Introduction
La réglementation climatique reste foisonnante, parce qu’il faut réconcilier les diverses approches (les « impacts négatifs » et les « Do Not Seriously Harm ») et que la taxonomie reste inachevée, car bornée à deux des six objectifs de la Commission en matière environnementale. D’autant plus que les associations ravivent la flamme du « verdissement abusif » des produits d’épargne et des investissements, et que l’EIOPA peine à introduire des modèles d’évolution climatique dans les ORSA. Après l’ouragan Ian, il s’inquiète aussi des risques de multiplication d’exclusions de clients des garanties d’événements climatiques extrêmes.
Le point majeur de cette chronique est le point (final ?) mis à la polémique sur le caractère conforme à la taxonomie verte des investissements dans les énergies nucléaires et issues de gaz fossile. Les textes sont particulièrement contournés, mais l’obstacle semble surmonté. Il est vrai que la guerre en Ukraine a précipité la crise énergétique en Allemagne et que l’usage du charbon reprend son expansion dans le monde et en Europe.
L’Europe de l’assurance poursuit son effort d’implication dans les risques cyber, avec la publication du Règlement DORA qui ouvre de nouveaux développements à la réglementation de l’assurance. En France, le Rapport de la Direction générale du Trésor fait un point remarquable sur le sujet et cherche à positionner intelligemment le rôle de la réglementation et du Contrôle et non, comme la Commission, à développer des règles et des institutions d’application (et de sanctions) de celles-ci. Le dossier de l’assurance des « rançongiciels », malencontreusement développé par le Parlement français, semble se clôturer positivement : les rançons restent assurables en France, ce qui évite l’exportation du risque ailleurs en Europe.
Les polémiques consuméristes reprennent. Ce sont, d’une façon générale, les « frais » sur les contrats, notamment les commissions aux distributeurs qui engagent une bataille sur la value for money de certaines activités d’assurance. Et l’EIOPA se lance dans de dangereuses réflexions sur le niveau des tarifs et des marges sur les produits. Il y aurait des marges « abusives » lorsque le niveau du ratio sinistre/primes serait « trop faible ». Et d’ailleurs, les primes devraient être définies exclusivement sur des critères actuariels et non sur l’élasticité/prix du produit pour le client. De beaux débats philosophiques sur l’économie de marché sont en perspective face à cette offensive d’une « police des tarifs ».
Les débats se poursuivent sur la gouvernance, les fonctions-clés (dont le nombre croît), la création d’officers de plus en plus nombreux et hiérarchiquement rattachés au Conseil d’administration ainsi que sur les règles de sous-traitance et la notion d’« activité critique » (au titre de la gestion de l’assurance et au titre des systèmes d’information).
Dans l’avenir, ces sujets de contrôle de la sous-traitance vont poursuivre leur développement du fait de la volonté de l’EIOPA de réglementer les « coquilles vides », sociétés d’assurance installées en Europe et dans ceux des États membres où la réglementation de l’assurance et de la finance est légère ou appliquée plus compréhensive qu’ailleurs dans l’Union. Obliger à localiser les fonctions critiques dans le pays du siège pourrait être un facteur de contrôle plus étroit de la gestion des risques et des finances.
Décidément, avant de partir, les Britanniques, champions des havres réglementaires (Jersey, Guernesey, Gibraltar, Île de Man, Irlande du Nord) ont bien enseigné leur leçon à l’EIOPA, qui l’a bien comprise.
Solvency II – Pilier I :
éléments du bilan prudentiel
1.1. Actualisation de la documentation technique du calcul du taux d’intérêt sans risque – EIOPA – BoS 22-409 – Septembre 2022
Comme chaque année, l’EIOPA a publié en septembre une mise à jour au 1er janvier 2023 de sa documentation technique sur le calcul du taux sans risque et son environnement. Les changements énumérés concernent :
l’évaluation de la profondeur, de la liquidité et de la transparence des données (DLT Assessment) ;
– les modifications de pays apparentés utilisés pour calculer la volatilité et le matching adjustment ;
– une modification de la méthode de calcul de l’ajustement du risque de crédit (CRA) ;
– un changement de référence pour le calcul du spread des obligations danoises couvertes (covered bonds).
Les modifications du Deep, Liquid, Transparent Assessment (DLT Assessment) portent sur l’actualisation des tables utilisées pour les swaps et les obligations souveraines dans le cas d’actifs exprimés dans des monnaies hors zone Euro à savoir le franc suisse, le yen, le dollar US, le dollar de Singapour. De même, l’entrée de la Croatie dans la zone Euro amène à une légère modification des tables. Pour Malte, l’EIOPA a fixé comme référence pour tous les calculs faisant appel à des taux d’obligations souveraines d’utiliser les mêmes tables que celles utilisées pour l’Espagne. Dans le même esprit, l’Autorité européenne de régulation a décidé de mettre à jour au 1er janvier 2023 différentes tables pour les monnaies suivantes : couronne croate, franc suisse, couronne tchèque, islandaise, suédoise, lei roumain, toutes monnaies hors zone Euro. L’impact de ces mises à jour est négligeable pour le calcul du taux sans risque (RFR).
Les modifications de pays apparentés (peer country) ne changeront pas grand-chose. En effet, si le texte actualisé modifie l’usage spécifique de données d’un pays tiers pour le calcul de la volatilité et du matching adjustment dans un pays n’ayant pas de courbes de rendement pour ses obligations souveraines ou dans son portefeuille d’ajustement, l’effet sur la volatilité et le matching adjustment est négligeable. Ainsi, en 2023, le peer country de Chypre est le Portugal, de l’Estonie la Belgique, de la Lettonie l’Irlande, du Liechtenstein la Suisse, du Luxembourg les Pays-Bas, de Malte l’Espagne.
Le calcul du CRA s’effectuera à partir du 1er janvier 2023 avec le spread de l’Euribor/€str.
Solvency II – Pilier II :
ORSA et Gouvernance
1.2. Suivi de l’examen du contrôle de l’honorabilité des membres de l’organe dirigeant (AMSB) et des actionnaires dominants (qualifying shareholders) – EIOPA – BOS 22/437 – 12 octobre 2022
Il s’agit du suivi des recommandations faites aux Autorités de contrôle nationales sur le contrôle de l’honorabilité des dirigeants des entités d’assurance en 2019, soit 78 actions recommandées à 28 Autorités.
Sous le couvert de l’uniformisation des contrôles, il s’agit d’étudier la possibilité d’étendre le contrôle de l’honorabilité dans son contenu et dans la nature des fonctions auxquelles s’applique ce contrôle : typiquement, les membres de l’AMSB des groupes (non visés par l’article 257 de la Directive), les actionnaires « qualifiés » (art. 26.3 et 24 de la Directive et article 59 pour la liste des informations requises sur l’honorabilité). Le texte se réfère aussi à l’article 273.4 du Règlement délégué qui fait la liste des points de contrôle : honnêteté, solidité financière, caractère du dirigeant, comportement personnel, conduite professionnelle et les éléments d’information de nature pénale, financière ou personnelle. En réalité, les questions en suspens demeurent : les Autorités doivent-elles approuver la nomination des membres non exécutifs de l’AMSB et les qualifying shareholders, et l’appréciation peut-elle se fonder sur le comportement fiscal de ceux-ci ?
Les réponses de l’EIOPA sont, comme d’habitude, ambigües. L’Autorité insiste sur un contrôle de l’honorabilité étendu à l’existence d’investigation pénale, de sanctions administratives et de banqueroute personnelle, mais pour tous les membres de l’AMSB, donc les administrateurs non-exécutifs. Elle s’applique à « l’harmonisation des questionnaires » sur lesquels il conviendra d’être vigilant. D’autant plus que l’EIOPA ne manque pas de relever que certains questionnaires ne traitent pas de la participation de l’administrateur dans des processus de faillite, d’implication dans les affaires de lutte contre le blanchiment (LCB/FT), de la situation financière de l’administrateur ou de « la poursuite d’activité sans détention de licence ». Le questionnaire harmonisé serait donc extensif.
Par ailleurs, l’EIOPA réaffirme le principe selon lequel les entités sont responsables de la vérification de l‘honorabilité des membres de l’AMSB et que les Autorités nationales ont la charge de vérifier que ce contrôle est fait de façon récurrente. Ces vérifications sont étendues aux actionnaires « qualifiés » et aux dirigeants des holdings (groupes), notamment sur la base d’une recommandation faite aux Autorités françaises sur les vérifications périodiques.
L’Autorité européenne souhaite ajouter des dispositions dans la révision de Solvency II (art. 19 et 26) pour renforcer les bases légales de l’action des Autorités nationales de contrôle, notamment l’extension du test d’honorabilité aux personnes physiques ou morales qui ont un « lien étroit » avec l’assureur. Elle veut aussi préciser les conditions d’information des diverses Autorités nationales sur le contrôle d’honorabilité des entités qui ont une activité transfrontalière.
L’EIOPA constate que les Autorités françaises ont répondu à ses recommandations sur :
– le contrôle récurrent de l’honorabilité des membres de l’AMSB et que l’ACPR a clairement affirmé la responsabilité de l’entité (politiques écrites et contrôles annuels) ;
– le contrôle récurrent sur les « actionnaires qualifiés » et le principe de la consultation des autres États membres, en cas d’activités ou de participations transfrontalières ;
– la mise en place d’une base de données incluant tous les membres de l’AMSB sur la nature et les circonstances des démissions de ces membres (withdrawals). À noter que l’article 42 de la Directive ne vise que les dirigeants effectifs et les titulaires de fonction-clé. L’EIOPA opère donc une extension du Contrôle.
Ce document esquisse une extension (légale – directive – ou réglementaire – nationale) des contrôles imposés aux entités sur un nombre croissant de responsables. La presse professionnelle française (Argus du 18 octobre 2022) ne manque pas de le souligner, en rappelant que la France s’en tient, si l’on peut dire, à l’absence de condamnations définitives depuis moins de 10 ans, telles que listées par le Code des assurances, ainsi que l’absence « d’infractions relatives aux activités bancaires et financières, à la lutte contre le blanchiment à la fraude, au crime financier, aux infractions fiscales, à des infractions à la législation relative aux sociétés, à la faillite, à l’insolvabilité ou à la protection des consommateurs ». La bonne nouvelle est que l’EIOPA considère que la France fait partie des « bons élèves » dans un domaine délicat pour les entités (gestions des administrateurs).
1.2. Examen croisé sur la sous-traitance – Rapport final – EIOPA – BOS 22/383 du 22 juin 2022
Cet imposant rapport concerne d’abord la tenue des contrôles des Autorités nationales (ANC) sur les modalités de la sous-traitance dans l’assurance, à savoir l’existence d’une notification, d’un contrôle initial et d’un contrôle récurrent de cette sous-traitance, soit « sur pièce », soit sur place. L’EIOPA rappelle que le recours à la sous-traitance se développe, notamment dans le secteur informatique (TIC, selon l’acronyme adopté par le Règlement DORA).
La liste des sujets, qui font l’objet des remarques et recommandations de l’EIOPA, montre que l’intention de l’Autorité est bien de parvenir à une réglementation/régulation de la sous-traitance, sinon globale, au moins sur certaines sous-traitances qu’elle juge majeures. L’EIOPA aborde les points suivants : le cadre « réglementaire » de la sous-traitance mis en place (ou non) par les Autorités nationales de contrôle (ANC) ; la définition des « CIF » (critical and /or important functions) plus ou moins sous-traitables ; les limites à apporter à la sous-traitance des fonctions de souscription et de gestion des sinistres, en particulier la question du rôle des intermédiaires (la question des Managing General Agents –MGA – est posée et reviendra sans doute dans la révision de la DDA) ; le contenu de la notification de la sous-traitance au niveau de la conclusion et de l’extension du domaine ; l’existence d’un droit juridique d’opposition du Contrôle à la sous-traitance ; le contrôle au stade de la notification (et ensuite) ; la documentation et l’information du management sur la sous-traitance, en particulier sur les fonctions-clés (Solvency II) et les nouvelles CIF (concept nouveau en assurances) ; les contrôles sur pièces et sur place (et leur base légale) chez les sous-traitants ; le contrôle continu et, en particulier, les services « intra-groupe » (questions sur l’indépendance, les conflits d’intérêts et la sous-traitance interne des CIF, question déjà posée pour la sous-traitance des fonctions-clés de Solvency II au sein d’un groupe) ; le contrôle (interne et/ou public) des fonctions souscription et indemnisation sous-traitées.
L’EIOPA propose d’abord quelques « bonnes pratiques » du contrôle, dont certaines sont celles de l’ACPR : communication au marché national d’un « cadre » de la sous-traitance admissible ; des critères de définition des CIF (l’ACPR y a procédé, voir ENAss Papers n° 23) ; une liste des informations requises par l’Administration pour la déclaration d’une opération de sous-traitance et, enfin, des revues thématiques nationales sur l’ensemble de l’assurance d’un État membre sur les pratiques de sous-traitance.
Sur cette base, l’EIOPA fixe son programme de travail dans trois domaines. La surveillance de la sous-traitance pour les activités de souscription et de gestion des sinistres, qui est une sous-traitance non soumise à notification, devrait s’exercer car, selon l’EIOPA, il s’agit de fonctions CIF. L’Autorité est particulièrement soucieuse d’émettre des lignes directrices sur les sous-traitances aux Managing General Agents, dont la création semble se développer en Europe. C’est une évolution majeure de la réglementation.
La sous-traitance des CIF (art. 49.3 de la Directive) est un aspect majeur du Rapport. L’Autorité établit un rapport bizarre sur les CIF sous-traitées rapporté au nombre d’entités (faible en France, très important à Malte). L’EIOPA a défini, dans ses lignes directrices, la liste des CIF : conception et tarification des produits ; investissement et gestion du portefeuille ; fonctions-clés de Solvency II ; conception de l’ORSA ; gestion des sinistres ; maintenance et gestion des TIC ; modalités de stockage des données (cloud). L’ACPR a défini une liste de critères de définition des CIF : coût ; impact opérationnel ; impact sur la réputation ; difficulté à substituer un autre acteur ; contrôle du cocontractant sur le sous-traitant et évaluation des pertes potentielles en cas d’inefficience du sous-traitant. L’EIOPA souhaite légiférer sur les conditions de sous-traitance des CIF, en particulier sur les possibilités de mettre fin aux contrats de sous-traitance : changement de fournisseur, modification du contrat, actions en cas de problème majeur sur la qualité du service fourni.
