit décroît, elle devient importante pour les obligations classées BBB ;
c) de la comparaison entre les obligations avec une maturité de 5 ou 10 ans il ressort que pour les entreprises utilisant une approche modulaire (i. e. sans prise en compte de risques de défaut et de migration) les chocs sur spreads de crédit sont similaires, ce n’est pas le cas pour les entreprises avec une approche modélisée agrégée où les chocs sur écarts sont moins importants pour les papiers à 10 ans qu’à 5 ans.
L’EIOPA tire de cet exercice sur les credit spreads shocks la nécessité de créer un portefeuille d’actif benchmark supplémentaire, baptisé A-corp, fondé sur 23 obligations corporate et composé de 26 % d’obligations AAA et 17,4 % de papiers classés AA, A, BBB, B dont la duration moyenne est de 7,6 ans.
Concernant les obligations d’État ou souveraines les chocs sur credit spreads modélisés révèlent une dispersion plus faible pour les obligations à 10 ans émises par l’Allemagne, les Pays-Bas, l’Autriche, la France, la Belgique, par rapport à celles émises par l’Irlande, le Portugal, l’Espagne, l’Italie. La charge de risque dans le premier groupe est quasi nulle. Là aussi l’EIOPA a constitué un portefeuille benchmark dénommé A-Sov comprenant 27 obligations souveraines de même poids, la duration moyenne pondérée est de 10,9 %.
Chocs sur les actions : la charge de risque pour chaque entité modélisée est évaluée par rapport à 5 indices de marché (Insurance Equity Participation, MSCI Europe, Eurostoxx50, FTSE 100, S&P500). Les risk charge sont de l’ordre de 50 % avec tous les indices. La dispersion de la risk charge la plus forte est constatée avec l’indice Insurance Equity Participation. La charge de risque avec la formule standard est moindre qu’avec les cinq indices en raison de l’effet du symmetric adjusment.
Chocs immobiliers : l’étude procède de la même manière en déterminant la charge de risque pour chacune des entités selon 5 indices (commercial allemand, commercial français, commercial italien, commercial anglais, résidentiel néerlandais). La charge de risque évaluée avec la formule standard, 25 %, se retrouve au centre de la dispersion pour 4 indices sur 5, le centre de la dispersion pour le commercial britannique étant plutôt aux environs de 30 %. Il faut également noter que pour les entreprises avec une forte exposition la conclusion est identique sauf pour l’indice résidentiel néerlandais où la dispersion des risk charge est centrée en dessous des 25 % de la formule standard, résultat prévisible puisque le chiffre de 25 % de la formule standard était corrélé à l’immobilier commercial britannique.
Chocs sur le RFR britannique et américain : pour la livre la dispersion constatée dans les différents modèles est similaire à ce qui a été relevé pour l’euro, pour l’USD les chocs sur les actifs sont plus élevés avec une dispersion plus large surtout pour les maturités courtes.
Pour les produits dérivés l’étude change de métrique en substituant au facteur risk charge le facteur de risque de volatilité implicite. Huit entreprises sur les vingt de l’échantillon sont concernées car elles présentent des portefeuilles vie avec des rendements garantis. Sur un horizon d’un an la volatilité implicite était d’environ 21 % en utilisant l’indice EQ-Put et de 84 % pour une swaption 10/10.
L’EIOPA suivra l’action corrective qui sera engagée par les autorités nationales de contrôle (NCA) auprès des entreprises pour lesquelles des insuffisances dans le calcul des risk charge des obligations souveraines ont été relevées ou pour lesquelles la modélisation est sommaire. De son côté l’EIOPA a décidé d’alterner chaque année une étude réduite avec une étude complète. L’année 2023 sera une année à étude réduite, la collecte de données restera la même mais la rédaction du rapport, le closing, et les réunions de conclusions deviennent bi-annuelles.
Cette lourde étude d’un groupe de projet de l’EIOPA prend place dans les travaux d’approche de l’Autorité Européenne vers un contrôle des modèles internes adoptés par les plus grandes entités d’assurance, notamment les Groupes transfrontaliers et les réassureurs. Les modèles internes sont naturellement moins encadrés par la réglementation que ne l’est le calcul de la formule standard, et l’EIOPA s’inquiète des faiblesses des Autorités de contrôle nationales et, plus encore, des importantes différences de modélisation des risques et de charges en capital plus ou moins faibles qui pourraient atteindre à l’égalité de concurrence entre les assureurs (le level playing field). Le calcul du « bénéfice de diversification des risques », qui réduit l’exigence de capital prudentiel, est au centre de cette préoccupation d’égalité de concurrence. Dans un premier temps, les modèles de 17 groupes, dans 12 États, ont été étudiés, puis 22 groupes dans la deuxième phase d’analyse approfondie. Curieusement, l’EIOPA décompte aussi les 88 (puis 99) entités « solo » qui ont participé à l’étude, dont 16 pour la France en 1re phase et 13 dans la 2e phase.
Sans grande originalité, l’EIOPA souligne le rôle central de la modélisation (laissée à la discrétion des entités dans les modèles internes) des « dépendances » entre les divers types de risques. Il en résulte que le calcul du bénéfice de diversification dépend de la nature, de la taille et de la complexité de la structure (choisie) des « dépendances » dans le modèle interne. Plus simplement, l’EIOPA reconnaît que les définitions des « dépendances » dans les modèles sont liées au modèle d’affaires, ainsi la réassurance est-elle éminemment différente dans son exposition au risque, de l’exposition d’un assureur de dommages des particuliers, elle-même très éloignée de l’assurance dommages et R. C des entreprises. Les « dépendances » sont également liées au profil de risques (composition des portefeuilles) et aux choix faits en matière d’agrégation des risques pour la modélisation. L’Autorité ne peut que conclure à la légitimité des différences qu’elle constate dans les résultats des calculs des bénéfices de diversification.
Dès lors, elle conclut aussi qu’il est majeur de maintenir une étroite surveillance sur les modèles internes, notamment sur le calcul du bénéfice de diversification. Peut-être la complexité même du sujet, telle qu’illustrée par ce Rapport, permet-elle d’espérer que l’EIOPA renonce à son objectif inavoué qui est de développer des guidelines destinées aux Autorités de contrôle nationales, qui permettraient d’encadrer la conception des modèles internes. Heureusement, cet objectif n’a pas franchi la barrière de la révision de Solvency II qui ne traite pas des modèles internes. Ceux-ci sont, à l’évidence, la « soupape de sécurité » pour l’édifice prudentiel, en reconnaissant les spécificités des groupes d’assurance diversifiés, transnationaux ainsi que celle de l’activité réassurance.
Cette étude figure parmi les travaux d’analyse pour l’EIOPA des modèles internes utilisés par les groupes et/ou les grandes entreprises « solo ». Il s’agit toujours de savoir si les modèles internes ne risquent pas de donner, aux entreprises utilisatrices, une liberté excessive vis-à-vis des règles prudentielles « moyennes » que constitue la formule standard. Il s’agit aussi de savoir si les divergences, automatiques et inévitables entre les modèles internes, ne conduisent pas à des inégalités de position concurrentielle et à compromettre le level playing field que promet la réglementation prudentielle.
La mesure de l’effet modèle interne sur l’intensité du capital mobilisé par le risque de souscription, montre des différences notables au départ d’intensité de capital entre les entités, mais les allocations de capital sont stables dans le temps. La médiane d’intensité de capital est à 12,7 % contre une moyenne globale de 16,9 % pour l’ensemble des entités qui utilisent le modèle interne ou la formule standard. L’intensité de capital est évidemment différente suivant qu’il s’agit du risque de prime, du risque sur les réserves et du risque de catastrophe. Globalement, la baisse du capital, dans les modèles internes, semble tenir à la prise en compte des profits attendus des souscriptions futures dans la capitalisation du risque de prime ; ce qui, implicitement, émeut l’EIOPA. Pour les branches incendie, auto R.C. et R.C., les niveaux d’intensité de capital sont plus bas pour les modèles internes que dans la formule standard, mais plus élevés pour la branche crédit/caution. Il en est de même pour le risque sur les provisions où le capital est plus faible sous modèle interne, sauf pour la branche crédit/caution.
L’inflation est modélisée dans les modèles internes, notamment sur le risque de provisions. Il apparaît que l’inflation érode la base de capital de façon significative et, par conséquent, implique de la renforcer pour faire face à la volatilité des réserves et à l’incertitude sur l’ampleur et la durée de la vague inflationniste.
Le bénéfice de diversification est diversement apprécié par les modèles (en particulier les méthodes d’appréciation des corrélations) et les effets sont différents pour les assureurs et les réassureurs, et entre les branches d’assurance. En tout état de cause, le bénéfice de diversification est différent et plus élevé dans les modèles internes que dans la formule standard.
Les modèles internes ont permis une meilleure analyse des risques par la génération de lines of business, beaucoup plus homogènes que les « branches » réglementaires. Cela étant, l’EIOPA constate que cette « granularité » plus fine ne donne pas de résultats concluants sur l’intensité de capital et le bénéfice de diversification. L’EIOPA note que la mauvaise communication entre les souscripteurs et les spécialistes de réassurance dans l’entreprise ne permet pas de tirer tout le bénéfice de la granularité sur la connaissance du business mix et sur l’intensité du capital nécessaire.
Le zonage géographique détermine l’évaluation des risques de souscription, mais il est largement fondé sur les informations sur les sinistres et non sur la tarification prospective. Pour les sinistres corporels, les composantes sont dominées par les considérations légales locales et la répartition entre les versements de rentes et l’indemnisation en capital. L’EIOPA estime qu’il faut aller plus loin dans l’analyse des sinistres pour le risque de primes et de provisions, en distinguant les sinistres graves et les sinistres attritionnels.
Quant à la branche crédit/caution, les intensités de capital diffèrent peu entre les entités examinées. Le risque catastrophe et le capital défini varient largement en fonction de la gestion, en particulier des décisions de restriction de la souscription en période de crise économique, ce qui paraît évident.
L’EIOPA a notifié à certaines des entités du panel qu’elle les considérait comme des outliers (marginaux ?), sans doute parce qu’elles ont produit des résultats éloignés de la médiane de l’enquête ; les Autorités nationales leur ont notifié la nécessité de mener des actions correctrices que l’EIOPA va surveiller. L’Autorité européenne ne cache pas, dans sa communication, qu’elle va développer des instruments de contrôle et promouvoir des pratiques communes de supervision. Le contrôle plus ou moins centralisé des modèles internes est donc en marche.
Le 19 décembre 2023, l’EIOPA a publié son rapport sur l’utilisation des limitations et exemptions de la directive Solvabilité 2 en 2022 et au premier trimestre 2023. C’est un rapport annuel de l’EIOPA montrant combien d’Autorités nationales de contrôle (ANC) accordent des limitations et/ou des exemptions des exigences de déclaration de Solvabilité II aux entreprises et aux groupes « solos ».
Par rapport au rapport précédent, les mêmes 11 ANC ont accordé des limitations et/ou des exemptions à 649 engagements individuels (« solo ») concernant le premier reporting trimestriel en 2023 (contre 671 entreprises « solo » au premier trimestre 2022). Au premier trimestre 2023, deux ANC, française et luxembourgeoise, ont fait la plus grande utilisation de cette mesure représentant près de 75 % de toutes les limitations accordées et/ou dérogations.
Pour le reporting annuel fin 2022, quatre ANC ont accordé des limitations et/ou des exemptions à 139 entreprises « solos » en 2022 (111 en 2021), ce qui montre une augmentation du nombre des entreprises bénéficiant d’une telle décision. Ce sont les ANC française et luxembourgeoise qui ont le plus eu recours à cette mesure annuelle, représentant près de 70 % de l’ensemble des limitations et/ou exemptions annuelles accordées en 2022.
En ce qui concerne les exigences de reporting au premier trimestre 2023 au niveau du groupe, quatre ANC (les mêmes que celles en 2022) ont accordé des limitations et/ou exemptions à 24 groupes (contre 41 au premier trimestre 2022). Pour le reporting annuel, deux ANC (les mêmes qu’en 2021) ont accordé des exemptions à dix groupes en 2022 (huit groupes en 2021).
Comme les années précédentes, le rapport démontre que la proportionnalité est ancrée dans les exigences en matière de déclaration. Les résultats de 2022 sont une fois de plus conformes aux conclusions de l’année dernière. À noter que la mise en œuvre des nouvelles normes techniques de la directive Solvabilité 2 à compter du 31 décembre 2023 introduisant un certain nombre de changements impactant la proportionnalité, y compris une simplification/élimination supplémentaire de certains rapports annuels/trimestriels modèles pour toutes les entreprises et en introduisant de nouvelles mesures de proportionnalité sur la base de seuils, devrait entraîner davantage d’exemptions de déclaration pour de nombreuses entreprises.
L’ACPR publie les résultats d’une enquête générale sur l’externalisation, dont il est par ailleurs rendu compte dans ses aspects concernant l’application du Règlement DORA dans la présente chronique (chapitre 9 de la nomenclature).
L’ACPR fait la liste des activités les plus fréquemment externalisées : la gestion des sinistres, l’investissement et la gestion d’actifs, la gestion des contrats et celle des systèmes d’information. Les fonctions-clés (Solvency II) sont logiquement peu sous-traitées. La moitié des entités considèrent le recours à un GIE comme une sous-traitance : l’ACPR considère que tous les GIE sont des sous-traitants.
Le choix du sous-traitant et le processus d’étude du risque paraissent largement organisés (73 %), et la notification à l’ACPR de la sous-traitance des activités critiques ou importantes est assurée à 86 %.
La contractualisation de la sous-traitance est inégalement assurée (85 % pour les sociétés, 62 % pour les mutuelles), mais peu utilisent un contrat type (mais est-ce bien nécessaire ?) : il s’agit pourtant ici des activités critiques ou importantes.
Les entités établissent des « politiques écrites » pour leur sous-traitance qui définissent les activités critiques et importantes et donnent les exclusions des activités de cette politique en fonction de « seuils » de criticité.
Le pilotage de la politique est assuré, surtout dans les sociétés du Code des assurances, par les dirigeants effectifs et le Conseil d’Administration. Un Comité spécialisé est en charge de l’externalisation dans 69 % des entités (de l’échantillon ACPR). Le contrôle interne s’exerce, dans 94 % des entités, sur les sous-traitants (plus faible dans les mutuelles). En revanche, 57 % des entités n’évaluent pas le risque de concentration de fonctions sur un même sous-traitant : il existe probablement des oligopoles de fait dans certains secteurs d’activité (assistance, informatique de cloud ?). Quant aux plans de continuité d’activité, 62 % des entités intègrent la sous-traitance dans leur PCA et 98 % sous-traitants disposent d’un PCA.
Dans la gestion des Groupes d’assurance, l’ACPR note que 72 % des sociétés/entités têtes de groupe ont mis en place une politique d’externalisation commune aux entités du Groupe.
Quant au contenu des contrats, 66 % seulement des entités ont défini une stratégie de retrait-substitution en cas de difficultés avec un sous-traitant. Le motif en est souvent que la réversibilité est fonction de la substituabilité, et que les compétences spécialisées de certains sous-traitants sont difficiles à remplacer sur le marché. Une information finale trouvée dans l’enquête est majeure : les entités recourent à l’informatique en nuage (cloud) de façon croissante : le cloud est privé pour 52 % des entités et public pour 23 %, communautaire ou hybride pour 12 % chacun.
L’Autorité européenne a poursuivi son action suspicieuse vis-à-vis de la réassurance en provenance des pays tiers (par exemple, la Suisse et les Bermudes), malgré les remarques négatives d’Assurance Europe. L’EIOPA émet donc un Supervisory Statement qui s’approche de la notion d’instruction de contrôle, adressé aux Autorités nationales.
La justification de la démarche paraît assez mince : la Directive Solvency II prévoit une procédure d’agrément des assureurs des pays tiers, sur la base d’une équivalence donnée par la Commission. Pour les États-Unis, les relations bilatérales sur la réassurance de part et d’autre sont réglées par le Covered Agreement (voir les précédentes chroniques). En tout état de cause, les réassureurs, choisis par une entité européenne, doivent présenter un niveau de notation ou Credit Quality Step de niveau 3 (A dans la nomenclature Standard & Poor’s). L’EIOPA fait allusion à l’opportunité de contrôler les rétrocessions des réassureurs : les rétrocessionnaires ont, en général, des notations de crédit supérieures à la plupart des assureurs (par exemple, Berkshire Hathaway est un des principaux acteurs de la rétrocession)
Les instructions données aux Autorités nationales sont extensives :
– vérification que le recours à la réassurance par une entité sise dans un pays tiers est soutenu par une « rationalité de business » ;
– débat avec l’entité, avant le choix du réassureur, du risque de contrepartie et du risque de souscription en vie (engagement de long terme transféré à un réassureur de pays tiers) ;
– vérification du système de gestion du risque : l’ORSA doit justifier le choix d’un réassureur tiers ; le risk management de la cédante s’applique aux cessions en réassurance de celle-ci ; le risque de contrepartie (son contenu légal en cas de résolution) a été apprécié, la solvabilité et la diversification des risques ont été vérifiées, les possibles interruptions de garanties (résiliation des traités) ont été examinées, ainsi que la qualité des garanties collatérales et leur situation juridique en cas de faillite du réassureur et, enfin, la clause de juridiction en cas de litige.
– vérification des critères de choix des réassureurs par la cédante : solvabilité, notation, collatéralisation et existence d’un droit d’action directe en cas de défaut du réassureur ;
– vérification de l’agrément du réassureur (licence), les actions éventuelles contre lui, son rating, son expérience sur le type de risque qui est cédé ;
– vérification de la concentration non excessive de risques d’un marché ou d’une entité sur un même réassureur ;
– vérification du rating du réassureur et son éventuelle dégradation dans le passé ;
– vérification détaillée du traité de réassurance : possibilité (ou non) de la résiliation unilatérale par le réassureur, existence de side letters (dispositions hors traités), possibilité de terminer le traité en cas de survenance de certains événements, hiérarchie des créances en cas de défaut, accès aux collatéraux.
L’EIOPA termine cette leçon à l’égard des Autorités nationales, mais surtout à l’usage des responsables de cession en réassurance des entités européennes, en proposant des « outils » pour réduire les risques liés à cette réassurance extérieure à l’Union européenne. Le premier est la diversification des panels de réassureurs, ce qui, en passant, favorise le recours aux réassureurs des pays tiers et la limitation du recours à certains réassureurs. L’exigence de garanties collatérales, d’actifs cantonnées (pledged) et d’un accès direct au réassureur est une protection traditionnelle. Et surtout, l’EIOPA recommande que les traités disposent de clauses rendant la « commutation » (reprise ou cession des risques) possible.
Le texte d’analyse d’impact ne convainc pas plus de l’opportunité de la démarche que le petit manuel de la parfaite cédante en réassurance lui-même.
Les cessions en réassurance à des pays tiers « non équivalents » se montent à 16,76 % des sources de réassurance du marché de l’Union européenne.
La France est de ceux parmi les pays qui détiennent le plus de créances recouvrables sur les pays tiers, notamment les États-Unis. C’est aussi le premier marché d’assurance de l’Union et le plus internationalisé.
L’état des créances sur les pays tiers montre que le Royaume-Uni est le plus important (46 milliards), devant les États-Unis (15 milliards) et très loin devant la Barbade (3 milliards !). On comprend donc que le sujet dans son ensemble, est lié au Brexit.
Quant à la rétrocession, elle concerne 20 % du chiffre d’affaires des réassureurs et l’essentiel est placé en Suisse.
Ce document est inquiétant par la vacuité de son contenu et par les arrière-pensées dont il témoigne. L’EIOPA cherche clairement à étendre son contrôle et celui des Contrôleurs nationaux au choix des réassureurs et au contenu des Traités. Il serait plus logique et plus utile que l’Autorité oriente le contrôle vers les calculs prudentiels du niveau des cessions des assureurs directs et de leurs conséquences sur le SCR et la protection des fonds propres, deux sujets aujourd’hui fortement négligés par les actuariats des sociétés et par le Contrôle des assurances.
Le 26 mars l’EIOPA a publié le taux sans risque ultime (Ultimate Final Rate – UFR) applicable en 2025, soit 3,30 % pour la zone Euro, taux inchangé à celui de 2024.
Le calcul théorique aboutit à un chiffre légèrement différent, 3,20 %, résultant de l’addition de la moyenne des taux d’intérêt réels de 1961 à 2023 et de l’objectif de taux d’inflation fixé par la BCE à 2 %.
Étant donné que la différence entre le taux théorique et le taux fixé en 2024 est inférieure à 0,15 % la réglementation SII prévoit dans ce cas de ne pas modifier l’UFR.
Hors zone Euro, le taux d’inflation utilisé pour une monnaie donnée est le taux d’inflation cible fixé par la banque centrale du pays et le taux d’intérêt réel reste calculé comme pour la zone Euro.
2. RÉVISIONS DE SOLVENCY II
Le Parlement européen a approuvé les modifications de la directive SII. Parmi elles figure un allègement significatif des exigences réglementaires imposées aux captives d’assurance ou de réassurance. Trois types d’allègement ont été adoptés : une généralisation des mesures de proportionnalité, une levée de l’obligation d’audit, une limitation des informations à fournir en cas de contrôle.
Les captives pourront être considérées comme entreprises de petite taille non complexes, classification leur permettant de bénéficier du bénéfice de la proportionnalité en ce qui concerne la communication, la gouvernance, la révision des politiques écrites, le calcul des provisions techniques, l’évaluation interne des risques et la gestion du risque de liquidité.
Les captives n’auront pas obligation de faire auditer leur rapport sur la solvabilité et la situation financière (SFCR). Le Parlement autorise également la Commission à limiter les informations publiques à divulguer via des actes délégués ad-hoc.
L’entrée en vigueur de la version révisée de Solvency II est prévue en 2026.
Cette notice est précieuse : c’est un manuel d’instructions pour la construction d’un modèle interne conforme aux souhaits de l’ACPR qui approuve le modèle interne proposé par l’entité (mais ne le valide pas).
1. La notice détaille les 16 critères quantitatifs et qualitatifs d’appréciation du modèle.
Le modèle interne permet d’obtenir une distribution de probabilité prévisionnelle « jointe » intégrant les montants monétaires qui sous-tendent le modèle et les facteurs de risque individuel. La distribution peut faire l’objet de simulations.
Les risques intégrant le modèle interne (et déterminés par l’entreprise) sont évalués en brut de réassurance.
Les calculs sont faits d’abord sans tenir compte des décisions futures de gestion et, ensuite, en tenant compte de celles-ci.
Il y a lieu de modéliser le bilan et de le comparer au bilan « prudentiel » sous formule standard : il faut ensuite identifier, documenter et justifier les simplifications approximations et hypothèses sous-jacentes au bilan modélisé.
Les facteurs de risques sont documentés, la validité des paramétrages est vérifiée et les hypothèses retenues sont soumises à révision périodique. L’entreprise définit la granularité des facteurs de risques.
La structure d’agrégation reflète la diversification des risques : diversification géographique, diversification entre les unités opérationnelles et entre les entreprises du groupe (notion de « richesse de la distribution de probabilité prévisionnelle »). L’entreprise doit spécifier les dépendances explicites entre certaines variables aléatoires. Elle doit aussi refléter le comportement joint des facteurs de risque dans les queues de distribution. Le système doit être paramétré en combinant plusieurs sources d’information : formule standard, jugements d’experts et données historiques. Pour les fonds cantonnés, l’entreprise peut considérer que les risques du canton se diversifient avec les risques liés aux activités hors canton, et qu’aucun capital de solvabilité notionnel n’est requis pour le fonds cantonné.
Les techniques de réduction de risques ne sont pas introduites dans le calcul initial de distribution prévisionnelle du modèle interne. L’ACPR introduit, à cet égard, d’importantes restrictions à l’usage du capital contingent comme technique d’atténuation du risque, et à son insertion dans le calcul du capital de solvabilité requis (SCR).
Le reporting du modèle interne doit refléter correctement le profil de risque de l’entité ou du groupe : celui-ci doit être remis à une fréquence définie par l’ACPR et/ou le contrôleur du groupe.
L’ACPR précise ses exigences en matière de gouvernance du modèle interne : politique écrite, intégration dans la gouvernance du groupe, couverture intégrale du modèle interne par le dispositif de gouvernance. Elle précise la « comitologie » (les comités qui couvrent les divers champs du modèle interne). L’entreprise s’assure de la compréhension du modèle interne et met en place un programme de formation des dirigeants effectifs. Cela s’applique notamment aux entités qui sont incluses dans un modèle interne de groupe et qui font l’objet « d’inspections » de l’entreprise mère. Enfin, un cadre spécifique est mis en place pour la constitution, la gestion et la validation des « jugements d’experts ».
Les règles de validation du modèle interne sont très précisément décrites. L’indépendance de l’équipe de validation doit être assurée, ainsi que la séparation des deux équipes de développement et de validation. La « politique » de validation du modèle doit être écrite et se trouver décrite de façon précise. Elle prévoit des tests de résistance (stress-tests) multi-variés (plusieurs facteurs de risque) et un test de résistance « inversé » (dégradation significative de la solvabilité et détermination des scénarios les plus probables). La validation comprend aussi une comparaison avec les données tirées de l’expérience et une validation de la segmentation des facteurs de risques et des « lignes d’activité ». Enfin, la validation porte sur le système de mesure des effets de diversification : mesure de la « dépendance de queue » et sensibilité aux paramètres du système de mesure de la diversification. Pour les groupes, il est prévu une analyse rigoureuse de la diversification entre les entreprises liées. Un rapport annuel de validation est exigé.
Le contrôle interne doit s’appliquer au dispositif de modèle interne : application du modèle interne, cartographie des risques (identification des points sensibles), évaluation du risque de conformité. La fonction d’audit interne est également impliquée. En cas d’externalisation, l’ACPR rappelle la nécessité pour l’entreprise « donneur d’ordre » de « garder le contrôle du modèle ».
Quant à « l’attribution des profits et pertes », l’ACPR souligne que les résultats sont utilisés à des fins de backtesting afin de valider la qualité de cette attribution et celle du modèle.
L’ACPR souligne que le modèle interne est « largement » utilisé à des fins opérationnelles. De fait, il fixe les limites de tolérance au risque et l’allocation du capital.
L’Autorité développe la politique écrite de modification du modèle interne. Les « nouveaux éléments » à inclure sont soumis à l’autorisation de l’ACPR : nouvelles unités opérationnelles, nouveaux modules ou sous-modules de risques, nouvelles composantes du risque, exigence de capital pour risque opérationnel, ajustement de la capacité d’absorption des pertes des provisions ou impôts différés actifs. L’ACPR définit les caractères majeurs ou mineurs des modifications, tant quantitatifs que qualitatifs, sans oublier la « combinaison » de modifications mineures qui les rendraient majeures.
L’Autorité souligne l’importance de la qualité du système d’information, en particulier la qualité des données (voir le commentaire dans la présente chronique sur la notice ACPR traitant de ce sujet) et l’historisation des données.
Il en est de même pour la qualité de la documentation du modèle interne ; en particulier, la mise à jour du paramétrage, les limites des hypothèses de modélisation, les paramètres de structure du modèle et de la structure d’agrégation et, surtout, la documentation des jugements d’experts.
2. Les instructions 18 à 23 concernent plus spécifiquement les risques modélisés.
Risques de souscription non-vie et « santé non similaires à la vie ». Pour les primes, le risque est segmenté par tranche de coûts des sinistres (graves/attritionnels). La modélisation est stochastique pour les frais. L’entreprise doit justifier la différence entre les sinistres retenus dans le modèle de prime et les best estimates des provisions pour sinistres. La justification de la prise en compte de la réassurance doit montrer que la réassurance ne conduit pas à sous-estimer de manière importante le SCR. Le modèle intègre une éventuelle dérive de sinistralité et d’éventuelles décisions de gestion (hausse de tarifs).
Le risque « de réserve » (provisions) : il s’agit essentiellement de justifier les « triangles » de liquidation utilisés. L’ACPR consacre un court paragraphe au provisionnement de « l’assurance construction obligatoire » (notamment les provisions pour sinistres non encore manifestés. PSNEM). Elle est plus précise sur la modélisation des catastrophes, en particulier sur le choix et l’utilisation de modèles externes (EQCAT-PERILS, etc.) L’instruction souligne aussi l’existence de « dépendances » entre les événements : dépendance spatiale et temporelle entre événements, entre entités, entre périls.
L’ACPR rappelle la nécessité de prendre en compte les risques d’engagements non-vie futurs, telle que la prise en charge de rentes. Elle note aussi la nécessité de prendre en charge les risques d’inflation.
Les risques de souscription vie et santé similaire à la vie. Pour l’essentiel, il s’agit de rappeler la nécessité de tenir compte de la volatilité, du niveau, de la tendance et des catastrophes qui sont les composantes du risque.
L’ACPR est plus diserte sur les risques de marché et de crédit. Elle rappelle la « granularité » usuelle, des différents risques, évaluée en « facteurs de risque » pour le taux d’intérêt sans risque, la volatilité des taux d’intérêt, les actions et la volatilité des actions, l’immobilier, les spreads d’entreprise, les spreads souverains, l’inflation, la migration et le taux de change. L’Autorité traite de la modélisation dynamique de la correction pour volatilité (qui a fait l’objet de débat à l’EIOPA) : elle enjoint aux entreprises de veiller à ce que cette modélisation ne conduise pas à des effets de surcompensation qui pourraient conduire « à de mauvaises incitations en termes d’investissements » et impose un facteur d’atténuation (haircut) de l’effet de la VA dynamique.
Elle institue, dans le cadre de la validation du modèle, un backtesting avec les données tirées de l’expérience pour ces risques de marché et de crédit.
Pour les risques opérationnels, l’entreprise doit mettre en place et documenter un processus de collecte des incidents : le choix et la pertinence des seuils de gravité des incidents retenus doivent être documentés. Cela est particulièrement important pour les risques informatiques.
Les dispositions sur les capacités d’absorption des pertes par les provisions techniques prévoient que la capacité d’absorption des provisions techniques est, « par nature, inférieure au niveau des prestations discrétionnaires futures au début de la période de projection ». Pour la capacité d’absorption des impôts différés, tout revient à savoir si un bénéfice imposable ultérieur sera disponible pour justifier d’activer ces impôts différés. Donc, il s’agit de mettre en œuvre un test de recouvrabilité de ces impôts différés.
Cette notice fixe la doctrine de l’ACPR sur un grand nombre d’aspects de la conception et de la mise en œuvre des modèles internes. Le cours d’actuariat est bienvenu, ainsi que la consolidation des nombreuses « orientations » de l’EIOPA qui viennent compléter les dispositions des Règlements initiaux (Solvency II et Règlement délégué). L’instruction a surtout le mérite d’établir clairement les attentes de l’ACPR vis-à-vis des entreprises, dans le cadre de sa procédure d’acceptation des modèles internes, notamment sur le sujet central du « bénéfice de diversification » et sur les « modèles de groupe ».
L’ACPR énonce d’abord les exigences de base : un corpus documentaire des données, validé par les dirigeants effectifs et revu chaque année, la nomination d’un responsable de la « Qualité des données » (QDD), la désignation de ses relais dans l’entité, la désignation du propriétaire des données, l’intégration au contrôle interne (fonction « gestion des risques » et description des contrôles de niveau 1 et 2), l’intégration dans l’univers d’audit interne et la vérification par la fonction actuarielle.
Les « préalables » à la gestion de la « qualité » sont : la définition de la tolérance au risque de non-qualité, les seuils d’acceptation (a minima pour les données critiques), la création de tableau de bord (permettant notamment de valider les résultats du modèle interne).
L’ACPR rappelle la nécessité d’une « comitologie » et la composition du Comité des données (chargé notamment du tableau de bord et du traitement des incidents majeurs) : le dirigeant effectif, le responsable QDD, les représentants des lignes métiers, les fonctions informatique, actuarielle et gestion des risques.
Les critères de qualité sont l’exhaustivité, la crédibilité et l’usage maîtrisé des approximations. Ils s’appliquent aux données externes qui requièrent l’identification des prestataires de sources externes et la mise en place contractuelle d’exigences en matière de qualité des données. Le répertoire est mis en place et géré sous la responsabilité du Responsable QDD. Il recense les propriétaires désignés, prévoit la fréquence des mises à jour et, surtout, définit la criticité des données (en termes d’impact sur le résultat).
La traçabilité des données est assurée par deux cartographies : celle des systèmes d’information et celle des flux de données (décrire le « lignage » d’une donnée). Le tout doit permettre de documenter la collecte, le transport et le traitement des données.
Le contrôle interne s’exerce sur le risque de non-qualité des données dans la cartographie du risque de souscription. L’ACPR rappelle la nécessaire documentation des contrôles des premier et deuxième niveaux, le rôle de la fonction actuarielle et celui de l’audit interne.
Au niveau du groupe, ces fonctions sont dupliquées pour permettre la synthèse de la gestion de la qualité des données.
Ce texte rappelle les bases réglementaires et les orientations EIOPA retenues par l’ACPR, conformément au principe « comply or explain ».
1. Pour le SFCR (rapport publié et mis en ligne annuellement), l’Autorité rappelle que les données sont comptables (et non prudentielles). Elle insiste sur la description du profil de risque de l’entité, en particulier le risque de marché (impact des mouvements de taux d’intérêt, qualité de la gestion actif/passif., ALM de l’entité), le risque de liquidité et, en particulier, l’évaluation des expositions importantes (en filigrane, le risque de demande de résiliation en masse des contrats d’assurance vie-épargne), et les « autres risques importants » (information détaillée sur les catégories et les instruments d’investissement) et les évolutions dans l’année de la gestion des actifs. Enfin, s’agissant des provisions techniques, l’ACPR rappelle que le SFCR doit indiquer les méthodes de valorisation.
2. Pour le Rapport aux Autorités de contrôle, le RSR (Regular Supervisory Report), l’ACPR souligne que le Rapport doit indiquer les objectifs stratégiques de l’entité, la dimension de l’appétence pour le risque et les méthodes de gestion des risques, ainsi que les évolutions de la stratégie.
Dans le domaine de la gestion du capital, le RSR doit contenir une description des fonds propres (par catégorie, avec justification du classement), le calcul de la participation aux bénéfices (PAB), les modalités de valorisation de la PAB dite « économique », les conditions de renouvellement des dettes subordonnées et les informations sur les obligations non subordonnées.
Le RSR doit également contenir des informations sur les mesures transitoires sur les provisions techniques et leur impact sur les passifs, les fonds propres, le SCR, la couverture du SCR par les fonds propres et le MCR.
Le RSR contient des détails sur le choix du générateur de scénario économique et les caractéristiques de celui-ci. Pour l’ensemble de la modélisation, le RSR doit rassembler les évolutions ou les changements d’hypothèses et l’évaluation de l’impact de ces changements.
Ce texte reprend les orientations de l’EIOPA auxquelles l’ACPR s’est déclarée conforme au 1er décembre 2023 (procédure « comply or explain ») sur la valorisation du bilan prudentiel.
Les « limites des contrats » applicables aux provisions techniques permettent de distinguer les flux de primes futures qui doivent être comptabilisées en best estimates. La limite des contrats permet de fixer la date de comptabilisation du contrat en fonction, essentiellement, de la date de résiliation possible du contrat par l’entité, ou de la date de possibilité de modification du tarif (cas particulier de la tacite reconduction jusqu’à l’échéance annuelle postérieure à l’ouverture de droit de modification unilatérale ou de résiliation). Les contrats doivent être décomposés en « garanties élémentaires » (cas particulier des contrats « vie multi-supports »). L’ACPR détaille la notion d’ « effet perceptible » par le client d’une garantie financière afférente au contrat.
Les provisions techniques. L’ACPR prévoit la possibilité de segmentation par branche ou lignes d’activité, et surtout le calcul par « groupes de risques homogènes », en particulier pour l’appréhension des sinistres graves. L’Autorité dispose de la modélisation des frais en assurance vie et pour les risques santé gérés comme la vie en capitalisation : frais d’administration, frais de gestion des sinistres et frais de placements (en % de la valeur de marché des actifs), ainsi que les commissions (frais d’acquisition). Pour les frais concernant les activités non-vie et santé similaires à la non-vie, les hypothèses de modélisation sont fondées sur la répartition des frais par lignes d’activités et sont ceux de l’entreprise (et non du marché).
La modélisation des options contractuelles de rachat (en vie !) est liée à l’ancienneté du contrat (rachat structurel) et à l’environnement économique (rachats « dynamiques »). Pour les « futures décisions de gestion », l’AMSB (Conseil d’administration ou de surveillance) valide un document unique de description de ces futures décisions, sous le principe de la continuité d’exploitation. Pour les risques vie, le document traite de l’adaptation de la gestion d’actifs dans « certains scénarios stochastiques », de l’allocation des actifs risqués, de la gestion de l’écart de duration, de la méthode de réallocation des actifs après la réalisation des plus ou moins values, des mécanismes de participation aux bénéfices (modélisation du taux cible), de la revalorisation des rentes des activités non-vie de l’entreprise (par exemple, les rentes d’invalidité).
Les modèles doivent tenir compte des « pratiques antérieures de l’entreprise ».
Les modèles de provisionnement (en Vie) sont fondés sur le choix d’un « générateur de scénarios économiques » choisi pour la granularité des facteurs de risque, sa plus ou moins grande complexité, sa cohérence avec le marché (market consistency) qui doit être testée. Le générateur doit pouvoir créer des scénarios comportant des taux d’intérêt négatifs. Le calibrage est fondé sur des données de marché, les pondérations en fonction du profil de risque doivent être justifiées ainsi que la structure des dépendances entre les variables simulées
Pour les provisions techniques en non-vie et santé similaire à la non-vie, l’ACPR rappelle les calculs des provisions sur les rentes potentielles dans les best estimates, en excluant les rentes en service, la prise en compte des résiliations attendues pour les provisions de primes futures, l’inclusion dans les B. E de primes futures des sinistres peu fréquents et graves. La déduction des primes acquises et non émises des best estimates est rappelée.
