Les conflits armés contemporains, notamment l’invasion de l’Ukraine par la Russie en février 2022, ont provoqué une véritable explosion de l’application du nombre des sanctions internationales et de leur complexité. Les risques de non-conformité, l’application des sanctions dans plusieurs juridictions, l’ampleur des pénalités à l’encontre des entités convaincues de non-conformité, la coexistence de régimes de sanctions thématiques (lutte contre le blanchiment, LCB anticorruption) et géographiques imposent aux assureurs une vigilance constante, en créant des risques juridiques, financiers et réputationnels considérables. Les outils disponibles pour la vérification de la conformité sont-ils suffisamment performants, et sinon, comment peut-on les améliorer ?
I. L’environnement complexe des sanctions internationales1. Une diversité institutionnelle des régimes de sanctions
Un quart des pays de la planète subit des mesures restrictives. Les États-Unis dominent largement le domaine de l’institution de pénalités.
Les mesures concernent d’abord les États à travers des embargos qui peuvent être totaux ou sectoriels. Il s’agit de bloquer ou de limiter les échanges commerciaux d’un État. Elles s’étendent (ou se concentrent) sur des personnes, des entreprises ou des organisations : le principe est de toucher directement les responsables, sans faire souffrir toute la population du pays.
Les sanctions revêtent des formes diverses : économiques, financières ou commerciales, diplomatiques, militaires (embargos sur les armes) ou symboliques (exclusion des athlètes d’un pays des compétitions olympiques). Les sanctions peuvent être unilatérales (un pays) ou multilatérales (une organisation internationale), ce qui génère des divergences entre les juridictions.
Les principaux émetteurs de sanctions sont les États-Unis (40 % des mesures mondiales), l’ONU (30 %), l’Union européenne (UE) (20 %) et les autres organisations régionales (10 %). La prédominance américaine résulte notamment de la portée extraterritoriale des sanctions qu’édictent les États-Unis (rôle de l’OFAC – Office of Foreign Assets Control).
L’Europe distingue, dans le cadre de la Politique étrangère et de Sécurité commune (PESC), trois catégories de mesures : la transposition des mesures onusiennes ; les mesures complémentaires ou sanctions de l’ONU ; les mesures adoptées à l’initiative de l’Union.
L’application des sanctions repose sur deux concepts : « l’UE nexus », qui englobe toutes les transactions en euros dans l’UE, et « les UE persons », où qu’elles exercent leur activité. Ces notions sont compliquées par l’application des règles de propriété de l’entité (détention de 50 % du capital) ou de contrôle de celle-ci (ou « influence décisive »). Enfin, le système comprend des mécanismes de dérogations et/ou d’autorisations qui permettent d’éviter légalement les sanctions.
Le système américain est fondé sur l’extraterritorialité, administrée par l’OFAC. Il comprend des sanctions primaires fondées sur des listes de personnes ou d’entités, et sur des sanctions sectorielles (Sectoral Sanctions Identifications List). Celles-ci utilisent les mêmes notions que l’UE : « US nexus » qui englobe tous liens avec les États-Unis (dont les transactions en dollars) et les « US persons » qui couvrent les citoyens américains où qu’ils se trouvent et les succursales de sociétés américaines dans le monde. Les sanctions secondaires instituent une extraterritorialité pure sur les activités de personnes non américaines qui se livrent à des activités avec des « personnes, des régimes, des organisations ou des pays sanctionnés ». Les entreprises non américaines doivent ainsi choisir entre faire des affaires avec les États-Unis ou avec des pays sanctionnés. L’efficacité repose sur la taille du marché américain et sur le rôle du dollar dans le commerce mondial. : y renoncer est évidemment dissuasif Les sanctions secondaires visent l’Iran, la Chine, la Russie, la Corée du Nord et la Syrie. L’action de l’OFAC est complétée par celle du Bureau of Industry and Security (BIS) qui contrôle l’exportation de produits américains soumis à des restrictions, y compris les biens fabriqués à l’étranger incorporant un composant d’origine américaine.
Comme l’Europe, le système américain prévoit des mécanismes de dérogations (licences), et des exemptions, avec une période de validité. L’efficacité du système repose largement sur des sanctions financières, souvent ciblées : 83 % des amendes ont été payées par des entités européennes, notamment les banques et, à un moindre degré, les assurances. Le facteur d’insécurité, dû à la lourdeur de ces amendes, est aggravé par la volatilité permanente des listes d’entités et de transactions sanctionnées.
2. Les vulnérabilités spécifiques du secteur de l’assurance aux sanctions internationales
Le risque d’être sanctionné, dans cet environnement complexe, peut apparaître à chaque étape du cycle d’assurance, et certaines fonctions ou certains secteurs sont particulièrement exposés (le maritime et l’assistance, notamment). Les risques sont financiers (amendes), pénaux et réputationnels.