La création de « coquilles vides », entité d’assurance établie dans l’Union, mais dont l’essentiel de l’activité est géré à partir d’un autre pays que le pays du Siège, et dont les exemples les plus fréquents sont à Malte, en Irlande, à Luxembourg et, naguère, à Gibraltar, est vivement critiquée par l’EIOPA. La France semble avoir édicté des règles pour maintenir les activités de contrôle interne de l’activité dans l’entité française, mais elle est visée par l’EIOPA au titre des GIE, soupçonnés de couvrir des turpitudes. L’Autorité européenne veut légiférer sur ces sujets en se fondant sur des « jugements d’experts », dont on peut craindre le pire. La question centrale – jamais évoquée mais fondamentale – est la recherche de « havres réglementaires ou régulateurs », dont certains États de l’Union se sont fait une spécialité, notamment avec l’exemple anglais. La France, qui vient de renoncer à attirer des « captives de réassurance » au cours des derniers débats parlementaires, n’est sans doute pas un pays hôte de ces pratiques, mais cherche évidemment les opportunités offertes par la Liberté de Prestation de Services pour la gestion souple des groupes d’assurance. L’EIOPA vise d’ailleurs largement les « sous-traitances intra-groupes ».
Enfin, le Rapport traite, dans le désordre, de sujets sur lesquels l’Autorité estime avoir publié les lignes directrices nécessaires : sous-traitance vers les prestataires de services de cloud, les modèles internes (optimisation des fonds propres), externalisation des fonctions-clés, sous-traitance intragroupe et, surtout, « sous-traitance dans les pays tiers » considérés comme les plus risqués, ainsi que le recours généralisé aux succursales.
La conclusion générale est la nécessité de rassurer le contrôle sur les activités de sous-traitance, en appliquant des méthodes de « diligences nécessaires » et d’appréciation du risque. Néanmoins, nous aurons, dans les années qui viennent, une intense activité réglementaire sur ces sujets.
1.2. Consultation sur une décision (supervisory statement) sur la sous-traitance dans les pays tiers de fonctions ou d’activités – EIOPA – BOS 22/715 du 29 juillet 2022
Ce jargon tend à désigner l’externalisation de fonctions par voie contractuelle dans des pays tiers. Le thème est abordé dans le peer review sur la sous-traitance du 19 juillet.
L’EIOPA identifie les « risques » de ces externalisations : financiers, opérationnels et réputationnels et pouvant « mettre en cause la protection du consommateur ». Tout cela n’a évidemment guère de sens : la sous-traitance, hors d’Europe, a évidemment des justifications fiscales et de frais généraux et est soigneusement mesurée par les assureurs avant de procéder à l’investissement. L’EIOPA d’ailleurs expose finalement que son vrai problème est que ces externalisations peuvent mettre en cause le contrôle des assurances, ce qui revient à dire que tel est bien l’objectif.
L’Autorité en déduit que les « contrats » avec les pays tiers devraient être « contrôlés » par les Autorités nationales du Siège de l’entité. Lequel contrôle doit contraindre les entités à justifier de l’opportunité du contrat et montrer que celui-ci ne fait pas obstacle au contrôle de l’État du siège. L’EIOPA considère que le contrat doit avoir un niveau approprié de réalité entrepreneuriale (corporate substance). En d’autres termes, ces contrats d’externalisation visent à la fois les « plateformes de services », au Maroc (par exemple), et les « coquilles vides » aux Bermudes. L’Autorité pense à imposer la création de succursales susceptibles d’être contrôlées localement en l’absence de liberté de prestations de services avec les pays tiers.
Le sujet est important, mais il est faiblement traité. Dans les pays tiers, les « coquilles vides » échappent au contrôle européen, surtout s’il s’agit de filiales. Les prestataires de services ne sont pas des assureurs et échappent donc juridiquement au contrôle local ou européen. En outre, et surtout, l’objectif de ces externalisations est moins d’échapper au contrôle qu’aux contraintes prudentielles (immobilisation de capital) et aux contraintes sociales (coût du personnel, « statut » des salariés d’assurance). L’EIOPA devrait sans doute s’attacher aux mêmes pratiques qui se développent à l’intérieur même de l’Union dans divers États membres, connus pour leur laxisme en matière de contrôle prudentiel et administratif.
1.2. Consultation sur l’avis EIOPA sur le cadre prudentiel de la titrisation dans Solvency II – EIOPA – BOS 22/314 du 7 juin (15 juin) 2022
La question a été posée le 18 octobre 2021 au Comité conjoint des Autorités européennes de contrôle (ESAs) sur les investissements des assureurs dans les émissions des véhicules de titrisation (SPV).
L’étude montre que ces investissements sont modestes pour les assureurs : 12 % des entreprises ont investi des montants qui, au total, représentent 1 % des fonds sous gestion. La Commission souhaite savoir si ce peu d’intérêt est lié à la calibration excessive de charge en capital dans la Directive Solvency II, qui résulte de la qualification des titres comme « Simple, Transparent & Standardised (STS) securities » et des Credit Quality Steps (ou notation) accordés à l’émission. Dans Solvency II, les titres dits « Senior STS » bénéficient d’une faible charge en capital, mais plus lourde que les obligations et les prêts. Les non-senior STS ont un chargement 2 à 3 fois plus élevé, et les non STS encore plus lourd. Néanmoins, les assureurs préfèrent les covered bonds et même les non-STS aux non-senior STS. Par ailleurs, la moitié des titres sont acquis par des sociétés vie, avec une relative concentration chez les réassureurs.
L’EIOPA affirme que cette désaffection n’est pas liée à la calibration du risque dans Solvency II, mais à la complexité des produits STS. L’Autorité se refuse à changer la calibration du risque de spread (art. 178 du Règlement d’application, version de 2019), malgré les recommandations d’un « High Level Forum » ( ?) sur le sujet. Par ailleurs, les banques voudraient que la Directive se rapproche du Capital Requirement Regulation qui leur est applicable. L’EIOPA semble prête à certains aménagements, mais souligne l’existence de risques spécifiques à la titrisation et refuse le lien demandé entre le capital requirement des titres et le capital requirement des expositions sous-jacentes. L’Autorité accepterait de diviser les tranches non-STS entre les tranches senior et non-senior, voire de donner un traitement sé
paré entre les tranches mezzanine et junior pour les tranches non-senior STS. Il est peu probable que ces raffinements suffisent à stimuler l’investissement dans les diverses tranches de titrisation au détriment des covered bonds.
Enfin, en réponse à une question spécifique de la Commission sur les risques liés à la commercialisation des titres (antisélection promue par les commerciaux) et le risque de modélisation lié à la transformation de portefeuilles de risques en actifs commercialisables. L’EIOPA estime que ces risques sont déjà repérés et pris en compte dans le cadre de la Directive Solvency II.
Globalement, il s’agit d’un problème mineur que la Commission met en exergue sur le fondement d’un lobbyisme actif du secteur financier, qui voudrait voir les assureurs se comporter en acteurs plus motivés dans l’investissement en actifs de titrisation, et veulent, à cet effet, utiliser le levier du niveau de charge en capital de ces actifs sous Solvency II.
1.2. Instruction n° 2022.I.12. ACPR relative aux documents prudentiels annuels à communiquer par les organismes assujettis au contrôle de l’ACPR relevant du régime dit « Solvabilité II » abrogeant l’instruction 2016.I.16 du 27 juin 2016
Il s’agit des états qui doivent être remis annuellement à l’ACPR par les entités d’assurance et de réassurance « solos » et « groupes », les sociétés de groupe assuranciel de protection sociale, les unions mutualistes de groupe, les sociétés de groupe d’assurance mutuelles, les compagnies financières holding mixtes.
La liste présente surtout l’intérêt de visualiser ce que la Directive appelle les « états nationaux spécifiques » : enquête sur les taux servis en assurance vie, les états traitant des produits euro-croissance et PERP, les provisions sur les sinistres non encore manifestés en assurance construction, l’activité de substitution (pour les Mutuelles), le canton d’actifs pour la retraite supplémentaire, les nombreux états sur l’assurance santé (dont CMU, ACS, taxe sur les conventions d’assurance) et les états de suivi de la Responsabilité civile médicale par spécialité. L’instruction prévoit également la remise d’états spécifiques « solo » et « groupes » pour les entités ayant opté pour un modèle interne sur la couverture du capital requis par ces entités, selon le calcul de la formule standard (calcul de l’avantage en charge de capital lié à l’option pour le modèle interne).
L’instruction publie également les exemptions de remise d’un certain nombre d’états au profit des entreprises captives de réassurance.
Bilans d’application de Solvency II, stress-tests, résultats, rapports de stabilité financière
3. EIOPA – Interview de Petra Hielkema
à Bankovnictvi – 17 octobre 2022
La présidente de l’EIOPA a dressé dans cet entretien avec un journal tchèque un panorama général des dossiers et des défis auxquels est confrontée l’Autorité de régulation. Elle a répondu à un ensemble de quatorze questions que nous avons regroupé en huit thèmes. Cette interview donne un bon aperçu de l’agenda 2023 de l’EIOPA.
Thème 1 : Les trous de protection (Protection gaps)
La Présidente rappelle dans un premier temps que l’insuffisance de couverture est présente dans de nombreux secteurs de l’assurance, elle cite le cyber, les pandémies, les catastrophes naturelles et les retraites (pensions). Ces risques, selon elle, peuvent ne pas être assurables ou l’être de manière inabordable. Afin de réduire ces protection gaps, l’EIOPA étudie les différents types de produits présents sur le marché en s’interrogeant sur leur adéquation à la demande. Parallèlement, le régulateur a mis en place un dashboard de surveillance des catastrophes naturelles. Ce tableau paru pour la première fois en décembre fait le point sur le niveau des expositions à cinq types de catastrophes naturelles : submersion côtière, tremblement de terre, inondation, feux de forêt et tempêtes.
Thème 2 : Finance durable et activité des assurances dans le domaine environnemental
Petra Hielkema décrit les actions entreprises par l’EIOPA en finance durable, actions centrées sur les placements des assureurs. Elle explique que le régulateur a identifié les participations des organismes d’assurance dans le charbon, dans les industries consommatrices de carbone (aciéries et cimenteries), dans l’automobile ou dans le secteur énergétique. Elle signale les efforts de l’EIOPA pour identifier, surveiller, et réduire les risques de « verdissement (greenwashing risks) ». Les préférences pour la durabilité du consommateur sont prises en compte. Dans le secteur des risques physiques, l’Autorité de régulation s’est intéressée à l’assurance des CAT NAT. Elle prévoit hausse des primes et changements de conditions dans les contrats (franchises plus élevées, limites plus basses, exclusion des zones à risques). En bref l’EIOPA estime que la prévention des risques liés au climat est un point clé du bon fonctionnement de l’assurance. À la question de savoir ce peuvent faire les organismes d’assurance pour atténuer les problèmes environnementaux, la Présidente répond que la réorientation des investissements des organismes vers le secteur des initiatives et des technologies vertes lui semble adapté, citant comme exemple l’éolien et le panneau solaire. Elle appelle les organismes à modifier leur pratique de souscription en augmentant la perception par la clientèle de l’exposition aux risques climatiques afin de la rendre plus sensible aux mesures de prévention et elle donne en exemple la construction aux Pays-Bas de maisons étanches pour prévenir les risques d’inondation. Interrogée sur la réouverture des centrales à charbon, Petra Hielkema dit qu’elle ne s’opposera pas à la couverture des centrales thermiques rouvertes temporairement.
Comment les assureurs comptent-ils agir pour avoir un impact positif sur l’environnement à travers leurs investissements dans des infrastructures durables ? À cette question, la Présidente répond que l’objectif principal de l’EIOPA est de s’assurer que les entreprises d’assurances intègrent les risques ESG dans leur gestion de manière prévisionnelle et transparente, référence est faite au document publié en août 2022 sur l’orientation consistant à rendre compte dans leur ORSA (Own Risk Self Assessment) de l’impact du dérèglement climatique sur leurs propres risques. En outre, elle affirme, en ce qui concerne la politique d’investissement souhaitée par l’EIOPA, qu’elle est nettement orientée vers un support aux activités de transition écologique. En guise d’exemple, elle indique les modifications récentes dans Solvency II au traitement privilégié des investissements de long terme (LTEI).
Thème 3 : Assurance vie
Aucune annonce nouvelle sur le sujet de la part de Petra Hielkema, qui se contente de rappeler que l’environnement de taux bas a poussé les assureurs à proposer des contrats plus risqués avec des perspectives de rendement meilleures. Elle signale aussi la mise à jour des tables de mortalité effectuée par les assureurs, mise à jour qui prend en compte la prolongation de l’espérance de vie. À une question sur la popularité des contrats en UC et à leur avantage par rapport à un placement direct dans un fonds avec la souscription simultanée d’une assurance décès, Petra Hielkema évite une réponse directe et se lance dans une description des contrats vie-investissement (IBIP) classés par l’EIOPA en deux catégories : les produits purs UC, les produits hybrides combinant à une composante UC une composante garantie (type contrat en Fonds Euro). Selon elle, le succès commercial de ces produits s’explique par l’activité et la répartition géographique des réseaux de distribution des assureurs.
Thème 4 : Investissement obligataire des institutions de retraite (IORPS)
Dans les IORPS, 45,3 % des placements sont obligataires, nous dit la Présidente, les obligations souveraines représentent 27,6 % et les obligations d’entreprise 17,7 %. Dans quatorze États membres le pourcentage d’obligations est supérieur à 50 %, et dans sept il est inférieur à 50 %. L’augmentation des taux provoque une baisse de l’actif et du passif mais pas de manière égale, en effet l’impact sur les engagements dépend de la nature de l’augmentation des taux (réévaluation de la prime de risque ou augmentation du taux sans risque) et des caractéristiques d’engagement de l’institution (résultat différent pour le régime dit à contributions définies et pour le régime dit à prestations définies). La Présidente en tire une conclusion : la hausse des taux n’affecte pas le bilan des IORPS à contributions définies.