Le calcul de la marge de risque doit être fondé sur la séparation des activités d’assurance vie et non-vie. De façon très détaillée, le texte prévoit les « caractéristiques de l’entreprise de référence » servant au calcul de la marge de risque et permettant des approximations acceptables pour les entreprises utilisant la formule standard.
La valorisation des « autres actifs et passifs » doit être faite en application des normes IFRS, mais l’ACPR fait la liste des exemptions de ce principe. Elle fixe également les normes applicables en matière d’impôts différés et les « hypothèses prudentes » sur les perspectives de recouvrement : le délai de 5 ans est adéquat, les délais compris entre 5 et 10 ans doivent être justifiés et sont considérés comme inadéquats au-delà de 10 ans.
Les fonds propres. Il faut justifier la base juridique sur la possibilité d’annuler les distributions de dividendes pour la classification des fonds propres au niveau 1. La note ACPR donne les précisions sur les caractéristiques susceptibles de causer l’insolvabilité et provoquant le classement des éléments de fonds propres au niveau 2, et les mêmes caractéristiques pour le classement en niveau 3. Elle précise également les modalités de calcul de la provision pour participation bénéficiaire susceptible d’être classée en fonds propres excédentaires. Elle rappelle que les « fonds propres auxiliaires » doivent être « appelables sur demande ».
Quant aux « fonds cantonnés », l’ACPR rappelle que leur gestion séparée se traduit par l’impossibilité légale ou contractuelle pour l’entité de disposer des actifs et des revenus du canton (y compris les plus-values). L’entité doit identifier les éléments de fonds propres dits « restreints » qui sont inclus dans le fonds cantonné.
Le calcul du SCR selon la formule standard. L’ACPR se réfère, pour les sous-modules « risque de primes et de réserve en non-vie et catastrophe en non-vie », aux dispositions du Règlement délégué (art. 115 à 117 et 119 à 135) qui n’ont pas été modifiées par les orientations de l’EIOPA. Pour le module de souscription en vie, elle fixe les modalités de compensation entre les chocs de mortalité et de longévité et les effets de celle-ci sur le SCR santé. Pour les modules du risque de souscription en santé, l’ACPR précise les périmètres des engagements pour les « lignes d’activité » « assurance des frais médicaux », protection du revenu (incapacité, invalidité, décès accidentel et garantie dépendance gérée en répartition), les garanties « assurance santé » (dépendance en capitalisation, garanties sans révision du tarif, perte totale et irréversible d’autonomie), les rentes liées aux contrats d’assurance non-vie (rente d’invalidité, rente dépendance en service, garantie d’arrêt de travail en assurance emprunteur). Les chocs doivent être appliqués à chaque garantie séparément.
Les dispositions sur le calcul du SCR « brut des capacités d’absorption des pertes par les provisions techniques » se réfèrent aux orientations nationales complémentaires de l’ACPR en 2023. Le texte, complexe, décompose le calcul en 4 étapes. Les ajustements du SCR, visant à intégrer la capacité d’absorption des pertes par les impôts différés, se réfèrent en pratique à un test de recouvrabilité des actifs d’impôts différés, avec les tests d’adéquation sur 5 ans, moins de 10 ans, plus de 10 ans visés ci-dessus. Dans les plans stratégiques que doit soumettre l’entreprise, on applique des décotes croissantes aux bénéfices tirés de la vente de nouveaux contrats (de 20 % pour la 4e année, à 100 % pour la 11e année).
Quant aux paramètres propres à l’entreprise et au Groupe, l’instruction de la CCR définit essentiellement le contenu de la demande écrite d’approbation à l’ACPR, en particulier sur la profondeur d’historique des données utilisées, les modalités de la réassurance appliquées aux paramètres spécifiques, le principe de la conformité continue et les tests d’hypothèses, ainsi que le principe d’application en cas d’Entity Specific Parameters de Groupe, des ESP à l’ensemble des entités du Groupe.
Les mesures transitoires sur les provisions techniques. Leur délai d’étalement sur 16 ans est rappelé, ainsi que le principe du plafonnement, du calcul du SCR « risque opérationnel » et l’imputation de la réduction transitoire sur la marge de risque.
Enfin, l’instruction rappelle diverses dispositions sur le périmètre du Groupe, en particulier la question propre à la France du « Groupe prudentiel » pour les mutuelles. Elle traite également des conditions de calcul des « intérêts minoritaires » dans la couverture du SCR du Groupe et, surtout, des ajustements liés à des fonds propres non disponibles pour le calcul des fonds propres éligibles (au calcul du SCR) du Groupe. Elle traite également de la « provision de réconciliation » qui permet d’intégrer aux fonds propres prudentiels les plus ou moins values latentes reconnues en comptabilité générale.
Cette longue instruction sur l’évaluation du bilan prudentiel a le mérite majeur de consolider, dans un document unique, les diverses publications de l’EIOPA qui sont venues compléter ou préciser les dispositions de la Directive Solvency II et le Règlement délégué. Elle établit une base solide pour le calcul de la Formule standard qui, semble-t-il, ne sera modifiée que marginalement par la révision de la Directive Solvency II à venir dans les prochaines années.
L’ACPR rappelle que l’ORSA est essentiellement une aide à la gestion de l’entreprise d’assurance et, qu’à ce titre, sa préparation et sa rédaction ne devraient pas être externalisées. L’Autorité insiste sur la Gouvernance du projet et l’implication des dirigeants de l’entité.
La notice indique que le processus repose sur le calcul du besoin global de solvabilité (BGS) sur la base du profil de risques, à un horizon variable défini par l’entreprise, s’appuie sur une cartographie des risques et tient compte des techniques d’atténuation des risques (politique de réassurance). C’est ce que les entités appellent le 1er calcul de l’ORSA. L’ACPR rappelle la nécessité de tenir compte des risques « émergents », notamment des risques cyber et climatiques.
Les entités « évaluent en permanence la conformité » avec les exigences réglementaires de capital. Ce deuxième calcul consiste à soumettre le plan stratégique de l’entité à divers « chocs » sur la base de plusieurs scénarios.
Enfin, le « 3e calcul » de l’ORSA consiste à évaluer l’écart du BGS de l’entreprise par rapport aux hypothèses qui sous-tendent le calcul du SCR dans la formule standard. Ce sujet a longtemps plongé les directions actuarielles des entités dans la perplexité.
Quant aux Groupes, l’ACPR rappelle que la construction d’un ORSA de groupe, se substituant aux ORSA des entités membres du Groupe (mais sans perdre d’information sur celles-ci), requiert une approbation de l’ACPR. Elle insiste sur l’importance de l’analyse dans l’ORSA des risques spécifiques au Groupe (« contagion », risques provenant d’entreprises financières – non assurantielles –, éventuelles spécificités nationales de certaines entités ou de la gestion du groupe).
Le très lourd Rapport de l’EIOPA examine les conséquences que les entités pourraient ou devraient tirer sur le plan prudentiel des risques de durabilité qu’elles subissent à l’actif et au passif. Il s’agit, en filigrane, de dire si ces risques sont tels qu’il faut en tenir compte dans les charges en capital imposées à certaines branches d’assurance ou à certains types d’actifs afin, évidemment, de pénaliser certaines souscriptions et certains investissements dans la formule standard.
1. Quant aux actifs, l’EIOPA estime que le risque de transition (investissements dans des actifs dont la rentabilité va diminuer dans les prochaines années) touche les mêmes secteurs, la pétrochimie, la production de plastique, les produits minéraux et les métaux, les producteurs d’énergie, le transport aérien et l’industrie de l’eau. Le sujet majeur est évidemment les carburants fossiles. Le scénario d’évaluation du risque choisi par l’EIOPA est celui de la « transition désordonnée » (mesures drastiques prises brutalement à l’approche de l’échéance 2030 ou 2035) et l’Autorité choisit une approche sectorielle (et non par entreprise). Pour les actions, le traitement prudentiel serait soit un choc de capital de +49 % sur la value at risk pour les carburants fossiles, mais en excluant les participations à long terme de type LTEI, soit une augmentation de la charge en capital, à moins que, prudemment, on choisisse de ne rien faire. Pour les titres de créances, le risque de spread est semblable mais moins élevé que pour les actions. L’EIOPA suggère donc soit une augmentation de charge en capital de 40 % soit un déclassement de notation des obligations, à moins que l’on choisisse de ne rien faire. Ce traitement discriminatoire serait appliqué aux émissions du secteur automobile et les transports. L’impact sur les ratios SCR calculé par l’EIOPA serait pour les actions de -1,27 % pour la France, de -0,02 % pour l’Allemagne et pour le spread (obligations) de -0,440 % pour la France et de -0,192 % pour l’Allemagne. L’EIOPA ne peut que conclure que l’effet sur la réallocation des actifs serait sans doute très faible. Quant aux investissements immobiliers, l’EIOPA ne peut pas conclure sur la justification dans Solvency II d’un traitement spécifique pour des immeubles « échoués » (invendables ou impossibles à louer) du fait de la non-observance des règles sur l’efficacité énergétique.
2. La souscription non-vie impacte les risques de primes, de provisions et la branche catastrophes naturelles. L’insertion dans Solvency II consisterait à reconnaître dans le SCR les mesures d’adaptation de la souscription dite « souscription à impact », c’est-à-dire des réductions tarifaires pour inciter à (et reconnaître) des mesures de prévention. L’EIOPA, en suggérant la voie des « paramètres propres à l’entreprise » (Entity Specific Parameters), admet que les dispositions de la « souscription à impact » ont peu d’effet sur le risque de prime. L’Autorité propose donc de ne pas traiter les risques de durabilité de la souscription non-vie dans le bilan prudentiel.
3. Les risques « sociaux » (droits de l’homme, droit du travail, corruption et « minimum safeguards » prévues dans le Règlement taxonomie) sont déjà appréhendés dans divers autres domaines de la réglementation : SFDR, CSRD, les réglementations sectorielles des secteurs à haut risque, etc. Les risques sociaux concernent évidemment de nombreux secteurs de l’assurance : santé, crédit/caution/prévoyance, l’assurance de la R.C. des dirigeants, la souscription de dettes des secteurs à risque (risque de marché), le risque de réputation de l’entité. Ils sont, de ce fait, déjà traités dans le corpus de Solvency II : principe de la personne prudente pour la gestion d’actif, management du risque et gouvernance dans l’ORSA, appréciation de la « double matérialité » dans les normes extra-comptables de l’EFRAG pour la CSRD et le SFCR. Dans le second pilier (ORSA), les entités peuvent mettre en place un « contrôle social qualitatif ». L’EIOPA propose de développer une tarification sociale (?) pour les accidents du travail, de favoriser l’investissement à impact et la participation active aux Assemblées générales des entreprises (stewardship), de mettre en valeur et d’utiliser le Product Oversight and Governance (POG) dans les dispositions sur les marchés cibles (les personnes vulnérables) pour promouvoir l’inclusion financière.
La conclusion est que la question du « S » (de ESG) n’est pas prudentielle, sinon dans la construction de l’ORSA et qu’il importe de ne pas prendre de mesures dans le cadre du bilan prudentiel (Pilier I). Sans le dire, la position « technique » est singulièrement restrictive par rapport à une communication sur la révision de Solvency II qui, officiellement, introduit la durabilité dans la réglementation prudentielle.
Sous ce titre bizarre, l’ACPR fait un point sur la révision de Solvency II, commencée depuis plusieurs années, qui a fait l’objet d’un accord en « trilogue » le 13 décembre 2023 et entame ainsi le processus d’approbation/transposition prévu pour 2026, après élaboration du texte final à l’été 2024.
Les mesures d’assouplissement sont encore à préciser dans les textes de niveau 2 et de niveau 3 qui doivent calibrer les paramètres techniques. Elles concerneront notamment le dispositif d’allègement du « choc » sur les actions détenues à long terme (LTEI).
À l’inverse, l’ACPR annonce un « durcissement » des mesures prises pour adapter le calcul des exigences quantitatives à l’environnement des taux d’intérêt bas. La mesure sera donc prise à contretemps de la situation économique actuelle. Il s’agit de créer un plancher de choc de taux.
L’extrapolation de la courbe de taux sera modifiée. Selon l’EIOPA, la courbe de taux serait surévaluée pour la période allant du « last liquid point » (20 ans) pour lequel les données de marché sont connues, au point ultime. Cette surévaluation provoque une sous-évaluation des engagements des assureurs. L’EIOPA a proposé une méthode d’amélioration de la cohérence avec les données de marché pendant les premières années de la phase d’extrapolation. La convergence de la courbe des taux vers le point ultime sera accélérée. Reste à voir les calculs qui résulteront de cette nouvelle méthode de calcul du taux d’intérêt sans risque, et d’en mesurer les effets sur les provisions des assureurs (probablement à la hausse).
La marge pour risque sera réduite grâce à l’introduction d’un paramètre qui réduit les exigences de capital à long terme, et revoit à la baisse le coût du capital de 6 % à 4,75 %, qui sera révisable tous les 5 ans.
L’ajustement pour volatilité (VA sur les variations de spreads obligatoires) a pour but de compenser la hausse des spreads et son impact négatif sur la valeur de marché des actifs et permettant une baisse des provisions techniques (par ajustement de la courbe des taux). La VA est ajustée par un « ratio de sensibilité » aux spreads, un ratio d’ajustement (des différences du portefeuille de l’entreprise par rapport au portefeuille de référence européen) et une « macro VA » est créée pour tenir compte des niveaux spécifiques des spreads d’un pays donné par rapport à la moyenne européenne. Le ratio d’application générale a été porté de 65 à 85 %, ce qui crée une hausse directe de l’effet de la VA. Là encore, il reste à évaluer les effets de l’ensemble de ces mesures pour les entités françaises.
Les mesures liées à la finance durable concernent la gouvernance, l’introduction des plans de transition que doivent élaborer les assureurs et les propositions de l’EIOPA (commentées dans la présente chronique) sur les surcharges en capital sur les actifs liés à certaines activités, dans lesquelles les assureurs ont procédé à des investissements.
La surveillance macroprudentielle concerne les risques systémiques et le risque de liquidité (cheval de bataille de l’EIOPA). La Directive prévoira aussi de donner aux Autorités les pouvoirs nécessaires pour agir en cas de crise (suspension des dividendes et/ou blocage des rachats), déjà établis pour le marché français.
La « proportionnalité » sera renforcée avec le relèvement des seuils d’exclusion de Solvency II et un régime, pour les entreprises ne présentant pas un risque majeur ou « à faible profil de risque » selon des critères non encore établis, qui devrait ouvrir « à des mesures prédéfinies de simplification ».
L’ACPR demande que ces mesures (encore très vagues et sans analyse d’impacts) soient appliquées dès l’exercice 2026, en particulier pour le Rapport ORSA (risque de systémicité, risques liés au changement climatique et application de scénarios) particulièrement concerné, ainsi que le Rapport sur le plan de transition climatique et le Rapport sur le risque de liquidité.
Tout cela devra être cohérent avec les obligations issues de la taxonomie et surtout de la CSRD.
En réalité, rien n’est arrêté : la Commission renvoie à des Actes Délégués l’ensemble des mesures concrètes et chiffrées qui modifient la Formule Standard, et les chiffres ne sont pas disponibles, pas plus que les analyses d’impact. Après trois ans de publications désordonnées, cette situation est proprement calamiteuse.
Galéa résume les orientations proposées par l’EIOPA sur l’insertion des questions de durabilité dans le bilan prudentiel en cours d’examen dans la révision de Solvabilité 2.
Sur les actifs, l’EIOPA propose trois options :
– actions : pas de changement/classement des actions liées aux combustibles fossiles en type 2 ; majoration jusqu’à 17 % de la charge en capital pour ces actions liées aux combustibles fossiles ;
– obligations (spread) : pas de changement/dégradation de la notation de ces obligations/majorations de la charge en capital pour les obligations liées aux combustibles fossiles pouvant aller jusqu’à 40 % ;
– risque immobilier : pas de conclusion sur le lien avec la performance énergétique des biens immobiliers.
En non-vie : pas de changement du coefficient de volatilité sur le risque de prime. SCR catastrophe fera l’objet d’une analyse ultérieure.
Risques sociaux : pas d’inclusion dans les calculs du bilan prudentiel.
Le Conseil annonce l’aboutissement des « trilogues » avec le Parlement et la Commission sur la révision de Solvency II et la Directive Résolution (qui faisait partie du « paquet » révision de Solvency II dans la proposition de la Commission).
Il reste encore de nombreuses étapes à franchir et, surtout, à attendre les propositions de textes d’application que doit soumettre l’EIOPA.
1. Sur la Directive Solvency II, les textes officiels ne sont pas surprenants :
– introduction du volet macroprudentiel (les tests de liquidité) ;
– meilleure contribution au financement de l’économie (baisse de la marge de risque et révision de la formule du taux sans risque) qui « permettra de financer le Pacte Vert Green Deal », ce qui est assez discutable.
– création de simplifications pour les « entreprises d’assurance non complexes » ;
– coopération renforcée entre les Autorités de contrôle (disposition traditionnelle, mais qui couvre une meilleure maîtrise de la Liberté des Prestations de Service – LPS) ;
– « investissement » dans les capitaux à long terme (élargissement des normes LTEI), toujours pour financer le Pacte Vert.
2. Sur la Résolution, il semble que les Institutions aient préservé l’essentiel du projet de Directive de la Commission :
– institution d’autorités de résolution nationales coordonnées par l’EIOPA ;
– les entreprises dresseront des plans préventifs de résolution ;
– les Autorités nationales construisent des plans de résolution pour les entreprises ou groupes qui occupent une part de marché de 40 % de leur marché respectif (ce qui est potentiellement énorme) ;
– les États membres dotent les Autorités nationales de moyens juridiques pour remédier aux défaillances (dépréciation, conversion, run-off, instruments de transfert), afin notamment d’éviter les effets négatifs de la résolution pour les preneurs (les assurés et les épargnants) ;
– la question des fonds de garantie des assurés sera examinée à un stade ultérieur ;
– la Directive Résolution dans l’assurance ne prévoit pas, au contraire des dispositions concernant la banque, une exigence minimale de fonds propres et d’engagements éligibles pour absorber les pertes potentielles, ni un fonds de résolution unique à l’échelle de l’Union européenne, financé par le secteur.
Ce texte est intéressant car c’est, à notre connaissance, le premier à indiquer les impacts sur le Solvency Capital Requirement, les Fonds propres et le ratio de solvabilité (couverture du SCR par les fonds propres) sur la base d’un portefeuille de fonds euro « moyen » (donc, dans l’assurance vie). En revanche, les résultats infirment le discours « politique » tenu par les Institutions européennes sur la libération d’importants moyens de financement, disponibles dans les entités d’assurance, au profit d’investissements divers (dont ceux dans la transition écologique) antérieurement « gelés » par les obligations prudentielles.
Les mesures de réforme de l’extrapolation de la courbe des taux sont négligeables à fin 2023 du fait de la remontée des taux d’intérêt. La méthode EIOPA mise en œuvre par la révision de SII avait pour but de faire face à la sous-évaluation du risque de taux dans la période antérieure de taux bas dans le SCR.
L’ajustement pour volatilité, qu’il s’agirait de rendre moins « amortisseur » en cas de choc de spread, aurait, fin 2024, un effet de légère amélioration (1 %) du taux de couverture.
Les « chocs » de taux sont conçus pour compenser la sous-estimation des risques de taux dans la précédente version de Solvency II. La révision impactera le modèle ALM et le générateur de scénarios économiques(GSE). La méthode prévue dans la révision Solvency II pourrait produire une baisse de 25 % du ratio de couverture. C’est la principale conséquence de la révision de Solvency II qui donc conduit à augmenter le niveau des fonds propres prudentiels nécessaires.
Le « dampener » sur le risque de volatilité des investissements en actions a été légèrement augmenté, et les corrélations entre le risque de spread et de baisse de taux ont été révisées, afin d’accentuer le rôle contra-cyclique de cette mesure de l’ancien « paquet branches longues ». Vu à fin 2023, l’effet sur le taux de couverture est négligeable pour le « dampener » et la révision des corrélations pourrait améliorer de 2 % (vu en fin 2023) le ratio de couverture.
Pour la marge sur risque, qui devait avoir un effet majeur, les mesures proposées pourraient effectivement accroître de 9 % (vu fin 2023) le ratio de capital, essentiellement du fait de la baisse du coût du capital de 6 % à 4,75 %.
Au total, le Cabinet Forsides considère que la mesure essentielle concerne les « chocs » de taux, et que l’ensemble des propositions combinées de l’EIOPA pourraient faire baisser (malgré l’effet positif de la marge pour risque) de 14 points (vu en fin 2023) le ratio de couverture global du portefeuille.
Cela incite les décideurs à faire preuve d’une grande vigilance sur les mesures d’application qui doivent être débattues de 2024 à 2026. Par ailleurs, il semble clair que les propositions initiales de l’EIOPA ont été fortement influencées par la période antérieure de taux négatifs ou très faibles précédant les évolutions économiques de 2021-2023.et le retour de l’inflation.
3. BILANS D’APPLICATION DE SOLVENCY II, STRESS-TESTS, RÉSULTATS, RAPPORTS DE STABILITÉ́ FINANCIÈRE
C’est la sixième fois que l’EIOPA lance des tests de résistance pour évaluer la résilience des entités d’assurance face à des développements de marché sévères. Les conclusions qu’en tirera l’autorité de supervision ne déclencheront pas automatiquement, assure-t-elle, de demandes de renforcement de fonds propres ou de la situation de liquidité.
La hausse brutale de l’inflation a déclenché une hausse des taux avec des taux courts plus élevés que les taux longs, situation inhabituelle résultant de la politique monétaire restrictive de la BCE. Simultanément, les marchés actions ont subi une forte correction en 2022 suivie d’une remontée en 2023. L’EIOPA pointe en conséquence un risque d’inflation plus élevé que prévu sur le montant des sinistres et des frais. Dans ce contexte inflationniste le risque d’une vague de rachats due à un déplacement vers des produits plus rémunérateurs n’est pas négligeable d’où un risque de liquidité pour l’assureur. Le superviseur européen a noté que la volatilité des marchés financiers caractérisée par la hausse des taux d’intérêt et des spreads s’est accompagnée d’effets négatifs sur la valorisation des actifs immobiliers.
L’objectif des tests de résistance (ST) 2024 est d’évaluer comme d’habitude la résilience des participants à divers scénarios néfastes et permettra d’établir des recommandations. L’EIOPA est très fière de la distinction qu’elle a imposée entre approches micro et macroprudentielles, la première débouche sur des recommandations destinées au secteur et doit permettre aux superviseurs nationaux de discuter d’un suivi avec les entités, la seconde consiste à ajouter au bilan prudentiel standard un bilan prudentiel contraint dans lequel les assureurs pourront appliquer des actions correctives dans le calcul de leur position post-stress.
Le ST 2024 comporte deux composantes, l’une concerne le capital, l’autre la liquidité. Les chocs et les scénarios seront identiques pour chacune des composantes.
L’approche capital intègre :
– des chocs instantanés, un bilan prudentiel fixe c’est-à-dire sans action réactive du management, un bilan prudentiel contraint avec prise en compte des actions réactives du management ;
– deux métriques : l’excès des actifs sur le montant des engagements et la solvabilité (situation des fonds propres et du SCR)
L’approche liquidité comprend :
– les mêmes chocs que pour la composante capital ;
– une évaluation des flux de trésorerie sur 90 jours ;
– une évaluation des sources et besoins de liquidité sur 90 jours ;
– deux métriques les sources et besoins de liquidité
Les situations de solvabilité et de liquidité seront évaluées avec le bilan fixe (FBS) puis avec le bilan contraint (CBS). Le périmètre du ST 2024 concerne essentiellement des groupes importants auxquels il a été adjoint des entités moins importantes pour avoir une représentativité des différents pays. Ainsi 48 entités immatriculées dans 20 États différents participent aux tests (10 entreprises françaises). Les actifs des participants représentent 75 % du montant des actifs des entités relevant de Solvency II au 31 décembre 2022.
Le narratif des tests est directement influencé par le contexte économique de 2023. Le superviseur se fonde sur un risque d’interruptions des chaînes d’approvisionnement provoquant un ralentissement de la croissance et une augmentation de l’inflation (pour l’instant ce scénario n’est pas avéré). L’EIOPA a donc anticipé une réappréciation des taux d’intérêt « forward » avec une hausse des taux courts plus forte ayant pour effet une inversion de la courbe des taux ; le resserrement des conditions de financement combiné à une hausse des salaires et à une faible croissance devraient peser sur la profitabilité des entreprises et mener à une augmentation des risques de primes ainsi qu’à un élargissement des spreads de crédit. Dans le secteur des obligations souveraines l’EIOPA craint une hausse hétérogène des taux. Pour l’immobilier le superviseur européen prévoit une augmentation des défauts des particuliers ayant souscrit des emprunts hypothécaires amenant une chute des prix accompagnée d’une correction des prix de l’immobilier commercial impacté par la hausse des taux et par la modification de la demande d’espaces de bureaux depuis la crise du COVID. Ces scénarios datent du premier trimestre 2024, le papier a été publié le 2 avril, ils auraient été différents s’ils avaient été établis quelques semaines plus tard. Quoi qu’il en soit, cette hypothèse de baisse de l’immobilier couplée à la hausse du coût de la dette a pour conséquence la re-tarification des obligations couvertes et des valeurs adossées à ces actifs immobiliers. Une hausse des spreads est donc prévisible. Les réactions de marché font alors redouter à l’EIOPA une amplification des tensions sur la liquidité ce qui justifie les tests mis en œuvre sur le sujet.
Les données sur lesquelles les participants auront à travailler sont extraites des Quantitative Reporting Templates (QRT) pour la composante capital, des tableaux spécifiques seront utilisés. Le document donne les principaux éléments de la méthodologie à suivre avec application des chocs de marché et d’assurance prescrits en deux étapes :
– étape 1 : application des chocs de marché ;
– étape 2 : application des chocs d’assurance (sortie massive, coût des sinistres)
1. Généralités sur les chocs
Pour la composante capital les chocs indiqués seront appliqués sur la totalité des affaires en cours au 31 décembre 2023 avec « l’exactitude la plus élevée pour le calcul de la position après stress et en termes de granularité ». Bien entendu l’approche par transparence (look through approach) sera utilisée pour les actifs exprimés en unités de compte lors du calcul d’impact de chaque scénario. Les mesures LTG et de transition seront appliquées lors des deux étapes indiquées. L’UFR utilisé sera celui de 2024, à savoir 3,3 %.
Pour la composante liquidité l’EIOPA demande une évaluation de la totalité des sources et des besoins de liquidité et pour ce faire elle a regroupé dans un tableau les différentes classes d’actifs figurant dans les QRT en leur attribuant un coefficient de liquidité. Les avoirs en caisse et ceux déposés en banque ont un coefficient 1 alors que les actifs investis dans des fonds d’investissement ont un coefficient 0,2. Il faut remarquer la dilection particulière de l’EIOPA pour les valeurs à revenu fixe dont les coefficients sont plus grands que ceux affectés aux actions cotées. La position de liquidité sera impactée par les chocs prescrits à travers les réductions de valeur des actifs. Quant aux flux entrants et sortants les participants devront également rapporter dans un template ad hoc (tableau) les mouvements enregistrés dans les 90 jours suivant le 31 décembre 2023. Ce tableau donne la position dans trois situations : à l’origine (au 31 décembre 1923), après application des chocs, après mesures correctives.
Pour les ST 2024, l’EIOPA exige un calcul de liquidité des engagements techniques vie fondé sur les pénalités de rachat contractuelles ou fiscales. Les contrats vie classiques se voient attribuer un coefficient de liquidité variant entre 0 et 0,5 selon la probabilité du rachat, pour les contrats en UC ou indexés le coefficient évolue entre 0 (contrats sans option de rachat) et 0,75 (contrats avec une valeur de rachat égale ou supérieure à 100 % de la réserve statutaire ou calculée au best estimate), pour les contrats à ajustement égalisateur ou ceux dont l’actif représentatif est cantonné le coefficient de liquidité évolue entre 0 (sans option de rachat) et 0,5 (valeur de rachat limitée à la valeur des actifs ajustés ou bien valeur de rachat limitée à 100 % de la réserve statutaire). Ce calcul de liquidité pèse lourd sur l’estimation de la position vu l’importance des provisions techniques vie en particulier dans le cas des fonds Euro.
Après avoir rappelé la possibilité pour les entités d’utiliser simplifications et approximations après discussion avec les NCA, l’EIOPA, conscient de la complexité des calculs générée par le nombre de paramètres ayant bougé, autorise les entités après stress à ne pas recalculer certains facteurs de risques (sous-modules du SCR) s’ils n’ont pas été substantiellement modifiés lors des chocs. Il en est de même pour les filiales dont la contribution au SCR groupe n’est pas significative. Pour le poste « Loss Absorbing Capacity of Deferred Taxes (LACDT) » le superviseur admet qu’en situation post-stress son annulation ou une éventuelle majoration plafonnée au montant des Differed Tax Liability (DTL) est possible.
L’EIOPA explique ensuite que les actions réactives du management (RMA) ne peuvent s’appliquer que dans le cadre d’un bilan contraint (CBS) et n’être prises en compte qu’une fois établi le bilan post-stress. L’EIOPA fait référence aux stratégies de de-risking et aux mesures futures envisagées dans un contexte de rétablissement, mesures plausibles et approuvées par les organes de direction.
2. Chocs de marché
Les chocs sont instantanés et doivent se traduire par des modifications instantanées sur la valeur des actifs au 31 décembre 2023. Sont concernés les actifs et paramètres suivants :
– les taux swap ;
– les spreads des obligations souveraines ;
– les spreads des obligations corporate et des obligations « couvertes » ;
– les cours des actions ;
– les prix de l’immobilier ;
– les spreads des prêts hypothécaires ;
– les actifs adossés à des prêts hypothécaires ;
– les investissements dans les infrastructures ou dans des projets d’infrastructure ;
– les valeurs des autres actifs.
Le niveau des chocs sur ces différents types d’actif est consigné dans un document rédigé par l’European Systemic Rosk Board (ESRB) publié le 25 mars 2024, intitulé « Adverse scenario for the 2024 EIOPA’s insurance sector stress test exercise » qui donne la calibration des différents paramètres des tests de résistance 2024. Les chiffres ont été établis en collaboration avec la BCE et la période choisie pour le calibrage des échantillons allait de janvier 2008 à décembre 2023. Les résultats obtenus par ces simulations permettent de quantifier les chocs à appliquer en 2024 pour la zone Euro :
– les chocs sur les swaps : 168 points de base (pb) pour les taux à 1 an, 157 pb pour les taux à 2 ans, 46 pb à 10 ans, 39 pb à 50 ans ;
– chocs sur les taux d’inflation forward : 196 pb à 1 an, 140 à 2 ans, 20 à 10 ans ;
– chocs sur les spreads des obligations souveraines françaises : 45 pb à 1 an suivi d’une croissance régulière pour atteindre 66 pb à 10 ans, et 72 pb pour les papiers à 30ans de maturité ;
– chocs sur les rendements des obligations souveraines françaises : 213 pb pour les titres à maturité d’un an, ensuite une baisse régulière jusqu’à 112 pb à 10 ans et 115 pb à 30 ans ;
– chocs sévères sur les obligations corporate : 147 pb pour les financières AAA, 126 pb pour les non-financières AAA, 253 pb pour les BBB financières 242 pb pour les non-financières BBB ;
– chocs sur les actions : -42 % sur les titres cotés en Europe, -58 % sur le private, -47 % sur les hedge funds, -51 % sur les fonds immobiliers (real estate investment funds) ;
– chocs sur l’immobilier français : réduction de 7,5 % de la valeur des immeubles résidentiels, de 15,5 % pour les immeubles de bureaux ou à usage commercial.
Pour les actifs situés dans les autres pays de l’Espace économique européen (EEA) il faut consulter le document de l’ESRB.
L’EIOPA justifie ses choix en expliquant que les chocs sur les swaps ont un effet direct sur la courbe des taux sans risque et donc sur le risque de taux calculé pris en compte dans le calcul du SCR. Les chocs sur les spreads impactent les rendements obligataires et les chocs sur les actions cotées sont identiques dans toute la zone EEA. La réévaluation des portefeuilles de prêts hypothécaires ou non hypothécaires est liée aux chocs sur les spreads et sur l’immobilier.
3. Chocs d’assurance
Le ST 24 comprend aussi une batterie de chocs sur le portefeuille de contrats. Cinq types de scénario sont prévus : le rachat massif pour les entités vie, le coût des sinistres, les frais, les flux de réassurance, la réduction des souscriptions.
Concernant le rachat massif le ST impose un choc de 20 % sur les capitaux constitutifs des contrats individuels uniquement, les contrats collectifs n’étant pas touchés. La composante capital sera donc impactée par une diminution des provisions techniques à due concurrence et ce sans modification des actifs. Pour la composante liquidité tous les règlements résultant de cette réduction de valeur des capitaux constitutifs seront supposés réaliser dans les 90 jours avec prise en compte des pénalités dues par les clients. Si la valeur actuelle future des rachats/remboursements dans la situation post-stress se trouve inférieure à la valeur réelle des rachats/remboursements effectués dans la période des 90 jours la valeur actuelle peut être prise en compte comme valeur post-stress des rachats futurs.
Le scénario envisagé par l’EIOPA pour le coût des sinistres est un taux d’augmentation de coût obtenu en ajoutant au taux d’inflation prévu une marge décroissante dans le temps en partant de 5 % la première année, 3,5 % la seconde, 0 la dixième, conformément à une table de majoration des sinistres restant à régler sur 10 ans. Cet alourdissement du coût des sinistres s’intègre dans les provisions techniques. Pour la composante liquidité le cash-flow stressé pour une année donnée est calculé en multipliant le cash-flow initialement prévu par le coefficient d’excès supposé par rapport au taux d’inflation, chiffre précisé dans le tableau « Excess claims inflation assumption ».
Pour les frais le choc prévu consiste en une majoration des dépenses prévues à 1 an, 2 ans... 7 ans de 1,5 %, 0,8 %... 0,1% respectivement au-delà du taux d’inflation prévu. Le montant des frais choqués se substituera au montant initial comptabilisé en provisions techniques. La composante liquidité verra le cash-flow de la première année majorée de l’inflation sans majoration.
Les flux entrants de réassurance seront réduits de 5 %.
La réduction des primes souscrites vie et non-vie a été fixée à 10 %, tout en excluant de cette réduction les appels de fonds afférant à des plans de retraite. Il n’y a pas d’impact sur la composante capital, par contre le cash-flow entrant post-stress sera réduit de 10 %.
À noter : ces chocs d’assurance négligent, aussi bien pour les entreprises vie que non-vie, tout choc sur les annulations de primes et sur les annulations de provisions techniques.
Le planning fixe la publication du rapport de l’EIOPA sur ces ST pour la fin 2024 sous réserve que les participants aient remis tableaux et questionnaires à leur autorité nationale de contrôle avant le 9 août.
4. FONDS DE PENSION (IORPS), PEPP
Les informations sont spécifiques aux fonds de pension professionnels :
– les risques macroéconomiques sont stables du fait de la baisse de l’inflation ;
– le risque de crédit est stable mais en hausse probable en venant d’un niveau moyen. La notation des portefeuilles est en moyenne A ou AA (Standard & Poor ‘s). L’exposition aux obligations publiques et privées est de 21 % publiques et de 15,6 % privées. Les spreads ont été orientés à la baisse fin 2023 ;
– les risques de marchés et de rendement (majeurs pour les fonds de pension) sont stables à haut niveau (volatilité élevée du marché obligatoire) ;
– le risque de liquidité est moyen mais à la hausse du fait de l’augmentation du risque sur les dérivés de crédit (appels de marge) ;
– les risques de réserve et de solvabilité sont stables à niveau moyen : l’excédent des actifs sur les engagements s’est amélioré à 122 % au 3e trimestre 2023 ;
– le risque de concentration (des investissements) est stable à niveau moyen. La part de l’investissement dans les banques est de 4,7 % en moyenne pondérée ;
– le risque ESG, les actifs exposés aux secteurs climatiques représentent 0,67 % (!) et l’investissement en obligations vertes 5,5 % de l’actif total ;
– les risques cyber sont stables à niveau moyen mais, dit l’EIOPA, « demeurent une préoccupation majeure ».
Cette statistique tend à montrer que les IORPs ne sont pas encore les bons élèves de la classe des investisseurs durables.
Globalement, 26,1 % des actifs sont dits « éligibles » et 4,5 % sont « alignés » :
– dont : 42 % « éligibles » pour les obligations d’entreprises et 9 % « alignés » ;
– dont : 15 % « éligibles » pour les actions et 1 % « alignés ».
La description des Fonds de pension transfrontaliers, qui intéressent particulièrement l’Autorité européenne, fait l’objet d’un Rapport annuel. Le nombre de ces entités stagne en 2022, à un niveau très faible : 31 entités gèrent 100 000 cotisants et bénéficiaires de pensions pour 10,6 milliards d’actifs. Ces chiffres sont en baisse du fait de la clôture d’un Fonds belge important en 2022 qui s’adressait à des clients luxembourgeois. Les 31 IORPs sont généralement multi-employeurs et travaillent avec 2 455 entreprises.
La Belgique est le premier lieu de siège social (home dans le jargon de la LPS) des IORPs transfrontaliers qui proposent leurs services dans 14 pays de lieu de situation des risques (host) : les IORPs belges comptent 63 % des cotisants et bénéficiaires. Les Pays-Bas comptent le plus grand nombre d’IORPs transfrontaliers, mais de faible ampleur.