Les assureurs doivent veiller au risque de contournement des sanctions que présentent leurs clients : anticipations des sanctions par le stockage ; résilience par la diversification des partenariats économiques mais, surtout évasion, fraude et dissimulation ; ou l’exploitation des exceptions, la manipulation des codes douaniers ou l’utilisation de pays de transit (sociétés « écrans ») ; ou gestion habile des biens à double usage militaire et civil.
Le risque opérationnel de non-conformité est considérablement amplifié par la complexité des systèmes de sanctions, alors qu’il est largement sous-évalué dans la Directive Solvency II (4 % des primes en Vie et 3 % des primes en non-Vie). La conformité sur l’identification des clients et partenaires, au titre des sanctions internationales, relève d’une obligation de résultat (et non de moyens, comme c’est le cas pour la lutte contre le blanchiment de capitaux et le financement du terrorisme – LCB-FT) qui est critique en assurance maritime et transport. Les risques sont liés aux employés eux-mêmes, de la formation insuffisante à la fraude. S’y ajoutent les risques technologiques dans les connexions insuffisantes avec les bases de données internationales de sanctions, et donc de failles potentiellement graves dans l’organisation quant au suivi de l’évolution des listes de sanctions. Les amendes transforment le risque opérationnel en risque financier majeur.
Le risque réputationnel est lié à la confiance que portent les clients à leur assureur. L’implication de ce dernier dans des pratiques contraires à l’éthique ou en violation des sanctions internationales porte atteinte à son fonds de commerce. La pratique de la publication des sanctions (name and shame), la sensibilité de l’opinion publique aux notions ESG (Environnement, Social, et Gouvernance), la réactivité des Agences de notation à ces facteurs ESG, pèsent lourdement sur la situation boursière de l’entreprise d’assurance. L’approche des Autorités de contrôle s’est fortement durcie en ce qui concerne les atteintes à la réputation, jusqu’à prévoir la possibilité de retrait d’agrément.
3. Les insuffisances notables
de la gestion actuelle du risque d’exposition aux sanctions internationales
Bien que les assureurs aient consenti des efforts financiers pour investir dans les dispositifs de conformité (le chiffre de 85 milliards de dollars pour la zone Europe, Moyen-Orient, Afrique est avancé), des insuffisances notables persistent dans la maîtrise du risque, tandis que les techniques de contournement évoluent plus rapidement que les capacités de détection.
La maîtrise du risque est structurée selon 8 piliers :
– l’évaluation des risques nécessite une cartographie détaillée qui détecte les zones de vulnérabilité ;
– les procédures internes sont définies dans des politiques écrites ;
– la diffusion doit en être assurée de façon adaptée aux différents acteurs de l’entreprise ;
– la formation de ces acteurs est essentielle et peut réduire jusqu’à 30 % les infractions à la réglementation (MoldStud) ;
– le reporting sur les indicateurs clés de performance au Conseil d’administration doit être assuré au moins annuellement ;
– l’évaluation quotidienne des relations d’affaires (clients, partenaires, fournisseurs, distributeurs et intermédiaires), de façon automatisée, est indispensable ;
– le contrôle des opérations à risque – dûment définies – est au centre de la surveillance de la conformité ;
– celle-ci doit enfin faire l’objet de contrôles permanents et d’audits périodiques de la fonction « audit interne ».
Cela étant, les dispositifs actuels restent limités dans leur efficacité. L’ACPR souligne les manquements divers dans le traitement des alertes, dans les revues de dossiers « Know your customer » dans le domaine de la LCB-FT, ainsi que les limites dans la dimension technologique des dispositifs. Ces remarques s’appliquent à l’ensemble de la démarche de conformité, notamment au respect des sanctions internationales.
II. Vers une conformité augmentée : des nouveaux modèles organisationnels
aux technologies émergentes1. Gouvernance, adaptation et harmonisation générale : nouveaux modèles d’organisation
La coopération renforcée entre les Autorités nationales et internationales et les assureurs est nécessaire pour réduire une fragmentation entre Autorités. Selon Baker& McKenzie, « les Autorités européennes adoptent des positions divergentes sur les questions importantes relatives au respect des sanctions ». Cela favorise le forum shopping, c’est-à-dire la sélection réglementaire des zones où l’approche est la plus permissive. Il est de même nécessaire de créer une base de données centrale des licences, dérogations ou autorisations, afin de réduire les risques de non-conformité involontaire. Il en résulterait une réduction significative, via la centralisation des alertes, des « faux positifs » (fausses alertes). La centralisation permettrait aussi de standardiser les formats de données et faciliterait l’automatisation des contrôles. L’existence d’une plateforme internationale serait donc une avancée significative. Partie de l’Europe à 27, elle devrait idéalement inclure les principales juridictions émettrices de sanctions : États-Unis, Europe, Royaume-Uni, Canada, Australie et Japon. Elle permettrait une formation générale des intervenants et des modules spécialisés : juridiques, évaluation des risques sectoriels, dérogations humanitaires et gestion des situations d’urgence géopolitiques. De même, la création d’une base de données relative aux « bénéficiaires effectifs » permettrait de mieux maîtriser le risque d’exposition, comme l’a entrepris l’UE.