Thème 5 : Prestations de retraite en cas de forte inflation
Partant de la constatation de la situation difficile des retraités ayant acheté une rente en période de taux bas, Petra Hielkema généralise son propos pour nous dire que dans une situation d’inflation forte les taux nominaux bas posent un problème structurel dont elle ne connaît pas la solution. Par contre, elle s’engage à protéger l’épargne constituée en surveillant le rendement des produits vie-investissements (IBIPs), tant au niveau de la conception des produits qu’au niveau de sa distribution, elle fait allusion aux actions ou incitations en cours menées par les Autorités nationales de contrôle pour amener les assureurs et les intermédiaires à réduire les frais ou commissions mis à charge des clients.
Thème 6 : PEEP
Son lancement a été long, reconnaît la Présidente, l’autorisation de commercialisation date du mois de mars. Les assureurs ne se précipitent pas puisqu’une seule demande de mise sur le marché avait été reçue par une Autorité nationale de contrôle à la date de l’interview. Cela étant, la Présidente a vanté les avantages du produit qui est abordable, transparent, comporte des options d’investissement, mais surtout satisfait un besoin pour les transfrontaliers.
Thème 7 : Évolution de la réglementation Solvency II
La digitalisation et en particulier l’application de DORA (The Digital Operational Resilience Act) va exiger de tous les acteurs du système financier un renforcement des défenses contre les cyberattaques. The Artificial Intelligence Act devrait faciliter l’inclusion financière. La proposition sur l’open finance est en projet. Autre priorité de l’EIOPA : la durabilité qu’elle définit comme l’incorporation réglementaire des risques ESG chez les assureurs et les IORPS.
Thème 8 : Open Finance et Open Insurance
Après avoir rappelé que l’assurance s’est toujours appuyé sur des données pour la gestion des risques, et que la collecte des données est plus simple avec la généralisation des objets connectés Petra Hielkema constate que les assureurs ont commencé à faire appel à de nouvelles sources de données en plus de celles déjà utilisées. La Directive sur les « Services de Paiement – PSD2 » a ouvert les données de paiement à des tiers permettant des incursions dans l’open banking au motif que l’environnement actuel avec un accès faible aux données entrave l’innovation et ne permet pas au consommateur de récolter les avantages de la digitalisation. La Présidente s’exprime avec une prudente réserve sur l’open insurance, elle demande de pouvoir vérifier que l’interopérabilité des données se réalise conformément à la réglementation. Elle émet le souhait de pouvoir prolonger l’étude sur les cas d’usage d’intelligence artificielle dans l’assurance et d’évaluer les dossiers d’inclusion financière.
Fonds de pension (IORPS), PEPP
4. Spécifications techniques pour le stress-test IORPs – EIOPA – BOS 22/310 du 4 avril 2022
Le stress-test de 2022 est d’abord orienté vers la mesure de l’impact de scénarios climatiques sur la situation des investissements des IORPs. L’hypothèse est que la transition énergétique est soudaine et désordonnée, sous l’effet de mesures prises brutalement pour corriger une évolution de l’économie mondiale et européenne incompatible avec les objectifs de réduction du réchauffement climatique et la trajectoire définie par la Cop21 (Accord de Paris). Cela se traduit par une forte hausse des prix du carbone et frappe les activités étroitement liées à la production de CO2, donc des secteurs où les IORPs ont investi leurs fonds, avec des baisses fortes de rentabilité (« chocs ») par secteur industriel. Le stress-test s’étend à la mesure de la réaction des contributeurs (« sponsors ») aux fonds de pension, confrontés à la baisse drastique de rentabilité des investissements et, par conséquent, aux risques sur le versement et/ou le montant des pensions.
En second lieu, le stress-test souhaite mesurer les effets de l’augmentation du taux d’inflation. Il s’agit de voir comment, et dans quelle mesure, les bénéficiaires de retraites sont affectés par cette évolution et – si elles existent – examiner les mesures de réduction de l’effet de l’inflation qui sont actuellement en place.
Les résultats du stress-test devraient être publiés en décembre 2022.
4. États-Unis – Fonds de pension – 5 juillet 2022
La Maison-Blanche a annoncé un plan de soutien aux Fonds de pension multi-employeurs à prestions définies en déséquilibre financier. Milliman a publié que le ratio moyen de couverture des engagements (actifs/passifs) serait passé de 85 % à fin 2021 à 78 % en avril 2022. Selon la Maison-Blanche, le soutien public serait de 74 à 91 milliards de dollars et bénéficierait à 200 plans d’épargne retraite, en évitant la baisse des pensions de 80 000 épargnants et retraités (source : Washington Wall Street Watch, French Embassy in the US).
Les préoccupations sont clairement plus immédiates aux États-Unis qu’en Europe et n’ont sans doute aucun lien avec la politique environnementale de l’Administration Biden, contrairement au stress-test environnemental de l’EIOPA.
4. France – Galéa– Analyse des rapports publics SFCR des ORPS au 31 décembre 2021
Le cabinet d’actuariat Galéa Associés analyse les rapports financiers des 10 fonds de retraite professionnelle (IORPs, selon l’acronyme européen) agréés par l’ACPR en conformité avec la loi dite Sapin II de 2016 et l’ordonnance du 12 juin 2019 de transposition de la Directeur IORP II. La compétence des IORPs (FRPs) a été étendue aux PERP (retraite supplémentaire non professionnelle) et aux PER individuels.
Les IORPs ont reçu 2 120 millions d’euros en 2021, soit 14(% des cotisations totales de l’épargne retraite. Au 31 décembre 2022, l’encours ORPs s’élevait à 34 milliards, soit 15 % de l’encours total de l’épargne retraite. Tous les IORPs présentent un résultat nul ou négatif.
Les placements sont, à 75 %, réalisés en obligations et seulement à 8,8 % en actions. Le taux de rendement comptable moyen des placements s’élève à 3,4 %, probablement lié au pilotage à 15 ans (et non 8 pour les assureurs) de la provision pour participation aux excédents (PPE), ce taux n’en est pas moins en baisse continue.
Le ratio de solvabilité est considérable (calcul selon les modalités prévues par le régime prudentiel Solvabilité I) : il dépasse 600 % en moyenne et la médiane est à 410 %. Une partie de ce résultat serait due à l’intégration des plus-values latentes non exceptionnelles dans le ratio de solvabilité.
L’année 2022 est importante pour les IORPs français :
– les créations devraient cesser avec la limite au 30 juin 2022 du dépôt des demandes d’agrément de nouveaux fonds ;
– la fin des transferts des portefeuilles de retraite supplémentaire des acteurs financiers vers des IORPs et des « cantons obligatoires » des PER de la loi PACTE est prévue pour la fin de 2023.
Le lancement du stress-test climatique de l’EIOPA est prévu en 2022, avec des résultats prévus pour la fin de l’année.
Règles IAIS, risque systémique, contrôles macroprudentiels
5. Feuille de route pour la prise en compte des risques financiers liés au changement climatique – Rapport d’étape 2022 – Financial Stability Board (FSB) – 14 juillet 2022
Le FSB n’a guère d’influence dans ce domaine, bien qu’il se soit faire confier une mission par le G20 en juillet 2021. Il apporte donc sa contribution à une littérature déjà abondante. Force est de constater qu’elle n’est pas très originale : nous relèverons seulement les informations saillantes.
Le FSB attire d’abord l’attention sur deux questions majeures pour la stabilité financière que l’on voit rarement évoquées : les risques financiers (la « capacité ») liés aux événements climatiques extrêmes (l’ouragan Ian vient illustrer brutalement ce point) et les questions liées à la politique énergétique et aux investissements dans les secteurs de production d’énergie. L’actualité de l’hiver 2022 illustre ce point, jusqu’ici surtout considéré sous l’aspect des investissements « échoués » dans l’exploitation des ressources énergétiques fossiles.
Sur les questions de « publication » des entreprises sur leur politique climat, le FSB rappelle les travaux de la Task Force TCFD et l’élaboration de normes de publication par l’International Sustainability Standard Board. La course à la publication de normes est donc engagée entre les États-Unis et l’Europe.
Le FSB note qu’un grand nombre d’organismes (FMI, Banque mondiale, OCDE) se préoccupent de la qualité des données. On apprend, dans le Rapport l’existence d’un Network for Greening the Financial System (NGFS) qui a édité un annuaire des données disponibles sur le climat et qui a pour but de rendre comparables les informations émises par les entités financières et de publier des scénarios. Le FSB veut développer des « repositories » et concevoir une matrice dite « One Planet Data Hub ». La coordination de ces multiples initiatives ne sera pas simple, d’autant que l’EIOPA développe ses propres recommandations de scénarios pour l’introduction du risque climatique dans l’ORSA. Le NGFS en est à la troisième édition de scénarios qui devraient être publiés en fin d’année 2022. Comme l’EIOPA, le FSB recommande d’introduire les scénarios climatiques dans la surveillance des risques financiers.
Quant au rôle des Autorités de contrôle, le FSB estime nécessaire de réviser le cadre des Core Principles de l’IAIS (voir ENAss Papers 2018) pour introduire, dans les Principes de base de l’assurance (ICP), les risques climatiques. L’outil recommandé est l’utilisation des stress-tests déjà employés par l’EIOPA pour les assurances et, désormais, pour les fonds de pension.
Le FSB prend conscience de la multiplicité des initiatives prises par les « parties prenantes » (et par les organismes multilatéraux), notamment la TCFD et la nouvelle création de la COP de Glasgow en 2021, la Glasgow Financial Alliance for Net Zero. En filigrane, le FSB se verrait bien chargé de coordonner ces multiples initiatives qui ne simplifient pas l’action des entreprises, contraintes à de nombreux reportings sur la base de matrices d’indicateurs différents.
5. Rapport sur l’utilisation d’indicateurs clés pour le contrôle du risque de mauvaise conduite (conduct risk) des assureurs – IAIS – Juin 2022
Le seul véritable intérêt de ce Rapport de l’Association internationale des contrôleurs des assurances (IAIS) est l’attention apportée au sujet du risque de mauvaise conduite, déjà largement abordé par l’EIOPA. Il s’agit d’inciter les Autorités à s’immiscer dans le contrôle des opérations des assureurs, ou dans la connaissance du risque opérationnel (et/ou de réputation), dans une perspective « consumériste ».
L’IAIS constate que les Autorités ont effectivement les moyens (les pouvoirs) de rassembler de l’information : il existe 201 indicateurs au total, et chaque Autorité nationale en observe entre 10 et 20. Mais le « cadre » de contrôle fait le plus souvent défaut. L’Association classe ces indicateurs en sept groupes : les sinistres ; les résiliations au renouvellement du contrat ; les réclamations ; les ratios combinés et les ratios de « frais de gestion » ; les recherches de fraude ; les indicateurs de performance (nombre de contrats, d’assurés, etc.)
L’Association propose une liste des sujets de comportement (de conduct) que ces indicateurs permettent d’apprécier : l’adaptation (le caractère approprié des produits) ; la recherche de la « valeur du client » ; les ventes inappropriées (misselling) ; la qualité du service ; la qualité de l’information du client ; l’efficacité de l’expérience-client ; la qualité du conseil ; les conflits d’intérêts (la question des modalités de rémunération) ; la bonne définition du « marché cible ». Tout cela fait l’objet d’abondants développements dans la directive européenne sur la distribution et dans les lignes directrices de l’EIOPA.
L’Association considère que les contrôleurs font face à « six défis » : l’absence de moyens pour mener ces contrôles ; la faible priorité donnée au conduct risk dans les contrôles (par rapport au contrôle de la solvabilité) ; la mauvaise qualité des indicateurs (et de la collecte des données) ; le fait que ces contrôles d’indicateurs soient considérés comme un fardeau administratif (supplémentaire ?) par les assureurs ; la mauvaise appréhension de la notion de conduct risk par les assureurs ; et les difficultés d’interprétation des indicateurs eux-mêmes.
Il est vrai que cette immersion des contrôles dans l’activité commerciale et le marketing s’apparente souvent à l’ouverture de portes ouvertes, déjà constatée dans nos commentaires sur la DDA européenne : le concepteur de produit n’a pas besoin de réglementation pour concevoir un produit adapté au « marché cible », sous réserve, bien évidemment, des tentatives de tromperie sur le produit (mis-selling) qui ont un caractère délictuel. Reste l’obsession de l’EIOPA sur la rémunération des intermédiaires, sur les tarifs différenciés entre les clients en fonction de l’acceptabilité du tarif et du célèbre coût/utilité (value for money) des produits d’assurance affinitaires et des assurances voyages ou l’assistance. Mais les contrôleurs de la solvabilité doivent-ils devenir des annexes des Associations des consommateurs ?
5. Consultation publique sur les critères envisagés pour déterminer la comparabilité de la méthode d’agrégation de la méthode ICS – IAIS – Date de publication : 15 juin 1922
L’Association internationale des superviseurs de l’assurance (IAIS), fondée en 1994, est une organisation de superviseurs et de régulateurs regroupant des membres de plus de 200 pays. Elle a pour mission le développement et l’assistance à la mise en œuvre de principes, de standards et d’orientations ainsi qu’apporter un support matériel à la supervision du secteur de l’assurance. L’IAIS s’est fixée pour mission de promouvoir une supervision du secteur de manière à maintenir un marché de l’assurance sûr et juste pour la protection des preneurs et contribuer à la stabilité financière globale (source : Wikipedia).
Dans ce cadre l’IAIS a élaboré une formule standard de mesure de solvabilité, « The Insurance Capital Standard – ICS », concurrente de celle de SII et de la méthode d’agrégation (AM) utilisée aux États-Unis. En novembre 2019, l’IAIS s’est lancée dans un projet de comparabilité d’ICS et d’AM. Un processus et une échéance ont été fixés pour développer les critères d’évaluation de résultats comparables avec les deux méthodes. La période de mise au point doit durer cinq ans à compter de novembre 2019. L’EIOPA, représentée par sa Présidente, participe aux travaux.