Ces fonds souscrivent des risques conformes aux lois (Droit du travail) du pays host (résidence des clients cotisants et/ou pensionnés) et sont soumis au contrôle prudentiel du pays home (lieu du siège social).
Dans l’avenir, le marché ne semble pas promis à un développement sensible du fait des complexités des règles de retraite dans chaque pays host, et des règles de notification des changements dans la structure des contributeurs/employeurs dans les pays home.
Dès lors, les IORPs transfrontaliers sont implantés dans 8 pays home et les bénéficiaires (host) dans 19 États ; 3 IORPs en Belgique et 2 au Luxembourg sont « spécialisés dans la souscription LPS et ne proposent pas de produit dans le pays de leur siège social ».
La situation prudentielle ne suscite pas d’inquiétude.
La stagnation actuelle évidente et les faibles probabilités de développement montrent bien (avec l’échec commercial du PEPP, produit individuel européen de retraite supplémentaire) qu’il n’y a pas d’avenir pour un marché unique des fonds de pension ou une unification du marché européen des produits de retraite par capitalisation.
Il s’agit d’un pesant Rapport de vérification par l’EIOPA de la mise en œuvre des recommandations faites en 2019 (après Peer Review) aux Autorités nationales de contrôle (responsables du contrôle des fonds de pension) quant aux modalités d’application de la règle (ou principe) de la Personne prudente dans la gestion des actifs. Il n’apparaît pas évident que ce sujet soit majeur, on s’en tiendra donc à un résumé.
L’EIOPA rappelle d’abord que les règles prudentielles de la Directive IORPs II sont « fondées sur des principes » et non sur des règles : c’est le fondement conceptuel de Solvabilité II qui assure au système de contrôle son propre pouvoir. Les « principes » sont toujours plus flous que les règles, et leur interprétation peut donner une grande liberté aux contrôleurs. Or, les Autorités de contrôle nationales des IORPs semblent, selon l’EIOPA, progresser lentement ou imparfaitement de l’univers des règles à celui des principes.
Par ailleurs, les progrès des Autorités nationales (NSA), dans l’application des recommandations sur les grands sujets qui constituent (selon l’EIOPA) le principe de la Personne prudente, sont encore faibles : la moitié environ des Autorités appliquent ces recommandations.
La constitution d’une structure de contrôle dédiée est à demi réalisée, à Chypre notamment, ce qui n’est sans doute pas sans importance compte tenu des caractéristiques du marché financier local.
Le contrôle des investissements, et donc la conformité avec les principes de la Personne prudente [liquidité, rentabilité, adossement, congruence, etc.] et les recommandations faites à diverses NSA se révèlent à moitié seulement remplies.
La mise en place d’une réglementation de la souscription d’informations destinées au contrôle est réalisée par les trois quarts des NSAs concernées.
La méthodologie de mise en transparence (look through) des fonds dans lesquels les IORPs investissent, cheval de bataille de l’EIOPA et des contrôles en général, n’est assurée que par la moitié des NSAs, l’autre moitié étant seulement en cours de mise en place.
Les recommandations sur la gouvernance du processus d’investissement faites à Chypre et à la Norvège n’ont pas été mises en œuvre.
Chypre et l’Allemagne n’ont pas mis en place les moyens et les méthodes pour réaliser des inspections ou contrôles sur place.
La Finlande n’a pas encore mis en œuvre les outils de contrôle nécessaires pour ce qui concerne le risque de taux d’intérêt, ce qui n’est pas sans importance pour des organismes, les IORPs, qui investissent largement en produit de taux.
Enfin, l’EIOPA note des faiblesses dans l’application des règles de contrôle sur la probité et la compétence et relève, bizarrement, l’insuffisance des « procédures orales » (entretiens) des Contrôleurs avec les candidats soumis à ces règles « fit and proper ».
À noter aussi que la France est saluée pour l’instauration de bonnes pratiques sur plusieurs sujets majeurs de contrôle : identification des vulnérabilités des IORPs, contrôle « fit and proper » sur dossier et face à face, mesure de l’appétence au risque des IORPs, vérification du « risque global » d’investissement des IORPs (sans doute une analyse macroéconomique).
Tout cela n’a que l’intérêt de montrer la difficulté du contrôle des contrôleurs et le caractère objectivement très flou de la notion de Personne prudente, lorsqu’il s’agit d’en contrôler la mise en œuvre.
6. ACTIFS, ASSET/LIABILITY MANAGEMENT (ALM), TAUX D’INTÉRÊT, ACTIFS D’INFRASTRUCTURE, LIQUIDITÉ́
Cette analyse par l‘EIOPA (Peer Review) des conditions de contrôle national du principe de la gestion d’actifs dans l’assurance, dit « Personne Prudente », se traduit par des recommandations aux Autorités nationales sur la gestion d’actifs.
L’Autorité indique en particulier qu’elle a porté son attention sur les actifs non traditionnels, en y incluant les dérivés de crédit, ainsi que sur le choix des actifs pour les produits d’assurance vie en unités de compte, donc les produits « Unit Linked » et « Index Linked ». Elle rappelle sa définition du Principe de la Personne Prudente, qui impose d’investir dans des actifs dont l’entité comprend, mesure et gère le risque, en gardant l’objectif d’agir dans l’intérêt des clients et d’assurer la sécurité, la liquidité et la profitabilité du portefeuille d’actifs.
Les recommandations, adressées à l’une ou à l’autre Autorité nationale de contrôle, brillent par leur banalité. Nous les reprenons ci-dessous.
– disposer d’un manuel national de contrôle ;
– constituer des « indicateurs de risques » appliqués au Prudent Person Principle ;
– développer des méthodes de contrôle de la sécurité, de la qualité, de la liquidité et de la profitabilité ;
– adossement actifs/passifs : vérifier que les règles d’adossement des durations des provisions et des actifs existent et sont appliquées ;
– sur les « dérivés », la recommandation concerne la France et l’Allemagne : prévoir des analyses sur pièces (et sur place ?) de l’utilisation des dérivés pour des activités de hedging ou pour assurer la bonne gestion du portefeuille (volatilité) ;
– pour les produits complexes et non traditionnels, l’EIOPA recommande une bonne pratique de tenir des discussions avec l’Autorité nationale avant de décider l’investissement et de faire établir, par les entreprises, une politique écrite interne (qui permettrait aussi de faciliter le contrôle) ;
– inciter la Gouvernance à disposer d’une évaluation externe indépendante des investissements, surtout sur les produits complexes et illiquides (sans doute une référence aux investissements en Private Equity) ;
– pour les unités de compte, il s’agit d’inciter les Autorités nationales à développer leur contrôle sur les actifs sous-jacents : la crise de volatilité boursière possible est clairement présente dans cette recommandation. La forte croissance des produits en unités de compte, dans une phase de hausse des cours de la Bourse, avec des achats « au plus haut », fait évidement planer une menace de mécontentement des clients ;
– quant à la gestion des investissements dans l’intérêt des clients, l’EIOPA répète sa préoccupation du contrôle des actifs sous-jacents aux unités de compte et la nécessité de veiller sur les conflits d’intérêt.
Par ailleurs, dans le corps du texte de l’analyse, on note la préoccupation, traditionnelle, quant à l’excessive confiance placée par les gestionnaires d’actifs dans les notations de crédit (Agences de notation). La référence aux préoccupations de durabilité des investissements (les produits « Article 8 » et « Article 9 » du Règlement Disclosure et les dispositions nouvelles de la Directive sur la Distribution) est faite, mais l’EIOPA a considéré que ces sujets feraient l’objet d’une Peer Review spécifique ultérieure.
7. DDA ET POLITIQUES DE PROTECTION DU CONSOMMATEUR
L’Autorité de contrôle prudentiel et de résolution (ACPR) a publié une nouvelle recommandation 2024-R-01 du 28 juin 2024 sur la mise en œuvre de certaines dispositions 2016/97 sur la distribution d’assurance. Cette recommandation, qui est entrée en vigueur au jour de sa publication, remplace en la complétant la recommandation 2023-R-01 du 17 juillet 2023 qui était applicable à compter du 1er janvier 2024. Elle apporte notamment des précisions sur la notion de value for money, déjà contenue dans sa recommandation de juillet 2023.
Concernant la gouvernance et la surveillance des produits, l’ACPR précise que des référentiels nationaux ont été développés, en lien avec les fédérations professionnelles, visant à évaluer le rapport coûts-performance des produits d’assurance vie distribués sur le marché français, dont notamment celui de chacun des supports d’investissement. La méthodologie d’évaluation retenue repose sur un examen tant des supports d’investissement que des contrats dans lesquels ils sont référencés.
S’agissant de l’examen des unités de compte, l’analyse quantitative des frais et de la performance s’appuie sur un référentiel qui résulte d’un croisement entre les indicateurs de risques (SRI) et des classes d’actifs issues de catégorisations réglementaires (codes CIC d’une part et classes BCE d’autre part). Les frais et la performance sont appréciés par référence à des moyennes de marché pondérées par les encours. La performance des unités de compte s’apprécie au regard des performances passées.
Concernant le suivi et le réexamen des produits, l’ACPR recommande aux concepteurs que l’analyse des coûts et des performances soit annuelle, notamment via des comparaisons à l’échelle du marché au moyen des référentiels nationaux, tant de la performance que des coûts, des supports d’investissement et des contrats dans lesquels ils sont référencés.
Dans notre commentaire de la chronique 26 à propos de la recommandation du 17 juillet 2023, nous nous interrogions sur les véritables raisons qui avaient conduit à son adoption au moment même où la Commission européenne venait de lancer une stratégie de grande ampleur dans le domaine de la protection des consommateurs de services financiers, dénommée Retail Investment Strategy (RIS) et si elle constituait un moyen de peser dans les discussions en cours et d’anticiper de futures évolutions du paquet européen. Lorsqu’on constate les évolutions du texte sur le concept de value for money la réponse ne peut être que positive et la nouvelle recommandation participe également de cette anticipation des évolutions à venir, sauf à ce qu’une contrariété ne surgisse avec le nouveau Parlement européen.
L’Autorité de contrôle prudentiel et de résolution (ACPR) a publié une nouvelle recommandation 2024-R-02 du 2 juillet 2024 sur le traitement des réclamations.
Cette recommandation, qui est entrée en vigueur au jour de sa publication, abroge et remplace la recommandation 2022-R-01 du 9 mai 2022 sur le traitement des réclamations qui était applicable à compter du 31 décembre 2022, laquelle avait elle-même remplacé la recommandation 2016-R-02 du 14 novembre 2016 modifiée le 6 novembre 2019. Cette nouvelle recommandation se contente d’élargir son périmètre d’application aux gestionnaires de crédit et aux émetteurs de jetons se référant à un ou à des actifs mentionnés au a) du paragraphe 1 de l’article 16 du règlement (UE) 2023/1114 du Parlement européen et du Conseil du 31 mai 2023 (cryptoactifs).
Elle ne modifie pas les procédures mises en place en application de la recommandation de 2022.
La DGCCRF a présenté le 3 mai 2024 son bilan d’activité 2023. Sur les 273 120 signalements de consommateurs enregistrés en 2023, notamment via l’application mobile lancée l’an dernier, 12.270 ont concerné le secteur banque, assurance, mutuelles.
Dans son rapport, la DGCCRF rappelle le bilan présenté en juin 2023 de l’enquête menée entre janvier 2021 et avril 2022 auprès de 147 professionnels de l’assurance dont il ressortait que près d’un tiers des établissements ne respectaient pas la réglementation portant sur la bonne information du consommateur en particulier en matière de démarchage téléphonique ou la loyauté des pratiques commerciales dans ce secteur. Les services de la DGCCRF ont adressé aux établissements concernés 29 avertissements, 11 injonctions, 7 procès-verbaux pénaux et 2 procès-verbaux d’amendes administratives.
À noter que cette enquête a été réalisée avant l’entrée en vigueur au 1er avril 2022 de la loi du 8 avril 2021 qui a réformé en profondeur le démarchage téléphonique en assurance, et bien avant l’entrée en vigueur au 1er juin 2023, suite au décret du 16 mars 2023 pris en application de la loi du 16 août 2022, des nouvelles modalités facilitant pour les consommateurs la résiliation d’un contrat d’assurance par voie électronique dès lors qu’au jour de la résiliation, les professionnels offrent la possibilité de souscrire un contrat en ligne et qu’il est désormais possible de résilier en « 3 clics » un contrat d’assurance automobile, habitation ou la complémentaire santé.
À noter également dans les perspectives 2024 que la DGCCRF entend poursuivre des enquêtes dédiées relatives aux dépenses contraintes des consommateurs, notamment les comparateurs d’assurance.
Le 23 janvier 2024, l’EIOPA a publié son rapport pour l’année 2023 sur les tendances de consommation.
Les tendances inflationnistes et la hausse des taux d’intérêt peuvent avoir un impact négatif sur les rendements des produits d’investissement fondés sur l’assurance (IBIP) et des produits de retraite. Le coût de la vie peut conduire les consommateurs à faire des choix qui nuisent à leur sécurité financière à moyen et long terme laissant certains sous-assurés.
Au-delà des inquiétudes liées à l’impact de l’inflation, les tendances de consommation de cette année soulignent que certains consommateurs peuvent ne pas être servis de manière suffisante et adéquate et/ou équitablement traités en raison de leurs traits et caractéristiques non dominants ou parce qu’ils sont vulnérables.
L’enquête Eurobaromètre 2023 de l’EIOPA a révélé un écart persistant entre les sexes en matière d’accès à l’assurance et à la retraite, les principales consommatrices de l’UE étant inférieures de 10 points de pourcentage financièrement confiants quant à leur retraite que les hommes. Les travaux de l’EIOPA soulignent également que certains consommateurs peuvent être plus susceptibles de tomber dans des conditions de vulnérabilité, ce qui peut conduire à un traitement injuste si des mesures adéquates ne sont pas mises en place. Par exemple, les jeunes consommateurs peuvent être confrontés à des risques plus élevés en raison de leur méconnaissance des services financiers, tandis que les consommateurs plus âgés pourraient avoir des difficultés avec le numérique. L’exclusion financière et/ou le traitement injuste de certains consommateurs proviennent souvent du fait que les produits et les régimes de retraite ne prennent pas en compte les diverses caractéristiques des consommateurs.
Dans le secteur de l’assurance, les risques liés à la value for money, même s’ils sont limités à quelques produits, peuvent entraîner un nombre important de consommateurs préoccupés par le rapport qualité-prix. Les rapports des Autorités Nationales de Contrôle (ANC) soulignent ce risque dans les produits d’assurances en unités de compte et hybrides, ce que confirme l’enquête Eurobaromètre 2023 de l’EIOPA. Même si la plupart des consommateurs estiment que leurs produits offrent un bon rapport qualité-prix, un pourcentage important pense que pour leurs produits d’assurance IBIP ils estiment qu’ils n’en ont pas pour leur argent. En fait, comme le signalent les ANC, certains produits en unités de compte et hybrides continuent d’être très complexes, coûteux et peu performants. Ces préoccupations sont étayées par les données Solvabilité II 2022 qui montrent que les taux de commission pour les contrats en unités de compte ont augmenté et les coûts globaux restent stables tandis que les rendements ont connu une diminution significative. Par ailleurs, les réclamations liées aux unités de compte ont connu une augmentation importante de 2021 à 2022.
Ces dernières années ont été marquées par un essor de la distribution numérique dans le secteur de l’assurance, aidée par des technologies telles que l’analyse, le traitement du langage naturel et l’apprentissage automatique, qui peuvent améliorer l’expérience des consommateurs avec les produits d’assurance tout au long de leur vie. La numérisation et le développement de technologies récentes peuvent faciliter la gestion des documents, les chatbots. De plus, les consommateurs achètent de plus en plus de produits d’assurance en ligne.
Les États sensibilisent davantage aux retraites, mais de nombreux consommateurs de l’UE s’inquiètent de leur possibilité de prendre leur retraite confortablement. L’enquête Eurobaromètre 2023 de l’EIOPA montre que seulement 42 % des consommateurs européens estiment qu’ils disposeront de suffisamment d’argent pour vivre une retraite confortable. Cela s’explique par le fait que seuls 23 % d’entre eux sont affiliés à des régimes de retraite et que 19 % disposent d’une pension personnelle. Pour une plus grande confiance financière à la retraite, la transparence et des informations claires sont essentielles en vue de favoriser la compréhension et permettre de prendre des décisions éclairées en matière d’épargne et de retraite. Toutefois, même si les ANC ont observé des améliorations importantes et que le nombre de plaintes en matière de divulgation et de transparence ont diminué, des problèmes demeurent.
Au-delà de ces aspects, les travaux de l’EIOPA sur les tendances de consommation mettent en évidence les risques récurrents et les opportunités pour les consommateurs :
– la sensibilisation des consommateurs aux produits d’assurance et de retraite dotés de caractéristiques de durabilité s’est accrue, ainsi que la disponibilité de ces produits ; Il est donc crucial de veiller à ce que les allégations de durabilité, en particulier celles qui ne sont pas encore prises en compte par une finance durable spécifique ne sont pas trompeuses au niveau du produit et de l’entité ;
– les ANC ont signalé des cas de ventes abusives dus à des exigences et à des tests de besoins inadéquats, négligés en ce qui concerne les préférences en matière de durabilité, une mauvaise information des consommateurs, des conflits d’intérêts dus à des incitations, des divulgations précontractuelles intempestives et une formation insuffisante des conseillers ;
– face à l’augmentation des catastrophes naturelles dans les États membres, certaines ANC ont signalé des problèmes liés à un écart de protection entraînant un préjudice supplémentaire pour les consommateurs lors d’événements systémiques ;
– enfin sont signalés des problèmes liés aux pratiques de vente croisée pour l’assurance crédit ainsi que pour les produits affinitaires.
L’Autorité européenne des assurances et des pensions professionnelles (AEAPP) a lancé le 15 décembre 2023 une consultation publique sur la méthode qu’elle propose pour fixer des indices de référence de valeur à l’optimisation des produits d’assurance pour les produits d’assurance hybrides et liés aux unités de compte. Ces travaux ne sont pas liés aux critères de référence proposés par la Commission européenne dans le cadre de la stratégie en matière d’investissements de détail. Ils font partie de la boîte à outils que l’AEAPP a commencé à mettre au point en 2020 pour fournir aux autorités de surveillance des outils supplémentaires fondés sur les risques et renforcer leur capacité à identifier sur leurs marchés des produits qui pourraient ne pas offrir une juste value for money.
Si des produits d’assurance et liés aux unités de compte peuvent offrir des avantages significatifs aux consommateurs, les autorités de surveillance à travers l’Europe ont systématiquement signalé des problèmes qui découlaient souvent de la complexité élevée de ces produits ou de l’inadéquation entre les bénéfices attendus des consommateurs et les avantages réels reçus.
Pour répondre à ces préoccupations et identifier de manière proactive les produits offrant un faible rapport qualité-prix aux consommateurs, l’AEAPP en a fait une priorité essentielle dès 2020. Avec le lancement de cette consultation publique, l’AEAPP vise à mettre au point une méthodologie de référence de valeur à l’optimisation des ressources dans les produits hybrides et liés aux unités de compte qui deviendrait un élément essentiel de la boîte à outils que l’AEAPP a mis au point pour faire face efficacement à ces risques.
Le document de consultation définit une approche en trois étapes pour créer ces critères de référence :
– Étape 1 : l’AEAPP propose un système de catégorisation des produits d’assurance hybrides et liés aux unités de compte avec des caractéristiques similaires en groupes en fonction des besoins des preneurs d’assurance. Cette étape fondamentale vise à apporter la comparabilité dont le besoin se fait cruellement sentir à un marché caractérisé par des produits très divers ;
– Étape 2 : s’appuyant sur une méthodologie antérieure à partir d’octobre 2022, l’AEAPP propose des indicateurs à suivre pour évaluer les indices de référence qui devraient être mis au point. Les indicateurs décrits dans le document de consultation révisent et complètent ceux qui ont été proposés précédemment ;
– Étape 3 : la troisième étape concerne la collecte des données et l’étalonnage de référence. Pour réduire au minimum la charge de travail que représente la déclaration sur le marché, l’AEAPP recommande de tirer parti des processus de collecte de données existants, tels que celui du rapport annuel sur les coûts et les résultats passés.
L’AEAPP invite les parties prenantes à fournir un retour d’information sur les propositions présentées dans le document de consultation au 15 mars 2024.
La Commission européenne a publié le 24 mai 2023 sa proposition de paquet législatif relatif à la Stratégie pour les Investisseurs particuliers ou Retail Investment Strategy (RIS) visant à améliorer la participation de ces investisseurs au financement de l’économie. Ce paquet s’inscrit dans le prolongement du Capital Market Union (CMU), ou Union des marchés des capitaux (UMC) de 2020 dont l’un des objectifs clés est de créer un environnement plus sûr permettant aux clients particuliers de s’engager dans des investissements à long terme au sein de l’Union Européenne (UE).
L’objectif de la RIS est de donner aux investisseurs particuliers les moyens de prendre des décisions d’investissement en adéquation avec leurs besoins et leurs préférences, tout en veillant à ce qu’ils soient traités équitablement et dûment protégés. Pour ce faire, la RIS propose de modifier plusieurs directives et règlements européens ans le domaine de la protection des clients de détail : MiFID, PRIIPs, AIFMD, OPCVM, IDD et Solvabilité 2.
La Commission des Affaires économiques (ECON) du Parlement européen a adopté le 21 mars 2024 le « rapport final » destiné au Parlement européen. Sur proposition de Stéphanie Yon-Courtin, députée et rapporteure de cette commission, les eurodéputés ont adopté des dispositions assez différentes de celles voulues par la Commission européenne. Elles préservent les commissions que cette dernière voulait, dans un premier temps interdire, pour finalement les encadrer très fortement au point de rendre leur pratique quasi impossible. Seuls les conseillers en assurance indépendants ne peuvent recevoir de commissions et sont donc rémunérés par des honoraires versés par leurs clients, alignant ainsi ce régime sur celui des conseillers en gestion de patrimoine indépendants (CGPI). Par ailleurs, concernant la value for money où la Commission souhaite imposer un comparatif justifiant les coûts (frais et rémunérations), pour lutter contre ceux qui sont excessifs, les eurodéputés ont opté seulement pour un comparatif national des produits distribués dans un seul État membre, ou européen pour ceux qui sont distribués dans deux États ou plus. Ce comparateur, mis en place par les régulateurs des différents pays, sera accessible au public, sur la base des documents d’informations clés. À cet égard, est maintenue l’obligation d’inclure un avertissement au sein de ces documents pour signaler les produits financiers particulièrement complexes.
Le Parlement a adopté à son tour le 23 avril 2024, avec 352 voix pour, 230 voix contre et 21 abstentions, ce « rapport final » qui constitue ainsi la « position de négociation » du Parlement. À la suite des élections européennes du mois de juin, il appartiendra au Parlement nouvellement formé de participer aux discussions au niveau du Conseil européen.
Le 12 juin 2024, la présidence belge du Conseil européen a réussi à faire adopter une dernière tentative de mise en place d’une position concertée du Conseil en tant que « position de négociation » avant l’ouverture de la Présidence hongroise le 1er juillet 2024.
Dans sa position, le Conseil a décidé de supprimer l’interdiction proposée des « incitations » appelées « commissions » ou « frais de rétrocession » reçues pour les ventes en exécution uniquement (lorsqu’aucun conseil n’est fourni à l’investisseur). Cette interdiction est déjà en place pour les conseils indépendants en matière d’investissement et de gestion de portefeuille, à quelques exceptions près. Dans le même temps, afin de renforcer la prévention des conflits d’intérêts potentiels, le Conseil prévoit :
– un test d’incitation qui s’applique en l’absence d’interdiction d’incitation ;
– un nouveau test uniforme précisant l’obligation pour les conseillers d’agir dans l’intérêt supérieur du client ;
– une transparence et une publication accrues quant aux paiements considérés comme des incitations, leurs coûts et leur impact sur le rendement des investissements.
En outre, des « principes d’examen » devront être respectés lors du paiement ou de la réception d’incitations. Ces principes généraux ne font pas partie du critère d’incitation en tant que tel, mais les entreprises devraient respecter ces principes à tout moment lorsqu’elles versent des incitations à un tiers ou en être en mesure de le démontrer aux autorités nationales compétentes. Selon ces principes généraux, les incitations ne devraient pas inciter les entreprises à recommander des produits particuliers par rapport à d’autres, elles ne devraient pas être disproportionnées par rapport à la valeur offerte et les incitations versées ou acceptées et conservées par des entités appartenant au même groupe devraient être traitées de la même manière que les autres.
Les États membres qui ont déjà mis en place des interdictions d’incitation, qui décideraient d’introduire de telles interdictions à l’avenir ou qui s’appliqueraient ou décideraient d’appliquer des exigences plus strictes en ce qui concerne les incitations prévues par la législation de l’UE, seraient autorisés à le faire, conformément au mandat du Conseil. Il est convenu de revoir les dispositions relatives aux incitations cinq ans après l’entrée en vigueur.
Concernant le nouveau concept de value for money (valeur pour l’argent) les producteurs et les distributeurs évalueraient si les coûts et les frais liés à un produit sont justifiés et proportionnés en ce qui concerne leurs performances, les autres avantages et caractéristiques, leurs objectifs et, le cas échéant, leur stratégie. L’Autorité européenne des marchés financiers (AEMF) et l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) élaboreraient des critères de référence en matière de surveillance de l’Union. Toutefois, au lieu de fixer des critères de référence obligatoires intégrés dans le processus de gouvernance des produits, ils constitueraient un outil de surveillance, développé d’une manière qui aide les autorités nationales à détecter les produits d’investissement qui n’offrent pas un bon rapport qualité-prix. Pour cela, étant donné que les critères utilisés comme outils de surveillance ne seraient pas directement contraignants, le processus de gouvernance des produits serait renforcé en vue de permettre aux producteurs et distributeurs de comparer leurs produits d’investissement à un groupe de pairs d’autres produits d’investissement similaires dans l’UE afin de déterminer si le produit d’investissement offre un bon rapport qualité-prix. La comparaison serait fondée sur des informations contenues dans des bases de données gérées par l’AEMF et l’AEAPP. Le Conseil propose également de permettre aux États membres de prévoir la possibilité pour les producteurs ou les distributeurs de produits financiers d’opter, aux fins de la comparaison du marché dans ses processus d’évaluation de la valeur à l’achat de fonds, de comparer leurs produits avec le critère de surveillance de l’Union pertinent, au lieu d’un groupe de pairs. Le mandat de négociation permettrait également aux États membres dont les autorités nationales compétentes ont élaboré, avant le 1er juillet 2024, des repères nationaux sur les coûts et les performances de continuer à utiliser ces critères nationaux, mais uniquement en ce qui concerne les produits d’investissement fondés sur l’assurance. Selon la position du Conseil, le cadre de l’optimisation des ressources sera réexaminé sept ans après le début de l’application du cadre.
Si l’interdiction des commissions et des rétrocessions ne semble plus d’actualité, ce mode de distribution resterait soumis à de nombreuses conditions. Par ailleurs, un dispositif de Value for money est déjà retenu par les superviseurs français (ACPR) et allemand (Bafin).
Reste maintenant à savoir, au vu de toutes les remarques et craintes que suscite ce texte sur quasiment l’ensemble du marché de l’assurance, quand la RIS sera inscrite par la Présidence hongroise à l’agenda financier des négociations interinstitutionnelles ?
« Interfaces truquées » : c’est le terme que nos cousins québécois ont choisi pour désigner les dark patterns qui apparaissent aussi bien dans le Rapport des ESAs du 11 juillet 2024 sur la « connaissance des comportements » (behavioural insights) que dans le Plan de convergence de la supervision pour 2024 de l’EIOPA du 21 décembre 2023. De quoi s’agit-il au juste ? Une page web intitulée « les interfaces truquées dans l’assurance : des pratiques pour exploiter les biais des consommateurs » (https://www.eiopa.europa.eu/tools-and-data/behavioural-insights-insurance-and-pensions- supervision/ dark-patterns-insurance-practices-exploit-consumer-biases_en) présente quelques-unes des modalités de ces trucages :
– la preuve sociale (social proof) consiste à présenter les avis favorables d’autres consommateurs, elle est illicite en tant que ces avis sont manipulés ;
– une méthode de vente consiste à jouer avec les émotions des consommateurs en proposant une description catastrophiste et en biaisant les choix par des jugements moralisateurs ;
– l’action forcée consiste notamment à requérir des internautes des informations personnelles pour leur proposer un tarif ;
– le sens de l’urgence est sollicité par les mentions de l’expiration d’une offre à durée limitée, ou du nombre de contrats restants ;
– la pré-selection d’une option qui ne serait pas la modalité de choix préférée des internautes est apparemment utilisée par les assureurs, notamment au moment du recueil du consentement des prospects ;
– la fausse hiérarchisation, par exemple en exploitant des alternatives non-pertinentes, permet de pousser les prospects vers les garanties les plus coûteuses dont ils n’ont pas besoin ;
– la dissimulation de l’information s’avère plus aisée encore avec les interfaces logicielles, puisqu’en plus des ressources typographiques communes aux textes imprimés, on peut utiliser des méthodes spécifiques pour manipuler l’internaute, comme la dissimulation des boutons ou la création de parcours arbitrairement longs pour accéder à des informations ou des choix qu’on souhaite décourager ;
– enfin, l’usage de concours plus ou moins factices constitue un classique pour attirer l’attention et forcer la décision du consommateur.
À ce stade, l’EIOPA recense des pratiques qui vont au-delà du trucage des seules interfaces, tels qu’ils sont définis par l’article 25 du règlement 2022/2065 relatif à un marché unique des services numériques (Digital Services Act), qui retenait « notamment » :
– l’importance différente donnée « à certains choix au moment de demander au destinataire du service de prendre une décision » ;
– le fait de « demander de façon répétée au destinataire du service de faire un choix lorsque ce choix a déjà été fait » ;
– « rendre la procédure de désinscription d’un service plus compliquée que l’inscription à celui-ci ».
Ce même article 25 du règlement de 2022 délègue à la Commission la rédaction de lignes directrices. Les autorités administratives les plus diverses se manifestent pour attirer l’attention : avant l’EIOPA, la CNIL (Cahier IP6 – la forme des choix), la DGCCRF (Pièges sur les sites de commerce en ligne : attention aux dark patterns !), le Pôle d’expertise de la régulation numérique (Quantifying dark patterns online) notamment ont recensé les pratiques et publié leurs conclusions. Le Comité européen de la protection des données a émis le 14 février 2023 des lignes directrices à l’usage des seuls réseaux sociaux.
Plus récemment (mai 2024), le Bureau européen des unions de consommateurs a porté plainte contre la plateforme chinoise Temu et produit un communiqué de presse (Taming Temu: Why the fast- growing online marketplace fails to comply with the EU Digital Services Act) en forme de manifeste, qui mentionne explicitement deux éléments de trucage de l’interface : la difficulté à se désabonner du service, et des témoins de connexion (cookies) facultatifs présentés comme nécessaires. Aussi, le 28 juin 2024, la Commission Européenne a enjoint Temu et Shein de répondre à une demande d’information sur ce qui est présenté comme des interfaces truquées (décrites comme des « modèles sombres » dans la traduction automatique du communiqué de presse - https://digital-strategy.ec.europa.eu/fr/news/ commission-requests-information-online-marketplaces-temu- and-shein-compliance-digital-services-act).
L’EIOPA semble donc chercher à se positionner dans un domaine exposé à l’attention des media consuméristes.
Le Rapport récurrent de l’EIOPA sur le sujet permet essentiellement de percevoir les orientations des préoccupations de l’Autorité Européenne quant à la réglementation de la Distribution, qui sera soumise à révision en 2025.
Les premiers chapitres traitent de l’inflation et de son impact sur les assurés. Tous les contrôleurs ont souligné son importance, essentiellement sous l’aspect de l’érosion des revenus tirés de l’assurance vie et des fonds de pension. Manifestement, les effets de la remontée des taux d’intérêt, consécutive à l’inflation, n’ont pas été clairement mesurés. Les assurés non-vie se plaignent de la hausse des primes et éventuellement des franchises : un tiers des assurés en Europe aurait subi une hausse de tarif (auto, MRH, santé) sur leur contrat. L’EIOPA ne semble pas s’intéresser à l’inflation intrinsèque au coût des indemnités, pourtant toujours supérieure au taux d’inflation général.
L’EIOPA développe les questions de diversité, équité et inclusion. L’Autorité identifie un gender gap dans l’assurance et les retraites, et des discriminations (exclusions) dans la conception et la distribution de certains produits d’assurance. L’Autorité identifie aussi des traitements discriminatoires au détriment de personnes vulnérables : les immigrants, les personnes à faible revenu, les personnes jeunes ou âgées. L’ensemble est suffisamment peu étayé pour laisser des doutes sur l’intérêt de l’analyse.
Quant aux sujets plus concrets, l’EIOPA développe des thèmes qu’elle utilise fréquemment. La value for money concerne surtout les frais prélevés sur les contrats en unités de comptes (IBIPs). L’EIOPA note, avec satisfaction, que les Autorités de contrôle ont lancé des opérations de « toilettage » des frais sur les actifs (fonds) utilisés pour les contrats en unités de compte.
La distribution électronique et l’utilisation de l’Intelligence artificielle (IA) sont des éléments nouveaux dans les marchés de l’assurance. L’EIOPA traite de l’acquisition de contrats en ligne et des comparateurs d’assurance qui intéressent 25 % des consommateurs qui auraient acheté en ligne au moins un produit d’assurance. L’Autorité se consacre surtout aux risques liés à la distribution électronique : qualité insuffisante de l’information au client, compréhension limitée du contrat par celui-ci (le devoir de Conseil est défaillant) et des tactiques de vente agressives : le dark pattern qui permettrait d’occulter des informations, d’inciter le client à l’achat d’options sur un produit, de réduire le temps de disponibilité (et d’achat) d’un produit pour inciter le client à conclure immédiatement.
L’EIOPA décrit, en référence aux ventes en ligne, des pratiques de ventes à des prix différenciels, fondés sur l’analyse comportementale du client. C’est sans doute un sujet que l’Autorité voudra traiter dans la révision de la DDA.
L’Autorité conclut son propos en évoquant rapidement les questions en suspens. Les « allégations de durabilité » des entités concernent à la fois l’image de l’entreprise, la publicité sur les produits et les conditions de vente des produits, surtout lorsqu’ils sont recommandés pour leur plus ou moins forte connotation ESG (produits « article 8 » et « article 9 » du Règlement disclosure). L’EIOPA redoute la généralisation de cas de vente inadéquate (misselling).
Cela rejoint les cas de manquements dans le processus de conseil des distributeurs, même si, à ce titre, les réclamations des clients sont en légère décroissance : en général, il s’agit de mauvaises pratiques dans la connaissance du client (Know Your Customer, KYC). L’EIOPA revient sur les déficits de garantie qui sont, selon l’Autorité, liés à l’insuffisance du distributeur dans son devoir de conseil. Enfin, l’Autorité évoque, sous le titre « vente liée » (cross-selling), ces travaux antérieurs sur les ventes accessoires et, surtout, sur l’assurance emprunteur et la bancassurance.
Il s’agit, pour le CCSF, de mesurer les effets de l’instauration de la résiliation à tout moment du contrat d’assurance emprunteur et de la suppression du questionnaire de santé pour une partie des emprunteurs. Ces dispositions ont pour but de faire jouer la concurrence sur les primes d’assurance emprunteur, dans une période de taux d’intérêt très bas, en favorisant la substitution d’assureurs « alternatifs » à l’assureur initialement proposé, très souvent filiale de la banque prêteuse. À noter que le sujet de la « vente liée » fait l’objet de critiques de l’EIOPA sur le modèle d’affaires de la bancassurance.
Le CCSF dresse un bilan « très positif » de l’application de la loi « Lemoine ».
Les demandes de résiliation infra-annuelle ont fortement augmenté depuis 2022 (+80 %, mais peu significatif). La part de marché des assureurs « alternatifs » (non liés au banquier prêteur) est passée de 15,3 % à 16,1 % (en un an et demi) et cette augmentation s’accélère dans la première moitié de 2023. Cela reste cependant modéré et l’on ne sait pas encore l’effet que la remontée des taux d’intérêt produira sur cette substitution.
La suppression de la sélection médicale pour certains contrats de moins de 200 000 euros représente seulement 31 % des substitutions.
Le CCSF constate que la suppression de la sélection médicale a conduit à une hausse des tarifs d’assurance (logique de re-tarification du risque), mais ceci n’a pas freiné la tendance à la baisse globale des tarifs d’assurance, notamment pour les tarifs des assureurs alternatifs et, surtout, des contrats « groupe » bancaires, avec sélection médicale. La suppression partielle de la sélection médicale a donc favorisé la baisse des tarifs avec sélection médicale. Le CCSF constate que la substitution profite principalement aux profils d’emprunteurs les plus aisés (avec sélection médicale pour des contrats emprunteurs de niveau élevé).
Le CCSF note que des difficultés demeurent dans l’acceptation des substitutions de contrats alternatifs aux contrats liés au crédit : refus de demandes de substitution et délais de traitement des demandes.
Quant à la gestion des sinistres par les assureurs alternatifs, les refus concernent surtout des déclarations de sinistres erronées. Pour le reste, il s’agit de refus sur les sinistres décès/perte totale ou partielle d’autonomie, plus élevés pour les assureurs alternatifs que sur les contrats de groupe bancaires, de même que sur l’incapacité/invalidité, mais à des niveaux voisins pour les deux catégories d’assureurs.