Ces projets supposent une coopération renforcée entre public et privé, pour passer d’une conformité défensive à une coopération positive.
Des mécanismes de partage d’information peuvent réduire la confusion qui résulte de la disparité des régimes de sanctions internationales. La méthode OSINT (Open source intelligence) se révèle pertinente pour enrichir les dispositifs traditionnels de compliance, du fait de la richesse des sources utilisées. Elle permet la surveillance en temps réel des évolutions réglementaires, une veille approfondie sur les connexions entre les entités sanctionnées, et l’anticipation des risques pays et sectoriels. En France, l’initiative du Conseil d’orientation de la lutte contre le blanchiment (COLB) explore une approche similaire de partage d’information sur les risques de sanctions entre public et privé (banques et assurances).
L’identification des bénéficiaires effectifs est essentielle à la conformité dans les domaines de LCB-FT, de la corruption et des sanctions internationales. Elle implique l’identification et la mise à jour des données clients des assureurs. Il faut donc mettre en place un processus de due diligence renforcée sur les clients directs et l’ensemble des acteurs de la gestion de l’assurance. Les assureurs devraient concevoir des processus spécifiquement dédiés aux sanctions internationales, distincts des programmes LCB-FT et portant sur l’évaluation systématique du risque de sanctions dès l’entrée en relation d’affaires, la vérification croisée des parties prenantes sur les bases de données existantes, l’analyse de la structure capitalistique des clients et partenaires et la traçabilité rigoureuse des diligences effectuées.
2. Vers une révolution technologique au service de la conformité
L’intégration systématique de l’intelligence artificielle (IA), dans la gestion des risques, est un outil majeur de la conformité en assurance. L’IA permet de croiser les multiples listes de sanctions avec les bases de données clients, fournisseurs, bénéficiaires effectifs, et de détecter automatiquement les liens indirects et les connexions avec des entités sanctionnées, d’anticiper l’évolution probable des régimes de sanctions et de hiérarchiser les alertes de conformité.
Les outils d’analyse de graphes permettent de modéliser, visualiser et analyser des relations complexes entre de multiples entités. L’intérêt principal est la capacité d’identifier des connexions indirectes. Les graphes permettent de cartographier les chaînes de contrôle et d’influence, et d’analyser les flux financiers suspects. Ils sont donc utiles dans la détection des stratégies de contournement des régimes de sanctions.
Les « jumeaux numériques » sont également une technologie prometteuse. Il s’agit d’une réplique virtuelle dynamique d’un actif physique, d’un système ou d’un processus. Ils permettent un suivi géographique et temporel des marchandises sensibles. On peut donc identifier toute tentative de contournement des sanctions en temps réel (transport notamment, ou biens à double usage).
3. Vers un système de gestion des risques transversal, intégré et agile
Une approche décloisonnée suppose la révision de concepts traditionnels, aujourd’hui encore fréquemment utilisés. La cartographie systématique des risques donne une vision statique de l’exposition. L’analyse par typologie isole artificiellement les risques (juridique, financier, opérationnel, réputationnel) les uns des autres en occultant leurs effets systémiques. Les modèles probabilistes statistiques doivent céder la place à l’analyse stochastique de stress-tests incluant des scénarios extrêmes. Il faut aussi mettre fin (de Vittoris et Cros) au cloisonnement temporel entre gestion préventive des risques, gestion réactive de crise et continuité d’activité. Le risque d’exposition aux sanctions doit être géré comme un cycle complet intégré et continu, où le risque de sanctions est intégré dans les plans de continuité d’activité et les dispositifs de gestion de crise. L’indicateur clé serait alors le coût global de la non-conformité.
Cela étant, cette démarche rencontre évidemment des limites d’ordre juridique, technique, culturel et financier. L’absence de gouvernance internationale des sanctions et la segmentation des juridictions (et de leurs intérêts géopolitiques spécifiques) sont un blocage majeur dans le partage des informations et la collaboration entre Autorités publiques et secteur privé. L’hétérogénéité technique des systèmes informatiques demeure. La lourdeur et le coût des due diligences systémiques sont des obstacles majeurs à leur mise en œuvre. Des problèmes éthiques se posent à l’utilisation massive de l’IA, notamment au regard de la protection des données personnelles et des biais algorithmiques. L’approche proactive de la gestion intégrée de risques exige une transformation culturelle profonde des entreprises d’assurance. Enfin, la dimension financière des coûts d’investissements impose des arbitrages difficiles par rapport à d’autres priorités business.
La conformité, notamment vis-à-vis des sanctions internationales qui imposent une obligation de résultat, est un enjeu majeur pour la gestion de risques des entreprises d’assurance, à tous les niveaux de la chaîne de valeur : risques opérationnel, financier, réputationnel, réglementaire. Les technologies numériques et le Big Data apportent des réponses à des défis opérationnels majeurs. Mais les exigences organisationnelles et les coûts d’investissement exigent une forte implication de la gouvernance des entreprises dans la définition de leurs priorités face à des réglementations protéiformes, volatiles et très exigeantes.