Six principes dits de haut niveau (HLPs) ont été arrêtés pour guider cette opération :
– le premier HLP exige l’existence d’une corrélation significative des résultats obtenus par chacune des méthodes en cas de modifications économiques et financières ;
– le second se fonde sur une prise en compte identique des risques sous-jacents dans les deux méthodes même si les évaluations donnent des résultats différents. L’IAIS considère que la qualité et l’éligibilité des ressources en capital sont similaires ;
– le troisième principe est prudentiel, l’IAIS estime le niveau de protection demandé par l’AM plus important que celui exigé par ICS mais ce n’est pas un point bloquant pour l’association malgré des différences de calcul de solvabilité, différences explicables pour l’IAIS ;
– avec le quatrième principe, l’IAIS a constaté que les définitions du périmètre de groupe utilisées dans les deux méthodes sont cohérentes ;
– le cinquième principe porte sur la représentativité des échantillons : la séparation entre les opérations vie et non-vie a été respectée ainsi que la répartition géographique des entités, la taille de l’échantillon vie est plus importante en raison de plus grande hétérogénéité des opérations ;
– le sixième principe respecté est une transparence similaire pour faciliter la compréhension de la comparabilité.
L’IAIS a initié en juin 2022 une consultation publique sur les critères de comparabilité pour s’assurer que chacun d’eux est clair, approprié, suffisant ou trop restrictif dans le cadre du HLP auquel il est rattaché. À l’issue de cette consultation les critères, éventuellement amendés, seront adoptés par l’Assemblée générale de l’association prévue en novembre 2022. Ce standard concurrent du SCR n’est pas près de s’imposer comme référentiel unique des deux côtés de l’Atlantique.
DDA et Politiques de protection
du consommateur
7. Discussion Paper on open insurance : accessing and sharing insurance-related data – Feedback Statement – EIOPA – BoS 22-297 du 15 juin 2022
Le 28 janvier 2021, l’EIOPA a lancé une consultation publique sur le thème de l’assurance ouverte centrée sur l’accès et le partage des données liées à l’assurance. L’idée était de mieux appréhender le développement de l’assurance ouverte, ses risques et ses avantages.
L’Autorité a reçu 65 réponses provenant des fédérations professionnelles (31 %), des assureurs (16 %), des intermédiaires (7 %), des firmes technologiques (7 %), des associations de consommateurs (3 %), des universitaires (5 %), le reste étant réparti dans d’autres catégories non répertoriées. Le résultat de la consultation est décevant. La notion d’assurance ouverte est mal définie aussi bien par ceux qui ont participé que par l’EIOPA laquelle estime que l’assurance « ouverte » couvre tout ce qui relève de l’accès et du partage des données, personnelles ou non, liées à l’assurance. Cette approche ne recueille que 57 % d’avis favorables du panel. Qu’en pensent précisément les autres ?
Comme dans les autres articles de discussion l’EIOPA expose les arguments des pour et des contre avant de donner un avis sur chacun des thèmes abordés. Ici ce n’est pas le cas qu’il s’agisse de la définition et de l’approche de l’open insurance, des cas d’usage, de la comparaison des sites auxquels les assureurs sont tenus de participer, des risques et des avantages, de réglementer les bases de données, de la mise en place d’une réglementation, des standards à instituer, le régulateur ne s’engage pas. Il résume avec prudence sa position : constatant l’absence d’accord d’une part et les points soulevés allant au-delà du secteur financier d’autre part l’EIOPA préfère ne pas réglementer dans l’immédiat mais elle continuera à piloter les développements législatifs en particulier les initiatives relatives aux données telles que celles engagées dans l’European Single Access et dans le Data Act.
Il est notable que la plupart des participants qu’ils soient en faveur ou non de l’open insurance ont soulevé la question de la compatibilité des dispositions du RGPD avec les objectifs de l’open insurance. Question sans réponse de l’Autorité de régulation.
7. Protection de la clientèle des banques et des assurances – Protocole du 17 juin 2022 – ACPR et DGCCRF
Les deux entités administratives ont conclu un protocole de coopération, dont l’intérêt serait limité, n’était l’agressivité renouvelée de l’EIOPA sur la protection du consommateur.
L’essentiel du texte tient dans le rappel des contrôles sur le démarchage téléphonique, en particulier l’interdiction des « ventes en un temps » (donc, respect du droit de « repentir » du consommateur) et sur les modalités de recueil de l’accord explicite du consommateur.
Il prend acte des travaux en cours sur la vigilance de la part des banques sur la fragilité financière de certains clients (voir les Rapports annuels de l’ACPR).
Il annonce la création, en avril 2020, d’une Task-force nationale de lutte contre les arnaques, probablement liées au risque cyber des intermédiaires financiers et aux perspectives négatives de l’utilisation des crypto-actifs par les particuliers. (banqueroute de FTX).
7. Argus-simplification – PRIIPs – EIOPA
Le Rapport final de l’EIOPA sur la protection des investisseurs de détail (ou particuliers), traite notamment de l’information des consommateurs au stade précontractuel sur les produits en unités de compte.
C’est la question récurrente du Key Informations Document (KID) et de son contenu, traité dans la Directive PRIIPs, et qui achoppe traditionnellement sur la publication d’une simulation des résultats futurs du produit. L’EIOPA recommande de supprimer les dispositions de Solvabilité 2 et des législations nationales assurancielles ou de marché sur les PRIIPs, et de formuler une réglementation unique dans la Directive Distribution (DDA), dont la refonte est en cours. Elle recommande aussi l’harmonisation de la notion de « produits complexes » qui résulte aujourd’hui de diverses réglementations, et dont il est légitime de contrôler la distribution.
Enfin, l’Autorité constate les écarts majeurs entre les réglementations DDA et MIFID sur le commissionnement, notamment le niveau élevé d’élaboration du système qui prévaut en matière d’investissement et d’instruments financiers. Elle n’en constate pas moins que le système de commissionnement est incontournable dans l’Union où elle prévaut dans l’assurance.
La révision de la DDA sera donc lente et complexe, même si on peut se féliciter de voir l’EIOPA souhaiter une simplification des informations précontractuelles qui pourrait « désembourber » la Directive PRIIPs.
7. Rapport sur les assurances prévoyance vendues par les banques – EIOPA – Octobre 2022
Le Rapport fait un état des lieux des ventes d’assurances liées à la protection de divers crédits (immobiliers, consommation et cartes de crédit). Il s’agit d’identifier l’éventualité d’un risque de « mauvaise conduite » dans le business model de la bancassurance : la question est la restriction de la capacité de choix du consommateur, lié à l’existence de barrières à la libre concurrence.
Le Rapport a étudié les risques de conflits d’intsérêt : le niveau de rémunération du distributeur (la banque) ; le libre choix restreint du consommateur ; l’existence de restrictions à la résiliation dans le cadre d’une police de groupe souscrite par la banque ; les difficultés de changement de fournisseur d’assurance et les obstacles à la résiliation du contrat d’assurance ; l’existence de produits d’assurance à prime unique payée up front et parfois financée par un nouveau crédit avec les frais afférents ; le mauvais équilibre entre les frais et le service rendu (poor value for money) ; les réclamations du client.
L’Autorité relève que 63 % des assureurs ont un « lien étroit » avec leur partenaire bancaire (filiale). Il existe de nombreux « arrangements » (contrats) sur la rémunération qui concerne l’ensemble de la rémunération : l’EIOPA parle de subventions croisées potentielles entre la banque et l’assurance. La « vente croisée » résulte de ce que peu de clients comprennent qu’ils peuvent choisir de s’assurer ailleurs qu’auprès du fournisseur de crédit. Au regard du POG, les partenaires définissent ensemble le marché cible et l’assureur définit la prime. Mais 55 % d’entre eux seulement vérifient la value for money. On note aussi la multiplicité des risques couverts par une tarification unique, le caractère sommaire des critères de tarification (fumeur/non fumeur est le principal) et 55 % des assureurs seulement exigent un examen médical (probablement dû à l’importance, dans l’échantillon, des crédits à la consommation et ceux liés aux cartes de paiement).
Les barrières à la concurrence sont nombreuses : avantage de l’existence d’un point de vente (et de gestion) unique ; présentation d’une échéance unique (remboursement du prêt et prime d’assurance) ; vente dans le cadre d’une police de groupe. L’EIOPA conclut à un risque de conflits d’intérêts.
L’Autorité souligne la très nette profitabilité de ces produits : niveau élevé de commissions, faibles rsatios net de souscription ce qui, notamment pour les crédits à la consommation et aux cartes de crédit, soulève la question de la valeur intrinsèque du produit d’assurance. La comparaison, pour la France, avec d’autres branches d’assurance montre que les commissionnements sont très élevés et sont même parmi les plus élevés d’Europe. L’Autorité reste cependant prudente sur l’affirmation que la concurrence avec d’autres distributeurs pourrait limiter le niveau des commissions au profit des consommateurs. L’hypothèse est que l’on cherche plus à partager le gâteau des résultats très favorables entre assureurs que d’en faire profiter le client : c’est une vue bien pessimiste des bienfaits de la concurrence.
Globalement, les ratios de sinistres sont bas ou très bas : 10 à 20 % pour les crédits à la consommation et les cartes de crédit. Quant aux rejets de réclamation, de 20 à 30 %, ils montrent un réel problème de compréhension des produits et des exclusions des contrats de la part des consommateurs.
Quant aux résiliations en cours de contrat, dans 43 % des cas, il faut obtenir l’agrément de la banque et remplir de nombreuses conditions (notamment l’équivalence de garanties reconnue dans la proposition de garantie alternative et le remboursement de la prime en cas de prime unique).
Le 6 octobre 2022, L’Argus note que l’EIOPA envoie un « coup de semonce » sur le libre-choix de l’assurance des crédits par le consommateur et la nécessité d’améliorer le rapport qualité/prix des produits, ce qui revient à pousser à la baisse des commissions de distribution
Cela dit, il importe d’attirer l’attention sur une distinction que fait mal l’EIOPA sur les produits de prévoyance afférents aux crédits à long terme et les produits à faible sinistralité, tels que l’assurance voyage ou les produits affinitaires (téléphones portables) où l’assurance est un élément de la rémunération du distributeur du produit principal.
7. Consultation Paper sur une instruction de contrôle (supervisory statement) sur les pratiques de prix différenciés en assurance non-vie – EIOPA – 14 juillet 2022
Ce texte est important en ce qu’il poursuit l’effort de l’EIOPA pour immiscer le contrôle dans la politique « marketing » des assureurs et, au-delà, dans leur politique de tarification des produits, en s’appuyant sur les règles de « Product Oversight and Governance » (POG).
Le point de départ est le constat que certains contrôles (Irlande, Royaume-Uni) ont repéré des pratiques de price walking qui consistent à demander au client un montant de prime qui n’est pas fondé sur l’évaluation actuarielle du risque, mais sur l’élasticité/prix du client, les prix offerts par la concurrence, l’attitude du client à l’égard de l’assurance, voire sur la life time value du client (notion désormais classique dans le marketing de l’assurance). L’usage de l’Intelligence artificielle aide grandement à déterminer les segments de clientèle qui ont cette attitude à l’égard du prix de la garantie. L’EIOPA souligne les risques de « discrimination indirecte » et de ciblage sur les consommateurs les plus fragiles ou vulnérables. En cas de hausse de taux, il s’agit d’analyser le portefeuille pour y cibler les assurés les moins susceptibles de chercher un autre assureur et les plus atteints par la « Willingness to pay ».
L’EIOPA entreprend une délicate démonstration de sa volonté de protéger le consommateur contre lui-même, de cohérence avec ses propres recommandations sur le POG et sur l’usage de l’Intelligence artificielle et de l’article 17 (1) de la Directive Distribution. L’Autorité affirme que les différences de tarif ne peuvent être fondées que sur le risque (actuariel) et sur le coût des services rendus. Ce point est majeur et, à notre sens, très critiquable : l’assureur, comme tout commerçant, cherche légitimement à maximiser sa marge au-delà du prix de revient du service qu’il vend. Accessoirement, il est choquant de voir les Autorités de contrôle s’ériger en associations de consommateurs et critiquer des politiques de prix, dont la légitimité s’arrête évidemment au misselling (vente trompeuse) et à l’abus de faiblesse. Déjà esquissée dans les textes sur la value for money de l’EIOPA, cette dérive est probablement dangereuse, y compris pour l’exercice d’une saine concurrence et pour l’équilibre des comptes des assureurs qui repose sur la fidélité des clients.
Les recommandations aux contrôles nationaux sont donc inquiétantes.
Les assureurs doivent démontrer que les règles du POG ont été respectées et que la tarification n’affecte pas injustement (unfairly) les clients.
Les pratiques suivantes sont contraires à l’article 17 (1) de la DDA : augmentation de tarif au renouvellement, liée à la faible probabilité de résiliation ou liée à la faible élasticité/prix du comportement du client ; rabais de prime à la conclusion du contrat suivie d’augmentation lors des renouvellements.
Dans le processus d’approbation du produit, l’assureur doit prendre en compte le « risque de mauvaise conduite », mettre en place des seuils de différences de tarif, assurer la transparence de l’utilisation de l’intelligence artificielle (IA) dans la tarification, prendre en compte la vulnérabilité des populations, vérifier l’absence de « biais » dans l’utilisation de l’IA et inclure les différences de tarification dans la définition du marché cible (« granularité » dudit marché).
Les recommandations ultérieures sont plus traditionnelles : le test des produits doit montrer qu’ils sont suffisamment « centrés sur le client » (et non sur les intérêts de l’entreprise) ; les produits doivent être suivis (monitorés !) et documentés, notamment si l’AI est utilisée.
Les intermédiaires (distributeurs) doivent être informés sur l’usage possible des différenciels de tarification et doivent informer leurs clients sur les augmentations de tarif lors des renouvellements.
En conclusion, le principe est réaffirmé de la nécessité, pour les Autorités nationales, de vérifier que le traitement des consommateurs est « loyal » (not unfair treatment), et l’EIOPA les incite à coopérer avec les Autorités nationales chargées de la concurrence.
Comme on le voit, ce projet de réglementation, soumis à consultation, va très loin, sinon dans le processus (c’est la reprise des dispositions de la réglementation POG) au moins dans les principes. L’EIOPA veut instituer une sorte de réglementation consumériste des prix de l’assurance, ce qui nous éloigne largement des bases de Solvency II, et, pour des questions de principe, réglementer la responsabilité des entreprises dans le calcul de leur tarification.