Au total, le bilan est mitigé, et il est sans doute excessif d’affirmer, comme le fait la Presse, que les réformes successives de l’assurance emprunteur et, surtout, de sa distribution, ont fait « bouger les lignes ». La sensibilité au taux de la prime d’assurance a été exacerbée par la baisse continue des taux d’intérêt. Il reste à voir si la hausse actuelle des taux emprunteur n’aura pas d’effet sur le mouvement de substitution, le poids relatif de la prime d’assurance s’allégeant dans la charge de remboursement.
L’intérêt des dispositions de la loi Industrie verte est de créer une brèche dans la liberté d’investissement des assureurs, et donc dans la logique du principe de la Personne prudente de Solvabilité II. La loi introduit l’obligation d’investir l’épargne du PER à hauteur de 3 % à 8 % (en fonction de l’horizon de la retraite) dans des actifs non cotés (parfois appelés « private equity »). Elle prévoit une règle similaire de minimum de 4 % de non coté pour les profils dits « Équilibre » et de 8 % pour les profils « Dynamique » des contrats d’assurance vie, au moins pour les gestions « pilotées » ou « profilées ». Les profils « prudents » seraient exonérés de cette mesure. On rappelle que les contrats en unités de compte ont représenté 75 % de la collecte d’assurance vie des PER et 62,2 milliards de collecte de l’assurance vie en 2023 (30 milliards en brut, soit 41 % de la collecte brute). Au total, les encours en unités de compte représentent 28 % des 1 923 milliards d’encours de l’assurance vie. Par ailleurs, au cours des dernières années, les entités ont poussé à la vente de contrats multifonds en euros comportant une part d’unités de compte.
Globalement, les mesures de la loi Industrie verte accroissent le risque mis à la charge des assurés. Mais surtout, elles contribuent à orienter les assureurs vers une nouvelle réglementation des investissements. Ce n’est pas illégitime pour des placements largement réglementés, tels que les PER qui disposent d’avantages fiscaux à l’entrée. C’est plus discutable pour les contrats d’assurance vie traditionnels qui ne disposent que de la capitalisation des intérêts en franchise d’impôts après 8 ans de détention, et de l’avantage lié aux droits de succession (franchise élevée).
Les Pouvoirs publics français s’éloignent donc d’une logique prudentielle (charge en capital chez l’assureur en fonction de la nature des actifs) pour une logique de « fléchage » de l’épargne vers des emplois jugés prioritaires. Ce n’était le cas jusqu’ici que du seul Livret A, traditionnellement destiné au financement du logement social.
Ce Rapport très descriptif présente un intérêt limité, notamment parce qu’il est fondé sur des enquêtes auprès des Contrôleurs nationaux (NCAs).
La structure du marché semble se modifier, mais l’EIOPA fonde son analyse sur le nombre des « intermédiaires enregistrés », ce qui recouvre de nombreuses évolutions, notamment des modalités d’enregistrement et sur le statut des « intermédiaires » (donc, sans prendre en compte le nombre de commerciaux dans certaines structures). Ce nombre serait en baisse en 2022 : 796 753 contre 946 706 en 2018.
L’EIOPA suppose que cela résulte de la « consolidation » dans le secteur, le vieillissement de la population des intermédiaires et la réorganisation des modèles de distribution. À noter que l’EIOPA, qui constate pourtant l’importance croissante de la bancassurance dans l’assurance vie, a toujours des difficultés à identifier les « ventes directes » importantes en non-vie en France (les mutuelles sans intermédiaires et la bancassurance qui poursuit son actif développement). Les ventes en ligne augmentent, mais leur niveau demeure globalement modeste (sauf aux Pays-Bas). Les intermédiaires actifs en liberté de prestations de services demeurent peu nombreux : 7 269 en 2022.
L’impact de la Réglementation est manifestement discutable. La qualité du conseil s’améliore ici, mais le POG est d’application difficile ailleurs. La mise en place des règles sur la durabilité, qui sont jugées complexes, fait face à un obstacle de formation et de compétences au sein des entités et chez leurs distributeurs.
Quant à la distribution digitale, l’EIOPA relève les graves difficultés rencontrées pour améliorer l’information exhaustive des clients sur les produits, pour respecter les délais donnés au client pour confirmer son adhésion au contrat, pour obtenir l’enregistrement des nouveaux distributeurs et pour gérer la notion de connaissance du client dans le cadre de l’utilisation de l’intelligence artificielle. L’EIOPA en profite pour condamner les abus de la tarification fondée sur les caractéristiques de comportement (hors assurance) du client, dénommée curieusement « price walking practices ». Parallèlement, l’Autorité relève le manque de transparence des « robot-advises » et des outils de comparaison. Elle souligne les opportunités et les inquiétudes liées à la vente liée (embedded insurance), notamment sur l’étendue de la garantie vendue. Enfin, l’EIOPA attire l’attention sur l’activité des « Finfluencers » qui fait l’objet d’une enquête de l’ACPR. Toutes les Autorités de contrôle sont mobilisées sur l’activité des FinTechs pour en promouvoir le développement (attitude « Technology neutral ») mais aussi pour réduire les risques qu’elles font courir au consommateur.
Les Autorités de contrôle se félicitent du rôle de la DDA dans l’amélioration du devoir de conseil et des méthodes de vente. Mais elles relèvent les difficultés dans l’application des règles de rémunération (les commissions) et les conflits d’intérêts à cet égard (les incitations ou inducements). Le texte précède l’évolution négative du sujet dans la discussion politique sur le Retail Investment Strategy (RIS), et l’abandon de la condamnation de principe du commissionnement, mais indique clairement que l’EIOPA ne veut pas clôturer ce dossier.
Enfin, l’EIOPA insiste sur la nécessité de réviser la réglementation sur divers points. Le démarchage téléphonique ne semble pas être un dossier fermé. L’intégration des aspects ESG dans la DDA est sans doute nécessaire en ce qui concerne le POG et la Directive IBIPs (ex. PRIIPs), mais son application pose nombre de problèmes : le risque d’écoblanchiment (greenwashing), les publications déficientes (publicité des produits et publicité de notoriété de l’entreprise), le manque de compréhension de la part des consommateurs et le manque de compétence des distributeurs. Il est vrai que, comme le reconnaît l’EIOPA, la multiplicité des textes applicables, avec des entrées en vigueur non coordonnées, ne facilite pas la tâche des entreprises conceptrices de produits et de leurs réseaux de distribution.
Globalement, l’EIOPA appelle à un renforcement du cadre réglementaire. En particulier, la Cour de Justice de l’Union européenne a, en 2022, soulevé la question de la qualification des assurances de groupement comme intermédiaires d’assurance au sens de la Directive DDA. Le contrôle français examine la position qu’il entend prendre sur ce sujet, mais fait observer que le jugement de la Cour de Justice ne semble pas créer de difficulté particulière.
Le Rapport se termine, comme il se doit, par la liste des revendications des Autorités nationales de contrôle sur le POG et la démarche Value for money, qui requièrent des moyens supplémentaires de contrôle, de même que les règles sur la rémunération des commerciaux et les conflits d’intérêts, et les pratiques de ventes croisées ou liées. On notera que l’EIOPA mesure l’importance de ces questions pour les Autorités nationales au nombre de salariés qui y sont affectés sur la base d’une moyenne arithmétique des effectifs : ce n’est pas médire des marchés d’assurance estonien, slovène ou slovaque que de considérer que les besoins de contrôle des assurances y sont moindres que sur le marché allemand, français ou italien.
La mission du Sénateur Jean-François Husson, sur les difficultés des collectivités locales à trouver des assureurs, a achevé ses travaux en 2024. Une autre mission, d’origine gouvernementale (Alain Chrétien et Jean-Yves Dagès), est en cours de travaux sur le même sujet.
Les questions sont en réalité diverses :
– l’augmentation de la fréquence et de la gravité des sinistres Dommages et Responsabilités des Collectivités territoriales, du fait du coût des émeutes urbaines et des dommages aux immeubles publics dans les catastrophes naturelles ;
– une offensive d’assureurs anglo-saxons sur le marché qui a mené à une guerre des prix au détriment de l’assureur mutualiste traditionnel du secteur (SMACL), tandis que la procédure d’appel d’offre généralisée permettait évidemment, aux collectivités, de profiter largement d’une baisse des taux de prime. Cette offensive a été suivie du retrait de ces nouveaux intervenants sur le marché, non sans avoir gravement obéré les comptes des acteurs traditionnels. D’où le discours général sur le « retrait des assureurs », largement répandu sur le marché français dans la branche « événements naturels » (et d’autant plus surprenant que la souscription est liée à toute garantie dommages, et a donc un caractère quasi-obligatoire), et dans les dommages aux biens exposés aux émeutes et mouvements populaires ;
– une situation de marché où deux acteurs, après la retraite anglo-saxonne, sont les seuls sur le marché qui demeure peu attractif pour les autres assureurs (appels d’offre, taux de primes insuffisants pour couvrir des risques graves et à fréquence croissante).
C’est ce dernier aspect de création d’oligopole, mais d’oligopole relativement inefficace, qui conduit le Sénat à saisir l’Autorité de la Concurrence après l’échec de la tentative du ministre de l’Economie d’élargir les possibilités de saisine du médiateur de l’assurance, dont l’intervention dans la négociation d’un contrat était probablement dépourvue de base juridique.
Il est rare que l’Autorité de la Concurrence intervienne sur le marché de l’assurance, et l’on ne peut présager des résultats de la démarche judiciaire pour contraindre des assureurs à souscrire des assurances qu’ils refusent de proposer au marché. Mais c’est probablement un domaine où il sera impossible au législateur de rester indifférent : le marché français s’oriente donc vers une nouvelle extension du domaine de la réglementation.
Ce Rapport traditionnel de l’EIOPA a surtout pour but de stimuler l’action des Autorités nationales de contrôle (NSA) dans le contrôle de l’application de la Directive sur la Distribution de l’assurance et sur les dispositions des réglementations, plus proches du contrôle du marketing, dites Product Oversight and Governance (POG). L’intérêt de ce 4e Rapport tient surtout à la proximité d’une révision de la Directive DDA et à la volonté claire de l’EIOPA d’étendre le domaine du contrôle à l’ensemble de la chaîne de conception/tarification/distribution des produits (voir sur ce sujet les travaux en cours sur la value for money, à l’EIOPA et en France, sur les frais prélevés sur les produits en unités de compte).
En 2022, 2 762 sanctions ont été prononcées par les NSA, dont 630 étaient des amendes administratives, pour un montant modeste de 528 807 euros, d’autant plus modeste que ce montant inclut une amende unique de 200 000 euros prononcée au Luxembourg et une autre de 50 000 euros en France. Montant d’autant moins significatif que l’Allemagne n’a pas notifié de chiffre à l’EIOPA.
La majorité des sanctions liées à l’application de la DDA, portent sur le non-respect des obligations professionnelles (enregistrement, RC professionnelle, « bonne réputation »). Elles concernent également les questions de compétence des intermédiaires et les obligations en matière de formation. En France, les sanctions portent sur le respect de trois obligations : RC professionnelle, bonne réputation et formation. En Allemagne, les sanctions visent l’absence de RC professionnelle et, au Portugal, la compétence et les obligations de formation. Ces trois pays sont, en 2022, les principaux acteurs des sanctions. On note que l’EIOPA semble n’avoir pas saisi les effets (sur la RC professionnelle notamment) de la création des associations obligatoires de courtiers en France.
Les sanctions liées aux manquements aux obligations POG sont finalement peu nombreuses, à savoir 672 au total : 194 sur l’information (transparency) et les « principes généraux », 82 sur le devoir de conseil, 13 sur les conditions de recueil de l’information sur les besoins des clients ; 47 sur les dispositions POG et 311 sur les informations spécifiques aux IBIPs (autre dénomination des PRIIPs ou contrats d’assurance en unités de compte). L’EIOPA consacre de longs développements sur le traitement loyal du consommateur (fair) et sur les célèbres suitability et appropriateness assessments (vérification de l’adaptation des produits aux besoins et à la capacité du client d’accepter les niveaux de risques inclus dans le produit). Dans ce rapport, il est assez sensible que la réglementation est confuse et sans doute mal comprise des entreprises, de leurs distributeurs et des Autorités nationales de contrôle elles-mêmes. L’essentiel concerne les contrats en unités de comptes et il faut sans doute attendre la révision prochaine des Règlements PRIIPs, en espérant qu’elle aboutisse à une sérieuse clarification.
Quant à la nature des sanctions, elles sont principalement constituées de radiations du registre des intermédiaires (retraits d’agrément), mais aussi d’obligations de se conformer aux règles, notamment en matière de compétence et d’information des intermédiaires (ce que l’EIOPA hésite à considérer comme une « sanction »). Les sanctions pécuniaires sont peu nombreuses, notamment parce que certains États (Allemagne) ne fournissent pas d’information.
Dans ce Rapport, l’abondance de statistiques ne peut cacher la faiblesse de leur qualité, comme le montrent la faible définition de la notion même de sanction et la difficulté d’appréhension de la RC professionnelle dans le cadre du nouveau système français d’organisation du courtage. Plus sérieusement, les statistiques par pays inquiètent sur le sérieux de ce Rapport. La France apparaît comme hébergeant 151 undertakings (solo ? groupe ?), gérant 62 284 intermédiaires. L’Italie compte 87 undertakings et 235 404 intermédiaires, l’Espagne 150 undertakings et 62 167 intermédiaires et l’Allemagne 256 undertakings et 190 708 (!) intermédiaires. Depuis le début de l’opération DDA, l’EIOPA refuse (ou renonce) à se rapprocher des Fédérations professionnelles pour vérifier ses informations et, surtout, pour définir clairement qui sont les « commerciaux » (et/ou intermédiaires) dont traite la DDA. La confusion et l’imprécision ne peuvent donc manquer de s’installer. Peut-on attendre de la révision à venir de la DDA un peu de clarification ?
9. NOUVELLES TECHNOLOGIES,
CYBER RISK
Ce rapport est le résultat d’une enquête menée par l’EIOPA au printemps 2023 auprès de 209 entreprises d’assurances dans 22 états de l’Union. Il est à noter que la France n’a pas participé. Parmi les principales conclusions, on retiendra que :
– la numérisation du secteur européen n’est pas uniformément avancée ; il existe un large éventail de pratiques sur le marché et le niveau de numérisation peut varier considérablement d’une entreprise d’assurance à l’autre ;
– les canaux de distribution purement numériques jouent encore un rôle secondaire dans le bouquet des canaux pratiqués par les entreprises d’assurance, en particulier pour l’assurance vie ; les clients achètent encore principalement des produits d’assurance via des canaux physiques, bien que les outils en ligne puissent également être utilisés à des fins de comparaison et d’information ; les comportements d’achat dépendent du niveau de culture numérique du client (lui-même lié à l’âge, au diplôme et au revenu) ;
– les canaux de communication les plus utilisés par les clients pour interagir avec les entreprises d’assurance à ce jour sont ceux du vingtième siècle (téléphone, face-à-face et courrier électronique). Les robots dialogueurs sont en augmentation significative et devraient profiter de l’IA générative. Les applications pour téléphones mobiles ne sont pas encore d’un emploi général comme dans le secteur bancaire ;
– la plupart des entreprises d’assurance sont actives dans les médias sociaux, mais principalement pour des campagnes de marketing et d’éducation financière voire pour coopérer avec les influenceurs des réseaux sociaux ;
– il existe une forte concentration dans la fourniture de services informatiques tels que l’informatique en nuage ; près de 80 % des répondants externalisent le stockage des données informatiques en nuage auprès des grandes plateformes et près de la moitié utilisent leurs services d’analyse des données ;
– l’IA est utilisée par la moitié environ des entreprises dans l’assurance non-vie et un quart dans l’assurance vie, avec plus d’un tiers des répondants qui prévoient d’utiliser l’IA au cours des trois prochaines années (un peu plus en vie) ;
– la majorité des cas d’usage de l’IA sont développés en interne, les types d’IA actuellement les plus utilisées étant les plus simples et les plus explicables. Du point de vue de la gouvernance et de la gestion des risques, l’IA est le plus souvent utilisée avec une supervision humaine, et le comité de direction est le plus souvent responsable des cas d’usage de l’IA à fort impact ;
– les produits d’assurance paramétriques, les objets connectés, comme les chaîne de blocs (y compris les crypto-actifs) et ne sont actuellement utilisées que par une (infime) minorité d’entreprises d’assurance, par ordre décroissant de fréquence ;
– la plupart des entreprises d’assurance font état d’une croissance des marchés de la cyber-assurance au cours des deux dernières années, bien que les produits de cyber-assurance comportent encore des exclusions de couverture marquées. Les principaux acheteurs de produits d’assurance cyber sont les entreprises, y compris les PME, plutôt que les particuliers ;
– l’acquisition de talents et de compétences adéquats est considérée comme une nécessité pour la transformation numérique qui est donc contrainte par les recrutements ; les cyber-risques sont perçus par les entreprises d’assurance comme le principal risque découlant de la numérisation.
Qu’est-ce que FIDA ? Un projet de règlement présenté par la Commission proposant un cadre d’accès aux données financières en amendant les règlements créant les autorités européennes de surveillance et DORA. Ce texte prévoit de généraliser à toutes les données financières le principe d’ouverture des données contenu dans la directive sur les paiements révisée (DSP2). Rappelons tout d’abord que cette ouverture a permis l’émergence de deux catégories de services : l’agrégation de données, qui permet par exemple de consolider les informations relatives à vos comptes dans plusieurs institutions au sein d’une seule application, et l’initiation de paiements qui permet à des tiers d’utiliser les moyens de paiement disponibles auprès de votre établissement teneur de compte. Très concrètement, c’est grâce aux dispositions sur la banque ouverte que vous pouvez payer avec Paylib ou Apple Pay. Ce dernier exemple montre que les dispositions de DSP2 ne sont pas une nécessité, elles établissent néanmoins un principe de concurrence équitable, qui fait qu’Apple par exemple, ne peut pas signer un accord d’exclusivité avec votre banque, qui est forcée de proposer à tous les fournisseurs de services auxquels vous souhaitez faire appel les données prévues par la réglementation.
FIDA va donc généraliser ce principe à tous les services financiers, avec quelques nuances : (1.) les données dont le partage pour entraîner des risques d’exclusion financière (c’est notamment le cas des données de santé et de solvabilité des particuliers) sont a priori exclues – à charge pour les autorités de surveillance de produire les lignes directrices ad hoc – (2.) les détenteurs de données pourront demander une compensation financière raisonnable pour rendre les données accessibles aux utilisateurs de données, alors que la mise à disposition est gratuite dans DSP2, et (3.) les utilisateurs de données auront un accès en lecture de ces données, mais ne pourront pas effectuer de transactions pour le compte des clients, alors qu’ils pouvaient initier des paiements dans DSP2.
Ces trois différences avec DSP2 déterminent les cas d’usage potentiels, et c’est à partir de cette définition des données ouvertes qu’on peut donc se demander à quoi pourrait servir FIDA. Un premier cas d’usage potentiel est fourni par l’EIOPA dans une publication ad hoc (BoS-23-211) : il s’agit d’un (A.) tableau de bord d’assurance, qui adapte au secteur le principe de l’agrégateur existant dans la banque. Toutefois en vertu du (3.) ci-dessus, ce tableau de bord ne permettra pas effectuer des transactions, son utilité paraît donc assez limitée. On peut penser à d’autres cas d’usages pour illustrer FIDA, par exemple des cas qui permettent de réduire l’effort de l’assuré. Ainsi, dans le cas des comparateurs en ligne, en demandant l’accès aux données, ils pourraient proposer une évaluation personnalisée lors de la (B.) recherche d’un produit au meilleur prix. On peut penser que les utilisateurs seront tentés de comparer les prix qu’ils obtiennent avec partage et sans partage de l’information. Toutefois, il ne faut pas s’attendre à des merveilles lorsque l’on considère un seul contrat, surtout un contrat de détail dont les prix sont aussi tirés qu’une MRH ou une RC auto. En revanche, la plus-value pour le consommateur pourrait être importante lors d’un audit patrimonial (C.), mais alors il faut un investissement important de la part de l’entreprise qui veut utiliser les données pour optimiser son offre. FIDA devrait donc, selon toute probabilité, favoriser d’une part les grandes entreprises, capables d’amortir l’investissement dans le développement d’une intelligence artificielle compréhensive, et d’autre part les entreprises offrant la gamme la plus large de services financiers... donc encore les plus grandes.
Qu’en est-il du calendrier ? Le règlement n’est pas encore adopté, et il n’est pas encore à l’ordre du jour du Parlement pour une première lecture. Si la nouvelle Commission maintenait son intérêt pour ce texte, il resterait encore, après l’adoption du règlement, à définir des schémas de partage des données financières (FDSS – Financial Data Sharing Schemes), ce que des normes techniques pourront faire moyennant le délai habituel de conception et d’adoption de tels textes. Toutefois, il n’est pas certain que l’approche radicale retenue par la Commission von der Leyen I soit encore à l’ordre du jour, dans la mesure où la plupart des régulateurs hors de l’UE avancent prudemment et veulent identifier les cas d’usage offrant au public un bénéfice significatif avant de chercher à les réguler si nécessaire. À suivre, donc car si le projet est confirmé, les coûts pour les entreprises du secteur, que ce soit pour permettre l’accès aux données de leurs clients (ce qui sera obligatoire), ou pour tirer parti des données hébergées par d’autres détenteurs (une option qui devrait améliorer la compétitivité) ne sont pas négligeables, et les projets correspondants doivent être envisagés au plus tôt.
Bien que présentée comme un « instrument juridique de l’OCDE », la Recommandation révisée du 3 mai 2024 est un texte extrêmement général et non contraignant qui s’apparente plutôt à une déclaration politique en ce qu’elle vise à coordonner les politiques nationales des membres de l’Organisation. Elle fait suite à la Recommandation du conseil sur l’intelligence artificielle, adoptée par le conseil des ministres du 22 mai 2019 et en conserve la présentation en deux sections :
1. Des principes d’une approche responsable à l’appui d’une IA digne de confiance où sont énoncés cinq principes complémentaires : 1) croissance inclusive, développement durable et bien-être ; 2) respect de l’état de droit, des droits humains et des valeurs démocratiques, y compris de l’équité et de la vie privée ; 3) transparence et explicabilité ; 4) robustesse, sûreté et sécurité ; et 5) responsabilité. On y appelle en outre les acteurs de l’IA à promouvoir et mettre en œuvre ces principes, selon leurs rôles respectifs.
2. Des recommandations en matière de politiques nationales et coopération internationale à l’appui d’une IA digne de confiance à l’attention des États invités à 1) investir dans la recherche et le développement en matière d’IA ; 2) favoriser l’instauration d’un écosystème inclusif propice à l’IA ; 3) façonner un cadre d’action et de gouvernance interopérable favorable à l’IA ; 4) renforcer les capacités humaines et préparer la transformation du marché du travail ; et 5) favoriser la coopération internationale au service d’une IA digne de confiance.
Une première révision en novembre 2023 du texte de 2019 avait porté sur la définition d’un système d’IA. La révision de mai 2024 est plus conséquente puisqu’elle introduit une série de nouveaux points d’attention, et affirme notamment dans la section 1. l’importance croissante de la lutte contre la mésinformation et la désinformation, et de la préservation de l’intégrité de l’information dans le contexte de l’IA générative ; les risques découlant d’utilisations à des fins autres que celles prévues ou d’une mauvaise utilisation délibérée ou involontaire ; l’importance d’assurer la conduite responsable des entreprises, tout au long du cycle de vie des systèmes d’IA, et dans la section 2., la nécessité pour les pays et territoires de travailler de concert afin de promouvoir l’instauration de cadres d’action et de gouvernance interopérables dans le domaine de l’IA. Le conseil de l’OCDE a chargé le Comité de la politique du numérique d’élaborer des orientations pratiques et de faire office de forum d’échange d’informations, en particulier grâce à un organe dédié créé en 2022 : le Groupe de travail sur la gouvernance de l’intelligence artificielle (GTGIA). Le caractère purement interne des conséquences pratiques laisse penser que cette déclaration s’inscrit avant tout dans des jeux d’acteurs qui restent confinés à l’OCDE bien que les principes énoncés conduisent aussi à marquer la différence entre les démocraties (membre de l’OCDE) et les régimes hybrides qui font usage de l’IA à des fins de contrôle de leurs populations plus que pour la « croissance inclusive ».
Le règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle a été publié le 12 juillet au Journal Officiel de l’Union Européenne pour une entrée en vigueur au 1er août, avec toutefois une application progressive. Le texte couvre tous les usages marchands et non-marchands de l’IA, à l’exception des systèmes utilisés exclusivement pour la défense, la sécurité nationale, la recherche et les usages non-professionnels (art. 2 al. 3-12) ; il ne confère pas de droit aux personnes mais impose des obligations aux fournisseurs d’IA et à ses utilisateurs dans un contexte professionnel.
Le règlement distingue sept catégories de parties prenantes (art. 2) : les fournisseurs de systèmes d’IA, les « déployeurs » qui les utilisent sous leur propre autorité, les fournisseurs ou déployeurs situés hors de l’Union, les importateurs, les fabricants, les mandataires des fournisseurs pas établis dans l’Union, enfin les personnes concernées. Les trois premières catégories de parties sont les plus affectées par le texte.
Le règlement adopte une approche fondée sur les risques et classe les applications pratiques de l’IA en quatre niveaux de risques pour les parties prenantes : risques inacceptables, élevés, limités ou minimes. Les pratiques conduisant à des risques inacceptables (reconnaissance faciale en temps réel et notation sociale) sont interdites (art. 5), les systèmes à haut risque (art. 6 et suivants) doivent respecter des obligations en matière de sécurité, de transparence et de qualité, et faire l’objet d’évaluations de conformité. Les applications à risque limité ne sont soumises qu’à des obligations de transparence (art. 50), tandis que les applications à risque minimal ne sont pas réglementées. Pour l’IA à usage général (art. 51 et suivants), des exigences de transparence sont imposées, avec des évaluations supplémentaires pour les modèles à haute capacité.
Pour la gouvernance de l’IA, le règlement consacre quatre nouvelles entités :
– le Bureau européen de l’intelligence artificielle (art. 64), département de la Commission chargé de coordonner la mise en œuvre de l’IA et de veiller à la conformité des modèles d’IA à usage général ;
– le Comité européen de l’intelligence artificielle (art. 65), composé d’un représentant de chaque État membre, assiste la Commission dans la rédaction des textes d’application, notamment des lignes directrices prévues à l’article 96 ;
– un forum consultatif (art. 67) composé de représentants du secteur recueille les contributions des parties concernées en vue de la mise en œuvre du présent règlement ;
– un groupe scientifique d’experts indépendants (art. 68) qui conseille et soutient le Bureau de l’IA.
Les dispositions concernant les pratiques interdites entrent en application dès le 2 février 2025, l’article 99 fixe à 7 % du chiffre d’affaires mondial le montant maximum de l’amende administrative pour non-respect de l’interdiction. Les dispositions concernant les pratiques à haut risque entrent en application au 2 août 2025, l’amende pour non-conformité peut atteindre 3 % du CA mondial. Or, l’annexe III précise que les « systèmes d’IA destinés à être utilisés pour l’évaluation des risques et la tarification en ce qui concerne les personnes physiques en matière d’assurance vie et d’assurance maladie » sont visés, et en conséquence que les « déployeurs de certains systèmes d’IA à haut risque énumérés dans une annexe du présent règlement, tels que des entités bancaires ou d’assurance, devraient procéder à une analyse d’impact de ces systèmes concernant les droits fondamentaux avant de les mettre en service » (considérant 96). Les entreprises d’assurance non-vie seront soumises aux exigences de transparence découlant de l’article 50.
Enfin, l’article 31 dispose une obligation d’assurance de responsabilité civile pour les « organismes notifiés », c’est-à-dire ceux qui mettent en œuvre des systèmes d’IA à haut risque.
Les conséquences pour le secteur de l’assurance, et notamment pour l’assurance vie, sont donc importantes à l’échéance d’une année.
La directive « Network and Information Security 2 », numérotée (UE) 2022/2555, est entrée en vigueur le 16 janvier 2023, elle étend le champ d’application de la directive NIS de 2016 qui a été transposée en droit français en 2018. NIS 2, publiée le 14 décembre 2022 au JO de l’UE, prévoit une transposition en droit national le 17 octobre 2024 au plus tard avec une entrée en vigueur au 1er janvier 2025. À Paris, l’agenda de l’Assemblée Nationale est manifestement chargé, sera-t-il suffisamment élastique pour inscrire cette transposition à l’ordre du jour ?
La directive distingue dans son champ d’application les secteurs hautement critiques des autres. Les assurances se trouvent classées avec les banques comme hautement critiques.
Chaque État membre ayant transposé le texte devra mettre en place une autorité compétente chargée de la cybersécurité et de sa supervision (en France l’Agence Nationale de la Sécurité des Systèmes d’Information – ANSSI).
Le texte exige l’adoption d’un plan national de réaction aux crises et incidents majeurs de cybersécurité. Obligation est faite à chaque État membre de mettre en place un centre de réponse aux incidents de sécurité informatique (CSIRT) qui sera le point de contact unique en matière de sécurité. Ces CSIRT constituent la pièce centrale du dispositif de surveillance des cybermenaces, d’activation du mécanisme d’alerte, de réaction aux incidents, d’assistance, d’analyse des données de police scientifique, de détection des vulnérabilités du réseau d’une entité importante/essentielle, de procéder à la divulgation coordonnée des vulnérabilités.
La directive comporte un volet d’organisation de la coopération stratégique et de l’échange d’informations entre les États membres. Cela implique la mise en place d’un groupe de coopération formé de représentants de chaque État membre, de membres de la Commission et de l’ENISA ainsi que d’observateurs appartenant à diverses autorités européennes. Cette instance aura pour missions de fournir des orientations dans le cadre de la directive, de coopérer avec la Commission sur la politique à adopter en matière de cybersécurité, d’échanger avec les organismes de l’UE sur les bonnes pratiques. Le secrétariat du groupe, assumé par la Commission, sera chargé de l’examen et de l’évaluation de la situation en matière de cybermenaces et d’incidents, ainsi que de la rédaction de rapports sur l’expérience acquise au niveau « stratégique ».
Selon l’Argus, le champ d’application de la directive en France recouvre 600 types d’entités recouvrant 10 000 entités et comprenant en dehors des sociétés et groupes cotés des ETI relevant des secteurs critiques ou hautement critiques.
La CNIL veut lutter contre l’idée selon laquelle le RGPD empêcherait l’innovation en intelligence artificielle, mais elle définit des sortes de barrières réglementaires à l’emploi des données personnelles dans les données d’entraînement des systèmes d’Intelligence Artificielle (IA). La CNIL édite donc des « fiches pratiques » sur l’apprentissage des systèmes d’intelligence artificielle.
Le cadre juridique de l’opération couvre à la fois l’IA « Act » (Règlement – nouvelle dénomination anglaise – à l’imitation du système législatif américain !) et le RGPD que la CNIL semble soucieuse de concilier.
La CNIL vise une partie seulement des systèmes d’IA, ceux impliquant un traitement de données personnelles, dans le cadre de l’apprentissage automatique (machine learning) dans la phase de développement, qui sont définis lors de cette phase comme des systèmes à usage général. Les recommandations de la CNIL concernent le développement (et non le déploiement) de l’IA.
Dans la période de conception du système IA, il est prescrit de définir la finalité du système d’IA (de façon à limiter son rôle dès le départ). Cela dit, cette obligation limitante est d’évidence. La CNIL s’efforce ensuite de faire entrer l’IA dans le « moule » RGPD en déterminant la qualification juridique des fournisseurs de systèmes IA : responsable de traitement, responsable conjoint ou sous-traitant. Le responsable du traitement (concepteur ou utilisateur d’IA) doit s’assurer que le traitement est licite (collecte et réutilisation des données notamment). Le concepteur du système IA doit tenir compte de la protection des données dans la conception même du système (notion classique du RGPD : protection des données dès la conception des bases de données). L’énoncé des principes est simple, d’autant qu’ils figurent dans le RGPD, leur mise en œuvre sera probablement délicate. D’autant plus que l’approche de la CNIL est strictement juridique (classement dans une catégorie, définition des responsabilités, etc.), dans un domaine qui l’est manifestement peu. Mais il fallait, pour la CNIL, définir les modalités d’application du RGPD à l’IA, dès avant l’approbation par les Institutions de l’IA Act sur l’intelligence artificielle.
Naturellement, la CNIL impose de réaliser une « étude d’impact » sur la protection des données qui devrait déboucher sur une procédure d’autorisation par la CNIL (ce qui est probablement l’objectif de ces travaux). Les justifications de cette analyse d’impact sont : le recensement et l’évaluation des risques de l’IA pour les personnes, la nécessité de rendre possible l’exercice des droits liés au RGPD, l’évaluation de la maîtrise des personnes sur leurs données et la nécessité d’organiser la transparence du traitement (consentement, information, annulation). Ces objectifs doivent être atteints dans les quatre phases de développement du système d’IA : la conception du système, la conception des bases de données (privacy by design), l’apprentissage et l’intégration ou gestion de l’interface utilisateur.
Ces textes présentés comme des « fiches pratiques » sont évidemment importants pour une activité, l’assurance, qui prévoit une utilisation forte dans l’avenir des systèmes d’IA. La CNIL, appuyée sur le RGPD, entend bien jouer son rôle de frein dans ce domaine, comme naguère dans celui du développement du Big Data. Il reste à savoir comment, dans la version finale de l’IA Act, la Commission et les autres Institutions européennes vont concilier le développement/déploiement de l’IA avec les contraintes du RGPD.
Les ESAs (EBA-ESMA-EIOPA) préparent, pour la mi-2024, un « examen blanc » (dry run) de l’état de préparation des entités à l’application de DORA, en particulier sur la mise au point du registre des informations sur les sous-traitants ICT (ou TIC) avec lesquels les entités financières entretiennent des relations contractuelles de fourniture de service. Sachant que les dispositions de DORA seront applicables au 17 janvier 2025.
L’objectif du Registre est de gérer les risques présentés par ces sous-traitances. Il doit surtout permettre aux Autorités nationales compétentes d’effectuer leurs contrôles, et aux ESAs de désigner les fournisseurs critiques de services (CTPP).
Le contenu des questions « de l’examen » est en cours d’approbation par la Commission, mais il sera établi sur la base d’un projet de « Normes de mise en œuvre » (ITS) conçu par les ESAs.
Il est rappelé que le registre doit être souscrit pour chaque entité, puis par Groupe. Bien évidemment, comme les Autorités sont différentes, la consolidation des informations entre Banque et Assurance est exclue pour les Groupes qui exercent les deux activités.
1. Ce second « paquet » réglementaire (Voir Chronique dans ENAss papers 27 pour le commentaire du « premier Paquet ») comprend :
– les projets de RTS et ITS sur la notification et le reporting des incidents majeurs : le contenu du rapport, les délais de notification, le contenu de la notification elle-même ;
– les lignes directrices (JC 2023/68 du 27 novembre 2023) sur l’estimation des coûts et pertes causés par les incidents majeurs informatiques (TIC) ;
– les projets de mesures techniques réglementaires (RTS) concernant les tests de pénétration fondés sur la menace « threat led penetration tests », (JC 2023/72 du 27 novembre 2023) ;
– les projets de mesures techniques réglementaires (RTS) sur les éléments à vérifier dans la sous-traitance de services TIC sous-jacents à des fonctions critiques ou importantes (JC 2023/67 du 27 novembre 2023).
– les projets de lignes directrices sur la coopération entre les Autorités européennes de contrôle (ESAs) et les Autorités (nationales) compétentes (JC 2023/71 du 27 novembre 2023) ;
– les projets de mesures techniques réglementaires (RTS) sur l’harmonisation des conditions permettant les activités de contrôle (JC 2023/69 du 27 novembre 2023).
Après consultation ouverte jusqu’au 4 mars, les ESAs prévoient la finalisation de ce second paquet le 17 juillet 2024.
2. Les RTS-ITS sur le reporting des incidents majeurs est impressionnant de lourdeur bureaucratique.
Ils prévoient d’abord les délais de gestion des incidents majeurs. La notification initiale doit être faite dans les 4 heures de la classification de l’incident comme majeur, et au maximum dans les 24 heures de la survenance de l’incident. Le « Rapport intérimaire » doit être transmis dans les 72 heures de la classification de l’incident comme majeur ou avant, si le retour à la normale est intervenu. Le « Rapport final » doit être souscrit dans le mois qui suit la classification.
Le contenu des notifications fait l’objet de templates détaillés dans les Annexes I à V, sur 65 pages, sachant que le reporting doit être fait sur la « base solo », donc par entité juridique. La notification initiale contient 7 types de données, le rapport intermédiaire 16 types de données, et le rapport final 7 autres types de données et 7 types de données d’information générale. Ces 37 types de données contiennent au total 101 data points, dont 46 sont obligatoires et 55 « conditionnels ».
Pour les notifications de « menaces » (ne pas confondre avec les incidents), il est prévu un autre état (template) ne contenant que 9 types de données : description de la menace, potentialité de classement en incident, « statut » de la menace et mesures prises. L’état est unique pour la notification de la menace et le reporting d’incident.
Les RTS-ITS prévoient aussi des modalités de reclassement de l’incident de mineur en majeur et réciproquement.
Ils donnent enfin la possibilité d’agréger les 3 phases (notification, rapport intérimaire et rapport final) en un seul document, si une solution rapide est intervenue.
3. Lignes directrices sur les coûts et pertes causés par les incidents TIC majeurs.
Le texte vaut essentiellement par les précisions données sur le calcul des coûts d’un incident majeur, soit un incident dont le coût évalué dépasse 100 000 euros en brut, compte non tenu des récupérations financières obtenues (recoveries) éventuellement de l’assurance. Le coût ne prend pas en compte l’impact économique de l’incident (perte de chiffre d’affaires), mais celui-ci doit être évalué par ailleurs et figurer dans le rapport sur l’incident.