7. Mise en garde des assureurs et banquiers sur la value for money des produits d’assurance emprunteurs – EIOPA – 30 septembre-4 octobre 2022
Cette mise en garde sur un ton sévère de l’EIOPA fait suite à une thématique de 118 pages sur les pratiques de vente liée entre le crédit aux particuliers (notamment immobilier) et l’assurance prévoyance attachée à ce produit bancaire.
La mise en garde concerne les rémunérations élevées payées par les assureurs aux distributeurs (les banques) et la nécessité de prévenir des conflits d’intérêts dans la bancassurance qui peuvent être défavorables aux clients. L’Autorité a constaté des taux de commission élevés versés aux distributeurs : 30 à 40 % pour les crédits immobiliers, 40 à 80 % pour les crédits à la consommation et 40 à 90 % pour les garanties sur les cartes de crédit. Il n’existe pas de justification analytique pour ces taux de commissions, qui soit produite par les banques distributrices. Ces niveaux élevés sont donc le résultat du modèle économique de la bancassurance. En outre, l’EIOPA relève l’existence d’incitations financières à la vente au profit des salariés des banques, souligne l’existence de « ventes liées » (pas de crédit octroyé sans souscription de l’assurance auprès du bancassureur) et des ventes en « prime unique » qui pose question en cas de résiliation.
Les propositions d’action sont inégalement drastiques.
L’Autorité rappelle l’application du POG par la banque coproducteur du produit d’assurance et qui implique que les conflits d’intérêts soient connus et gérés.
Elle rappelle son mantra sur l’équilibre frais/nature du service (value for money), dont l’efficacité technique est discutable.
Il faut utiliser les réclamations des clients pour améliorer le produit, ce qui se fait actuellement en France et a conduit à un ensemble de textes, de la loi « Lagarde » à la loi « Lemoine », dont l’efficacité reste à démontrer.
Plus récemment, elle invite à réviser les contrats de distribution, les niveaux de commissions et de rémunération, et donc à diminuer les commissions excessives et, surtout, à ouvrir la concurrence entre banquiers et assureurs pour la fourniture des garanties sur le remboursement du crédit.
Pour l’avenir, l’EIOPA envisage de prendre des sanctions : imposer aux banques de cesser la commercialisation de produits dont elles ne démontreraient pas que les commissions élevées sont justifiées et, éventuellement, radier les banques du registre des intermédiaires.
On peut douter de l’avenir de ces propositions de sanctions, mais il est clair que l’EIOPA incite fortement les Autorités de contrôle à surveiller les taux de commissionnement et à promouvoir la concurrence avec les assureurs qualifiés d’alternatifs qui proposent des garanties de Prévoyance « déliées » du crédit bancaire.
Nouvelles technologies, Cyber Risk
9. Discussion Paper on blockchain and smart contracts in insurance – Feedback statement – EIOPA – BoS 22-178 – Publié le 6 mai 2022
Le 29 avril 2021 l’EIOPA a initié une consultation auprès du marché pour entamer une discussion sur le thème de la blockchain et des smart contracts. Le 6 mai 2022 le régulateur a rendu compte des différents avis et opinions qui lui sont parvenus (feedback statement).
Première observation : blockchain et smart contracts en sont au stade infantile en Europe. Hors UE il existe un consortium d’assureurs dommages aux biens utilisant un système blockchain pour rationaliser le pilotage du règlement des sinistres. Toujours en dehors de l’Union a été mentionné par les participants le cas d’une application mobile utilisant l’intelligence artificielle (IA) pour tracer toutes les polices d’assurance sur une plate-forme unique permettant aux clients de souscrire des garanties supplémentaires en réglant au moyen d’un token émis par la plate-forme. Les participants voient dans le développement du système blockchain une possibilité de réduction des fraudes, d’échange d’informations sécurisées en temps réel entre assureurs, réassureurs intermédiaires, superviseurs, tout en donnant aux clients un contrôle plus important sur leurs données moyennant des droits d’accès. Concrètement les participants ont cité comme usages potentiels : les certificats en facultés maritimes, le traitement des sinistres en RC Auto, la digitalisation de risques touchant toute l’Europe (Cat Nat), le partage de documents médicaux, la traçabilité et la certification des données d’un véhicule durant toute sa vie, la preuve que le client a pris connaissance des documents adressés par l’assureur, le fait de tester la compréhension du client à travers un questionnaire inviolable (par exemple dans le cas de la commercialisation d’un contrat vie multi-supports avec une composante en unités de compte).
Les participants reconnaissent que la blockchain est une aide au travail de supervision. Certains sont d’avis qu’il pourrait alléger les coûts associés à la conformité réglementaire et à la supervision. Dans le même registre plusieurs participants ont fait remarquer l’intérêt de l’outil pour la vérification d’identité indispensable dans le processus LCBFT ainsi que pour satisfaire les exigences du processus « Know your customer (KYC) » et pour détecter les tentatives de fraude.
Ceux qui ont répondu ont identifié comme risques principaux dans le développement de la blockchain les erreurs de code, l’informatique quantique capable de casser le code crypté utilisé dans beaucoup d’applications financières. Il a été noté aussi par les participants le risque de faire entrer dans la blockchain des assureurs autonomes non soumis à la régulation SII. À l’inverse les participants voient des avantages dans l’amélioration de la sécurité, un moindre coût opérationnel, une traçabilité meilleure et une bonne fiabilité des données. Il a été mis l’accent par les participants sur la possibilité d’accélérer le traitement des sinistres et la réduction du coût de l’ajustement des indemnités.
Seconde observation : le document traite ensuite des cas d’usage de crypto-actifs (crypto-assets) dans le secteur assurantiel. Dans l’article on distingue trois types de cas d’usage : les règlements, les investissements, les utilitaires. Les participants ont signalé de nombreux cas hors Europe d’entités acceptant des paiements de primes et réglant des sinistres au moyen de crypto-actifs. Concernant les crypto-actifs utilitaires les participants en ont entendu parler mais n’en ont jamais vu. L’un de ceux ayant répondu à la consultation estime que les smart contracts couvrant l’assurance récolte, le retard d’un vol aérien avec paiement automatique d’une indemnité au clent, peuvent être considérés comme des exemples de crypto-actifs utilitaires. Dans la catégorie des crypto-actifs investissements les participants ont fait état du cas d’un réassureur, dont l’identité est restée confidentielle, ayant mis en place un système blockchain pour émettre un Cat Bond souscrit par six investisseurs privés. Les consultés ont exprimé un souci quant aux business models présentés par les acteurs de la finance décentralisé (DEFI) dont certains font appel à des crypto-actifs ou à des tokens représentatifs de droits d’affiliation ou de couverture d’achat pour participer à l’évaluation de sinistres ou de risques ou encore de gouvernance de la plate-forme DEFI. Cette inquiétude est d’autant plus vive que des couvertures d’assurance ont d’ores et déjà été accordées par des organismes d’assurance pour pertes ou vols de crypto-actifs. Il était donc nécessaire pour les participants de pointer la difficulté à assurer ce type de risques liés à des crypto-actifs. Le panel a généralisé le propos en donnant un avis sur l’évolution des crypto-actifs dans lequel leur emploi dans le secteur des assurances est considéré comme peu adapté à un marché de masse, présentant une faible corrélation avec les autres actifs, une grande volatilité, une porte ouverte au blanchiment et au financement du terrorisme et aux cyberattaques. Quelques participants ont estimé qu’il serait bon de clarifier les traitements comptable et prudentiel des crypto-actifs. Il a été relevé par les consultés que la « juste » valeur des crypto-actifs relevait d’un marché ni liquide ni profond, condition nécessaire pour être admis par la réglementation SII comme actif représentatif. Il reste donc beaucoup d’obstacles à franchir pour que ce type d’actif rejoigne la liste des actifs éligibles.
Troisième observation : les assureurs ont exprimé leur réserve quant à l’adoption de systèmes blockchain et des smart contracts. Parmi celles-ci le fait que les dispositions de la réglementation GDPR soient en contradiction avec le fonctionnement du système blockchain est une des plus probantes, en effet le système ne supporte pas l’anonymisation et les techniques de chiffrage, en outre il y a lieu de s’interroger pour déterminer si le stockage des données personnelles en dehors de la chaîne est conforme aux dispositions GDPR sur la minimisation des données. Des suggestions sont faites pour établir une orientation réglementaire avec le concours d’un groupe d’études. En fait ce qui prévaut c’est une grande hésitation des assureurs qui souhaitent tout à la fois suivre le « progrès » et éviter un alourdissement des exigences réglementaires.
Quatrième observation : l’usage généralisé du système blockchain entraîne une consommation massive d’énergie, ce qui n’est pas très orthodoxe en période de lutte contre le dérèglement climatique.
Position de l’EIOPA : à l’issue de cette discussion ouverte avec les participants, le régulateur a donné un avis en quatre points :
1. l’EIOPA est préoccupée par l’aspect durabilité du problème, en raison de la consommation d’énergie attendue ;
2. elle examinera les différents obstacles mis en lumière en concertation avec la Commission européenne et le superviseur européen de protection des données ;
3. elle continuera à suivre les cas d’usage de la blockchain tout en transférant l’évaluation des cas identifiés aux secteurs Reg Tech et Sup Tech, si besoin. Elle considère que la question relève plutôt de la finance décentralisée (DEFI) ;
4. elle mettra en garde les clients sur le manque de protection des investissements en crypto-actifs. Cela étant, elle fait observer que la révision de SII tient compte des investissements en lien avec les crypto-actifs.
9. Communiqué sur les garanties implicites contenues dans les contrats en matière de couverture du risque cyber – ACPR – 23 septembre 2022
Tout en saluant le discours confus de l’EIOPA, l’ACPR précise ses demandes vis-à-vis des assureurs en matière de garanties implicites :
– réexaminer les contrats existants, « clarifier » les formules et les conditions de polices, donc ressouscrire l’ensemble des portefeuilles. C’est l’évidence ;
– centraliser l’information sur la souscription de risques cyber pour évaluer l’exposition globale ;
– mettre en place une stratégie et une politique de souscription ;
– inclure les risques cyber dans l’évaluation du Besoin Global de Solvabilité de l’ORSA, en incluant les risques de litiges avec les clients.
C’est évidemment beaucoup plus clair, mais tout sera dans l’exécution.
9. AMRAE. Seconde étude sur l’adoption de la cyber assurance par les entreprises – « Lumières sur la cyber assurance » (Lucy) – Édition 2022.
L’AMRAE hésite entre un discours agressif sur le « retrait des assureurs » du marché cyber, qui justifierait la création en avril 2022 d’une Mutuelle d’assurance cyber (MIRIS), opérationnelle en janvier 2023, composée d’Airbus, Veolia, Michelin et Solvay, et un discours plus modéré sur le « retour du marché à l’équilibre », avec un ratio sinistre à primes qui est passé de 190 % en 2020 à 58 % en 2021.
Les chiffres du Rapport « Lucy » montrent que ces résultats techniques ne doivent pas faire illusion et qu’il est trop tôt pour parler d’un « retour à la rentabilité » sur un « marché excédentaire ». En 2021, le marché a collecté 185 millions d’euros de primes (209 millions selon France Assureurs). Pour l’essentiel, il est porté par les grandes entreprises (82 % du volume de primes). Celles-ci ne manquent pas, via l’AMRAE, de souligner que l’amélioration actuelle du ratio S/P est de leur fait : 58 % contre 261 % pour les entreprises de taille intermédiaire.
L’AMRAE souligne que la capacité est en baisse et que les conditions de souscription sont de plus en plus restrictives, tandis que le nombre d’assureurs tend à diminuer. Comme toujours, en période de durcissement du marché, les grandes entreprises menacent de « cesser de s’assurer » (11 auraient renoncé à le faire en 2021) en créant des mutuelles (à l’imitation des P&I Clubs en assurance maritime) ou en développant des projets de captives de (ré)assurance.
Ces informations, franchement contradictoires, montrent que le marché français du risque cyber est encore loin de sa maturité : fluctuations aberrantes des résultats techniques et discours peu crédible sur le renoncement à l’assurance de grands groupes sont significatifs. Cela n’en demeure pas moins inquiétant : une part importante des primes, mais surtout une partie majeure de la compétence, pourrait échapper au marché européen si ces tendances erratiques se confirmaient, notamment au profit du marché de Londres.
À noter qu’un article du Wall Street Watch (Ambassade de France aux États-Unis, Direction générale du Trésor, 23 juin 2022) commente un Rapport du General Accounting Office sur le risque cyber pour les infrastructures critiques américaines. Il estime le risque insuffisamment assuré par le marché privé (réduction des plafonds, hausse de primes et exclusions), et recommande l’étude d’un mécanisme d’assurance fédéral dédié aux cybers attaques catastrophiques.
9. Digital Operational Resilience Act (DORA) entré en vigueur le 16 novembre 2022
Ce texte important concerne la « résilience opérationnelle » des entités financières ou, plus exactement, fixe des normes et des conditions de contrôle de la capacité des institutions financières à faire face au cyber-risque. Il marque le passage d’une vision libérale du risque cyber pour les entités financières (les assureurs et réassureurs) à une organisation réglementaire de la prévision/précaution sur ce risque et des modalités de rétablissement de l’outil industriel après événement cyber. En filigrane, il fixe aussi les conditions implicites d’assurabilité du risque, au moins en ce qui concerne le secteur financier.
Les considérants permettent de dresser un panorama de cette réglementation entièrement nouvelle. L’implication du législateur européen, dans la gestion du risque cyber, est justifiée par le caractère systémique du risque dans le secteur financier du fait de l’interconnexion des systèmes, caractéristique des Technologies de l’information et de la communication (TIC). Il faut une réglementation du contrôle pour protéger le marché unique contre le risque systémique (et éventuellement transfrontalier), éviter les dangereuses règles nationales divergentes et « combler les lacunes » existantes. L’harmonisation des règles permettra le contrôle efficace et la sauvegarde du marché financier unique.