Les coûts pris en compte sont : les pertes d’actifs financiers, le coût de remplacement des matériels et logiciels (ou de « relogement » de ceux-ci), les coûts de personnel, les honoraires payés au titre du sinistre de conformité (sans doute les dépenses de consultance et d’avocats), les coûts de correction des erreurs auprès des consommateurs ou d’indemnisation, les pertes de chiffre d’affaires, les coûts de communication internes et externes sur l’incident, les coûts de consultance (réparation, expertise, etc.). La confusion de cette liste de postes de frais est significative de la difficulté de tirer quelques principes généraux d’une multitude de situations et types d’incidents. Cela permettra néanmoins de donner une base commune à l’information sur les incidents majeurs et permettra de faciliter la gestion des sinistres et, de là, de donner des bases « risques » à la tarification et à la modélisation.
Le principe est logiquement de réaliser des agrégations par année comptable pour chaque entreprise. Les ESAs ne manquent pas de traiter des modalités d’évaluation des effets économiques et financiers qui se prolongent au-delà de l’exercice comptable, en précisant que l’imputation annuelle de l’incident majeur dépend de la date de souscription du rapport final. Les ESAs ne semblent pas prévoir une comptabilisation partielle de l’incident ou une évaluation du coût in fine, en attente du rapport final, en utilisant la technique bien connue des réassureurs des provisions pour les sinistres « incured but not reported » (IBNR), problème d’évaluation classique pour l’actuariat.
4. Le projet de normes de réglementation (RTS) définissant les éléments que doit connaître et vérifier une entité financière lorsqu’elle conclut un contrat de sous-traitance de services TIC qui concernent des fonctions critiques ou importantes.
Les ESAs définissent les conditions de base de cette vérification par l’entité financière. La sous-traitance est-elle permise et dans quelles conditions ? On sait que les ESAs hésitent à l’interdiction de la sous-traitance des fonctions-clés, donc à la sous-traitance de leur support informatique. Les risques de cette sous-traitance doit faire l’objet de due diligence, ce qui est assez évident quoique peu souvent réalisé. Le contrat de sous-traitance doit être clairement défini : les ESAs rêvent d’imposer des clauses types. A l’occasion, le projet de RTS prévoit que les sous-traitances intra-groupe sont soumises aux mêmes conditions, notamment de contrat : les sous-traitants intragroupe sont, en tous points, considérés comme des Third Party Services Providers (tiers fournisseurs de services TIC). Enfin, il importe de vérifier (Autorité nationale de contrôle) que l’entité financière dispose d’une structure organisationnelle pour gérer les sous-traitants.
Les « considérants » répètent quelques mantras de la sous-traitance : la responsabilité maintenue de l’entité qui sous-traite, le contrôle global (holistic) de la chaîne de sous-traitance, le risk management qui doit s’exercer sur les dispositions du contrat. La sélection du sous-traitant fait l’objet de nombreuses recommandations : réputation, ressources financières et humaines, qualité de la sécurité des données, solidité du risk management et contrôle interne. Tout cela doit faire l’objet de due diligences. De façon significative, c’est l’article 1 qui traite de la gestion de l’interruption/résiliation du contrat de sous-traitance et de la gestion du transfert du contrat à un autre sous-traitant.
Le projet de RTS développe longuement la gestion des obligations de la chaîne de sous-traitance par le donneur d’ordre. Dans ces recommandations traditionnelles du risk management, on relèvera : l’évaluation de l’impact du défaut éventuel du sous-traitant (bien souvent négligé), les risques liés à la localisation des sous-traitants (les procédures de résiliation en Inde sont particulièrement lentes), la concentration des risques au niveau de l’entité donneur d’ordre (et du groupe ?), et la vigilance à l’égard des obstacles au contrôle.
Le RTS pose enfin les conditions qui rendent possibles la sous-traitance de l’informatique d’une fonction critique ou importante. C’est un peu redondant avec le risk management. Il s’agit des clauses du contrat, des obligations de reporting imposées au sous-traitant, de la vérification des risques, de la localisation et de la propriété des données, de la responsabilité de continuité du service du sous-traitant en cas de défaillance de l’un ou l’autre de ses propres sous-traitants, de la création d’un plan de continuité d’activité (chez le donneur d’ordre), et des conditions de sécurité et droits d’accès et, naturellement, les droits et modalités de résiliation.
Plus intéressante est l’obligation faite de documenter l’ensemble de la chaîne de sous-traitance et l’obligation de soumettre à l’approbation du donneur d’ordre les changements dans cette chaîne. Surtout, le contrat doit prévoir la résiliation du contrat en cas de modification sans autorisation de la chaîne de sous-traitance et en cas de sous-traitance d’une fonction pour laquelle cette sous-traitance était exclue.
C’est un manuel précis de risk management de la sous-traitance informatique appliqué aux fonctions-clés et importantes. Il serait tout de même souhaitable que les ESAs en fassent une nomenclature sur laquelle elles se montrent hésitantes (en dehors de la liste des « fonctions-clés » de contrôle interne fixée par Solvency II) et de l’instruction de base publiée par l’ACPR en 2019-2020.
5. Projet de Normes Techniques Réglementaires (RTS) sur les tests de pénétration fondés sur la menace (TLPT).
Le texte embarrassé des ESAs montre que le projet a été conduit sous le nom de TIBER-UE par les Pays-Bas et... le Royaume-Uni sous l’égide de la Banque centrale européenne. Il a été ensuite adopté par l’Allemagne, l’Italie et l’Espagne. Le RTS ne nomme pas le TIBER, mais le décalque en pratique. La France n’a pas adopté ce projet, dans l’attente sans doute d’une décision européenne formelle et de l’opinion de l’ACPR qui, comme les autres National Supervisory Authorities, n’a pas été consultée. D’autant plus que les Banques sont soumises à des tutelles différentes selon leur taille (la Banque centrale européenne pour les plus importantes). Il faut donc définir, cas par cas, une « TLPT Authority », laquelle décidera des entités financières soumises au test, sur la base de leur « systémicité » supposée, en prenant en considération le niveau du Groupe (heureusement !). Voici donc le grand retour des entités systémiques, alors que le Financial Stability Board préfère et promeut la notion des assureurs internationalement actifs.
Le principe est celui des manœuvres militaires : une Autorité TLPT (Tiber Cyber managers au nombre de 2) surveille le processus de l’entreprise qui comprend un « blue team » (les défenseurs), une équipe de contrôle (les blancs, contrôleurs internes) et les rouges (attaquants) qui peuvent être des testeurs d’intrusion extérieurs ou internes à l’entreprise. L’avantage, dit le RTS, des testeurs d’intrusion internes est d’accroître la conscience du risque (de la menace) d’intrusion dans l’ensemble de l’entreprise. La tentation peut être forte aussi, pour des salariés indélicats, de comprendre en profondeur les failles de la sécurité informatique.
Le texte du RTS reprend ce schéma d’organisation en précisant que les entreprises sont les GSIIs et les Other Systematically Important (OSIIs) pour les banques et pour les assureurs, les entités (solos ?) qui ont reçu au cours des deux dernières années plus de 500 millions de primes, les entités qui ont reçu des primes supérieures à la moyenne de leur marché en (ré) assurance vie, en (ré) assurance non-vie, et/ou en santé, ainsi que les réassureurs pour lesquels on fait la somme des primes vie et non-vie. Enfin, on ajoute au panel les (ré) assureurs dont les actifs sont égaux ou supérieurs à 10 % de la somme totale des actifs des (ré) assureurs pratiquant ces branches d’activité. Le panel des (ré) assureurs concernés par le RTS est donc large. D’autant plus que les « Autorités TLPT » pourront désigner des entités (banques ou assurances) sur la base de critères spécifiques (part de marché spécifique, interconnectivité, complexité du modèle d’affaires, appartenance à un groupe considéré comme systémique) et, enfin, présentant des risques TIC spécifiques (dépendance à la sous-traitance, profil de risque spécifique, position dans un environnement de menaces élevées, etc.).
Le RTS prévoit une gestion de risque spécifique pour le TLPT : contrôle de la compétence des fournisseurs de menaces et des testeurs (de l’équipe « rouge »), l’équipe rouge doit avoir cinq années d’expérience et participé à cinq tests d’intrusion, et devra aussi participer à la réparation du système après test.
Avant la mise en œuvre du test, les acteurs de la « threat intelligence » (les concepteurs des intrusions) proposent des scénarios communiqués à l’équipe centrale et envoyés pour approbation à l’Autorité TLPT. L’équipe rouge fait approuver son plan d’attaque par le contrôle (les Blancs) et par l’Autorité. Le tout doit respecter le secret (dixit le texte du RTS), ce qui paraît une allégation hardie, à juger du nombre de personnes informées du plan d’attaque.
L’attaque doit durer 12 semaines et il est prévu une possibilité de suspension du test en cas de catastrophe.
Les Rouges et les Bleus échangent ensuite leurs rapports et créent ensemble une équipe « pourpre » pour tirer les conclusions et rédiger (pendant 16 semaines) un rapport de « restauration » du système remis à l’Autorité TLPT.
Le RTS prévoit une possibilité de construction d’une équipe interne à l’entreprise de testeurs « Rouge », avec la définition d’une politique de construction et de gestion de cette équipe.
Enfin, les conditions d’une gestion transfrontalière du TLPT sont prévues. Conformément aux règles de la Liberté des prestations de services, c’est l’Autorité TLPT du Siège (Home) qui assure le management du test.
Cette superbe construction bureaucratique laisse une impression d’amateurisme, comme, d’ailleurs, les organisations de manœuvres militaires dont elle s’inspire. La dangerosité de ces exercices, pilotés par des Autorités de contrôle, paraît très sous-évaluée : les acteurs de « threat intelligence » sont, si l’on comprend bien, des hackers professionnels. Un nombre important de salariés des entités vont démontrer et connaître les failles des systèmes et leurs remédiations. Les dispositions prises pour assurer le secret de ces activités et pour sélectionner les membres des équipes « Rouge », « Bleue » et même « Blanche » paraissent légères ou inexistantes. Faut-il vraiment aider les hackers existants ou en cours d’apprentissage à développer leur savoir-faire quasiment in vivo ?
6. Le projet de lignes directrices sur les échanges d’information entre les Autorités européennes et nationales de contrôle, dans le cadre de DORA.
Il s’agit des modalités de mise en œuvre du contrôle des prestataires de services TIC qui ont un caractère critique (pour l’essentiel, les prestataires de services de cloud), dit CTPP dans le texte.
Les ESAs ont établi 13 guidelines d’une impressionnante lourdeur bureaucratique :
– on établit un « guichet unique » entre les ESAs et les Autorités nationales : la communication se fait exclusivement en anglais ;
– un leader de la surveillance (Leader Overseer ou LO) est gestionnaire des délais d’action des contrôleurs ;
– les divergences de vues entre contrôleurs sont portées par le LO à l’arbitrage d’un Oversight Forum institué pour l’occasion ;
– le Forum décide de la « criticité » d’un Prestataire de services et en informe les Autorités nationales de contrôle ;
– le LO établit et transmet aux contrôleurs nationaux le plan de contrôle et l’identité des personnes chargées d’investigation ou d’inspection ;
– les Autorités prennent les mesures recommandées et en informent le LO ;
– le LO informe les Autorités nationales des incidents concernant le CTPP, des changements de stratégies, des risques émergents, des mesures prises par des clients du CTPP qui ne sont pas soumis à DORA ;
– les Autorités communiquent les mesures prises aux clients du CTPP, et le LO est responsable de l’implantation des recommandations faites par le CTPP ;
– divers échanges sont prévus entre le LO et les Autorités en cas de non-application des recommandations : mauvaise mise en œuvre, non suivi des recommandations et explication insuffisante (explain), et non observation (non-compliance). Les Autorités peuvent déclencher les stratégies de sortie et le plan de transition des entités financières ;
– le processus de décisions de suspendre leur collaboration avec un CTPP est sous la responsabilité des Autorités nationales. Mais si plusieurs décident de se retirer, le LO informe des conséquences sur l’égalité de la concurrence (level playing field) si d’autres entités financières maintiennent leur collaboration avec le CTPP.
Ce texte de procédure a essentiellement pour objet d’affirmer le pouvoir du Lead Overseer qui n’est autre que l’ESMA, qui élargit ainsi sa maîtrise sur les autres Autorités de marché nationales. Reste à savoir si cela contribuera effectivement à mieux contrôler les opérateurs de cloud, dont l’influence dépasse depuis longtemps celle des Institutions européennes.
7. Projet de RTS sur l’harmonisation des conditions de réalisation des activités de contrôle sur les fournisseurs critiques de services TIC aux entités financières.
Il s’agit de mettre en œuvre le contrôle préalable à l’octroi à un CTPP de la qualité de « critique ». L’information que doit souscrire le CTPP est assez traditionnelle et semblable mutatis mutandis aux informations demandées pour obtenir un agrément : part de marché, liste des clients, déclaration sur les possibilités de substituabilité au CTPP demandeur d’agrément (appréciation de la concurrence, en quelque sorte), stratégie d’investissement, liste et nature des sous-traitants. Ces informations sont fournies au Lead Overseer (l’ESMA) par le candidat. Le LO procède à l’analyse qui vérifie la conformité et émet éventuellement des recommandations.
Le RTS fait une liste exhaustive des informations récurrentes (périodicité à fixer par le LO) que doit fournir le CTPP « critique » au Lead Overseer : contrats, organisation interne, actionnaires et gouvernance, protection des données, localisation des data centers, les relations avec des pays tiers au titre de la protection des données (la question des États-Unis ?), le risk management, les plans de continuité d’activité, les due diligences sur les sous-traitants, les tests sur la fourniture de services, les tests de « résilience », les contrôles sur fit & proper des dirigeants et fonctions-clés, les plans de formation, les ressources humaines et financières et plus « si affinités » ou nécessité. Les contrats entre le CTPP et les entités financières sont déclarés dans un état spécifique (template).
Les plans de sauvetage (remédiations plans) doivent être soumis au Lead Overseer. Un template est prévu pour la déclaration des contrats de sous-traitance du CTPP.
Il reste aux Autorités de contrôle à vérifier l’application des mesures imposées par le Lead Overseer. Il leur revient aussi de mesurer le risque auquel sont exposées les entités financières de leur juridiction, du fait de leur recours à des CTPP.
Ainsi se trouve « bouclé » le système de contrôle par l’ESMA des prestataires critiques de service TIC. Restera à tester l’efficacité de ces épais dossiers d’information, dont l’analyse va requérir à l’ESMA et dans les Autorités de contrôle nationales un considérable renforcement de compétences.
L’ACPR attire l’attention sur la pratique de l’externalisation de fonctions, – démarche ancienne dans l’assurance –, pour des raisons de gestion des coûts (les activités sous-traitées sont réputées moins coûteuses que les activités internalisées) et la nécessité de « recentrer » les moyens de l’entreprise sur le « cœur du métier ».
Le Règlement DORA, sur la protection des Institutions financières contre le risque cyber, prévoit les conditions dans lesquelles les « fonctions importantes ou critiques » peuvent être sous-traitées.
L’ACPR donne une définition des fonctions importantes ou critiques : ce sont les « fonctions-clés » de Solvency II (fonctions de contrôle : gestion des risques, actuariat, « compliance » et audit interne), et les fonctions qui ont un impact significatif sur le fonctionnement de l’entreprise, et dont le mauvais fonctionnement pourrait faire courir un risque de retrait d’agrément.
L’organisation de la sous-traitance est rappelée : écrire une politique de définition des fonctions sous-traitées et une procédure de sélection du sous-traitant, et assurer l’information de l’ACPR. Ces étapes sont généralement menées à bien. En revanche, l’ACPR note que le contrat avec le sous-traitant est parfois manquant, souvent incomplet (défaut de dispositions sur le préavis). Quant au choix du sous-traitant, l’appréciation du risque de concentration de nombreux donneurs d’ordres sur un même sous-traitant, est insuffisante. La politique écrite ne prévoit pas de solution en cas de rupture du contrat avec le sous-traitant (modalités de ré-internalisation de l’activité). Dans plus d’un tiers des cas étudiés, le plan de continuité d’activité de l’entreprise n’intègre pas les questions de sous-traitance. Enfin, et surtout, la résiliation/la sortie d’un contrat de sous-traitance avec un sous-traitant (TPPs) critique au sens de DORA (prestataires de services de cloud par exemple) n’est pas correctement préparée et étudiée.
L’ACPR insiste, à juste titre, sur la préparation encore insuffisante des entités d’assurance à l’application du règlement DORA.
Les Autorités de contrôle ont mené une campagne de recherche d’information sur le développement des Big Tech (Apple, Amazon mais aussi Tesla et Orange) dans le domaine financier afin d’en déterminer les risques et opportunités. Sans surprise, il s’agit aussi de savoir comment ces structures (qui ne paraissent pas très spécifiques) pourraient être contrôlées, préoccupation majeure des ESAs.
Les Big Tech, définis largement au-delà des GAFAM et BATX, en ajoutant Docomo, Rakuten et Samsung notamment, ainsi que Tesla, Uber et Vodafone, ont développé des filiales dans les organismes de paiement, la monnaie électronique et le secteur des assurances. Pour cette profession, l’analyse a retenu Tesla Insurance (Malte), Vodafone (Malte), deux intermédiaires : Amazon EU à Luxembourg et Apple distribution en Irlande, et Orange Slovensko en Slovaquie, qui est également un intermédiaire. On notera, ce que ne font pas les ESAs, que ces filiales sont délibérément implantées dans des pays de l’Union connus pour leur laxisme régulatoire et fiscal. Le Rapport développe l’analyse d’une pratique de vente de produits en marque blanche, dont on perçoit mal la conclusion. Les Big Tech semblent acquérir, auprès d’institutions financières, des produits financiers pour les distribuer sous leur marque, évidemment très populaire. Ils ne sont donc pas concepteurs ou fabricants de ces produits, ce qui semble poser la question de l’application de la DDA.
Les risques et opportunités de ce (petit) déploiement des Big Tech dans l’assurance sont toujours les mêmes : la sécurité cyber, le risque de réputation, l’usage abusif des données et le risque de mauvaise gestion de celles-ci, « l’exclusion financière » qui résulterait de méthodes de tarification agressive, l’inégalité de concurrence pouvant constituer une menace pour la stabilité financière (c’est assez exagéré) et le pouvoir de marché sur certains segments, du fait de la concentration des acteurs et de leur taille. Tout cela est en réalité traditionnel et peu convaincant. En 20 ans, les Big Five n’ont pas clairement indiqué que la banque et l’assurance figuraient dans leur marché cible.
La question de la « supervision » est évidemment centrale puisqu’il est affirmé que la stabilité financière pouvait être menacée. Les questions de supervision tiennent au caractère transfrontalier des opérations et à la mauvaise circulation de l’information entre Autorités de contrôle, à la mauvaise visibilité sur les connections financières intra-groupe, aux difficultés du contrôle d’activités relevant de disciplines (banque/assurance/industrie, etc.) différentes et, enfin, à la mauvaise compréhension par les contrôles du fonctionnement de la vente de produits en « marque blanche » (pourtant bien connue sur les marchés d’assurance !).
Quant aux solutions, la seule qui émerge de ce discours confus est la nécessité d’établir une nouvelle catégorie spécifique d’entités pour réaliser une approche au niveau du Groupe Big Tech, faute de base juridique du contrôle dans la Directive conglomérat. Il faudrait donc établir un contrôle global des Big Tech pour contrôler leurs modestes filiales bancaires ou d’assurances. La probabilité de succès est plus que modeste. D’autant que la justification de cette extension du contrôle par l’égalité de la concurrence (le level playing field) paraît très incertaine.
La conclusion des ESAs elles-mêmes est désabusée. La perspective de développement des Big Tech dans l’activité financière est faible. C’est malheureusement un pur constat et non une analyse des causes : faible marge/intensité du capital à mobiliser. Quant aux solutions, elles sont clairement disproportionnées à la taille du problème.
Il s’agit de l’organisation des contrôles sur les futurs fournisseurs de services informatiques sous-traitants des entreprises financières (les CTPP), dès lors que ceux-ci auront été désignés comme « critiques ».
L’exposé des motifs développe le rôle du Lead Overseer (qui est une des trois Autorités européennes), d’une équipe conjointe de contrôle et d’un Oversight Forum, sorte de Commission consultative. Il s’agit aussi d’analyser et de vérifier le niveau de criticité des CTPP qui sont dans le domaine du contrôle. Le RTS esquisse les procédures de contrôle et traite – inévitablement – des conflits d’intérêts.
Le RTS définit les tâches de l’équipe de contrôle. Celui-ci « assiste » le Lead Overseer dans son analyse du CTPP, recueille l’information, mène les investigations générales, les inspections, rédige les projets de recommandations au CTPP, analyse les plans de corrections ou mises en place par le CTPP, développe le benchmarking.
Le Lead Overseer définit la composition du Comité et obtient des Autorités nationales qu’elles nomment les membres (et donc les choisissent) sur la base de leurs compétences, dûment vérifiées par les Autorités nationales. Les membres sont choisis sur la base de leurs compétences, dans une perspective de stabilité de la composition du Comité : en fonction aussi de leur appartenance à un État membre où s’exerce l’activité du CTPP et leur connaissance des types d’entités qui recourent aux services du ou des CTPP qui sont dans le domaine de contrôle du Comité. Le RTS recommande aussi de constituer une équipe dotée de compétences multisectorielles. Le renouvellement dans les fonctions est fondé sur l’appréciation des résultats.
Cette construction bureaucratique a, pour seul objectif, d’affirmer la responsabilité de la conduite des contrôles au profit du Lead Overseer, qui est une des Autorités européennes (ESAs).
Depuis 2018, l’ACPR a invité les assureurs français à identifier, clarifier et modifier les contrats qui contiennent des « garanties silencieuses » (non explicites) du risque cyber. Elle a développé une deuxième enquête en 2023 dont les conclusions sont relativement positives. L’identification des contrats imprécis sur les garanties, « donc contenant des garanties silencieuses » et la renégociation/clarification de ces contrats, paraît avancée, quoiqu’inachevée. Cela étant, les assureurs ne semblent pas « maîtriser l’exposition financière » provenant des garanties et contrats réexaminés. Plus généralement, l’ACPR semble indiquer que c’est l’ensemble de la portée des garanties cyber qui n’est pas aujourd’hui solidement évaluée, notamment en ce qui concerne les risques systémiques. La situation n’est donc stabilisée que pour le passé et les contrats anciens, dont la conclusion précédait la « vague » des sinistres cyber. Pour la période actuelle et les contrats spécifiques, la maîtrise financière du risque est considérée comme encore insuffisante.
Ce Rapport annuel donne quelques informations utiles sur la perception du risque cyber par les entreprises clientes des assureurs.
L’AMRAE constate une baisse de 46 % du montant global des sinistres cyber enregistrés, baisse généralisée à toutes les tailles d’entreprises, et notamment une baisse de 48 % des montants enregistrés par les grandes entreprises.
Le montant des primes s’élève à 328 millions d’euros dont 263 millions d’euros pour les grandes entreprises, en faible augmentation sur 2022, voire en légère baisse pour les grandes entreprises. Ce qui fait dire à l’AMRAE que le marché est « mature », quoique « fragile » (en attendant la reprise de la sinistralité sur les grandes entreprises, toujours possible).
Le nombre des entreprises assurées évolue dans le sens d’une meilleure mutualisation du risque : il est stable pour les grandes entreprises, mais augmente de 47 % pour les entreprises de taille intermédiaire et de 194 % pour les entreprises moyennes.
Les taux de primes pour les grandes entreprises sont en légère baisse, malgré l’augmentation de capacité reconnue. Les entreprises de grande taille continuent de gérer leur assurance cyber sur une base budgétaire (maintenir le coût au risque d’accroître l’exposition au risque).
La sévérité des sinistres serait en baisse en 2023, en montant et en fréquence, notamment parce qu’aucun sinistre XXL (de 10 à 40 millions de coût) n’a été enregistré en 2023, mais la baisse de sévérité est également sensible pour les entreprises intermédiaires, moyennes et petites.
Quant à l’avenir, l’AMRAE considère que le marché reste en développement (quoique moins fortement que dans la période antérieure), mais « volatil ». Les grandes entreprises gèrent « budgétairement » leurs risques et attendent la poursuite de « l’assouplissement » du marché (baisse de taux et augmentation des capacités). Les ETI et PME voient des perspectives de baisse des taux de primes qui seraient un facteur d’augmentation du nombre d’assurés, améliorant la mutualisation.
L’Association consent qu’il reste un potentiel d’augmentation de la souscription auprès des entreprises intermédiaires.
Au total, et assez prudemment, l’AMRAE considère que la stabilisation ou la maturité du marché dépendra de l’évolution de la fréquence et de la gravité des sinistres sur les grandes entreprises dans les prochaines années.
Ce document n’a pas de contenu proprement assurantiel, mais il analyse les contextes de la cyber sécurité et, à ce titre, constitue une aide majeure à l’identification du risque et donc à la souscription.
1. Le contexte juridique est complexe. Les réglementations et les organismes sont multiples : European Electronic Coopération Code ; les deux Directives NIS (Network and Information Security), la Directive sur la résilience des entités critiques, l’analyse du risque sur la cyber sécurité 5G, le Cyber Security Act, le Cyber Resilience Act (soumis au « trilogue » en 2023), le Cyber Solidarity Act.
2. Les acteurs de la menace sont les États, les mafias du crime cyber organisé, les « hacktivistes » et les « insiders ». Les modes d’attaques recensés sont plus largement développés que dans les nomenclatures assurantielles : virus et ransomwares, attaques sur la chaîne d’approvisionnement, attaque sur des fournisseurs de services, intrusion dans les réseaux, Distributed Denial of Services (DDOS), attaques physiques et sabotage, interférence des États Nations sur des fournisseurs, attaques sur des interconnexions, coupures de courant électrique affectant les réseaux et les infrastructures, câbles sous-marins, menaces provenant d’insiders (cela désigne les salariés et sous-traitants de l’entité victime de l’attaque).
3. Les vulnérabilités sont clairement désignées : les équipements des réseaux, le protocole d’acheminement et d’interconnexion, le management et la gestion des réseaux, les équipements des utilisateurs (Internet des objets, la pratique du Bring Your Own Device), les infrastructures physiques (câbles sous-marins), la dépendance à l’égard des fournisseurs de Software et de réseaux, la dépendance aux fournisseurs d’électricité, la dépendance à l’égard de l’expertise technique. Le Rapport souligne les vulnérabilités de secteurs qui diffusent le risque : les services d’urgence, le paiement digital, la sécurité nationale, les secteurs de la santé.
4. Sur cette base, le Rapport détaille des scénarios de risques :
– les scénarios de risque de haut niveau : attaque de ransomware (exemple NotPetya) pour causer une forte et ample interruption des réseaux ; attaque sur les fournisseurs pour obtenir l’accès à l’infrastructure des opérateurs ; intrusion sur un réseau pour préparer de futures attaques cyber ; interférence d’un tiers sur un fournisseur ou gestionnaire de câbles sous-marins (action d’un État, espionnage ou pression pour obtenir des informations sensibles) ; DDOS pour provoquer une panne importante du réseau (crise économique) ; sabotage/attaque sur des infrastructures digitales ; attaque pour intercepter les communications et géolocaliser une ou des personnes cibles ;
– les scénarios de risque moyen/élevé : attaque sur les codes pour obtenir un accès à d’autre systèmes dans des secteurs critiques ;
– les scénarios à risques modérés sont les pannes de courant régionales ;
– les scénarios à bas niveau de risque : attaque d’interconnexion pour créer une panne de réseau.
5. Le Rapport fournit enfin une liste serrée de recommandations :
– stratégiques : vérifier la résilience des communications internationales (les câbles sous-marins, les satellites) en désignant une Autorité responsable dans chaque pays ; analyser la criticité, la résilience et la duplication des infrastructures majeures ; vérifier l’implantation de la « boîte à outils » européenne, pour la 5G en particulier ; assurer la transparence (le contrôle ?) des fournisseurs pour les réseaux fixes, la fibre, les câbles sous-marins et en avoir une cartographie ; impliquer les secteurs dans les exercices cyber et assurer leur collaboration opérationnelle ; améliorer la prise de conscience des menaces ; financer les mesures de protection cyber ; échanger les bonnes pratiques sur la gestion des attaques physiques des infrastructures ; étendre le stress-testing des infrastructures critiques aux infrastructures digitales ;
– techniques : mettre en place la « boîte à outils » européenne ; échanger les bonnes pratiques pour la détection des attaques, de signalement d’une attaque de grande ampleur ; échanger les bonnes pratiques sur les attaques des codes d’identification à deux facteurs ; développer des lignes directrices techniques sur la sécurité des « home routers » (gestionnaires domestiques d’Internet) ; développer les bonnes pratiques sur le blocage des attaques cyber par les opérateurs ; échanger des bonnes pratiques pour lutter et diminuer l’impact des attaques par voie de « Denial of Services » ; développer les bonnes pratiques pour la protection des câbles sous-marins et pour les réseaux de satellites ; accroître la prise de conscience des besoins de sécurité du « Border Gateway Protocol » et la transmission des informations sur Internet.
Ce texte remarquable rassemble une somme considérable d’informations pour la gestion du risque cyber et doit inspirer la partie « réseau » des expertises pré-souscription des assureurs de ce risque.
13. INVESTISSEMENT DURABLE,
RÉGLEMENTATIONS ESG
L’instruction de l’ACPR n° 2024-I-01 du 10 janvier 2024 abroge et remplace l’instruction n° 2022-I-24 du 14 décembre 2022 relative aux documents annuels à communiquer par les organismes d’assurance et les organismes de retraite professionnelle supplémentaire assujettis aux dispositions de l’article 29 de la loi n° 2019-1147 relative à l’énergie et au climat et aux dispositions de l’article 4 du règlement (UE) 2019/2088 du Parlement européen et du Conseil du 27 novembre 2019 sur la publication d’informations en matière de durabilité dans le secteur des services financiers.
Cette nouvelle instruction reprend et précise les modalités techniques prévues dans l’instruction n° 2022-I-24 concernant la remise par les organismes assujettis du rapport annuel prévu au V. de l’article D. 533-16-1 du Code monétaire et financier portant sur les informations relatives aux critères environnementaux, sociaux et de qualité de gouvernance. Cette instruction est entrée en vigueur au lendemain du jour de sa publication.
Dans un article du 15 février rédigé par Géraldine Dauvergne, L’Argus signale que le secteur des assurances est soumis à une obligation de reporting extra-financier comme 45 000 entités européennes conformément à directive Corporate Sustainability Reporting Directive – (CSRD) Cette directive fait suite à la Non-Financial Reporting – (NFRD) actuellement en vigueur. Il s’agit de parvenir à la neutralité carbone en 2050. Pour y parvenir l’EFRAG, groupe consultatif sur l’information financière en Europe, a produit 12 indicateurs (ESRS) relatifs aux données ESG et établi des standards de reporting financier. Elle a recommandé aux sociétés financières de suivre le protocole Partnership for Carbon Accounting Financials (PCAF) pour rapporter sur leurs émissions de gaz à effet de serre (GES). L’ESRS 1 a pour objet le dérèglement climatique et fait obligation aux entreprises assujetties de publier un plan de transition. L’EFRAG, constatant l’inadéquation de cette norme au secteur assurantiel a décidé de la revoir, des indicateurs spécifiques pour déterminer les émissions de GES des assureurs sont prévus.
Un standard international le GHG Protocol classe les sources d’émission en trois catégories :
– les émissions directes provenant des installations contrôlées par l’entreprise (scope 1) ;
– les émissions indirectes associées à l’énergie non produite sur place mais importée par l’organisation (scope 2) ;
– les émissions indirectes provenant de la chaîne de valeur amont et aval, hors du contrôle de l’entreprise (scope 3).
Les émissions relevant du scope 3 représentent la majeure partie de l’empreinte carbone d’une organisation, pour les institutions financières sont comprises les émissions indirectes des entreprises financées. Devant la difficulté pour les assureurs de quantifier les émissions du scope 3 elles ont été retirées du reporting CSRD. Quant au standard de reporting prévu par le PCAF il ne couvre qu’une partie de l’activité de souscription des entités d’assurance et laisse de côté le secteur de la réassurance. Que doivent faire les assureurs et réassureurs pour l’année 2024 ? Question ouverte.
Le 23 février 2022, la Commission européenne avait présenté la proposition de directive sur le devoir de vigilance des entreprises en matière de durabilité, dite « CSDDD » (corporate sustainability due diligence directive) ayant pour objectif d’obliger les entreprises européennes à mener des opérations de « diligence requise » (ou due diligence) sur leur chaîne d’activité, afin d’identifier, de prévenir et de remédier aux incidences négatives pour les droits humains et environnementaux.
Adoptée à son tour par le Parlement européen en avril 2023, ce texte a donné lieu à de longs débats jusqu’à l’accord du 13 décembre dernier dans le cadre du trilogue institutionnel. Cet accord limitait son application aux entreprises européennes de plus de 500 salariés (contre 250 auparavant) et dont le chiffre d’affaires était supérieur à 150 M€. Les entreprises non européennes réalisant un chiffre d’affaires supérieur à 300 M€ sur le territoire de l’Union européenne devaient être aussi concernées (cf. chronique réglementaire n° 27).
Le vote final par le Parlement européen n’est intervenu que le 24 avril 2024 à la suite de nouvelles tractations dans le cadre du compromis du 15 mars dernier entre les États membres du Conseil européen lequel a réduit le périmètre des entreprises soumises aux nouvelles obligations. Seules celles de plus de 1 000 salariés sont concernées (contre 500 auparavant) et à partir de 450 M€ de chiffre d’affaires réalisé à l’échelle mondiale pour les entreprises européennes et à l’échelle européenne pour les entreprises non européennes. S’y ajoutent aussi les franchises dans l’UE réalisant un chiffre d’affaires mondial supérieur à 80 M€ si au moins 22,5 M€ ont été générés par des redevances. Au total, 5 300 entreprises sont donc ciblées au lieu de près de 15 000 dans la directive initiale.
La directive en date du 13 juin 2024 a été publiée au JOUE du 5 juillet 2024. Entrée en vigueur le 22 juillet 2024, elle s’appliquera progressivement, d’abord à partir de 2027 aux entreprises de plus de 5 000 salariés et de 1 500 M€ de chiffre d’affaires, puis en 2028 aux entreprises de plus de 3 000 salariés et de 900 M€ et enfin en 2029 à l’ensemble des entreprises concernées.
Cette directive s’inspire directement de la loi française du 27 mars 2017 qui a instauré un devoir de vigilance. Son champ d’application est toutefois beaucoup plus large. Rappelons que la loi française ne s’applique qu’aux entreprises qui emploient 5 000 salariés dont le siège social est en France et aux entreprises de plus de 10 000 salariés en France et à l’étranger dont le siège social est à l’étranger. De plus, alors que la loi de 2017 ne vise que les entreprises mères et les sociétés donneuses d’ordre, la directive couvre plus d’entités puisqu’elle englobe
les entreprises en ce qui concerne leurs propres activités, les activités de leurs filiales et les activités de leurs partenaires commerciaux directs et indirects tout au long de leur chaîne d’activités, de la production de biens ou la fourniture de services en amont, à la distribution, au transport ou au stockage des produits en aval.
Pour les entreprises financières réglementées, la définition du terme « chaîne d’activités » n’inclut pas les partenaires commerciaux en aval qui reçoivent leurs services et produits. Par conséquent, seule la partie en amont de leurs chaînes d’activités est couverte par la présente directive, et non la partie en aval.
Bien que ces entreprises ne soient soumises à des obligations relatives au devoir de vigilance que pour la partie en amont de leurs chaînes d’activités, les spécificités des services financiers ainsi que les principes directeurs à l’intention des entreprises multinationales donnent des indications sur les types de mesures qu’il est approprié et efficace que les entreprises financières prennent dans le cadre des procédures de vigilance. Comme le soulignent également les principes directeurs à l’intention des entreprises multinationales, les spécificités des services financiers doivent être prises en compte. Les entreprises financières réglementées sont censées tenir compte des incidences négatives et « user de leur influence » auprès des entreprises. L’exercice des droits des actionnaires peut être un moyen d’exercer un effet de levier.
Dans les meilleurs délais après la date d’entrée en vigueur de la présente directive, et au plus tard deux ans après cette date, la Commission devrait également présenter au Parlement européen et au Conseil un rapport sur la nécessité de fixer des exigences supplémentaires relatives au devoir de vigilance en matière de durabilité qui soient adaptées aux entreprises financières réglementées en ce qui concerne la fourniture de services financiers et d’activités d’investissement, ainsi que les options de ces exigences relatives au devoir de vigilance et leurs incidences, conformément aux objectifs de la présente directive, tout en tenant compte d’autres actes législatifs de l’Union qui s’appliquent aux entreprises financières réglementées. Ce rapport devrait être accompagné, le cas échéant, d’une proposition législative.
Concernant le devoir de vigilance, la directive impose aux entreprises de veiller à ce que les obligations en matière de droits de l’homme et d’environnement soient respectées tout au long de leur chaîne d’activités. Si un manquement à ces obligations est constaté, les entreprises devront prendre les mesures appropriées pour prévenir, atténuer, supprimer ou réduire le plus possible les incidences négatives découlant de leurs propres activités, de celles de leurs filiales et de celles de leurs partenaires commerciaux dans leur chaîne d’activités. Les entreprises peuvent être tenues responsables des dommages causés et devront assurer leur réparation intégrale.