1. Le contenu des obligations nouvelles imposées aux entreprises sont : la notification uniforme des incidents ; l’existence de tests de résilience opérationnelle et de « tests avancés » dits « de pénétration » « fondés sur la menace », faisant l’objet de reconnaissance mutuelle ; des règles communes d’externalisation ; un cadre de supervision approprié ; une gouvernance appropriée du risque cyber dans l’entreprise financière ; la notion d’Autorité nationale de contrôle unique ; la notion majeure de « prestataire tiers critique » de services TIC et de superviseur principal pour chacun d’entre eux (une des Autorités européennes de supervision). Le législateur européen établit donc un nouveau secteur de contrôle sur les entreprises et sur la sous-traitance qui s’ajoute aux contrôles de solvabilité/distribution et LCB/FT.
2. Le Règlement, lui-même, précise qu’il s’applique aux assureurs, réassureurs, intermédiaires d’assurance (même accessoires), aux fonds de pension et aux prestataires de services tiers. Il prend soin de répéter qu’il exclut les micro-entreprises de distribution, les petites entreprises d’assurance (au sens de Solvency II révisée) et répète la conformité de DORA au principe de proportionnalité (articles 2 & 4 et « considérants » n° 13 et 36). Il s’applique aussi aux prestataires de services sur crypto-actifs.
3. Le Règlement rappelle les règles communes de Gouvernance issues de Solvency II : responsabilité de l’AMSB dans la stratégie, l’organisation, la tolérance au risque, la politique de continuité d’activité, l’audit interne et, surtout, la politique et les accords de sous-traitance. Il définit le cadre de gestion du risque TIC et veille à son intégration dans le cadre global de gestion des risques.
Les entreprises définissent un cadre de gestion du risque TIC confié à une fonction de contrôle indépendante, ce qui laisse penser à l’émergence d’une nouvelle fonction-clé, selon Solvency II. Cette organisation conduit à identifier les rôles et responsabilités de chacun, le recensement des « actifs de TIC » et leur interdépendance, et les liens avec les tiers prestataires de services qui fournissent du soutien aux « fonctions critiques et/ou importantes ». Ces dernières sont définies à l’article 2 : « fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité, à la solidité ou à la continuité de ses fonctions, et à la capacité d’une entité financière de respecter les conditions et obligations de l’agrément ». On notera la très lointaine référence à la satisfaction des engagements pris auprès du client. L’organisation assure la sécurité des systèmes TIC et, en particulier, la protection des « données, des actifs informationnels et des actifs de TIC ».
La responsabilité principale de l’AMSB (ou de la Gouvernance) est de faire concevoir et mettre en œuvre une cartographie des risques liés aux TIC, notamment ceux qui concernent les « fonctions critiques importantes » et qui identifient les liens avec des « prestataires de services tiers qui fournissent du soutien aux fonctions critiques ou importantes ». Cette formule contournée n’en est pas moins majeure : DORA consacre beaucoup d’articles à la sous-traitance des « fonctions critiques ou importantes », surtout auprès d’entreprises dont le Siège se trouve dans des pays tiers. C’est même probablement l’objet principal de la réglementation DORA.
Logiquement, la Gouvernance est responsable de la détection des événements graves (notion de « seuils d’alerte »), de la politique de continuité d’activité, des plans de communication de crise, et de la tenue d’un registre des actions prises pour assurer la continuité. Elle est aussi responsable de la politique de sauvegarde, de restauration et de rétablissement post-événement, des examens post-incidents et des délais de rétablissement dont la programmation doit tenir compte du caractère critique ou important de la fonction atteinte par l’incident cyber. Tout cela n’est pas très innovant, mais il est prévu que les Autorités de contrôle procèdent à la conception de mesures de niveau 2 (Regulatory Technical Standards – RTS) sur chacun des éléments de responsabilité de l’AMSB.
4. DORA organise la notification des incidents informatiques et des « cybermenaces importantes », et la clssification des dits incidents : des RTS fixeront les normes de « criticité » applicables à ces incidents. Pour les « incidents majeurs » (qui seront définis dans les RTS), les déclarations d’incidents doivent être faites aux Autorités Nationales de Contrôle et aux « Centres de Réponse aux Incidents de Sécurité Informatique » (CSIRT) organisés, par ailleurs, en dehors du Règlement DORA. Il est prévu que pour l’ensemble des notifications (incidents et menaces), les Autorités de contrôle fassent un Rapport sur l’opportunité de création d’une plateforme unique pour l’ensemble de l’Union permettant un large échange d’informations.
5. DORA prévoit l’obligation de tests de résilience annuels « fondés sur le risque » sur divers aspects de fonctionnement des TIC : vulnérabilité, sécurité des réseaux, examen de code source, tests de performance, tests de pénétration, ainsi que l’analyse de vulnérabilité des fonctions critiques ou importantes.
Tous les trois ans sont prévus des tests avancés de « pénétration » fondés sur la menace, couvrant les fonctions critiques ou importantes, et couvrant également l’activité des prestataires tiers. Ces tests peuvent être supervisés par une Autorité unique au niveau national. Celle-ci agrée les « testeurs internes » aux entreprises, mais les entités sont encouragées à utiliser des testeurs « externes », indépendants, dont la capacité est dûment certifiée au niveau national et bénéficiant ensuite de la « reconnaissance mutuelle » des autres Autorités nationales.
6. Les prestataires extérieurs de TIC font l’objet d’une réglementation largement inspirée des principes de sous-traitance développés par l’EIOPA depuis Solvency II : responsabilité entière de l’externalisateur, registre des contrats passés, contrôle des normes et, surtout définition d’une stratégie spécifique de sous-traitance des fonctions critiques ou importantes. La politique de sous-traitance est donc guidée par la criticité de la fonction sous-traitée. Les normes contractuelles seront développées dans les RTS (stratégie de sous-traitance) et les ITS (clauses contractuelles, tenue de registre). Elles prévoiront notamment les possibilités de résiliation des contrats, les modalités de la sortie du contrat, le transfert des process en toute sécurité, et les mesures d’urgence et de continuité d’activité nécessaire.
Dès le Règlement, le législateur européen fixe les dispositions contractuelles obligatoires, notamment sur la protection des données et sur l’ouverture du prestataire de services au contrôle. Il s’inquiète du risque de concentration de la sous-traitance TIC sur un petit nombre de prestataires, notamment pour l’exercice des fonctions critiques et importantes. Cela dit, il se borne à recommander d’évaluer l’intérêt de la sous-traitance de ces fonctions pour l’entreprise et de rechercher la dispersion du risque : cela ne va pas très loin. Il s’agit aussi d’imposer quelques règles au sous-traitant de fonctions critiques : description complète et niveau de services, notification, clauses contractuelles type, organisation des stratégies de sortie de l’accord de sous-traitance.
7. La supervision des prestataires tiers critiques de services TIC. Il ne s’agit plus des fonctions, mais du prestataire lui-même considéré comme critique. DORA organise un système de contrôle spécifique sur ces prestataires (qui ne figurent pas parmi les activités règlementées), dont les Autorités européennes de contrôle fixent la liste sur la base de critères : le rôle potentiellement systémique du prestataire ; la nature potentiellement systémique des entités financières qui donnent à sous-traiter (on retrouve les notions de l’IAIS : GSII – Grandes entreprises dont le rôle est international) ; les effets de dépendance à la sous-traitance ; l’interdépendance entre entités créées par la sous-traitance ; le cumul de risques ; le degré plus ou moins important de substituabilité du sous-traitant.
DORA institue un « forum de supervision », sous la responsabilité des trois Autorités européennes de contrôle, qui définit les sous-traitants critiques soumis à contrôle. Chacun de ces sous-traitants critiques se voit affecter un « superviseur principal », qui est l’une des trois Autorités européennes (EMA, EMBA ou EIOPA). Celui-ci se voit reconnaître un large pouvoir d’enquête et de recommandations sur les prestataires critiques. DORA organise, avec gourmandise, les modalités de constitution des équipes d’examen conjoint, la désignation des personnels, les délais de réponse aux recommandations (comply or explain), les sanctions, la publication des sanctions, etc., sans oublier la coopération internationale avec les pays tiers et le partage d’information sur les cybermenaces.
Ce texte, présenté par la Commission comme le couronnement de l’organisation de la sécurité informatique en Europe, n’est pas très convaincant. Sur le mode classique, il organise la sous-traitance informatique et cherche à cerner (pour l’empêcher) la sous-traitance de « fonctions critiques » (au demeurant non définies clairement) par les entités financières. Sa seule avancée est la création d’un contrôle européen d’une nouvelle catégorie de professions réglementées, les prestataires de services importants de TIC aux entités financières.
Restent dans l’ombre les interconnexions entre DORA et les réglementations sur les Centres de Réponses aux Incidents Informatiques (CSIRT), compétents pour tous les secteurs économiques, ainsi que la complémentarité avec la Directive cloud, celui-ci n’étant clairement pas traité par DORA, et le lien avec les travaux sur les grandes entreprises financières « systémiques » selon l’IAIS.
9. Instruction sur les exclusions dans les contrats d’assurance des risques qui sont liés à des événements systémiques – EIOPA – BOS 22-238 du 10 mai 2022
L’EIOPA propose une définition des risques « liés » aux événements systémiques, telle que la question posée est la révélation de risques non couverts lorsqu’un événement systémique survient (protection gap). En termes moins contournés, il s’agit des risques indirects d’interruption d’exploitation du fait de l’épidémie de Covid-19, qui pourrait s’étendre, dit l’EIOPA, à des événements naturels (le changement climatique) ou des attaques cyber de grande ampleur (les attaques russes liées à la guerre en Ukraine).
Les craintes de l’EIOPA sont multiples : réaction brutale de révision des contrats et multiplication des exclusions, ce qui serait contraire aux règles du Product Oversight and Governance, voire des rédactions de clauses de contrats peu claires ou contraires aux attentes des clients qui se développent, voire l’augmentation du déficit de garantie (protection gap) ou, pire encore, des niveaux de primes qui rendent les contrats hors de portée des consommateurs.
En réalité, l’EIOPA ne sait comment se tirer du piège des garanties de pertes d’exploitation dans dommages (Dommages immatériels non consécutifs – DINC) qui n’ont pas été achetés par les clients et dont la pandémie Covid montre qu’ils risquent de se multiplier.
Les recommandations de l’Autorité sont aussi pauvres que l’analyse :
– les Autorités de contrôle et les assureurs doivent veiller à la clarté des clauses des contrats, avoir une communication claire avec les clients, notamment sur le contenu des exclusions et sur la couverture des dommages directs et/ou indirects. Cela vaut surtout pour les contrats en vigueur lors de leur renouvellement. Pour les nouveaux contrats, l’EIOPA répète les règles du POG sur l’adaptation du contrat au marché-cible, et sur l’opportunité et la compréhension par le client des exclusions ;
– l’EIOPA ne peut que répéter sa confiance dans les règles du POG pour assurer l’adéquation du produit au marché et la bonne compréhension des exclusions par le client. C’est évidemment une vision angéliste du marketing de l’assurance.
Dans le fatras de ces recommandations, on peut relever quelques pistes intéressantes :
– développer une réflexion sur les événements systémiques potentiels qui mettrait en lumière les risques d’« d’insurance gaps », le développement d’exclusions ou les refus d’assurance dans le cadre de la couverture de ces événements systémiques ;
– de pister l’importance des refus d’indemnisation suite à des événements systémiques et savoir s’il peut s’agir d’une mauvaise interprétation des exclusions par les clients ou d’une mauvaise rédaction des clauses.
En définitive, l’EIOPA ne sait que faire devant le risque de répétition d’événements systémiques, dont la garantie n’est pas clairement acquise, notamment en ce qui concerne leurs effets indirects sur l’économie. La question se pose d’ailleurs de savoir en quoi ces questions, qui relèvent du droit national des risques et des contrats (par exemple, extensions des garanties tempêtes et catastrophes naturelles) sont du ressort d’une Autorité dont la compétence est fondée sur le contrôle de la solvabilité des entreprises et non sur la gestion des garanties.
9. Instruction sur la gestion des « couvertures silencieuses » du cyber risk – EIOPA – BOS 22-414 du 27 septembre 2022
Ce document devrait traiter d’une question majeure pour la solvabilité des assureurs : comment traiter les « couvertures silencieuses » en cas de sinistre informatique lorsque le risque cyber (sous ses diverses formes, notamment mal intentionnées ou liées à des manœuvres terroristes, voire à une guerre étrangère) n’est ni inclus ni exclu dans le contrat d’assurance. C’est la question de la piraterie et de la guerre interférant dans des contrats d’assurance, généralement quelconques et parfaitement non pré
parés, dans la perspective d’événements qui les concernent à la marge.
Les recommandations de l’EIOPA, qui surviennent plus de cinq ans après que le marché ait exprimé son inquiétude sur ses « couvertures silencieuses », sont particulièrement médiocres :
– développement d’un contrôle top down de la stratégie cyber de l’entreprise d’assurance, de son appétence pour le risque et de sa capacité de maîtrise du risque. Il s’agit de vérifier que l’entreprise a mis en place une révision générale des contrats existants et resouscrit les risques présentant une possibilité de couverture silencieuse. C’est évidemment la première chose à faire ;
– mesure de l’exposition au risque « silencieux ». L’EIOPA fait la liste de mesures traditionnelles : « clarifier les couvertures », « vérifier les expositions, mesurer l’impact des exclusions “faits de guerre” », et donc clarifier l’exposition à des événements hostiles, terroristes ou guerriers, comme différents des actes de piraterie informatique.
Les Autorités nationales de contrôle vérifient que le risque est mesuré qualitativement et quantitativement ( !), que la réassurance de l’entité couvre effectivement les « couvertures silencieuses », notamment les risques cumulatifs et aussi bien les risques « affirmatifs » et « silencieux », ce qui revient à vérifier, auprès des réassureurs, l’absence d’« impasse » dans la couverture. L’ORSA doit, rappelle l’EIOPA, traiter des garanties « silencieuses ».
Tout cela ne sert à peu près à rien. L’EIOPA n’a guère de pouvoir sur les contrats cyber spécifiques. Il lui fallait s’occuper des « trous » (gap) de garantie, comme jadis pour les dommages immatériels non consécutifs. L’Autorité montre clairement qu’elle n’en a pas les moyens. La solution ne serait-elle pas de laisser faire les marchés qui ont, dans le passé, su trouver des solutions à ce type d’« impasses » qui, découvertes a posteriori, sont difficiles à couvrir pour le passé.