À noter que la proposition d’instaurer un devoir de vigilance obligatoire pour les entreprises opérant dans les secteurs où les risques d’atteinte aux droits humains et environnementaux sont fréquents (industrie textile, agriculture, sylviculture et pêche, agroalimentaire, activités minières et secteur de la construction) dite approche par secteurs à haut risque a été supprimée. N’a également pas été retenue l’obligation pour les entreprises de s’assurer du respect des droits sociaux et environnementaux sur l’aval de leur chaîne de valeur.
Les entreprises n’auront pas l’obligation d’engager les moyens pour faire face aux risques climatiques mais seulement d’adopter et mettre en œuvre un plan de transition climatique conformément à l’accord de Paris sur le changement climatique.
La présente directive ne devrait pas exiger des entreprises de garantir, en toutes circonstances, que des incidences négatives ne se produiront jamais ni qu’il y sera mis fin. Ainsi, en ce qui concerne les partenaires commerciaux, avec lesquels l’incidence négative est la conséquence d’une intervention de l’État, l’entreprise peut ne pas être en mesure de parvenir à de tels résultats. Par conséquent, les principales obligations figurant dans la présente directive constituent des obligations de moyens.
Les entreprises devront prendre les mesures adéquates permettant d’atteindre les objectifs liés au devoir de vigilance en remédiant efficacement aux incidences négatives, d’une manière proportionnée au degré de gravité et à la probabilité des incidences négatives. Il y a lieu de tenir compte des circonstances de l’espèce, de la nature et de l’étendue de l’incidence négative et des facteurs de risque pertinents, y compris, dans le cadre de la prévention et de l’atténuation des incidences négatives, des particularités des activités commerciales de l’entreprise et de sa chaîne d’activités, du secteur ou de la zone géographique servant de cadre aux activités de ses partenaires commerciaux, de la capacité de l’entreprise à influencer ses partenaires commerciaux directs et indirects, mais aussi de la question de savoir si l’entreprise pourrait accroître son pouvoir d’influence.
Le processus de vigilance doit couvrir les six mesures définies par le guide sur une conduite responsable des entreprises, qui comprennent des mesures de vigilance permettant aux entreprises de recenser les incidences négatives sur les droits de l’homme et l’environnement et d’y remédier.
Ce processus comporte les étapes suivantes :
1) intégrer le devoir de vigilance dans les politiques et les systèmes de gestion des risques pertinents ;
2) recenser et évaluer les incidences négatives sur les droits de l’homme et l’environnement ;
3) prévenir, supprimer ou réduire au minimum les incidences négatives réelles et potentielles sur les droits de l’homme et l’environnement ;
4) contrôler et évaluer l’efficacité des mesures ;
5) communiquer ;
6) réparer tout préjudice en résultant.
La politique en matière de devoir de vigilance doit être élaborée après concertation avec les salariés de l’entreprise et leurs représentants. Elle doit contenir une description de l’approche de l’entreprise, y compris à long terme, en matière de devoir de vigilance, un code de conduite décrivant les règles et principes à suivre dans l’ensemble de l’entreprise et de ses filiales, et par les partenaires commerciaux directs ou indirects de l’entreprise ainsi qu’une description des procédures mises en place y compris les mesures prises pour vérifier le respect du code de conduite et étendre l’application de ce code aux partenaires commerciaux.
Dans le cadre de l’obligation de vigilance, compte tenu des facteurs de risque pertinents, les entreprises doivent cartographier leurs propres activités, celles de leurs filiales et, lorsqu’elles sont liées à leurs chaînes d’activités, celles de leurs partenaires commerciaux afin de recenser les domaines généraux dans lesquels les incidences négatives sont les plus susceptibles de se produire et d’être les plus graves. Sur la base des résultats de cette cartographie, elles doivent procéder à une évaluation.
Lorsqu’il n’est pas possible de prévenir, d’atténuer, de supprimer ou de réduire au minimum toutes les incidences négatives recensées simultanément et dans leur intégralité, les entreprises les hiérarchisent selon la gravité et la probabilité en vue de leur traitement.
Les entreprises doivent prendre les mesures appropriées pour :
– prévenir ou, lorsque la prévention n’est pas possible ou pas possible dans l’immédiat, pour atténuer de manière adéquate les incidences négatives potentielles qui ont été ou auraient dû être recensées ;
– mettre un terme aux incidences négatives réelles qui ont été ou auraient dû être recensées. Lorsqu’il n’est pas possible de mettre un terme à l’incidence négative immédiatement, les entreprises doivent réduire au minimum l’ampleur de cette incidence.
Concernant la réparation, lorsqu’une entreprise a causé, seule ou conjointement, une incidence négative réelle, elle y apporte réparation. Lorsque l’incidence négative réelle est causée uniquement par le partenaire commercial de l’entreprise, l’entreprise peut apporter réparation à titre volontaire. L’entreprise peut également utiliser sa capacité à influencer le partenaire commercial qui cause l’incidence négative pour y apporter réparation.
Même si le texte finalement adopté est en retrait par rapport aux engagements pris par les institutions européennes en décembre dernier, il est beaucoup plus ambitieux que la loi française actuelle.
La transposition en droit français devra intervenir d’ici le 26 juillet 2026 ce qui nécessitera dans la pratique de réviser assez profondément la loi de 2017 afin de la mettre en adéquation avec la présente directive et les actes délégués qui seront adoptés ultérieurement par la Commission européenne.
Il s’agit d’organiser – de réglementer – l’activité des organismes (Agences) qui confèrent des notations aux entreprises au titre de leur conformité aux objectifs ESG.
Dans les considérants (ou attendus), la Commission rappelle l’importance de ces notations pour les entreprises qui les sollicitent, dès lors que cette notation est destinée à la publication. La nécessité de légiférer résulte de la nécessité d’assurer le bon fonctionnement du marché intérieur, en évitant les divergences de niveau d’exigences des réglementations nationales. On exclut les notations internes, qualifiées curieusement de « privées » et les notations élaborées par des Autorités publiques nationales ou européennes. Le régime juridique, créé par le Règlement, s’appliquera aussi aux organismes de notation des pays tiers qui pourront bénéficier d’un agrément, comme les notateurs européens, sur la base d’un régime d’équivalence, d’avalisation ou de reconnaissance, les uns activés par la Commission, et l’avalisation par l’intermédiaire d’un notateur agréé dans l’Union européenne.
Les considérants développent l’obligation de méthodes de notation rigoureuses, systématiques, objectives, continues et soumises à validation. Les méthodes de notation doivent être publiées et doivent justifier de l’établissement de la célèbre « double matérialité ». Les obligations des Agences de notation portent sur la divulgation d’éventuels conflits d’intérêts, les garanties d’indépendance, l’absence de prestations de service de conseil, d’audit et de notation de crédit effectuées par cette même Agence, et la mise en place d’un contrôle interne.
Le Règlement pose le principe d’un agrément européen délivré par l’ESMA (Agence européenne des marchés financiers), qui définira les conditions de l’agrément et reçoit les pouvoirs nécessaires pour obtenir et contrôler les informations pertinentes. L’ESMA facturera des frais et pourra prononcer des astreintes et des sanctions financières (amendes).
Le texte reprend l’objectif de renforcer l’intégrité, la transparence, l’indépendance et la bonne gouvernance des Agences. Il insiste sur l’objectif de lutter contre le « blanchiment », sans doute l’écoblanchiment (greenwashing) et, plus spécifiquement, le « blanchiment social ». On retrouve les concepts développés dans les textes disclosure, taxonomie, CSRD et dans les normes EFRAG. L’article 2 souligne que ce Règlement s’applique aux institutions financières, notamment aux entreprises d’assurance et de réassurance, et aux diverses institutions de retraite, y compris celles qui relèvent de la Sécurité sociale, les OPCVM, les entités de titrisation et les prestataires de crypto-actifs notamment.
Le Règlement détaille les modalités de la procédure d’agrément et des procédures d’octroi d’équivalence, d’avalisation et de reconnaissance par l’ESMA, laquelle tient un registre des notateurs, consultable sur le point d’accès unique (ESAP) dont la mise en place est prévue pour 2028.
Le texte développe les conditions d’appréciation de l’intégrité et de la fiabilité des Agences : politiques écrites, méthodes « validables » de notation, contrôle interne, séparation d’avec les activités « commerciales » (conseil, audit, benchmark), transparence des modèles et des méthodes (publication sur le web). La question des « conflits d’intérêts » est amplement développée, notamment en ce qui concerne les salariés des Agences (pas de négociation autorisée avec les entités « notées » !), confidentialité et même fixation pour l’ex-salarié du délai de viduité à 6 mois, avant de rejoindre une position salariée dans une société « notée », ainsi que l’organisation de whistleblowing. L’ESMA est chargée de vérifier la solidité de la gouvernance et l’absence de conflits d’intérêts. Mais elle ne peut évidemment intervenir sur le contenu de la notation.
L’ESMA s’appuie sur des Autorités nationales de contrôle dont on ne voit pas clairement le rôle, puisque l’ESMA a des pouvoirs de demande d’information, d’enquête générale, de contrôle sur place, de sanctions et notamment de retrait d’agrément, d’astreintes et d’amendes, directement, semble-t-il, sur les Agences de notation. Il est dit seulement qu’elle peut déléguer des travaux aux Autorités nationales compétentes et réagir à leurs demandes de notifications et de suspensions. Bien évidemment, la Commission a prévu des procédures préalables aux sanctions avec les Agences et la possibilité d’appel à la Cour de Justice.
C’est encore une solide pièce de réglementation bureaucratique pour réglementer des Agences de notation ESG qui existent à peine.
L’EFRAG a publié la liste des points d’information qui figurent dans les standards ESRS « non sectoriels » et qui sont aujourd’hui imposés aux entreprises soumises à la CSRD au titre de leur « Rapport de durabilité ». Le texte publie aussi une sorte de concordance avec la taxonomie XBRL qui semble montrer quelques divergences.
Sous ESRS :
– 176 data points sont obligatoires hors analyse de matérialité ;
– 647 sont des data points de l’analyse de matérialité, soit au total 823 points obligatoires ;
– 279 data points facultatifs.
– 32 data points pour chaque sujet de durabilité et pour chacune des politiques, actions et objectifs (anglais : PAT), au titre des « Minimum Disclosure Requirements ».
Pour les 823 data points obligatoires :
– 466 sont « narratifs »
– 110 « semi-narratifs » (?)
– 247 sont numériques.
Sur les 32 data points afférant aux PAT :
– 20 sont « narratifs »
– 4 « semi-narratifs »
– 8 sont numériques pour chaque sujet de durabilité et pour chacune des rubriques PAT.
Ce sont les réponses de l’EFRAG aux questions des futurs rédacteurs des Rapports prévus par le CSRD sur les informations non financières. Nous ne reprenons que les questions/réponses qui nous paraissent avoir une portée générale.
Les « secteurs d’activité » que doit prendre en compte le déclarant dans ses « informations générales » à publier (ESRS 2) : un acte délégué à venir doit en faire la nomenclature.
Les mesures transitoires pour 3 ans prévues au profit des entreprises de moins de 750 salariés, concernant la biodiversité, les effectifs et l’ensemble des normes thématiques sociales (ESRS S1 à S4). Des mesures d’exemptions de déclaration sont prévues ou des mesures de simplifications portant sur la « granularité » des informations à produire. Mais ces informations doivent être néanmoins incluses dans l’analyse de matérialité. Simplification ?
Pour les questions de durabilité propres à chaque entité (entity specific matters), l’EFRAG semble renvoyer à l’adoption des normes spécifiques sectorielles (encore à l’étude). Pour l’heure, et à des fins de comparabilité des entités (le véritable objectif de la CSRD), elle suggère de se référer aux normes IFRS et aux normes sectorielles de la GRI (General Reporting Initiative).
Nombre minimal de cas à publier dans le domaine des sujets ayant un aspect matériel (au sens de l’analyse de matérialité), donc une importance reconnue. C’est à l’entreprise d’en décider et de définir pour chacun des sujets les « incidences, risques et opportunités » (IROs) à publier.
L’horizon temporel : les horizons à court, moyen et long termes sont fixés dans l’ESRS 1. L’entité peut faire valoir des exceptions dues aux caractéristiques de l’activité qu’elle exerce, mais elle devra en justifier.
L’inclusion de l’énergie nucléaire (ou de source nucléaire) dans le mix énergétique de l’entreprise. L’EFRAG rappelle l’obligation de déclarer les sources d’énergie utilisées et la nature de l’énergie (électricité, chaleur, vapeur).
L’application du Scope 3 des émissions de gaz à effet de serre (donc à l’aval de la production) pour les compagnies d’assurance. L’EFRAG rappelle qu’il faut suivre les lignes directrices des Normes du protocole GHG Scope 3 (!) quant à l’empreinte carbone de l’entreprise. La question est évidemment celle des investissements des assureurs et leur responsabilité dans le financement d’émissions de gaz à effet de serre qui doivent être publiés.
Les publications des émissions de gaz à effet de serre sont soumises à la même méthodologie pour les filiales et pour la société holding.
Des questions sont posées sur le Scope 3 GHG concernant le secteur du transport maritime : l’EFRAG confirme qu’il faut tenir compte de l’empreinte carbone du transport dans l’analyse de matérialité de la durabilité dans la chaîne de valeur.
Quant à la détermination de la notion de salariés (Own Workforce) dans l’ESRS S1 (effectifs), l’EFRAG demande que l’on se réfère à la définition légale nationale du salariat.
On ne peut se défendre de penser que cette avalanche de questions, très techniques de la part des déclarants, n’est pas habile. Les réponses de l’EFRAG à ces Q&A ont force de normes, comme c’est le cas pour les Q&A de l’EIOPA dans d’autres domaines. Faut-il ainsi se priver d’un peu de flexibilité dans des interprétations de normes, sachant qu’elles seront vérifiées par les Commissaires aux Comptes et/ou des experts indépendants et/ou les Autorités de contrôle nationales ?
Il s’agit de préciser les modalités d’analyse de matérialité sur la « chaîne de valeur » (ou de production) des entreprises soumises à la CSRD. L’analyse identifie les impacts, risques et opportunités (IROS) et organise la communication (disclosure) sur les politiques, objectifs et actions (PAT) qui sont mises en œuvre dans le cadre de cette analyse de matérialité.
1. La « chaîne de valeur » intègre la chaîne de production en amont et les entités en aval, la distribution et les clients, ainsi que les relations d’affaires indirectes et les « joint ventures ». L’objectif est d’étendre la réglementation aux sous-traitants à l’étranger, hors Union européenne, notamment en ce qui concerne les composantes sociales (salaires, conditions de travail, santé, travail des enfants et corruption). Le groupe soumis à compte rendu comprend les situations de « contrôle opérationnel » ur une entité filiale et les arrangements contractuels. Ce reporting porte aussi sur les émissions de gaz à effet de serre, la pollution de l’air, du sol et de l’eau, et la biodiversité. La notion de contrôle opérationnel est plus large que le contrôle juridique, traduit par le niveau de participation au capital. Les investissements entrent dans le calcul de l’impact et, quel que soit leur niveau en valeur pour le Scope 3 du calcul des gaz à effet de serre. L’EFRAG résume, page 13 de ses projets de « guidance », l’ensemble des composantes de ce Groupe « chaîne de valeur », indépendamment des liens capitalistiques.
Pratiquement, tous les éléments de la « chaîne de valeur » doivent donc faire l’objet du Rapport. Les obligations en matière de transition permettent de retenir une période de transition de 3 ans pour recueillir une information complète, après quoi l’information devra être exhaustive.
2. Les questions/réponses FAQ contiennent diverses précisions qui sont de même nature réglementaire que les « lignes directrices » (guidances).
Définition des limites de la « chaîne de valeur ». La réponse est illustrative : la localisation et les caractéristiques des fournisseurs au-delà de la première ligne des fournisseurs (donc, leurs sous-traitants) ; les utilisateurs des biens et services produits ; le traitement des déchets au-delà de la fin de vie des produits ; les personnes et entités qui peuvent être affectés par les produits et services. Le panorama est très large.
Pour analyser les risques et opportunités, l’entité doit estimer ses propres dépendances aux ressources naturelles, humaines et sociales, et établir les effets de sa sous-traitance (acquisitions, contrats) sur les entreprises dont elle dépend pour sa production. Les actifs financiers sont considérés comme participant à la « chaîne de valeur », au titre des « relations d’affaires » : prêts à des entreprises polluantes par exemple.
L’EFRAG rappelle les étapes de l’analyse de matérialité :
– connaître le contexte d’activité des fournisseurs (déforestation, biodiversité, pollution, usage de l’eau) ;
– identifier les IROS présents et potentiels, et leur matérialité ;
– analyser l’implication de l’entité dans la « chaîne de valeur » ;
– connaître le cycle de vie des produits.
Les questions/réponses s’étendent sur les éléments qui doivent figurer dans le rapport sur la « chaîne de valeur » (cartographie des principaux fournisseurs, de la distribution, des principaux clients). Ces informations doivent être incluses dans les descriptions par l’entité de ces politiques, actions et objectifs (acronyme anglais PAT) en particulier, la prévention de la pollution, la corruption, les droits humains fondamentaux, l’audit sur les fournisseurs à haut risque, les critères de sélection de nouveaux fournisseurs, les objectifs de recyclage et l’action en matière de décarbonation. Surtout, l’entreprise doit se justifier de n’avoir pas pris de mesures à cet égard.
Les informations sur « la chaîne de valeur » ne doivent pas, en principe, être incluses dans les « Metric Disclosures », sauf en ce qui concerne les émissions de gaz à effet de serre, les crédits carbone, le changement dans l’utilisation des terres, les obligations sociales, les accidents du travail et les « affected communities » (la déforestation, les mines).
L’EFRAG reconnaît l’existence de difficultés pour collecter l’information et admet les « efforts raisonnables », d’ailleurs longuement détaillés sans apporter beaucoup d’éclaircissements. Elle accepte l’utilisation de sources extérieures et d’estimations (notamment en provenance d’ONG).
La corruption, lorsqu’elle n’implique pas un salarié, semble pouvoir être exclue de l’analyse. Il est vrai que les preuves sont difficiles à obtenir dans nombre de pays où la sous-traitance s’exerce.
On mesure, à la lecture de cette synthèse, inégalement exhaustive, le fardeau de la construction de ce rapport sur la « chaîne de valeur ». D’autant que les Rapports CSDR devront être certifiés par des auditeurs spécialisés.
Cet important document a pour but de rapprocher les normes « comptables » de présentation des Rapports de durabilité, sachant que l’IFRS édite les normes comptables pour la plupart des grandes entreprises mondiales (hors États-Unis) et que l’EFRAG a été chargée, par la Commission européenne, de formuler les normes de présentation des informations extracomptables sur la durabilité des entreprises rendues obligatoires par la CSRD. La tentative de rapprochement ou l’effort de comparabilité des normes est donc majeure pour les entreprises assujetties à la CSRD.
1. Les obligations générales
Le point de divergence majeur est la notion de « double matérialité » dans l’objectif du Rapport de durabilité : l’ESRS promeut la matérialité financière (les investissements) et la matérialité d’impact de l’entreprise, dans ses normes ESRS. Les normes IFRS (ESSB) ne portent que sur la matérialité financière. C’est évidemment majeur et irréductible pour la Commission qui insiste partout sur l’analyse de la « double matérialité ».
Le document souligne que l’IFRS se consacre exclusivement aux questions liées au climat, tandis que l’EFRAG (ESRS) traite de sept autres sujets dans sa norme (gouvernance, social, biodiversité, économie circulaire, pollution, ressources aquatiques et marines). Cela dit, les lignes directrices notent que les entreprises peuvent considérer les normes IFRS et EFRAG comme complémentaires.
2. Les normes concernant le changement climatique
Elles sont considérées comme très proches et les lignes directrices publient sept pages de tableaux de correspondance. Les points d’attention sont détaillés.
Pour être « compliant » en IFRS lorsque l’on publie sous les normes ESRS (EFRAG), il convient de revoir le contenu du « plan de transition », en particulier de développer les multiples scénarios de changement climatique utilisés sous IFRS. Faute de normes sectorielles dans EFRAG, les normes « industry based » de l’IFRS sont utilisables. Pour les émissions de gaz à effet de serre (GES/GHG), la question du périmètre de consolidation des groupes (holding +filiales +investissements non consolidés) se pose, et l’EFRAG semble exiger un périmètre de consolidation plus large que l’IFRS. En particulier, les émissions GES qui sont réalisées par des entreprises financées par l’entité (le Scope 3) sont normées en IFRS, alors que les équivalents en ESRS (EFRAG) ne semblent pas aujourd’hui arrêtés : il faudra attendre les normes sectorielles dont l’EFRAG a retardé la publication.
En revanche, les normes paraissent proches pour la définition des « opportunités liées au climat », sur la comptabilisation des montants de capitaux déployés pour les risques et opportunités liés au climat (Capex), ainsi que sur le traitement comptable des crédits carbone.
Pour être à l’inverse « compliant » avec l’ESRS (EFRAG) lorsque la norme IFRS a été adoptée, les efforts semblent plus considérables.
Analyse de scénarios climatiques : il faut décrire les résultats des divers scénarios sur les « incidences, risques et opportunité » (ESRS 2 de l’EFRAG), et décrire celui des scénarios utilisés qui est cohérent avec les objectifs de l’Accord de Paris sur le climat.
Il faut aussi prévoir deux calculs de déconsolidation des effets des actions de limitation des émissions de gaz à effet de serre (holding, filiales et investissements).
Pour les crédits carbone, il faut vérifier l’éligibilité de ceux-ci sous EFRAG, qui ne reconnaît que les crédits carbone utilisés et refuse, par exemple, les crédits carbone constitués par les éléments de la chaîne de valeur (sous-traitant). Les crédits carbone ne peuvent être utilisés, sous EFRAG, pour atteindre les objectifs de réduction des émissions de GHG.
Quant à l’information quantitative, notamment sur les investissements, elle doit, sous EFRAG, porter sur des montants absolus (et non des fourchettes), porter sur les montants d’investissements ou d’actifs en « brut » des mesures d’adaptation ou de réduction au changement climatique. Il en est de même pour les objectifs de réduction des émissions de GES.
3. Les deux organismes publient d’abondants tableaux des insuffisances de la norme IFRS par rapport à l’EFRAG
Notons, en particulier :
– l’information sur la composition et l’information de l’AMSB sur le Rapport de durabilité et sa compétence en la matière ;
– dans la stratégie, la description des questions « potentiellement matérielles » : produits, revenus tirés des combustibles fossiles, des productions chimiques, des armes non conventionnelles et relations avec les « parties prenantes » ;
– analyse du risk management : comment l’entité donne-t-elle priorité à des risques de durabilité dans son risk management ?
Par ailleurs, les tableaux montrent les questions non traitées dans la norme IFRS : lien du calcul de la rémunération avec les objectifs de réduction des GES et contenu du plan de transition pour la réduction du changement climatique (lien avec les émissions de GES, taxonomie, Capex dans les secteurs de combustibles fossiles, benchmarks, alignement du Plan sur les stratégies et le modèle d’affaires de l’entreprise, approbation du Plan par l’AMSB). L’ensemble de la politique vis-à-vis des émissions de GES n’est pas décrit en IFRS : publication des crédits carbone et du schéma de pricing interne du carbone émis dans l’entreprise.
Enfin, certains éléments sur les risques et opportunités climatiques ne sont pas présents en IFRS : la séparation des risques extrêmes et des risques chroniques ; la distinction entre les horizons court, moyen et long ; le pourcentage des « actifs échoués » et le classement des investissements immobiliers par catégorie d’efficacité énergétique.
En résumé, et comme il fallait s’y attendre, les deux séries de normes paraissent difficilement compatibles, non seulement sur le plan conceptuel, où la matérialité financière s’oppose à la double matérialité, mais aussi dans le détail, notamment sur l’amplitude des informations exigées. On ne voit guère de réconciliation possible à un terme raisonnable.
Par ailleurs, la construction et la gestion de l’information non financière deviennent certainement une activité spécifique dans l’entreprise, et probablement une science universitaire.
Cette Directive est d’inspiration consumériste et vise (parmi d’autres) un objectif de lutte contre l’écoblanchiment, à travers un grand nombre d’interdictions ou de limitations de publications/publicités des entreprises. Elle impacte sans doute les énonciations des entreprises dans la CSRD et l’éligibilité à la taxonomie, et ouvre la voie à d’importants contentieux au titre de la R.C. des mandataires sociaux, voire de la R.C. produits, qui impliqueront les assureurs dans l’avenir.
Elle se présente comme un texte de répression des informations trompeuses, des allégations environnementales, de promotion du recyclage, de garantie des allégations sur les conditions sociales (mixité/diversité) et même... sur le bien-être animal. Elle pose le principe de la vérification par un tiers expert des « allégations environnementales » de l’industriel/prestataire de services. Elle impose la mise en place de « labels » et de certifications gouvernementales (ou par une Autorité publique) de nombreux produits, notamment des labels de développement durable. Elle impose la publication des méthodes qui justifient les comparaisons entre les produits.
À partir de là, la Directive développe une liste d’interdictions particulièrement étendue : la publicité trompeuse, les allégations environnementales génériques (le produit préserve l’environnement), ainsi que les allégations sur l’ensemble du produit ou sur l’entreprise (sauf si les allégations sont précises et vérifiables). Elle interdit aussi la publicité sur la compensation écologique pour affirmer que le produit a une incidence faible ou neutre sur l’émission de gaz à effet (eg. « neutre pour le climat »). De même, elle interdit de faire de la publicité sur l’observance des lois de l’Union européenne interdisant certains produits (néonicotinoïdes, OGM, glyphosate) sauf s’il s’agit de comparaison avec des produits importés.
La Directive consacre aussi de nombreux paragraphes à l’obsolescence programmée des produits, et les informations qui font défaut sur la mise à jour des logiciels. Elle interdit les biens qui contiennent un programme d’obsolescence ou d’interruption réduisant la durabilité, les allégations mensongères sur la durée d’utilisation ou les « conditions normales d’utilisation ». Elle interdit aussi que les produits soient présentés comme réparables (s’ils ne le sont pas !), que l’on incite à remplacer les consommables ou que l’on impose l’utilisation des consommables fournis par le producteur (sauf information préalable). Elle impose donc de donner toutes les informations sur la durabilité et la réparabilité d’un produit.
Elle charge la Commission de définir un label de durabilité, qui prolonge la garantie légale du produit et encadre la « garantie commerciale » du producteur. Elle impose une information sur le service après vente et l’indice de réparabilité des biens et/ou sur les conditions de réparation mises à disposition par le fabricant du produit.
Un considérant amusant prévoit d’informer le consommateur sur le caractère durable de la livraison du produit (le vélo-cargo est cité !).
De façon confuse, et en mêlant des sous-entendus sur l’agriculture, les téléphones portables, les ordinateurs domestiques et les appareils ménagers, ce texte instaure une police multiforme de la publicité des produits, notamment autour de la durabilité/recyclage/réparabilité des produits. Or, c’est une composante importante de l’un des objectifs de la taxonomie. Le texte va donc au-delà des préoccupations strictes de protection du consommateur et entame une démarche nouvelle de lutte contre le greenwashing dans l’ensemble de la démarche marketing. Les assureurs sont donc plus directement concernés qu’il ne pourrait sembler en première lecture : la R.C. produits, la R.C.managers sociaux, les risques de réputation peuvent être impactés par des mises en cause des « allégations environnementales mensongères » des entreprise assurées. On se souvient des difficultés de Findus et de diverses entreprises agro-alimentaires à propos de l’affaire de la viande de cheval (plus connue sous le nom de horsegate). Le respect du label durabilité/réparabilité peut être, demain, un sujet assurantiel.
Cet excellent exposé propose une vision d’ensemble de l’enchevêtrement des dispositions législatives sur le reporting extra-financier d’origine française/européenne en distinguant les obligations applicables à tous les secteurs et les réglementations spécifiques aux entreprises financières (et d’assurance).
1. Un tableau (page 14) distingue utilement :
– la période 2001-2015 : lois françaises « Nouvelles régulations économiques » (NRE) et « Loi Grenelle 2 » : impacts sociaux et environnementaux de l’activité. Puis la « Loi française de transition énergétique pour la croissance verte » (LTECV. 2015). Ces lois sont trans-sectorielles et, surtout, consacrées aux grandes entreprises.
– la période 2017-2019. La France transpose la Directive NFRD sur la publication par les sociétés cotées et non cotées des conséquences environnementales, sociales et sociétales de son activité, à partir d’un certain niveau de taille (500 salariés et chiffre d’affaires supérieur à 40 millions d’euros ou 20 millions d’euros total de bilan) pour les sociétés cotées et chiffres d’affaires supérieur à 100 millions d’euros pour les sociétés non cotées. (Déclaration de Performance Extra-Financière, DPEF). Le devoir de vigilance (et le « plan de vigilance ») est institué.
– la période 2019-2023. L’Europe adopte les Règlements « Disclosure » et « Taxonomie », puis la directive CSRD applicable en droit français par transposition. La Directive sur le devoir de vigilance CS3D est en fin de parcours d’approbation.
– les textes spécifiques applicables au secteur financier sont : le Règlement SFDR : Sustainable Financial Disclosure Regulation ; l’article 29 de la loi Energie Climat (29EC) ; alignement sur l’Accord de Paris et biodiversité ; introduction de la durabilité dans Solvency 2, dans la DDA (préférence des clients en matière de durabilité) ; loi Pacte sur l’assurance vie et les labels.
2. Les particularités de certains de ces textes :
– la DPEF est contrôlée par un organisme très indépendant et fait l’objet d’un contrôle limité des Commissaires aux Comptes (présence des informations) ;
– le Rapport « Taxonomie » est dû par les entreprises soumises à la NFRD : contrôle limité des Commissaires aux Comptes dans le cadre de la CSRD ;
– le Rapport SFDR est contrôlé par l’ACPR, il contient notamment les Principales Incidences Négatives (PAI) et les caractéristiques « Do Not Significantly Harm » (DNSH). Il répond au principe de la « double matérialité » ;
– le Rapport LEC29 est contrôlé par l’ACPR (voir Rapport Analyse et Synthèse dans la présente chronique). L’exposé de l’Institut des Actuaires montre bien les difficultés de mise en cohérence du Rapport LEC29 et les autres textes applicables, notamment en ce qui concerne la stratégie d’investissement et la gestion des risques ;
– la CSRD institue une section spécifique du Rapport de gestion, il est donc soumis au contrôle des Commissaires aux Comptes (« assurance limitée ») ou d’un organisme tiers indépendant. Le rapport devrait remplacer la DPEF. Il est établi sur la base des normes EFRAG, en particulier 2 groupes de normes transversales (générales) ESRS 1 et ESRS 2 (principes généraux/informations générales), 5 normes thématiques environnementales, 4 normes thématiques « sociales », 1 norme thématique sur la gouvernance ;
– l’exposé de l’Institut rappelle les 6 notions structurantes des normes EFRAG et donc de la CSRD : la double matérialité, les « parties prenantes », l’étude de l’importance de l’impact (matérial assessment), la « diligence raisonnable », l’analyse des chaînes de valeur (amont et aval), les horizons temporels ;
– cet exposé est enfin consacré aux liens complexes entre la CSRD, la taxonomie et le SFDR et la transition (possible ou probable ?) entre l’actuelle DPEF (désormais intégrée dans la nouvelle CSRD) et la LEC29. Il ne peut cacher qu’il serait temps d’établir une règle unique et montrer l’intégration dans la CSRD (et donc dans le SFDR) des obligations issues de la LEC29 et des Règlements « Disclosure » et « Taxonomie ».
Il s’agit d’une importante décision de report au 30 juin 2026 des obligations de reporting créées par la CSRD en ce qui concerne les nomes EFRAG sectorielles et les normes applicables aux entreprises non européennes qui ont un chiffre d’affaires supérieur à 150 millions d’euros dans l’Union européenne et une filiale ou succursale établie dans l’Union. Pour le détail, on se reportera à la publication de l’AMF du 7 février 2024 : « Le reporting de durabilité CSRD : se préparer aux nouvelles obligations ».
Cette décision ne dispense pas du reporting CSRD :
– les entreprises antérieurement soumises à la NFRD : sociétés cotées de plus de 500 salariés et de chiffre d’affaires > à 40 ME ou 20 ME de total de bilan ; elles doivent soumettre un rapport en 2025 sur l’exercice 2024 ;
– les entreprises européennes qui satisfont 2 des 3 critères : > 250 salariés ; 40 ME de chiffre d’affaires ; 20 ME de total de bilan et les sociétés non européennes cotées sur un marché de l’Union et satisfont 2 des 3 critères ci-dessus ; elles doivent soumettre en 2026 un rapport CSRD/EFRAG pour l’exercice 2025.
Les standards de reporting CSRD/EFRAG, publiés au JO de l’Union européenne du 22 décembre 2023, sont reproduits dans le tableau ci-dessous.
1. Il s’agit de la consultation sur les normes extracomptables détaillées, publiées par l’EFRAG et afférentes à la mise en œuvre d’une analyse de matérialité. Celle-ci est définie comme l’établissement d’une information matérielle (substantielle) sur les impacts, risques et opportunités (IROS) de la durabilité. La norme IG1 implique l’analyse de l’ensemble de la « chaîne de valeur » (en chaîne de production) et les « relations d’affaires » (les clients).
Le principe de l’analyse est la « double matérialité », c’est-à-dire que la durabilité de l’entreprise est analysée sous l’aspect des investissements et de ses résultats financiers (cash flow, coût du capital, matérialité financière en valeur) et sous l’aspect de l’impact de l’entreprise sur les gens et l’environnement. L’EFRAG note que les matérialités financières et d’impact sont souvent combinées. L’analyse de la matérialité repose sur le jugement de l’entreprise qui fixe elle-même les « seuils de matérialité ». Les critères de matérialité sont fondés sur le caractère significatif et utile pour la décision, de l’activité sur laquelle s’exerce l’analyse de matérialité.
L’analyse de matérialité est effectuée en 4 étapes : compréhension du contexte, identification des impacts, risques et opportunités (IROS) actuels ou potentiels, analyse des IROS et reporting. Le « contexte » désigne les activités, la « chaîne de valeur » (de production) et les relations d’affaires, ainsi que le panorama de la régulation, la documentation (scientifique) publiée et la connaissance des parties prenantes affectées. L’identification des IROS peut être fondée sur la liste des « data points » de l’ESRS, même si ce n’est pas son objet. Les IROS sont retenus en fonction de « seuils » de matérialité. Les seuils sont choisis en fonction de la probabilité et de la gravité des impacts que ce soit pour la matérialité d’impact ou la matérialité financière. La matérialité financière est fondée sur l’appréciation de la performance, la position financière du cash flow, l’accès et le coût du capital. L’entité procède ensuite à l’agrégation des deux matérialités.
L’EFRAG développe le rôle des « parties prenantes » et les modalités de leur approche dans le process d’appréciation de la matérialité : consultation des partenaires sociaux, cartographie des parties prenantes à consulter, consultation des experts indépendants, des sources scientifiques et des Organisations non gouvernementales (ONG).
Quant aux « seuils » de matérialité, il s’agit de dresser une cartographie des facteurs d’IROS par probabilité/gravité pour l’analyse impact et de fixer des seuils financiers en valeur absolue ou en pourcentage.
L’EFRAG recommande de comparer l’analyse faite sous ESRS et celle résultant de la Global Reporting Initiative (GRI) pour la matérialité, dont l’existence même était jusqu’ici inconnue. Elle estime que l’ESRS est « alignée » sur l’IFRS pour les analyses et les critères de matérialité financière. Et, naturellement, il convient de se référer aux principes de l’ONU sur les Affaires et les Droits de l’homme, et les lignes directrices de l’OCDE pour les entreprises multinationales, pour identifier les impacts négatifs (probabilité/gravité) et les parties prenantes concernées ou affectées par l’activité.
Sous une pesante apparence, cette notice émet des idées de bon sens sur la conduite de l’analyse de « double matérialité » et sur la fixation des critères de matérialité. Cette analyse n’en demeure pas moins fondée sur un concept confus et discutable, et surtout elle implique à la fois les fournisseurs et les commerciaux, voire les clients de la chaîne de production.
2. L’EFRAG répond à diverses questions (FAQ) dans ce même document. À noter que ces FAQ se voient souvent donner une valeur réglementaire par les Contrôles et par les auditeurs externes qui vérifieront et certifieront les rapports CSRD.
La matérialité s’applique aux gens et à l’environnement et non à l’entreprise : ce n’est pas la matérialité pour l’entreprise qui vaut.
L’entreprise « connectée » à un impact : l’impact est causé directement par l’entité, ou celle-ci y a contribué, ou l’impact a été causé par une relation d’affaires
L’entité ne peut faire la somme algébrique des impacts positifs et négatifs. Elle doit communiquer sur les deux aspects.
La distinction est absolue entre la communication financière (bilan/comptes) et la communication sur les impacts financiers aux fins de mesure de la durabilité. En particulier, la seconde ne se limite pas aux travaux comptables effectués pour la première, il faut utiliser la grille d’analyse de l’EFRAG.
Le Rapport de l’analyse de durabilité est annuel.
L’analyse doit être exhaustive des IROS et ne saurait se limiter aux listes indicatives fournies par l’EFRAG (dans le jargon ESR1 AR16 !)
Il est prévu de publier les effets potentiels financiers des IROS.
La nécessité de produire de l’information sur les chaînes de valeur « upstream » (approvisionnement) et « dowstream » (distribution-clients) est rappelée.
Les événements futurs doivent être inclus dans l’analyse de matérialité.
L’horizon temporel de l’analyse est de 3 ans (court), mais aussi à moyen et long termes (donc avec des scénarios ?).
Il est exclu d’agréger dans le Rapport les analyses d’impact et l’analyse financière.
Pour les groupes diversifiés, l’analyse peut être faite « top down » ou « bottom up », au choix de l’entreprise.