9. Discussion sur les principes méthodologiques du stress-test de l’assurance – Volet cyber – EIOPA – BOS 22-514 du 24 novembre 2022
Le texte commence utilement par la distinction entre le cyber risque subi par les assureurs, comme par toute activité industrielle, et le rôle de porteur de risque de l’assureur (la souscription cyber). Les deux aspects doivent être modélisés soit au titre du risque opérationnel (qui devient majeur), soit au titre du risque de souscription.
L’EIOPA décrit l’un ou l’autre risque de façon très extensive. Ce sont les Ransomware, Denial of Service, Data Breach, Cryptojacking, Unauthorized transaction, interruption des infrastructures de paiement, dommages aux infrastructures informatiques, panne électrique pour les risques opérationnels. Pour les risques de souscription, ce sont les couvertures de la malveillance : extorsion, fraude et vol, perte d’exploitation et dommages immatériels non consécutifs, ainsi que l’indemnisation des coûts de réponse à l’incident, les « indemnités professionnelles » et la responsabilité civile des mandataires sociaux. L’EIOPA ajoute les effets des « couvertures silencieuses » dans les contrats de responsabilité civile générale et les polices dommages aux biens/pertes d’exploitations.
Plus originalement, l’Autorité rappelle l’implication de polices dites « Kidnap & Ransom » (Ransomware), des polices Marine et Aviation (les transports affectés par le virus NotPetya), l’électronique automobile, la vulnérabilité des hôpitaux (frais médicaux et polices d’assurance vie). L’Autorité, enfin, ne manque pas de rappeler le risque d’accumulation soit du fait du cloud, soit du fait de l’interconnexion (global ransomware), soit du fait de la victime (les installations de production d’électricité).
L’EIOPA retient cinq scénarios d’incidents cyber qui peuvent être à la fois des scénarios de crise opérationnelle pour l’assureur ou des incidents assurés qui déclenchent un processus d’indemnisation :
1. un scénario de dommage aux infrastructures d’information, notamment l’interruption du service de cloud : il s’agit, pour l’instant, d’un risque opérationnel seulement pour l’assureur ;
2. un scénario « Ransomware » (vol de données) qui atteint l’assureur et/ou ses clients industriels ;
3. l’attaque sous forme de déni de services (DOS) : il s’agit, pour l’instant, d’un problème opérationnel et n’a pas été constaté sur un portefeuille de risques ;
4. un scénario de vol (pénétration) de données : l’EIOPA estime qu’il s‘agit, pour l’instant, d’un risque de souscription dans la mesure où la reconstitution des données devrait être financée par l’indemnité ;
5. la « panne générale » d’énergie, qui peut être d’origine malveillante, est un risque opérationnel important pour l’assureur et un risque de perte d’exploitation pour les assurés.
L’EIOPA ne retient pas de scénarios sur « la transaction non autorisée » (plus connue sous le nom d’ « escroquerie au Président »), sur l’interruption des systèmes de paiement (Visa, Swift), ni sur le « cryptojacking » (vol de monnaies cryptées).
Le document de consultation fournit des exemples de calibration pour chacun de ces risques de souscription, en particulier pour les rançongiciels, l’interruption du cloud, la panne générale d’électricité, en termes de durée du sinistre, de perte d’exploitation pour le pourcentage de clients atteints, etc. L’Autorité y ajoute des éléments spécifiques sur l’estimation du coût de ces événements pour les garanties silencieuses.
L’EIOPA poursuit l’évaluation de ces mêmes « chocs » sur le risque opérationnel (la « résilience ») des assureurs eux-mêmes. L’essentiel est évidemment le délai de réparation du « choc » et l’amplitude des processus (business) atteints par le choc. La calibration du choc dépend de l’évaluation de ces deux données.
Le parti pris de traiter simultanément les effets d’un ensemble de « chocs » sur le risque opérationnel de l’entreprise d’assurance, et sur le résultat de son portefeuille de risque, rend le texte de l’EIOPA confus. Mais il répond à un véritable besoin : les assureurs doivent modéliser leur portefeuille de risques cyber, qu’il soit « silencieux » ou délibéré, et la réforme de Solvency II serait bien inspirée de prévoir un coût du capital spécifique pour ce risque de souscription. Quant au risque opérationnel, il est depuis trop longtemps traité de façon insuffisante dans la formule standard, et les menaces cyber l’augmentent très évidement.
9. Développement de l’assurance du risque cyber – France – D.G. Trésor – Septembre 2022
La Direction générale du Trésor établit-là son constat sur l’assurance actuelle et à venir, donc sur l’assurabilité du risque cyber. Elle estime que le marché français est encore peu développé (219 millions d’euros en 2021, soit 0,35 % des primes de dommages aux biens et responsabilités). L’offre d’assurance souffre du manque de données et de l’inquiétude face à un risque « systémique » et de grande ampleur ; la demande d’assurance est marquée par une sous-estimation du risque. Or, la D.G. Trésor estime que le marché est un instrument de résilience pour les acteurs économiques et que le risque est maîtrisable. Elle ambitionne donc de faire de Paris un pôle d’expertise de l’assurance cyber, pour des raisons de promotion de la « résilience » et de souveraineté économique.
1. Le Rapport constate la diversité du risque cyber qui pèse sur la confidentialité, l’intégrité et la disponibilité des données, mais ce risque peut être réalisé par « accident » (erreur humaine) ou par malveillance (piraterie, sabotage) et avoir des effets sur les coûts de l’entreprise, créer des dommages directs ou indirects, matériels ou immatériels, atteindre à la réputation de l’entreprise, la responsabilité civile de celle-ci ou de ses dirigeants et générer des dépenses de paiement de rançons. L’essentiel du risque est criminel : 54 % des entreprises ont été attaquées en 2021 ; en forte augmentation depuis 2017, sous diverses formes (malware, hameçonnage, déni de service, etc.) mais la plupart restent de faible intensité. Il n’en demeure pas moins que la menace de corrélation liée à l’interdépendance des acteurs, domine la vision du risque.
En France, le marché est faiblement développé, en dehors des grandes entreprises. Jusqu’à une date récente (2019), les garanties implicites (silent cover), les débats sur les exclusions de garanties, les contentieux ont fait obstacle au développement de la souscription. À partir de 2019, la révision des garanties, la clarification des exclusions, l’existence de garanties des dommages immatériels non consécutifs ont permis une expansion du marché.
Reste le sujet des « rançons ». Face à l’expansion des attaques (1 112 attaques réussies en 2020 dans le monde) et au risque de mise en péril de la survie de l’entreprise, la D.G. Trésor constate l’existence de couvertures du risque de rançon et, en l’absence de règle de droit, en reconnaît la non-prohibition (sauf en cas de terrorisme). D’où la polémique parlementaire de la fin de législature, certains cherchant à interdire le financement des rançons par l’assureur. On sait que cette interdiction déplacerait immédiatement le marché vers Lloyd’s, dont la filiale en Belgique bénéficie de la Liberté de prestations de service (LPS).
En revanche, la D.G. Trésor affirme que les sanctions administratives (liées à l’application du RGPD par exemple) ne peuvent être assurées légalement. Cela promet de farouches contentieux judiciaires.
Quant à la « cyber guerre », la D.G. Trésor constate l’absence de clauses légales d’exclusion de la garantie, mais des possibilités de clauses contractuelles d’exclusion. Lloyd’s en a publié quatre modèles.
2. Le risque cyber est mal mesuré et sous-assuré en France. C’est le sujet traditionnel de l’absence de reporting pour protéger la réputation de l’entreprise. Le risque est faiblement diversifiable et le coût peut être très élevé pour un sinistre de haute intensité et quasi systémique (Wannacry a « infecté » 200 000 machines). La D.G. Trésor affirme pourtant que le risque est assurable. Encore faut-il développer l’assurance pour mieux mutualiser le risque, éventuellement utiliser les « captives de réassurance » et, surtout, durcir les conditions de garanties et de primes, alors que le cycle baissier, amorcé en 2004-2005, s’inverse depuis 2019. La D.G. Trésor consacre de longs développements aux captives de réassurance qui permettent « la mutualisation financière à travers le cycle économique, le lissage dans le temps des résultats, en utilisant les provisions qui absorbent ainsi les chocs exogènes ». Il existe 7 captives de réassurance en France, contre 234 au Luxembourg et 931 aux Bermudes. Et la D.G. Trésor va tenter de développer cette solution de provision individuelle et volontaire d’égalisation dont, in fine, le Ministre de voudra pas lors du débat parlementaire, ce qui montre bien l’ardeur du combat sur le sujet qui est (évidemment) de nature fiscale.
Globalement, la D.G. Trésor estime que le développement de l’assurance est freiné par la sous-évaluation du risque par les acteurs économiques, par le sous-investissement en cyber sécurité, par la réticence globale des PME. TPE qui jugent les questionnaires de risques trop complexes et ne perçoivent pas que la réalisation du risque peut compromettre la survie de l’entreprise et, enfin, la technicité insuffisante des intermédiaires qui sont chargés de diffuser les contrats.
3. La D.G. Trésor propose plusieurs solutions sur des sujets mis sur la table :
– Clarification des contrats, notamment les contrats « tous risques sauf » et amélioration des définitions des dommages matériels et immatériels.
– Vigilance demandée à l’ACPR sur la rédaction de clauses d’exclusion « formelles et limitées », la diffusion de « bonnes pratiques » dans un « guide de place », un engagement de place sur l’information de l’assuré sur les exclusions (au titre du devoir de conseil). On n’ose parler de « clauses types », mais elles ne sont pas loin.
– L’ACPR devrait conduire une étude sur les couvertures « silencieuses ». Celles-ci, depuis les dix dernières années d’exploration du sujet, devraient désormais avoir un caractère résiduel.
– Maintenir l’assurabilité et l’indemnisation des cyber-rançons, puisqu’aucun État de l’OCDE ne l’interdit, mais soumettre la demande à des déclarations rapides de type « Tracfin » et assurer une forte coopération entre assureurs et forces de sécurité. En revanche, les sanctions administratives ne devraient pas pouvoir être assurées et indemnisées.
– La notion de cyber-guerre doit être définie, en particulier en ce qui concerne le lien de causalité entre l’incident cyber et la guerre étrangère. La D.G. Trésor souhaite expertiser les implications de l’extension de l’exclusion de la cyber-guerre dans les contrats.
– Les assureurs doivent prendre en compte le risque cyber dans l’ORSA, ce qui est assez évident et implique la création de stress-tests et l’évaluation des impacts sur les fonds propres et les liquidités. C’est particulièrement important pour les modèles internes des grandes entreprises d’assurance, principaux acteurs de la souscription cyber.
– Il est souhaitable de créer une « branche réglementaire » (Line of Business de Solvency II) spécifique, avec un état national spécifique français de compte rendu sur les résultats de souscription et permettant, à terme, de prévoir un agrément spécifique pour la souscription dans cette branche (compétence du souscripteur dûment vérifiée).
– La D.G. Trésor pose les bases d’une méthodologie de la modélisation, en s’appuyant sur les travaux de l’Institut des actuaires, afin de pallier la difficulté majeure du risque cyber, la faible qualité des données sur les types de sinistres, les risques de cumuls, les coûts des indemnisations. Dans ce désert, la D.G. Trésor souligne que la tarification reste possible (approche bayésienne de la modélisation) et que l’apport de l’intelligence artificielle peut être importante pour des modélisations avec peu de données. Il faudra bien mettre en commun les données publiques et privées de tout le marché, n’en déplaise aux contraintes des règles de la concurrence. Mais la D.G. Trésor se montre très prudente, comme il se doit. On parle de créer un « observatoire des incidents cyber », mais tout cela reste encore vague.
– Le Trésor revient sur les solutions « privées » d’élargissement de la capacité de souscription : provisions fiscales, création de captives dites « par compartiment » pour les PME (captive d’assurance sans mutualisation du risque conservé, dont on ne voit pas bien l’utilité), mutuelles de grandes entreprises (type P&I Clubs pour la RC maritime). En revanche, le Trésor ne croit guère aux solutions de titrisation du risque cyber (les insurance-linked securities) et leur préfère les couvertures paramétriques, tout en soulignant qu’elles ne peuvent couvrir qu’une partie du risque (sinistres de fréquence de petite taille). Pour ces solutions innovantes, les mêmes questions se posent que pour les capacités traditionnelles de (ré) assurance : connaissance du risque, bases de modélisation, qualité de la prévention/protection chez l’assuré, risques de cumuls...
– Enfin, la DG Trésor insiste sur la nécessité de sensibiliser les entreprises et de développer (AMRAE) des niveaux de « maturité cyber » des entreprises, sorte de standards communs de cyber sécurité. Le Trésor reste néanmoins prudent sur l’éventuelle transformation de ces standards en conditions d’accès à l’assurance, sous prétexte de ne pas alourdir la charge administrative des entreprises, mais sans doute aussi pour éviter la « cartellisation » des taux de primes autour de ces « niveaux » de sécurité. C’est toute l’ambiguïté de la démarche publique. L’État veut-il ou non intervenir dans ce marché pour en améliorer l’assurabilité ?
Les autres recommandations sont plus classiques : mobilisation des réseaux et formation des professionnels. On notera pourtant une ouverture inédite : la D.G. Trésor aimerait créer une task force dans Paris Europlace, pour faire de la place de Paris « un pôle d’expertise du risque cyber ». C’est évidemment une grande nouvelle pour tous ceux qui ont, jadis et naguère, défendu l’idée que Paris pouvait devenir une place de (ré) assurance internationale et ont regardé partir la filiale européenne de Lloyd’s (post Brexit) en Belgique.
Ce rapport n’en est pas moins un texte majeur pour construire une stratégie de marché sur la couverture du risque cyber à Paris. Si les acteurs du marché savent prendre cette opportunité d’une intervention publique dans le secteur, il est probable que l’assurabilité de ce risque majeur aura fait un pas important en avant, sans intervention des Finances publiques et avec un minimum (mais pourtant nécessaire) de réglementation supplémentaire.