Pour les parties prenantes, l’information sur l’analyse est obligatoire, mais pas la négociation de celle-ci. Il est requis de prioriser les parties prenantes, notamment en sélectionnant celles qui sont « impactées » par les IROS, sans négliger les parties prenantes silencieuses : la nature est un bon exemple, pour laquelle on utilisera des « proxies » (les ONG).
Il est souhaitable de détailler les informations sur les actions de réduction (« mitigation ») des risques : évitement, minimisation, réparation et compensation.
Il convient de rapporter sur toutes les « matérialités » identifiées, même celles pour lesquelles il n’y a pas d’action correctrice possible.
Enfin, un paragraphe confus de relation avec l’analyse de la taxonomie expose que la taxonomie aide à identifier les IROS. La taxonomie est en soi un impact positif sur l’analyse, en particulier le plan de développement du Capex, qui est une contribution à la liste des impacts et des opportunités dans l’analyse de matérialité.
Il est probable que la Commission va devoir préciser la coordination entre ses diverses approches : PAI du règlement disclosure, DNSH (qui n’entrent pas dans l’analyse de matérialité) de la taxonomie, et analyse de double matérialité de la CSRD.
La complexité et la confusion croissent. Voir, par ailleurs, l’analyse ACPR des Rapports français dits 29 Loi Energie-Climat. Car, naturellement, les investisseurs institutionnels doivent tenir compte de tous ces rapports dans la justification de leur politique d’investissement.
L’ACPR fait le point sur la deuxième publication par les organismes d’assurance vie et les fonds de pension de leurs politiques relatives en matière de durabilité (au titre de l’article 29 de la loi Energie-Climat), dit Rapport 29 LEC, et de la déclaration -dans le cadre du SFDR- des « principales incidences négatives » des décisions d’investissement (ou PAI dans le langage européen).
1. La « démarche générale de l’entité » en matière ESG dans la stratégie d’investissement. Le jugement de l’ACPR est mitigé, notamment du fait de la difficile séparation entre « investissements directs et indirects » : 65 % des assureurs présentent une stratégie sur l’intégralité de leurs investissements. Dans l’attribution des mandats de gestion, la prise en compte des critères ESG est modeste et ne concerne, par exemple, que la moitié des entités présentant plus de 500 millions d’euros de total de bilan. Les exclusions sectorielles (charbon, gaz de schiste) sont fréquemment présentes, mais 31 % des entités n’en présentent pas.
2. La Communication est plus positive sur les moyens internes déployés par l’entité. Les entreprises financières semblent avoir également réussi l’implication de la gouvernance, Directeur général et Conseils d’Administration, dans la conception et la mise en œuvre de la démarche ESG : 92 % impliquent le Conseil d’administration, et les Directeurs généraux participent dans 84 % des entités.
3. La stratégie d’engagement vis-à-vis des émetteurs et/ou des sociétés de gestion est publiée dans 91 % des rapports, mais 4 % affichent une stratégie détaillée, et 20 % donnent une description précise de la politique de vote en Assemblée générale, et moins de 40 % traitent de l’action menée auprès des émetteurs hors Assemblées générales.
4. Le respect de la taxonomie par les sociétés qui bénéficient des investissements des assureurs-vie est modéré, car le règlement taxonomie est seulement en cours de mise en place : « l’éligibilité » est menée en 2023, « l’alignement » en 2024, et il ne s’agit que des deux (atténuation/changement) objectifs du Green Deal qui concernent le climat. Quant à l’exposition des émetteurs aux énergies fossiles, les déclarations sont souvent inférieures à la réalité.
5. La stratégie d’alignement sur les objectifs de l’Accord de Paris, qui fait l’objet de dispositions spécifiques (donc d’un Rapport ou paragraphe du Rapport extra-financier), figure dans le Code monétaire et financier. Un tiers des Rapports seulement présente cette stratégie. L’ACPR note les difficultés d’émettre des objectifs soit en réduction d’émission des gaz à effet de serre (en valeur absolue de réduction de cette émission), soit en réduction du potentiel de réchauffement du portefeuille d’investissement. Globalement, l’énonciation de la cible paraît confuse. L’horizon temporel est fixé à 2030 avec une révision tous les 5 ans. En pratique, les documents remis ne permettent pas de suivre les engagements affichés par les investisseurs/assureurs, en particulier sur les 3 (ou l’un des 3) objectifs : réduction du volume de CO², réchauffement implicite et intensité carbone, et 43 % des Rapports ne permettent pas de suivre l’alignement de la politique d’investissement sur l’Accord de Paris.
Finalement, les politiques « Accord de Paris » sont des politiques d’exclusion de secteurs d’investissement : charbon et gaz de schiste.
Quant au célèbre « Scope 3 » d’analyse des émissions de GES en aval (au niveau de la distribution), il est pris en compte par 53 % des organismes investisseurs.
6. Sur la biodiversité, l’ACPR note qu’il s’agit de la partie la moins aboutie des Rapports dits 29 LEC : 28 % des rapports contiennent des informations sur le sujet. Il faut dire que les données et méthodes sont insuffisamment développées et connues. Pourtant, 59 % des organismes incluent les objectifs d’une « Convention pour la diversité biologique adoptée le 5 juin 1992 » (sic !) selon le Code monétaire et financier. Et 65 % des organismes n’ont instauré aucune mesure visant à limiter l’impact de leur stratégie d’investissement sur la biodiversité. Il n’est pas impossible que la complexité même du sujet et l’ancienneté de la « Convention de 1992 », dont le Code monétaire se fait le dernier représentant, soit à l’origine du désintérêt des émetteurs et investisseurs. Toutefois, plus de la moitié des investisseurs publie un indicateur d’empreinte sur la biodiversité. On peut douter de la fiabilité de cet indicateur. Au demeurant, on doit espérer que les compléments apportés à la taxonomie et les normes EFRAG permettront de clarifier le débat sur ce sujet parfaitement confus.
7. La prise en compte des critères ESG dans la gestion des risques. L’ACPR distingue trois risques pour l’investisseur : les risques physiques (le changement climatique), le risque de transition (les actifs échoués) et les risques de contentieux. Les entités doivent évaluer ces risques, en particulier l’impact financier de ces risques sur le portefeuille d’actifs, et sélectionner les secteurs économiques concernés et les zones géographiques exposées. Elles devraient également publier des plans d’actions sur la réduction de leur exposition et, depuis 2023, y intégrer les risques liés à la biodiversité.
L’ACPR constate la relative pauvreté des Rapports 29 LEC : un peu moins de la moitié des entités publient leur processus d’identification, évaluation, priorisation et gestion des risques ; 1 à 4 % en font une description exhaustive, 3 % ont une analyse exhaustive des risques et 19 % « suffisamment détaillée » ; les analyses des impacts financiers sont faibles ; les choix des scénarios pour les risques climatiques sont hésitants (scénarios à 1,5 ou 2 °C, ou scénario de transition désordonnée ?). Enfin, le risque sur la biodiversité est très peu développé.
Ce texte ne parvient pas à cacher le désarroi des entités face à l’avalanche des réglementations. La CRDS et la taxonomie viennent « télescoper » la loi LEC et son article 29, sans parler de la confusion SFDR/29 LEC illustrée dans l’Annexe I. Comme en outre la CSRD rencontre les obligations dites « Accord de Paris », les « bilans carbones » exigés par l’ADEME, on peut penser que les entreprises financières sont désorientées, d’autant qu’elles sont responsables de l’ensemble au second degré : elles contrôlent l’application de la CSRD/bilan carbone/Accord de Paris/taxonomie des entreprises dans lesquelles elles investissent.
Les complexités de notre propre administration ne manquent pas : on traite des « entités » qui sont des banques et/ou des assureurs-vie qui investissement en unités de compte, mais sur la base du Code monétaire et financier. Cela s’ajoute à la confusion relevée ci-dessus Normes européennes (d’ailleurs en cours de mise en place)/ Normes françaises. L’ensemble donne une impression de regrettable désordre. Il n’est que temps d’établir un texte commun ACPR/AMF qui définisse une fois pour toutes les obligations de publication des entités financières et des entreprises émettrices et que des Commissaires aux comptes (ou assimilés) soient gardiens du contenu et de la pérennité (ou stabilité) de ces textes.
On pourrait imaginer sans peine que les entreprises ne soient pas soumises à des obligations déclaratives différentes mais simultanées à la Banque de France/ACPR/AMF et à l’ADEME. Les Pouvoirs publics affichent bruyamment des objectifs de simplification : ce serait un excellent point d’application du projet global.
Il s’agit du second exercice de « stress test » après l’exercice « pilote » de 2020, destiné à mesurer les impacts du changement climatique sur le secteur de l’assurance, à partir des réponses de 15 groupes « représentant » 90 % du secteur de l’assurance en France, tant en ce qui concerne les risques physiques (la souscription des assurances « Dommages et Responsabilités ») que les risques dits de « transition » (choc sur les actifs et leur valorisation). Le sujet est évidemment l’évolution de la solvabilité sous ces divers « stress ».
L’exercice prévoit trois scénarios d’évolution de la solvabilité sous ces deux grands risques : un scénario à 5 ans considéré comme « très adverse » et deux scénarios pour le long terme (issus d’un organisme, le NGFS, réseau pour le verdissement de la Finance !), l’un prévoyant une transition « ordonnée » vers la réduction à 1,5 °C du réchauffement climatique, l’autre une transition « désordonnée », avec des mesures brutales prises à partir de 2030 pour atteindre l’objectif de l’Accord de Paris.
1. Le scénario de court terme est fondé sur des hypothèses de forte sécheresse en 2023 et 2024 et des tempêtes convectives sévères en 2025, une crue historique de la Durance et la rupture d’un barrage. Les conséquences en sont une forte hausse du prix du carbone, des baisses de valeur d’actifs et la baisse significative du PIB de la zone euro. La sinistralité « catastrophes naturelles » est en forte hausse de +1,5 milliard en 2023 à +3,51 milliards d’euros par rapport au scénario de base. La réassurance semble efficace mais le transfert de risque est insuffisant pour compenser la sur-sinistralité. Compte tenu du caractère automatique des « stop-loss » de la CCR sur les inondations et la sécheresse, cela semble indiquer que la couverture « tempête » des assureurs est insuffisante : conservation trop élevée et, surtout, insuffisance de couverture dans les niveaux élevés d’exposition (cas traditionnel de la multiplication/cumul de tempêtes insuffisamment couverts). On note aussi que l’exercice de l’ACPR a été fait avant la hausse récente de la surprime « catastrophes naturelles », ce qui aggrave les effets d’un scénario climatique très pessimiste.
En ce qui concerne les branches « santé » et « prévoyance », l’impact brut du scénario court terme sur les ratios sinistres/primes est extrêmement faible, ce qui va à l’encontre du discours communément admis. L’hypothèse de base est la « surmortalité relative » pendant les canicules de l’été 2022 établie par Santé publique France qui démontre surtout les effets du vieillissement et la désertification des départements et qui fait ressortir la « surmortalité relative » (exemples des départements de la Haute-Marne et de l’Ardèche).
Les chocs financiers du « risque de transition » sont, comme attendus, majeurs. Les immeubles perdraient 27 à 32 % de leur valeur (mais en 2035), les obligations perdraient 8 % à court terme et 13 % à plus longue échéance. Les titres souverains les plus affectés sont les obligations du Trésor américain (-15 %), tandis que les obligations souveraines françaises seraient peu touchées : c’est probablement un souci de « Political correctness » qui guide nos contrôleurs.
Sans surprise, les obligations privées sont affectées dans les secteurs de l’énergie et matière première (-11 %), de la technologie (-10 %) et des banques. Les placements en actions sont de loin les plus affectés par le scénario à court terme : c’est évidemment très contestable au vu de la situation des indices à la mi-2024.
Les prévisions techniques baissent dans le scénario de court terme, diminuent en vie et augmentent en non-vie en 2025 à la suite de la rupture de barrage prévue dans le scénario.
Globalement, la couverture du « Solvency Capital Requirement » (SCR) par les fonds propres baisserait de 48 points, pour l’essentiel dû à la perte de valeur des actifs.
2. Les scénarios de long terme sont modélisés sur la base du scénario RCP 4.5 du GIEC, qui définit les conséquences du changement climatique, notamment sur le risque « physique » (la souscription non-vie). La différence entre transition ordonnée et désordonnée tient, pour les actifs (le « risque de transition ») à la brutalité de la hausse du prix du carbone qui, dans l’hypothèse d’une transition retardée, provoquerait une hausse brutale de 15 USD à 345 USD en Europe en 2030, et de 6 à 12 USD dans le reste du monde, donc un effet probablement cataclysmique sur les industries qui produisent de grandes quantités de CO². A l’inverse, le scénario RCP 4.5 est moins « adverse » que le scénario précédent du GIEC (8.5), notamment sur les risques physiques d’inondations, de subsidence, de submersion et même de tempêtes.
Les hypothèses macroéconomiques sont lourdes : baisse de 2,5 % du PIB en 2040 dans le scénario à moins de 2 °C de réchauffement et -3,3 % dans l’hypothèse d’une transition désordonnée à l’horizon 2050. Globalement, en 2050, le PIB aura baissé de 1,4 % en France dans le scénario « moins de 2 °C » et de 2,7 % dans l’hypothèse d’un ajustement brutal.
Pour le risque physique, le coût des sinistres Cat’ Nat’ atteindrait 4,61 milliards en 2050 dans le scénario d’ajustement tardif, soit 42 % de plus que le coût estimé dans le scénario de référence. L’essentiel (3 milliards) est dû à la sécheresse et, plus marginalement, au coût des inondations. L’ACPR note que 51 % de cette augmentation est due à l’aléa climatique et le reste à l’inflation et aux valeurs assurées.
Le ratio sinistre à prime augmenterait de 22 % en 2050 dans le scénario « adverse » (ajustement retardé), avec un résultat technique négatif de 1,4 milliard après réassurance. Cela dit, la plupart des assureurs qui ont participé à l’exercice ont affirmé ne pas réviser leur politique de réassurance au cours de la période, ce qui est évidemment irréaliste. Quant à la sinistralité extrême, l’ACPR considère qu’elle représente jusqu’à 9 fois la sinistralité « événements naturels » moyenne à l’horizon 2050. Les hausses de primes ne suffisent donc pas à financer la hausse de la sinistralité, notamment liée à la forte progression des coûts d’inondation. Mais quid de la réassurance ?
Le Rapport consacre des développements à la question de l’inassurabilité et aux risques de résiliations massives : 2 assureurs connaissent un taux de résiliation non négligeable, mais 6 constatent des taux de résiliation nuls ou négligeables. La conclusion est donc qu’il n’y a ni abandon, ni inassurabilité même si, en Bretagne Nord et sur les côtes méditerranéennes, les taux de résiliation sont relativement élevés (7,15 % dans les Côtes d’Armor). Il est vrai que les assureurs construisent des zoniers de tarifications en mettant en place des politiques tarifaires fondées sur le risque naturel encouru dans les tarifs multi-habitations, avant application de la « taxe catastrophe naturelle » (pour l’inondation/sécheresse/retrait de côte).
En « santé » et « prévoyance », les hausses de primes et les remboursements du système public de Sécurité sociale permettent de constater de faibles impacts sur le S/P global de la santé/ prévoyance, même pour les maladies « vectorielles » (71 % en 2050) et liées à la pollution (72 % en 2050) dans le scénario dit « adverse ».
À l’actif, les pertes de valeur seraient de 3 % dans le scénario « below 2 °C » et de 3,5 % pour le scénario de correction brutale. Alors que les allocations d’actifs seraient faiblement modifiées, les pertes de valeur seraient sensibles sur les actifs immobiliers( -9 à -10 % en 2050), modestes pour les obligations souveraines (-2 % ou -4 % selon les scénarios), équilibrés pour les obligations d’entreprises et, pour les actions, sensibles sectoriellement (charbon, raffinage, valeurs pétrolières) voire faibles pour le secteur du gaz.
Au total du bilan, on constaterait une baisse de 3,9 % pour le scénario « below 2 °C » en 2050 et de 3,3 % (!) pour le scénario de transition brutale en 2040. L’excédent des actifs sur les passifs serait de 493 milliards en 2050 dans le scénario de transition brutale contre 510 milliards d’euros dans l’estimation dite « baseline » (référence).
Par conséquent, il faut bien considérer que, sous des hypothèses climatiques (et économiques) très agressives, les effets sont globalement modestes sur la solvabilité des assureurs. D’autant que, à long terme, le stress test n’inclut pas d’hypothèse de changements forts de stratégie de réassurance et inclut mécaniquement des effets d’inflation et d’augmentation des valeurs assurées.
Les deux dangers de dégradation des résultats en santé et prévoyance, et surtout de montée du refus d’assurer, de résiliations massives et d’inassurabilité des risques, paraissent nettement écartés. La question demeure, en réalité, de trouver des moyens de financement des sinistres « construction » liés à la sécheresse (retrait/gonflement des sols argileux).
Cette note d’information est particulièrement claire et fait un point sur les obligations des entreprises soumises à la CSRD à partir du 1er janvier 2024 (Rapport à fournir en 2025).
La CSRD modifie le champ d’application du reporting non financier (l’ancienne NFRD) progressivement. En 2024 (Rapport 2025), elle s’applique aux entreprises soumises jadis à la NFRD, en 2025 (Rapport 2026) aux autres grandes entreprises européennes et non européennes (250 salariés, 40 ME de CA, 20 ME de CA de total de bilan, deux de ces 3 critères) et les sociétés non UE cotées dans l’UE. Pour 2026 ou 2028 (Rapport 2027 ou 2028), les PME cotées et, en 2028 (Rapport 2029), les autres grandes sociétés non européennes.
Les Rapports appliquent les 12 normes EFRAG (ESRS) dites normes « tous secteurs ». Les normes sectorielles et les normes PME sont reportées de deux ans (cf. en annexe le tableau dressé par l’AMF).
Ces Rapports intègrent le Rapport de gestion.
Les normes sont vérifiées (diligences modérées puis « raisonnables ») par des auditeurs externes (agréés) et/ou par les Commissaires aux comptes, dès lors que leur Cabinet aura été agréé.
L’AMF rappelle les priorités pour les entreprises :
– l’analyse de la « double matérialité » ;
– des analyses d’écart avec les informations publiées jusqu’à présent ;
– étudier les mesures transitoires (page 12 de la notice AMF) sur les premières années pour toutes les entreprises et surtout pour les entreprises de moins de 750 salariés (mesures transitoires pour 2 ans, puis ensuite pour 3 années ultérieures).
L’AMF développe trois « points d’attention » :
– la prise en compte de la chaîne de valeur, notamment pour les indications sur les gaz à effet de serre du Scope 3 en ce qui concerne la chaîne de distribution ;
– la connectivité des informations financières et de durabilité ;
– la présentation de l’information non financière dans le Rapport de gestion, et adjonction des informations prévues par l’article 8 du Règlement taxonomie (ensemble des 6 sujets abordés dans le green deal, et pas seulement les 2 sujets climatiques : transformation et adaptation).
Les dommages aux bâtiments assurés dans le régime dit « Cat-Nat », au titre des phénomènes de retrait/gonflement des argiles et suite aux vagues de sécheresse successives, notamment en 2022 et 2023, pourraient atteindre 900 millions d’euros au titre de 2023 (selon la CCR). L’Ordonnance du 8 février 2023 et le décret d’application de 5 février 2024 tendent à limiter, à partir du 1er janvier 2027, les conditions d’indemnisation du péril « sécheresse » sur les bâtiments :
– la garantie ne couvre désormais que les dommages qui affectent la solidité du bâti ou sont susceptibles d’entraver l’usage normal du bâtiment. Cela devrait conduire, dans l’avenir, à d’importants contentieux liés aux conclusions de l’expertise, déjà fréquemment mise en cause dans le régime juridique actuel ;
– la garantie ne s’appliquera plus aux annexes et dépendances (terrasses, serres et piscines notamment) ;
– le décret crée une stricte obligation d’utiliser les indemnités à la réparation des dommages ;
– l’assuré dispose d’un délai de 24 mois pour réparer les dommages ;
– un acheteur éventuel du bien doit être obligatoirement informé des réparations en cours.
Par ailleurs, d’autres décrets instituent des attestations obligatoires pour les risques liés aux terrains argileux en fin de travaux et précisent les obligations d’attestation en matière de risques sismiques. Le sujet est devenu d’actualité après les secousses observées en Charente et en Charente-Maritime en 2023.
Le 1er mars 2024, l’EFRAG a publié une « deuxième série d’explications sur les ESRS », soit 12 nouvelles explications sur l’ESRS 1 et 2 (les mesures « transversales » concernant l’environnement, les questions sociales et la Gouvernance).
Nous reprenons les principales orientations prises par l’EFRAG.
ID 37 (ISRS 1). Le reporting de matérialité peut être « matériel » d’un point de vue exclusivement positif (sans incidence négative).
ID 171 et ID 358. AMSB. Description : le Conseil d’administration, ses comités, les dirigeants effectifs, le Directoire et le Conseil de surveillance.
ID 206. Les objectifs climatiques comprennent :
–les objectifs de réduction des gaz à effet de serre ;
– les objectifs liés à l’objectif « Net Zéro » ;
– les déclarations de neutralité carbone liées au crédit carbone.
ID 31. Séparation entre les salariés temporaires, permanents et salariés sans horaires garantis (temps partiel).
La distinction doit être faite en fonction des lois locales. L’EFRAG rappelle que ces statistiques doivent être fournies par genre.
ID 38. Structure de l’information sur la durabilité (sustainability statement).
L’information peut être donnée pour chaque sujet (la santé et la sécurité par exemple) sur les politiques, « targets », actions (PAT) et les éléments chiffrés par sujet et non par thèmes (politiques, « targets », etc.).
ID 132. Les écarts de salaires par genre.
L’EFRAG rappelle que le « salaire » regroupe l’ensemble du paquet de rémunérations.
ID 134. Recenser pour gérer les impacts matériels.
L’EFRAG confirme qu’il ne s’agit que des mesures prises pour faire face aux impacts matériels qui concernent les salariés de l’entreprise (own workforce).
ID 215. Dialogue social : un pourcentage global est-il suffisant ?
Dans chaque pays, un pourcentage des employés qui sont représentés par des délégués est requis.
ID 243. Référence aux nombres de salariés figurant dans les documents financiers. (C’est un problème classique de réconcilier les documents RH des analyses de comptes de rémunérations dans les documents financiers).
La réponse est qu’il convient de fournir un tableau de passage de l’une à l’autre comptabilité.
ID 217. La « consolidation prudentielle ». Il s’agit de prévoir une distinction entre la consolidation comptable d’un Groupe dont sont exclues les filiales non financières ou des filiales où les intérêts de la holding sont très minoritaires.
La réponse de l’EFRAG revient à dire que la consolidation ne doit pas être fondée sur la consolidation prudentielle.
L’EFRAG établit une norme de type comptable, ce qui explique l’extrême pointillisme de son approche du reporting non financier, fondé sur la nécessité de faciliter la comparaison entre les entreprises.
L’investissement responsable représente un encours de 2 531 milliards d’euros en 2023 contre 2 443 milliards en 2022, soit une augmentation de 5,8 %. Il s’agit essentiellement de placements au titre de l’épargne salariale, de la retraite (loi Pacte) et de l’assurance vie en unités de compte.
Les encours classés en « Article 8 » du Règlement Disclosure, qui sont des fonds contribuant à des activités ESG, représentent 2 443 milliards et les encours « Article 9 », fonds qui ont pour objectif de développer les activités environnementales, atteignent 88 milliards seulement. L’écart entre ces deux types de placement est significatif d’une sensible différence d’intensité de l’intention « durable » des investisseurs entre des fonds qui respectent des normes ESG et ceux qui financent des activités durables, choisies pour leur contribution à des objectifs écologiques, sociaux et/ou de gouvernance.
À noter que la clientèle est à 72 % constituée d’investisseurs institutionnels et donc pour 28 % seulement d’investisseurs individuels (particuliers).
L’EIOPA consacre son étude aux « barrières » qui s’opposent chez les consommateurs-demandeurs d’assurance à l’achat d’une protection contre les événements naturels. C’est évidemment une démarche différente de la critique fréquente adressée aux assureurs de « se retirer » du marché des « Cat-Nat », qui se développe après chaque sinistre de grande ampleur, même lorsque la garantie est automatiquement liée à une garantie dommages et donc quasi obligatoire, comme en France.
L’EIOPA traite des garanties non obligatoires, supposant que la question ne se pose pas pour les régimes semi-publics tels que les catastrophes naturelles ou d’assurance obligatoire - tempêtes - en France. Elle recense les obstacles économiques et psychologiques à la souscription d’un contrat événement naturel par les consommateurs. L’Autorité note d’abord la mauvaise connaissance de la possibilité de garantie de la part des clients qui fait que globalement 22 % des consommateurs sont couverts dans l’EEE et que, dans le cas de la survenance d’un sinistre naturel, la moitié des Européens seulement seraient totalement ou partiellement couverts. Les barrières principales à l’assurance sont les difficultés de niveau de vie des consommateurs et les insuffisances de perception du risque. L’EIOPA en fait le détail en répétant que le niveau des primes est déterminant, ce qui, compte tenu des valeurs absolues de celles-ci, est très discutable mais fait partie de l’argument traditionnel sur le refus de garantie en dommages.
Heureusement, l’EIOPA ajoute d’autres obstacles : la mauvaise information sur les risques et les expositions au risque, la faiblesse de la culture d’assurance des clients, les biais comportementaux (confiance limitée dans l’assurance du fait d’une mauvaise expérience de gestion de sinistre, par exemple), la difficulté pour le client d’identifier le produit adapté (discours traditionnel de l’EIOPA qui renvoie à la responsabilité du concepteur de produit et au POG) et, surtout, l’attente d’une intervention de l’État. Ici et là, l’EIOPA s’associe à la critique des clients à l’égard des assureurs : la complexité des produits, l’exclusion de certains périls, la transparence des coûts et des garanties insuffisantes. Plus originale est la critique de la « vente liée » (bundling), avec les garanties « multirisque habitation », qui serait à l’origine d’une asymétrie d’information et d’une information insuffisante des clients sur les garanties d’événements naturels.
L’EIOPA conclut sur l’absence de connaissance du risque par le client qui considère que les événements naturels sont peu probables et que, s’ils se réalisent, le Gouvernement (que 59 % des citoyens jugent responsable de la gestion du sinistre) devra intervenir financièrement. C’est probablement la partie la plus convaincante de l’exposé de l’EIOPA : elle s’illustre d’ailleurs actuellement en France avec la « parlementarisation » du débat sur les catastrophes naturelles (la sécheresse) et la demande d’une plus forte intervention de l’État dans la décision de couverture, la gestion des sinistres et l’indemnisation.
Les « solutions » proposées par l’EIOPA sont d’un grand classicisme. Il faut renforcer l’information précontractuelle des clients (outils de zonage) et donner des informations plus spécifiques sur les zones à risque, afin d’accroître la prise de conscience du risque par le client. L’EIOPA reprend l’antienne des produits plus simples et de leur labellisation, donc d’une intervention publique et la nécessité du POG. Les propositions de l’Autorité sur l’amélioration du processus d’achat sont fondées sur l’idée que ce processus est complexe, ce qui conduit à souhaiter le développement de la digitalisation (!) pour faciliter le processus de vente. L’Autorité constate que l’obligation d’assurance simplifierait considérablement le sujet. Enfin, l’EIOPA cherche des solutions pour réduire le risque et son prix, afin d’inciter à la souscription (dont le principal obstacle est le prix) : l’Autorité propose des avantages fiscaux et des réductions de primes pour les assurés qui prennent des mesures de prévention/réduction du risque. Ce n’est guère original, mais un Rapport (Langreney), publié en France, prévoit la création de deux fonds publics financés par les primes catastrophes naturelles pour financer « la prévention ».
Dans ces travaux, il y a peu de réflexions originales ou nouvelles. La seule idée neuve est dans le sujet du Rapport. L’Autorité quitte le terrain traditionnel de la critique du comportement des assureurs pour s’interroger sur l’attitude des consommateurs, autour de l’idée que ceux-ci pourraient être eux-mêmes les artisans de leur malheur : méconnaissance du risque, discours consumériste sur les primes trop chères et attente des subsides de l’État, que les citoyens identifient comme gestionnaire des catastrophes, au titre de ses fonctions régaliennes. On en vient à trouver bien des vertus à notre système public/privé d’assurance des catastrophes naturelles.
La loi du 23 octobre 2023 relative à l’industrie verte comporte un volet en vue de mobiliser l’épargne privée en la fléchant en priorité en faveur des industries vertes.
Rappelons que l’article 32 de cette loi a procédé à la réécriture de l’article L. 131-1-2 du code des assurances qui prévoit déjà l’obligation dans les contrats d’assurance vie de référencer des unités de compte constituées de valeurs mobilières ou d’actifs ayant obtenu les labels reconnus par l’État satisfaisant aux objectifs de transition écologique ou d’investissement socialement responsable. Le décret n° 2023-1180 du 13 décembre 2023 a fixé la liste, les modalités de délivrance et les critères de ces labels (cf. chronique réglementaire n° 27).
Ont été publiés depuis au JORF du 16 juin 2024 trois textes d’application relatifs à la mise en œuvre du plan d’épargne avenir climat qui est entré en vigueur le 1er juillet 2024 :
– le décret n° 2024-547 du 15 juin 2024 définissant les modalités de fonctionnement du plan d’épargne avenir climat, notamment les conditions d’ouverture, les modalités de gestion ainsi que le contenu des informations transmises au titulaire du plan ;
– le décret n° 2024-548 du 15 juin 2024 définissant les titres dans lesquels les sommes collectées par les plans d’épargne avenir climat peuvent être investies, les principes d’allocation de l’épargne auxquels ils sont soumis, les stratégies d’investissement qu’ils peuvent proposer ainsi que le plafond des frais en cas de transfert du plan ;
– l’arrêté du 15 juin 2024 modifié par l’arrêté du 24 juin 2024 (JORF du 26 juin 2024) définissant les seuils d’investissement et le plafond du plan.
Par ailleurs ont été publiés plusieurs autres textes d’application, dont l’entrée en vigueur est prévue le 24 octobre 2024, à l’exception des dispositions sur le seuil des PER entreprises qui entreront en vigueur le 30 juin 2026 :
– le décret n° 2024-539 du 12 juin 2024 (JORF du 14 juin 2024) relatif aux conditions de valorisation et de rachat des unités de compte mentionnées à la dernière phrase du deuxième alinéa de l’article L. 132-5-4 du code des assurances ;
– l’arrêté du 12 juin 2024 (JORF du 16 juin 2024) fixant à quatre ans la périodicité à laquelle l’intermédiaire ou l’entreprise d’assurance ou de capitalisation vérifie l’adéquation du profil d’allocation dans le cadre du mandat d’arbitrage de contrats d’assurance sur la vie et de capitalisation ;
– l’arrêté du 12 juin 2024 (JORF du 16 juin 2024) améliorant l’exercice du devoir de conseil en ce qui concerne les contrats de capitalisation et certains contrats d’assurance vie. Il introduit un nouveau chapitre relatif aux règles de conduite à tenir au devoir de conseil tout au long de la vie du contrat ;
– le décret n° 2024-551 du 18 juin 2024 (JORF du 19 juin 2024) encadrant les modalités d’informations dans le cadre de rachats d’unités de compte mentionnées à la dernière phrase du deuxième alinéa de l’article L. 132-5-4 du code des assurances. Ce décret vient en complément du décret n° 2024-539 du 12 juin 2024 (JORF du 14 juin 2024) relatif aux conditions de valorisation et de rachat des unités de compte des contrats d’assurance vie qui permet aux entreprises d’assurance d’avoir recours à la valeur estimative des sous-jacents des unités de compte, et de définir les conditions dans lesquelles elles mobilisent la valeur estimative. Le décret du 12 juin 2024 prévoit également la possibilité, pour ces mêmes entités de diminuer la valeur de rachat d’une unité de compte ayant comme sous-jacent un actif peu liquide. Enfin, il dispose que des indemnités peuvent s’appliquer, de manière différenciée, en cas de circonstances exceptionnelles ou non ;
– l’arrêté du 20 juin 2024 (JORF du 4 juillet 2024) relatif à l’information et à la transparence en matière de frais pour les contrats relevant du code des assurances ;
– le décret n° 2024-572 du 21 juin 2024 (JORF du 23 juin 2024) définissant le contenu de la convention de mandat d’arbitrage et les informations transmises au mandant pour les contrats d’assurance vie et de capitalisation. Ce texte qui entre en vigueur le 24 octobre 2024 détermine les informations figurant dans la convention de mandat d’arbitrage ainsi que celles devant être transmises au mandant par le mandataire au moins une fois par an et en cas de résiliation du mandat d’arbitrage. Le décret définit également ces modalités de résiliation ;
– les deux arrêtés du 1er juillet 2024 (JORF du 6 juillet 2024), le premier ajoutant une part d’actif non cotée dans la gestion pilotée profilée en ce qui concerne les contrats de capitalisation et certains contrats d’assurance vie, le second modifiant l’arrêté du 7 août 2019 portant application de la réforme de l’épargne retraite en instaurant pour le PER un nouveau profil « offensif » horizon retraite. Rappelons que pour les contrats comportant des garanties exprimées en unités de compte, l’article 35 de la loi relative à l’industrie verte oblige à référencer des allocations d’actifs profilées qui sont réglementairement définies et comprennent une part minimale d’UC constituées d’organismes de placements collectifs investis en actifs non cotés ou de titres éligibles au PEA PME-ETI. Concernant le plan d’épargne retraite (PER), il prévoit que les allocations réglementairement définies le concernant comprennent également une part minimale composée de ce type d’UC. Il autorise le recours à une valeur estimative pour ces UC constituées d’organismes de placements collectifs investis en actifs non cotés ou de titres éligibles au PEA PME-ETI. Ces investissements doivent se faire directement ou indirectement parmi la liste de fonds prévus par ces arrêtés (fonds labélisés ELTIF ; fonds de capital investissement et fonds investissant en titres de PME et d’ETI) ;
– le décret n° 2024-682 du 4 juillet 2024 (JORF du 6 juillet 2024) relatif aux modalités de transfert de certains droits individuels en cours de constitution vers un plan d’épargne retraite en application de l’article L. 224-40 du code monétaire et financier. Ce décret plafonne à 1 % de l’encours les frais de transfert s’appliquant à certains produits d’épargne retraite lorsqu’ils sont transférés vers les nouveaux plan d’épargne retraite. Ces frais deviennent nuls à l’issue d’une période de dix ans. Le décret prévoit également que la valeur de transfert peut être réduite lorsque le droit de transfert des provisions mathématiques ou des parts de provisions de diversification excède la quote-part de l’actif qui les représente, dans la limite de 15 % de la valeur des droits individuels des titulaires relatifs à des engagements exprimés en euros. La durée de transfert des droits est enfin fixée à six mois.
Rappelons par ailleurs la création par le Comité consultatif du secteur Financier (CCSF) de l’Observatoire des frais et de la performance des contrats d’assurance sur la vie et des opérations de capitalisation, des compte-titres, des PER individuels, des PEA, des PEA PME-ETI et des PEAC.
14. INTERNATIONAL, BREXIT
L’idée de l’IAIS est d’introduire, dans les Insurance Core Principles (ICP), sorte de bible du contrôle des assurances au niveau mondial, les recommandations sur le contrôle des scénarios climatiques utilisés par les assureurs. Ces scénarios ont pour but de montrer quand et dans quelles mesures les assureurs vont être impactés par le changement climatique.
L’IAIS propose une liste de « risques » que couvrent ces scénarios Les risques « physiques » sont caractérisés par leur fréquence et leur gravité, en augmentation. Les risques de « transition » touchent les investissements (les actifs « échoués »). Les changements climatiques touchent la responsabilité civile. Ils créent des risques nouveaux (risques émergents) et font naître des connections (corrélations) nouvelles entre les risques (sécheresse et mortalité, changement dans les garanties automobiles en dommages, zoonoses). Ils génèrent enfin des risques de contentieux (class actions, greenwashing, manquement aux obligations de transparence).
L’IAIS recommande aux contrôleurs de vérifier les critères de choix par les assureurs des scénarios climatiques qu’ils utilisent : multiplicité des scénarios, horizon de temps (5 ans, 15 ans, 30 ans et plus), choix quant à l’inclusion de réactions managériales aux événements dans le scénario (bilan statique ou dynamique, gestion top down ou bottom up), question quant à l’utilisation de scénarios « sur étagère », produits par des consultants spécialisés. Les Contrôles doivent comprendre la stratégie choisie par l’assureur et les moyens dont il dispose : élasticité de la tarification, gestion du capital, position de solvabilité ; ils doivent aussi connaître les risques opérationnels et leur modélisation.
Tout cela requiert des positions des Autorités de contrôle : envisagent-elles d’imposer des normes de calibrage des « chocs » ? La modélisation des événements climatiques est-elle librement déterminée ou un modèle unique est-il imposé ?
Pour les contrôleurs (superviseurs), l’importance systémique des assureurs concernés est un facteur majeur. L’IAIS recommande de concentrer l’attention sur les IAIGs (Internationally Active Insurance Groups) qui peuvent avoir un rôle de débordement sur le reste du secteur financier (le syndrome AIG en 2008). Il faut donc partager l’information et l’expérience avec d’autres superviseurs d’assurance (les « collèges ») et les superviseurs d’autres secteurs (marchés financiers, banque, superviseurs de la distribution). Il faut aussi surveiller le risque de concentration systémique sur les risques physiques et auprès des réassureurs (c’est le syndrome TRIA. Aviation 2001).
Dans ces domaines, l’IAIS agite les habituelles angoisses des contrôleurs : accroissement des déficits de couverture, réduction de la concurrence, retrait des réassureurs, retrait des banques du marché hypothécaire (faute de garantie MRH), pression pour l’intervention publique et difficultés budgétaires, impact sur la stabilité financière.
Les « réponses » des Contrôles sont classiques : intégrer les risques climatiques dans l’Enterprise Risk Management (ERM), accroître la « transparence » non financière (CSRD et EFRAG), multiplier les scénarios et communiquer sur les résultats des scénarios climatiques. Pour l’essentiel, il s’agit de réviser le cadre de l’ERM et de mettre en œuvre un ORSA climatique qui prenne en compte l’ensemble des risques identifiés par l’IAIS (notamment risque réputationnel et de litige) et dont l’horizon temporel serait allongé. Cela permettrait d’intégrer les scénarios dans les politiques de risques : limites sectorielles, liste d’actifs vulnérables, révision de la stratégie des investissements et révision des corrélations entre les risques. Enfin, après analyse des faiblesses éventuelles du modèle d’affaires, les scénarios permettraient de réviser la formulation de « l’appétit pour le risque » et d’intégrer l’apport de la réassurance, souvent majeure pour la couverture des risques naturels, à la stratégie de prise de risques.
L’IAIS ne manque pas de rappeler que les instances dirigeantes ont un rôle majeur dans le développement des scénarios climatiques et dans leur insertion dans la stratégie globale et sectorielle de l’entreprise. L’information du Conseil est donc prioritaire et conditionne son implication dans les « décisions managériales » à insérer dans les modèles, surtout à long terme.
Cette note regroupe, sans grande originalité, les recommandations aux et des Autorités de contrôle du monde en matière d’assurance des risques climatiques, et sur l’exposition du secteur financier au « risque de transition » climatique (ce qui désigne le risque sur investissement).
L’éco-blanchiment ou greenwashing. L’IAIS distingue l’information mensongère ou trompeuse sur les produits, sur les investissements et sur la politique générale de l’entité, présentée comme favorable à l’environnement. L’Association illustre chacune de ces démarches par des exemples : les bénéfices des produits d’investissements pour l’environnement et la société, le management neutre-carbone de l’entité, les exclusions de secteurs de la politique de souscription. Elle y ajoute le caractère trompeur des « labels ». La recommandation est de mettre en œuvre une politique de surveillance des « représentations » de la durabilité par les entreprises, sur la base de critères communs de durabilité utilisables par tous les Contrôles.
Pour les produits d’investissement, la question est posée du marketing trompeur quant à la satisfaction des demandes exprimées par le marché cible sur les préférences de durabilité des clients. La recommandation de l’IAIS se réfère explicitement à la DDA et aux principes du POG européen, et invite les contrôleurs à vérifier le contenu durable des produits, à « monitorer » les produits et à contrôler les intermédiaires sur leur respect des caractéristiques durables des produits et des marchés cibles.
Quant à la publicité d’image des assureurs, l’IAIS recommande de la surveiller, en particulier ce qui concerne les « feuilles de route » de réalisation d’une politique de durabilité de l’entreprise. D’autres recommandations s’attachent à la vérification de la substance de ces engagements. Pour cela, il importe de bénéficier d’un cadre commun général sur la durabilité, de standardiser la communication sur les stratégies d’investissement, sur le principe du « Do Not Substantially Harm » (DNSH), de standardiser (réglementer) les labels. C’est à peu près l’ensemble de la réglementation européenne qui est ainsi recommandée.
Sur les catastrophes naturelles, l’IAIS reprend le thème des déficits de garantie, mais incrimine aussi les assureurs et leur conduite des affaires : discours sur les risques inassurables ou assurables à des prix excessifs (unaffordable), l’insuffisante information des clients sur les risques, etc. Il convient donc d’améliorer la clarté des produits (sur les exclusions), sur la garantie des pertes directes ou indirectes, de mieux définir les « périls ». Et l’IAIS de reprendre la critique de l’EIOPA sur le bundling des garanties événements naturels dans la « multirisque habitation ». La recommandation est de développer des « tests d’attitude » des clients sur les clauses et notamment les exclusions.
Les critiques se poursuivent sur le niveau « affordable » des primes et la tendance des assureurs à utiliser, à leur profit, l’élasticité/prix de la demande d’assurance de certains segments de clientèle. L’IAIS demande aux contrôleurs de vérifier que la tarification des garanties d’événements naturels est fondée sur des modèles actuariels (!), d’encourager les mesures de prévention (impact underwriting), de lutter contre les tarifs différentiels et de superviser les coûts et les frais. C’est exactement la politique européenne en la matière.
L’accès aux garanties événements naturels est borné par les exclusions, la mauvaise connaissance des risques par le client (faute d’information), les retraits des assureurs de certaines zones (le syndrome Californie, Floride), et le bundling qui fait obstacle à la comparaison des prix entre assureurs. Les contrôleurs doivent donc lutter contre ces travers des assureurs : favoriser la comparaison des prix, simplifier les produits (exclusions/limites), superviser les exclusions et améliorer l’information des clients sur les périls.
Enfin, les recommandations s’étendent à la gestion des sinistres : ressources suffisantes en expertise, utiliser un document dit « Cadre de Sendai des Nations-Unies », jusqu’ici peu connu (prévention et principe de reconstruction dit « Build Back Better ») et expliquer les non-renouvellements d’assurance après un événement grave. Tout cela fait écho à d’actuelles discussions menées, par exemple au Parlement français, sur les délais d’indemnisation et l’expertise. Les événements naturels récents expliquent cette effervescence dont on voit qu’elle s’étend aux Autorités de contrôle.
L’essentiel de ce texte est de montrer que la volonté de contrôler le contenu environnemental des allégations d’entreprises, la conception des produits, la distribution et la garantie des événements naturels, qui est aujourd’hui très marquée en Europe, s’étend à l’ensemble des Autorités de contrôle dans le monde.
L’IAIS se saisit du sujet des déficits de garantie (protection gaps) dans le domaine des événements naturels. Selon Sigma (Suisse Ré), 45 % des pertes étaient assurées en 2022, soit 125 milliards de dollars sur 275 milliards de pertes globales. L’IAIS estime que l’intervention des contrôleurs de l’assurance est indispensable : stabilité financière (incidences sur l’activité bancaire), la protection du consommateur, l’inclusion financière, les risques sociétaux sont autant de justifications de leur intervention. Cela étant, les « superviseurs » savent bien quelles sont les limites du raisonnement : la décision de cesser de souscrire peut être prudentiellement fondée, le SCR Cat’Nat’ augmente si les primes sont insuffisantes, la solidité financière des assureurs peut être mise en cause, les produits peuvent être mal construits, le relèvement des taux de prime peut exclure des clients du marché.
Les contrôleurs peuvent néanmoins agir pour réduire le déficit de garantie. Il s’agit d’abord d’identifier et de cartographier, par type de péril, ce déficit : modélisation, établissement de scénarios, stress tests. Il faut ensuite améliorer la connaissance du risque par les clients (« awareness ») et étudier les « barrières » de comportement des clients (cf. EIOPA) et contraindre les assureurs à informer les clients des risques de non-assurance. Il faut mettre en œuvre des politiques d’incitation financière (réduction de primes, incitation à la réparation améliorée, « Build Back Better » britannique) à la prévention des risques.
L’environnement de contrôle – la réglementation – doit se préparer à soutenir des produits innovants : l’assurance paramétrique, la micro-assurance. Mais aussi, il faut soutenir la mise à disposition de garanties : l’IAIS n’hésite pas à parler de garanties obligatoires et d’inclusion automatique dans d’autres produits, de permettre l’accès automatique à la réassurance (cessions obligatoires), de développer les obligations catastrophes (ILS-obligations), voire créer des partenariats public/privés à l’exemple du système français. Les « Supervisors » peuvent être des prescripteurs et des « designers » de ces systèmes qui rendent les garanties financièrement acceptables. L’IAIS ne manque pas de souligner les risques de « hasard moral » (seuls s’assurent les plus exposés) et de coût pour les finances publiques.
En conclusion, l’IAIS montre un chemin pour promouvoir l’assurabilité (avec ou sans l’aide des Pouvoirs publics) des déficits d’assurance, de façon plus constructive que l’EIOPA et, surtout, en évitant d’accabler les assureurs (et les réassureurs) qui se « retireraient » du marché (thème fréquemment développé en Europe). Les exemples d’expériences que cite l’IAIS se situent significativement aux États-Unis (feux de forêt), au Chili (assurance paramétrique) et au Maroc (régime de catastrophe naturelle « à la française »).
L’EIOPA ne figure que pour son « tableau de bord des risques naturels », qui est encore loin d’une sérieuse cartographie des déficits d’assurance.
15. LA NORME IFRS 17
L’enquête de l’EIOPA vise à mesurer les effets sur les facteurs de solvabilité de l’adoption depuis un an de la norme IFRS 17 sur l’évaluation des passifs d’assurance en valeur de marché et de faire la liste des modalités de mise en œuvre d’IFRS 17 choisies par les entités. L’Autorité européenne revient également sur les différences méthodologiques entre les normes comptables IFRS et les normes prudentielles de Solvency II. L’étude a porté sur 53 groupes d’assurance en Europe.
1. Le bilan d’une année d’application (janvier 2023/janvier 2024) de la norme IFRS 17, se traduit par une augmentation des passifs d’assurance et une baisse de fonds propres pour 46 % des entités (contre une augmentation de cette même « Shareholder Equity » pour 28 % d’entre eux). L’essentiel de cette évolution est lié aux différences d’évaluation des taux d’intérêt utilisés pour l’actualisation des provisions et à l’évolution des taux de marché au cours de la période.
2. Sur les principaux aspects de la méthodologie IFRS 17, l’EIOPA constate les situations suivantes :
– méthode d’évaluation des passifs : 86 % des entités Vie ont choisi la méthode dite « Variable Fee Approach » (VFA) et 90 % des entités non-vie ont choisi la « Premium Allocation Approach » (PAA) ;
– les contrats dits « onéreux » ou « à perte » représentent de faibles parts de portefeuilles et donc des pertes de l’entité : 2,39 % des contrats Vie, 2,90 % des contrats non-vie ; 2,14 % des contrats santé et moins de 0,5 % des pertes en Vie ou 1 % des pertes en non-vie et santé ;
– les taux d’actualisation (évalués par chaque entité dans IFRS 17, au contraire du taux fixé par EIOPA dans Solvency II) : le choix entre la méthode « bottom/up » (taux sans risque + prime d’illiquidité) et la méthode « top/down » (taux de marché - élément de spread) est décisif : 85 % des entités ont choisi la méthode « bottom/up » ;
– 58 % des groupes ont pris en compte des effets de diversification au niveau des groupes de contrats ;
– la marge de service contractuelle représente 8,6 % du cash flow nécessaire des contrats Vie (fulfilment cash flows)
3. L’EIOPA s’attaque à analyser les différences (plus fortes que prévu) entre les comptabilités de résultat et prudentielle.
L’EIOPA souligne d’abord les 3 principales différences entre le bilan comptable IFRS 17 et le bilan prudentiel Solvency II : les méthodes d’évaluation dans la méthode de « Premium Allocation Approach » (PAA) pour les provisions de prime non-vie ; les excédents de fonds propres, et notamment les provisions pour participations aux bénéfices qui sont des passifs d’assurance en IFRS et des fonds propres sous Solvency II ; l’existence même de la Marge de Service Contractuelle qui n’existe pas dans Solvency II. L’EIOPA considère que la norme comptable développe, à juste titre, un effort de présentation de la profitabilité de l’entité, alors que la norme prudentielle est consacrée à la solvabilité.
Pour l’évaluation des provisions techniques, IFRS 17, en incluant la « Contractual Service Margin » produit des P.T. en Vie, supérieure de 5 % au calcul sous Solvency II. Pour les P.T. non-vie, les cash flows nécessaires (fulfilment cash flows) sont 9,5 % plus élevés que les provisions techniques sous Solvency II.
Pour les limites de contrat : 68 % des entreprises utilisent le même concept en IFRS 17 et Solvency II. Les principales différences tiennent au système de déglobalisation de certains contrats (unbundling) sous Solvency II. Globalement, l’EIOPA considère que le système IFRS permet de calculer des profits futurs plus élevés que dans le calcul prudentiel Solvency II.
Les calculs de cash flow sont très différents pour 58 % des entités qui utilisent les méthodes IFRS 17, différentes des méthodes Solvency II.
L’allocation des frais sous IFRS 17 permet de diminuer le niveau des provisions par rapport à Solvency II.
Quant au taux d’actualisation utilisé, 42 % des entités utilisent le taux unique de l’EIOPA (Solvency II), 58 % utilisent un taux d’actualisation des provisions plus élevé que celui de Solvency II et constatent, sur les actifs, une prime d’illiquidité, comme le permet IFRS 17.
La marge de risque calculée sous IFRS 17 est plus basse en Vie que sous Solvency II, mais plus élevée, de 11 % en moyenne, en non-vie. L’analyse montre de nombreuses différences : le coût du capital est estimé, dans IFRS 17, fixé par la Directive Solvency II, à 6 % ; le risque opérationnel, le risque de défaut des contreparties et le risque « de marché » ne sont pas pris en compte dans IFRS 17 ; le bénéfice de diversification entre les filiales n’est pas autorisé dans Solvency II, mais est possible dans IFRS 17.
L’EIOPA se garde de conclure, tout en rappelant les nombreuses convergences entre le système prudentiel et le système comptable, malgré les différences d’objectifs (profitabilité IFRS 17 vs solvabilité pour Solvency II). Les divergences n’en sont pas moins considérables et menacent de s’accroître. D’autant plus que la révision de Solvency II ne prévoit pas de chercher des rapprochements entre IFRS et Bilan prudentiel. Plus que jamais, il existe bien trois comptabilités des entités d’assurance : la comptabilité statutaire (le « local gaap » à usage fiscal), la comptabilité de résultats (IFRS, qui concerne et intéresse les actionnaires et les marchés financiers) et la comptabilité prudentielle (Solvency II qui sert, pour l’essentiel, au contrôle des assurances). Il n’est pas sûr que les clients et les investisseurs se réjouissent de cette multiplicité d’approches, à supposer qu’ils en aient acquis l’intime connaissance technique.
16. BILANS ET RAPPORTS ANNUELS (EUROPE ET FRANCE)
Le rendement moyen en 2023 était estimé à 2,65 % au mois de février par l’Argus. L’ACPR a communiqué dans une analyse globale sur le marché de l’assurance vie en 2023 un taux de revalorisation de 2,60 % (Analyses & Synthèses n° 157-2024). Ce chiffre marque une nette progression par rapport à celui de 2022 qui était de 1,91 %. Ceci est la résultante de la hausse des taux d’intérêt constatée en 2023 et de la concurrence du livret A ont la rémunération a été portée à 3 % en 2023.
Les observateurs ont noté :
– que les produits lancés récemment et investis dans des obligations à taux élevé affichent des rémunérations supérieures à 4 % ;
– que les taux servis sont assez dispersés entre les mutuelles et les bancassureurs annonçant les uns et les autres des progressions significatives du rendement servi ;
– que les associations ont eu du mal à suivre le mouvement de hausse des participations bénéficiaires, l’AFER annonce 2,22 %, Gaipare 2,3 %, Agipi 2,45 %.
La diversité des taux servis peut s’expliquer par des types de gestion financière différents, les mutuelles prenant des risques en investissant dans des actifs diversifiés, plus rémunérateurs et aussi plus risqués (actions, immobilier, dette « corporate ») alors que les compagnies traditionnelles présentent un important portefeuille d’obligations souveraines.
Une autre explication de ces variations dans les taux servis réside dans une utilisation différenciée des provisions bénéficiaires accumulées (PPB). En 2023 les bancassureurs ont fortement fait appel à ce stock de provisions, un bancassureur important (BNP Paribas Cardif) a déclaré que la PPB de sa société représentait 6,78 % des encours en 2022, et 5,44 % en 2023 après une reprise de 1,046 Md€ afin de servir une rémunération en ligne avec celle de la concurrence. De son côté l’AFER affiche une PPB égale à 0,54 % des encours, l’association ayant pour habitude de distribuer généreusement produits et plus-values du portefeuille d’actifs, ce qui empêche toute distribution des participations bénéficiaires constituées. La PPB est une réserve de bénéfices alimentée par une dotation plafonnée à 15 % du rendement financier des actifs représentatifs, 85 % étant attribué aux bénéficiaires des contrats.
La politique de bonus mise en place par certaines compagnies pour concurrencer le livret A est propre à chaque organisation. Pour en bénéficier le client devait satisfaire à certains critères spécifiques tels que le pourcentage d’unités de compte dans l’encours du contrat, les montants et/ou les dates de versement des fonds.
Les trois autorités européennes de surveillance (EBA, EIOPA et AEMF - les AES) ont publié le 30 avril 2024 leur rapport mis à jour sur les risques et les vulnérabilités du système financier de l’Union européenne (UE).
Le rapport montre que les risques pour le secteur économique et financier restent élevés dans un contexte de ralentissement de la croissance, d’un environnement de taux d’intérêt incertains et de tensions géopolitiques persistantes. Il indique que les positions prudentielles et de liquidité sont restées solides en 2023, notamment les ratios de solvabilité des assureurs qui sont bien supérieurs à 200 %, et que les assureurs disposent d’une large disponibilité d’actifs très liquides, mais que leurs positions de liquidité ont légèrement diminué.
Le rapport souligne que les perspectives sont plus difficiles en 2024. Pour les assureurs, les défis viennent d’une éventuelle revalorisation des primes de risque et d’une croissance modérée, combinée à un éventuel effet de retour de l’inflation. Il met également l’accent sur les cybermenaces qui sont devenues plus agressives (nombre croissant d’attaques tentant de perturber les services ou d’accéder aux données et services, y compris les ransomwares, même si l’impact des attaques jusqu’à présent a été limité). Il en est résulté une augmentation des réclamations d’assurance liées à la cybersécurité dont la fréquence et la gravité des attaques a conduit le secteur de l’assurance à renforcer davantage les techniques de tarification et de transfert des risques.
Enfin, le rapport insiste sur l’importance pour les AES de lutter conjointement contre les risques pesant sur la cyber-résilience et le renforcement de leurs attentes sur l’application de la loi sur la résilience opérationnelle numérique (DORA).
Le « Supervisory Process Department » de l’EIOPA a publié le 19 avril son rapport d’activités pour l’année 2023 avec quatre parties : la mise en œuvre de la culture commune de supervision, les risques du marché interne et de l’égalité de traitement, la supervision des risques émergents, les autres activités.
Comme d’habitude dans ce genre d’exercice le superviseur tient à montrer son utilité par sa présence dans la supervision des entreprises mais aussi sur des thèmes qui ne sont pas d’actualité pour le secteur.
Le premier thème concerne la culture commune de la supervision, dans lequel sont regroupés les différentes actions réalisées par l’EIOPA dans son domaine de compétence :
– construction de benchmarks pour les pratiques de supervision, un cadre a été mis en place pour une évaluation du risque (« Risk Assessment Framework ») ;
– construction de benchmarks pour les modèles internes, le chapitre sur la calibration a été finalisé dans le Manuel de Supervision ;
– un outil a été développé pour superviser l’évaluation de la gestion des risques avec finalisation d’un chapitre dans le Manuel de Supervision ;
– les risques ESG ont été abordés, une évaluation interne a été menée dans tous les groupes avec identification des risques physiques et de transition ;
– la supervision de la Technologie, baptisée « Suptech », s’est traduite par la mise en place d’un outil d’analyse des informations communiquées aux clients souscrivant des produits d’investissement vie (PRIIPS) ;
– une opinion a été transmise aux NCAs concernant l’allégement de la supervision des captives ;
– développement d’outils de supervision pour aide aux difficultés transfrontalières ;
– instruction portant sur l’utilisation d’accords de gouvernance passés avec les pays tiers.
Concernant les opérations transfrontalières l’EIOPA a éprouvé des difficultés pour résoudre certains cas et a dû pour la protection des consommateurs faire usage des dispositions de l’article 155 (4) de Solvency II qui permet d’imposer un arrêt de la souscription dans un territoire.
Le second thème porte sur les risques des modèles internes et les risques d’inégalité qui peut mener à un arbitrage de supervision. L’EIOPA a mené en 2023 trois études comparatives sur les modélisations et sur les pratiques de supervision : « Market and Credit Risk (MCRS) », « Non life underwriting risk (NLCS) », une étude sur la diversification. La première étude a été résumée et commentée dans cette chronique et ne débouche sur aucune recommandation particulière. Dans la seconde étude l’EIOPA a analysé la souscription non-vie dans 75 sociétés relevant de 31 groupes d’assurance afin d’évaluer dans les différents modèles la façon dont les mêmes risques sont appréhendés, en outre ont été examinés les profils de risque permettant d’identifier les raisons qui ont influé sur le capital risque sur les cinq dernières années. L’EIOPA a observé des différences dans les intensités de capital faisant penser que des estimations incertaines sur des profits futurs de la part des utilisateurs de modèles internes expliquent ces variations par rapport à ceux utilisant la formule standard, le superviseur européen laisse le soin aux autorités nationales compétentes d’assurer le suivi de ces variations. L’étude sur la diversification a fait apparaître des appréciations différentes sur la délimitation des risques, sur les profils de risque, sur l’agrégation des risques et sur le choix des métriques. La conclusion tirée par le superviseur est que différents modèles d’agrégation ont pour effet une dispersion significative dans les exigences en capital des entreprises y compris celles avec des profils similaires. À ce stade l’EIOPA semble se contenter de constater la situation.
Deux autres études lancées en 2023 sur les risques de souscription en vie d’une part, sur les risques opérationnels d’autre part, sont en cours.
Dans le chapitre sur le traitement égalitaire, l’EIOPA signale qu’elle est parvenue à conclure des accords de supervision des opérations de réassurance avec les NCA européennes (Suisse) et non européennes (Bermudes). Par ailleurs elle a finalisé un nouveau chapitre du Manuel de supervision des IORPs relatif aux conditions des opérations menées par les IORPs à travers des prestataires de service.
Le troisième volet de l’activité du superviseur en 2023 a porté sur la supervision des risques émergents. L’EIOPA a réparti son action en quatre secteurs, la sécurité informatique, la transformation digitale, la souscription cyber, le modèle des affaires digitales. En 2023, l’EIOPA a participé avec les autres ESA (EBA, ESMA, EIOPA) au déploiement des différentes polices prévues par le règlement DORA. En transformation digitale l’EIOPA a mené des travaux concernant l’introduction de l’IA dans le secteur assurantiel, les technologies nouvelles, mise en place d’une plate-forme d’échange d’expériences dans le cadre du Forum Européen des Faciliteurs d’Innovation (EFIF). L’EIOPA a lancé une étude sur l’accessibilité pour les PME à des couvertures pour leurs risques cyber. Enfin elle adapte son Manuel de Supervision aux canaux de distribution digitale.
Sous le quatrième et dernier thème l’EIOPA a regroupé diverses opérations relevant du fonctionnement de l’organisme. On y trouve un travail d’évaluation technique, l’activité des collèges de superviseurs, les engagements bilatéraux avec les NCAs, l’activité des plates-formes collaboratives, l’analyse de l’impact de phénomènes macroéconomiques comme l’inflation ou la hausse des taux d’intérêt, des missions d’assistance aux NCA. Seul ce dernier aspect de l’activité propre de l’EIOPA mérite notre attention : le superviseur a finalisé en 2023 une mission d’assistance à une NCA pour évaluer la pré-application d’un modèle interne partiel, et a initié le même type de mission en 2024 pour deux autres autorités nationales compétentes. Elle souligne également le support apporté à une NCA pour établir un cadre d’évaluation de risques au moyen d’un instrument de fonds européen dénommé DG REFORM.
Les analyses de l’EIOPA sur 2023 et le 1er trimestre 2024 sont contre-intuitives, parfois contradictoires avec les analyses faites pour les fonds de pension.
Les risques macroéconomiques restent importants, notamment en ce qui concerne le rythme de croissance faible, ce qui pourrait impacter le niveau des primes. Or, dans l’année 2023, probablement, les chiffres d’affaires de primes en non-vie ont connu une croissance exceptionnelle et la collecte de primes en vie, santé et prévoyance a réamorcé sa croissance. Le facteur sous-jacent est le niveau relativement élevé des taux d’intérêt plus que la croissance du PIB, particulièrement atone dans la plupart des grands pays européens.
Le risque de crédit reste stable, notamment sur les obligations souveraines et privées, à un niveau moyen ou bas.
Le risque de marché financier est présenté par l’EIOPA comme le risque majeur : volatilité stable pour les marchés d’actions, mais baisse des prix de l’immobilier commercial. Là encore, ce diagnostic est contre-intuitif : les taux élevés des obligations pèsent sur la valorisation des actifs mais assurent des rendements élevés et le retournement du marché de l’assurance vie, et les indices boursiers sont à des plus hauts historiques. Le sujet est donc le risque de « bulle » sur les actions et l’éventuelle surexposition à l’immobilier commercial, qui n’occupe pas une place prépondérante dans le total des actifs des assureurs.
Le risque de liquidité est stable, mais les taux de résiliation tendent à augmenter. Certes, mais il s’agit le plus souvent de conversion d’un produit d’épargne dans un autre (e. g : l’effet de la loi Pacte en France). Il eut fallu raisonner, au niveau macro-économique, sur le taux d’épargne financière des ménages.
La profitabilité s’améliore et les niveaux de solvabilité restent stables. C’est probablement l’information majeure de ce Tableau de bord.
La contagion (« interlinkage ») : l’EIOPA souligne que l’exposition des assureurs aux valeurs bancaires reste stable.
Le « risque d’assurance » (probablement de souscription) est jugé moyen et stable, tout en notant (enfin !) la croissance des primes en vie et en non-vie. C’est aussi l’information majeure, d’autant que les ratios sinistres/primes restent stables, ce qui signifie que l’inflation, assez sensible sur les sinistres non-vie et santé, est efficacement compensée par la tarification.
La perception du secteur de l’Assurance par les marchés reste médiocre : sous-performance en non-vie et surperformance en vie. Le PER reste stable à 11 %, ainsi que les notations.
Les risques liés à l’ESG. L’EIOPA fait état d’un « rating ESG » médian qui demeure au niveau A. Les investissements en obligations vertes des assureurs représentent 6,8 % de l’encours total de ces obligations et sont stables à ce (modeste) niveau.
La digitalisation et les risques cyber demeurent à un niveau moyen, ce qui, là encore, est contre-intuitif, alors que l’intelligence artificielle semble se déployer dans l’assurance et que les grandes entreprises considèrent la menace cyber comme très forte.
Les déceptions procurées par la lecture de ce Tableau de bord tiennent essentiellement au caractère court-termiste de l’exercice. Le commentaire de chiffres trimestriels, agrégés pour 27 pays, où les tailles du secteur de l’assurance sont très différentes, est mécaniquement peu éclairant et ne permet pas une analyse prospective des risques effectivement encourus : inflation, bulle sur certains actifs, situation et évolution prévisible des taux d’intérêt.
Les risques macroéconomiques se situent à un niveau moyen et diminueraient, selon l’EIOPA : baisse de l’inflation et augmentation du taux de croissance seraient responsables de cette situation favorable. L’EIOPA ne commente pas la situation créée par le niveau relativement élevé des taux d’intérêt et l’effet de retard sur les investissements de l’attente de la baisse de ces taux, prévue pour 2024.
Le risque de crédit est moyen et stable : les spreads sur les obligations (principal investissement des IORPs) sont bas et stables. Les notations des investissements sont en moyenne entre AA et A.
Les risques de marché et de niveau de rentabilité des actifs sont stables, à haut niveau, du fait de la stabilisation de l’indice de volatilité. La baisse des prix de l’immobilier, notamment commercial, est un sujet d’inquiétude pour les IORPs, investisseurs à long terme.
Le risque de liquidité est moyen mais à la baisse.
Le risque sur les réserves et le funding risk (risque de solvabilité) est stable à niveau moyen. Les passifs actualisés augmentent plus vite que les actifs, du fait de la baisse (toute relative !) des taux d’intérêt, et l’excédent des actifs sur les passifs d’assurance a diminué au 4e trimestre 2023, après 3 trimestres d’amélioration.
Le risque de concentration des actifs aurait augmenté du fait de la concentration géographique des investissements.
Le « risque » ESG (environnement, social et gouvernance) est stable à niveau moyen : l’exposition au risque de transition écologique se situe à 0,59 % (médiane) de l’ensemble des actifs, avec une augmentation modeste de l’exposition des IORPs les plus importants.
La matérialité du risque cyber est stable à niveau moyen, mais les Autorités nationales soulignent, à l’inverse, son intensification. Elles n’ont guère d’autre choix dans la conjoncture actuelle.
En conclusion, et très logiquement, le risque principal pour les Fonds de pension est lié à la volatilité des marchés financiers.
Jean-Yves Dagès et Alain Chrétien (maire de Vesoul) ont remis leur rapport au Ministre, tandis que le sénateur Jean-François Husson soumettait ses conclusions à la Commission des Finances du Sénat. Le sujet est commun aux deux démarches : comment améliorer les possibilités d’assurance des collectivités locales, sachant que les élus instruisent un procès sur le « désengagement des assureurs ». Il faut, sans doute, comprendre là le mouvement général de hausse des taux de primes et des franchises, les difficultés actuelles de l’assureur historique du marché, la SMACL, désormais adossée à la MAIF, le retrait de certains assureurs européens au terme d’un cycle de baisse des tarifs qui a malmené les résultats techniques et la dégradation des risques dommages (voir R.C.) suite aux événements climatiques récents et, plus encore, aux émeutes et mouvements populaires derniers. Dans les deux cas, l’élévation de la fréquence et de la gravité n’a pas manqué d’accélérer le mouvement de hausse de tarifs et de résiliations.
Les conclusions sont intéressantes :
– il faut améliorer la connaissance par les collectivités locales de leur propre patrimoine, afin de préciser et mieux définir leurs besoins d’assurance. C’est effectivement indispensable, mais cela vient tardivement ;
– il faudrait abandonner les procédures d’appel d’offre pour revenir à des marchés de négociation. En effet, il est probable que l’insertion de courtiers (experts en appréciation des risques), dans le processus de construction de la demande d’assurance, permettrait de trouver de nouveaux assureurs ;
– « Demander aux assureurs de revenir sur le terrain » correspond sans doute aux souhaits des maires des communes moyennes ou importantes d’échapper au duopole qui s’est institué et qui justifie les actions de certains auprès des Autorités de la concurrence. À noter que ce duopole de fait existait sans doute antérieurement, mais que les élus s’accommodaient d’une mutuelle importante, spécialisée dans les risques des collectivités locales, mais aujourd’hui moins active ou dont les difficultés limitent ses possibilités de prise de risques ;
– pour les risques d’émeutes, les Rapporteurs proposent soit une solution de pool (type GAREAT-terrorisme), soit une solution de taxe générale (« de quelques euros ») sur chaque contrat d’assurance, qui est le système mis au point pour les indemnisations des victimes d’attentats et autres infractions, géré par un fonds public (le FGTI), qui ne fait pourtant pas l’unanimité et s’adresse à des victimes corporelles.
17. RÉSOLUTION
Le 22 septembre 2021, la Commission européenne avait communiqué au Conseil sa proposition de modification de la directive Solvabilité II ainsi qu’une proposition de directive relative au redressement et à la résolution des entreprises d’assurance et de réassurance, dite « Insurance recovery and resolution directive - IRRD » dans le cadre d’un réexamen complet des règles de Solvabilité II.
Selon la Commission la défaillance désordonnée d’assureurs peut avoir un impact non négligeable sur les preneurs d’assurance, les bénéficiaires, ou les personnes ou entreprises qui subissent un dommage. Elle peut en outre provoquer ou amplifier une instabilité financière et avoir une incidence sur l’économie réelle dans son ensemble ou nécessiter le recours à titre exceptionnel aux fonds publics. Il n’existe actuellement aucune procédure harmonisée au niveau européen pour procéder à la résolution des assureurs, ce qui entraîne des différences entre les États membres, se traduisant par des degrés inégaux de protection des preneurs d’assurance et des bénéficiaires.
À l’issue de négociations en trilogue, les colégislateurs sont parvenus le 14 décembre 2023 à un accord provisoire interinstitutionnel, que la commission économique du Parlement européen a approuvé le 29 janvier 2024.
L’accord provisoire introduit un nouveau régime avec des outils et des procédures harmonisées au niveau européen pour la résolution ordonnée des entreprises d’assurance. Il renforce également la coopération transfrontalière entre les autorités nationales en matière de prévention, de gestion et de résolution des crises. Les États membres devront mettre en place des autorités nationales de résolution dans le secteur des assurances qui se verront dotées de pouvoirs préventifs pour intervenir à un stade précoce et l’Autorité européenne des assurances et des pensions professionnelles (EIOPA) se verra confier un rôle de coordination.
Les entreprises et les groupes d’assurance et de réassurance d’une certaine taille auront l’obligation de concevoir et de soumettre des plans préventifs de redressement aux autorités nationales de surveillance. Cette exigence s’appliquera aux entreprises représentant au moins 60 % du marché de l’assurance ou de la réassurance concerné. En outre, les autorités de résolution devront élaborer un plan de résolution pour les entreprises et groupes d’assurance et de réassurance représentant au moins 40 % de leur marché respectif. En principe, les entreprises de petite taille et les entreprises non complexes ne seront pas soumises individuellement à des exigences de planification préventive du redressement.
Les autorités de résolution seront habilitées à mettre en œuvre les mesures de résolution de manière coordonnée et en temps utile. Elles pourront utiliser des instruments et des procédures de résolution (y compris la dépréciation et la conversion, la gestion extinctive des contrats ainsi que des instruments de transfert de portefeuille) pour remédier aux défaillances, notamment dans un contexte transfrontière. En outre, des dispositions spécifiques sur les dispositifs de financement et une clause de réexamen concernant les régimes de garantie des assurances sont incluses.
Contrairement à ce qui se passe pour les banques, la directive ne prévoit pas d’imposer au secteur de l’assurance d’exigence minimale de fonds propres et d’engagements éligibles pour absorber les pertes potentielles, ni un fonds de résolution unique à l’échelle de l’UE financé par le secteur.
On peut toutefois s’interroger sur la nécessité d’une réglementation aussi étendue, compte tenu des réglementations et des garanties existantes. Certaines améliorations ont été apportées par le Conseil européen et le Parlement à la proposition initiale de la Commission, en particulier en ce qui concerne les assouplissements envisagés sur les seuils de sélection des entreprises concernées par le plan préventif de rétablissement et les prémices d’une harmonisation européenne des fonds de garanties d’assurance. Néanmoins, le texte adopté prévoit l’obligation de mise en place de mécanismes de financement dont les contours n’ont pas été arrêtés.
La prochaine phase du développement de l’IRRD est la préparation de normes et lignes directrices techniques. Ces instruments incluront des informations importantes sur les aspects fondamentaux du cadre, tels que la définition des fonctions critiques et les détails de qui seront concernés par les plans de prévention et de résolution. L’EIOPA est habilitée à préparer et à soumettre les normes techniques à la Commission et à publier des lignes directrices sur des sujets spécifiques dans des délais donnés. Toutefois, à ce stade, le processus prévu par les colégislateurs et la Commission pour finaliser ces accords manque de clarté.
Les travaux concernant les niveaux 2 et 3 resteront déterminants, et devraient s’étaler entre 2024 et 2026.
Rappelons enfin que les entreprises d’assurances françaises doivent déjà se conformer à un régime de résolution depuis la loi Sapin II qui impose des obligations étendues notamment en ce qui concerne la mise en place de plans préventifs de rétablissement et de plans de résolutions.
Le 18 mars 2024, le Financial Stability Board (FSB) a publié un complément à son Guide de lignes directrices adopté en 2016 visant à soutenir la continuité opérationnelle dans la résolution en ajoutant une note sur la numérisation des services critiques partagés.
Rappelons que ce Guide a pour objet d’aider les autorités de surveillance et de résolution et les institutions financières pour évaluer si les institutions financières lorsqu’elles sont soumises à un plan de résolution disposent de dispositions appropriées de manière à maintenir la continuité opérationnelle de leurs activités et fonctions critiques et pour cela il est important qu’il y ait une continuité des services partagés critiques, tels que l’information, l’infrastructure technologique et les services liés aux logiciels, qui sont nécessaires pour prendre en charge la fourniture continue des fonctions critiques.
Dans le cadre de la numérisation du secteur des services financiers ces dernières années, la dépendance des institutions financières a augmenté à l’égard de fournisseurs de services tiers pour prendre en charge les services partagés critiques. Cela peut apporter de nombreux avantages aux institutions financières, notamment la flexibilité, l’innovation et une meilleure résilience opérationnelle. Cependant, si elle n’est pas correctement gérée, la perturbation des services partagés critiques est susceptible d’affecter la fourniture continue de fonctions critiques, posant des risques pour la résolution ordonnée et, dans certains cas, la stabilité financière.
Le FSB a procédé en 2023 à un examen pour évaluer l’application de ses lignes directrices lequel a révélé qu’elles sont toujours appropriées, malgré les modifications ultérieures apportées au paysage technologique.
Toutefois, l’utilisation accrue de services de nature numérique pourrait créer des problèmes spécifiques pour les entreprises dans la mise en œuvre de dispositifs visant à soutenir la continuité opérationnelle en matière de résolution, tels que les dispositions contractuelles, la cartographie des services, les modalités de gouvernance ou les droits d’utilisation et d’accès aux actifs opérationnels en résolution.
Sur la base de ces conclusions, la note complémentaire fournit quelques éclaircissements aux autorités et aux institutions financières sur la mise en œuvre du Guide du FSB dans le contexte d’une dépendance accrue à l’égard de fournisseurs de services tiers pour les services partagés critiques, et la numérisation de ces services. n