9. Régulation internationale des activités de crypto-actifs : une proposition d’architecture – Consultation publique – FSB – Date de publication : 11 octobre 2022
Le Financial Stability Board (FSB), groupement économique international créé par le G20 à Londres en 2009, regroupe 26 Autorités financières nationales dont des Ministères des Finances, des Banques Centrales ainsi que des organisations internationales et des groupements élaborant des normes de stabilité financière tels le Comité de Bâle-BCBS, l’IAIS, le Comité des paiements et des règlements-CPSS, l’Organisation Internationale des commissions de valeurs (IOSCO). Au total 70 institutions sont membres et se réunissent trimestriellement. Le FSB a pour but de déterminer les vulnérabilités du système financier mondial, de promouvoir la mise en œuvre de standards internationaux de régulation financière et de s’assurer de leur respect, de favoriser la coordination et la cohérence des activités des normalisateurs techniques internationaux dans divers domaines allant de la régulation des marchés à la prévention du risque systémique, à la protection des investisseurs et des consommateurs, au renforcement des normes comptables. Le FSB émet donc des principes et des recommandations.
Les questions posées dans ce document renvoient à un texte paru le même jour intitulé « Regulation Supervision and Oversight of crypto-asset activities and markets » dans lequel le FSB expose neuf propositions de recommandations. Ce texte est un ensemble d’instructions adressées aux Autorités de contrôle pour mettre en œuvre des réglementations robustes permettant de contrôler l’activité crypto-asset aussi bien au niveau des émetteurs que des fournisseurs de services (plate-formes comprises). Il est recommandé la mise en place d’un pilotage réglementé des risques, réglementation couvrant tous les risques associés à cette activité tout en restant proportionnée à leur complexité et à leur importance systémique, cette réglementation devra également tenir compte des risques pouvant affecter la stabilité financière des marchés. Les Autorités de contrôle, nous dit le FSB, sont priées d’exiger des fournisseurs de service qu’ils abordent la question du risque de stabilité, comme elles le font pour les acteurs financiers traditionnels. Les Autorités de contrôle devront exiger des émetteurs de crypto-actifs et des fournisseurs de services que soient mis en place des règles de collecte, d’enregistrement, de sauvegarde et de rédaction de rapports. Le FSB demande aux Autorités de contrôle d’exiger des intervenants une communication claire et transparente de leurs opérations, des profils de risque et des conditions financières de réalisation ainsi que des produits proposés. Les Autorités de contrôle devront également se préoccuper des liens existants entre l’écosystème des crypto-assets et le système financier. Une réglementation et une surveillance de la profession de fournisseur de services est fortement recommandée.
Dans un second texte daté du 11 octobre 2022, intitulé « Review of the FSB High-level Recommendations of the Regulation, Supervision and Oversight of global Stablecoin arrangements », le FSB a rassemblé dix recommandations sur les règles à établir sur le marché des accords relatifs aux stablecoins, recommandations similaires à celles énoncées à l’alinéa précédent. Le FSB recherche une stabilisation du marché des crypto-actifs par les stablecoins.
Le questionnaire de cette consultation comprend 15 questions divisées en trois parties. Une partie générale dans laquelle le FSB demande aux participants de dire si dans les propositions faites l’ensemble des activités crypto-assets, et des risques subséquents sur la stabilité financière, est couvert. Dans la seconde partie il est demandé aux participant leur avis sur l’adéquation de la régulation proposée des activités crypto-assets. La même question est posée dans la troisième partie portant sur les recommandations relatives aux global stablecoins (GSC).
Le FSB finalisera ses recommandations mi-2023 une fois pris en compte les réponses au questionnaire attendues pour le 15 décembre 1922. La transposition des recommandations dans chacun des pays adhérents n’est pas encore à l’ordre du jour.
Règlements Lutte contre le blanchiment et le financement du terrorisme (LCB/FT)
10. Rapport sur le fonctionnement des collèges LCB/FT en 2021 – EBA – 2022-18
Il s’agit ici des Collèges de contrôleurs construits par l’EBA pour la lutte contre le blanchiment, à l’imitation des collèges de contrôleurs transfrontaliers de Solvency II.
L’EBA a constitué 138 collèges et 89 nouveaux seront instaurés en 2022. Il s’agit, pour l’essentiel, de banques et d’institutions de paiement, ce qui semble indiquer que les assureurs, malgré la Directive, mènent leurs travaux de leur coté l’ACPR est désignée comme Autorité compétente en France pour le blanchiment.
L’EBA se plaint amèrement de la faible application de « l’approche par les risques » et de la faible coopération avec les superviseurs prudentiels. Après avoir répété les « bases » du contrôle LCB/FT, l’EBA note les faiblesses des due diligences sur les clients : le faible contrôle effectué sur les transactions en cash et en cryptomonnaies ; les restrictions d’informations de la part des Autorités des pays tiers ; la faiblesse de la Gouvernance et le suivi insuffisant (la mauvaise classification) des personnalités exposées. D’une manière générale, la fonction conformité manque de moyens, notamment informatique, l’organisation au niveau des groupes est faible, le contrôle des « correspondants bancaires » est insuffisant, de même que la surveillance des sous-traitants.
Bref, l’EBA paraît déçue de l’inefficacité de son action et veut restructurer son intervention sur les grandes entités qui ont un rôle stratégique dans l’État membre, sur les pays où l’efficacité du contrôle est douteux, car les données sur la LCB/FT y sont peu nombreuses, surtout sur les opérations transfrontalières.
10. Contrôle du risque LCB/FT pour un corridor de transfert de fonds – World Bank – FMI – Septembre 2021
Ce document, un peu ancien, ne concerne que les activités bancaires de transfert de fonds, indéniablement liés à l’immigration. Ces transferts sont évidemment surveillés car ils sont souvent informels, en espèces et fonctionnent avec des coûts élevés. Ils ont cependant un rôle majeur pour les économies qui reçoivent les transferts. Les organismes multilatéraux de développement souhaitent donc que les règles LCB/FT n’aient pas pour effet de les interdire de fait.
Elles souhaitent donc créer des « corridors de transfert sécurisés » (safe remittance corridors) fondés sur une analyse de contrôle du risque ou « Corridor Risk Assessment » (ou CRA). Ces pratiques permettraient de mieux comprendre les menaces LCB/FT dans le « corridor », sur la base d’une analyse de risque : risque FT dans le pays de réception, profil de risques des institutions actives dans le corridor, la nature des réseaux, les mesures adoptées par les acteurs de fourniture de service pour lutter contre le blanchiment, etc.
En pratique, les Institutions voudraient créer un régime spécial de risk assessment pour ces corridors, dans l’espoir de réduire les risques de trafic, fondé sur la coopération entre les pays qui participent à la création de ces corridors de transferts sécurisés.
L’intention est louable du point de vue du développement, on peut douter de son applicabilité dans la grande majorité des cas.
10. Lignes directrices sur le rôle et les responsabilités du responsable de la conformité LCB/FT et sur les politiques et les procédures de gestion de la conformité – Blanchiment des capitaux – LCB/FT – European Banking Authority (EBA) – 14 juin 2022 – Rapport final
L’EBA est désormais l’Autorité européenne compétente sur les questions de lutte contre le blanchiment de capitaux et de financement du terrorisme. Elle édicte ses lignes directrices, applicables à partir du 1er décembre 2022, au titre de la 5e Directive de 2015 qui ne serait pas appliquée de façon satisfaisante par les États membres. L’EBA juge utile de reprendre les diverses lignes directrices des autres Autorités, ce qui donne au texte un caractère redondant.
L’organe de Direction (AMSB de Solvency II) est investi de fonctions de contrôle interne, en particulier sur les fonctions du responsable conformité LCB/FT (qui peut être différent du Compliance Officer « général », institué par Solvency II). Il est investi de fonctions de gestion, en particulier la mise en place des procédures de LCB/FT (politiques écrites), de leur vérification et de leur contrôle si elles sont sous-traitées. L’AMSB identifie le membre de l’AMSB responsable des fonctions LCB/FT, qui décide de la nécessité d’instituer un responsable de la conformité LCB/FT. Lorsque celui-ci est institué, il est installé à un niveau élevé (management level), occupe une fonction « indépendante » et doit donner des gages de compétence, d’expertise, de bonne réputation, d’honnêteté et d’intégrité. Il importe que les « conflits d’intérêts » soient attentivement surveillés.
Sa tâche est de construire une cartographie des risques et de développer les procédures de contrôle des risques/produits et les due diligences sur les clients à haut risque (classification des clients). Il assure les relations avec les bureaux chargés de « l’information financière » (Tracfin en France), en particulier la vérification des « déclarations de soupçon » (qualité de l’information).
L’EBA semble accepter l’idée que l’Officer LCB/FT n’est pas nécessairement indépendant des autres fonctions de conformité de l’entreprise. La fonction peut être sous-traitée, sous réserve de la préservation de la responsabilité finale de l’entreprise. Mais ne peuvent être sous-traitées : l’approbation de la cartographie du risque, l’adoption des politiques et des méthodologies et les critères pour la détection des transactions suspicieuses ou inusuelles.
Pour le reste, on retrouve les limites de la sous-traitance intra-groupe liées à l’existence de conflits d’intérêts et de la sous-traitance vers les pays tiers, qui ne doit pas accroître le risque de non-conformité, ni surtout créer d’obstacle au contrôle des Autorités nationales de contrôle du pays du Siège.
Au niveau du « groupe », l’EBA reprend la litanie de la cartographie des filiales, de la nomination d’un contrôleur de la conformité au niveau central, la définition et le contrôle d’application de standards fixés au niveau Groupe, les rapports internes entre les filiales et la holding, et la nécessité de constituer un Comité de conformité au niveau de l’AMSB du Groupe. Bien entendu, les risques LCB/FT dans les pays tiers à l’Union doivent être suivis avec une vigilance particulière.
Cette importante littérature (53 pages) n’apporte rien de véritablement nouveau, sauf l’émergence, de plus en plus visible, d’une fonction managériale de contrôle de la conformité propre aux activités LCB/FT et relevant en direct de l’AMSB.
10. Projet de Normes Techniques de Règlementation (RTS) sur une base de données centrale LCB/FT – EBA – 20 décembre 2022
L’EBA est responsable de la création de cette base de données (Article 9 du Règlement 1093/2010)qui doit recenser les faiblesses, dans le contrôle de la LCB/FT, relevées auprès des opérateurs par les Autorités de contrôle.
Les RTS définissent les « faiblesses » ou manquements qui doivent être signalés, notamment les produits concernés, le caractère transfrontalier des transactions. La base de données comprend les informations sur les mesures qui ont été prises en réponse à ces manquements. L’EBA a la charge de vérifier (enquête éventuelle) ces informations et de les transmettre aux Autorités compétences, à l’ESMA et à l’EIOPA le cas échéant. Elle les transmet au contrôleur de groupe et au collège (s’il y a lieu).
Il s’agit, en pratique, de construire un fichier des manquements graves en matière de gestion du risque LCB/FT au niveau européen, ce qui doit constituer un efficace moyen de pression sur des Autorités nationales de contrôle, et assure une solide coopération transfrontalière entre elles.
RGPD
11. Assurances maladie complémentaires – France – Cnil – 14 novembre 2022
La Cnil fait état de « plaintes » mettant en cause des organismes d’assurance santé complémentaire (OCAM), assureurs, mutuelles ou IP, sur le traitement des données de santé. Il ne s’agissait pas moins de la possibilité de recevoir les ordonnances et prescriptions et les « codes » spécifiques de remboursement des dépenses de santé. Ces échanges d’informations sont critiqués tant au titre du RGPD que du secret médical.
Compte tenu du caractère aberrant de ces plaintes, il s’agit, bien évidemment, d’une nouvelle tentative de fermer l’assurance santé au profit du système public, dans la logique du 100 % santé puis du thème pré-électoral de la « Grande Sécurité Sociale ».
La Cnil propose une vision très juridique et conclut que la transmission des données de santé aux OCAM se justifie pour les contrats dits « responsables ». Pour les contrats « non responsables », la transmission des informations sur les dépenses de santé est justifiable par « l’exception » du consentement du client qui permet cette transmission.
Il en est de même, selon la Cnil, quant au secret médical : pour les contrats responsables, le mécanisme du « tiers payant » permet la transmission vers les OCAM d’informations couvertes par le secret médical.
Au total, et en ayant sauvegardé l’essentiel de la transmission d’informations aux OCAM, la Cnil juge « indispensable » de revoir le cadre juridique applicable de « l’exception », applicable aux OCAM sur la transmission d’informations médicales. Cela signifie que la partie n’est pas terminée et que les tentatives d’exclusions des OCAM des circuits de remboursement et de la gestion des soins (voire de la production de soins) ne sont pas abandonnées. Le RGPD est bien une « arme » de modification en profondeur de la gestion du système de santé et la tentation monopolistique du système public accroît sa pression.
Le sujet rebondira sans doute à l’occasion du débat sur la loi que la Cnil veut faire adopter.
11. Contrôles d’application du RGPD – France – Cnil – Sanctions – Argus – 2 novembre 2022
Les sanctions de la Cnil prononcées le 20 juillet 2021, contre des assureurs santé, font apparaître de nouvelles zones de risques liées à l’application du RGPD. Il s’agit de :
– la durée de conservation des données : éviter à tout prix la constitution de « dossiers médicaux » chez l’assureur.
– la délivrance des informations aux personnes concernées.
– la qualité des mesures de sécurité des données (cyber sécurité).
Le sujet de la conformité, en matière de gestion et de sécurité des données de santé, est désormais, comme le montre bien l’Argus, au centre des préoccupations « cyber » et « conformité » des assureurs santé.
11. Joint Opinion sur un règlement sur un Espace européen de données de santé – European Data Protection Board et European Data Protection Supervisor – 12 juillet 2022
Ce texte, issu d’organismes nouveaux sans doute créés dans le cadre du RGPD, est surtout important en ce qu’il s’appuie sur des propositions de Règlement de la Commission dit European Health Data Space Act du 3 mai 2022 et s’intéresse à la conformité de cet Espace européen des données de santé avec le RGPD et le Règlement 2018/1725, dit Règlement de protection des données dans l’Union. Il fait également référence à la Directive sur la e.privacy (2002), le Data Governance Act (R. 2020/767), le Data Act n° 2022/68 et le Artificial Intelligence Act n° 2021/206.
Le fonctionnement « en silo » de la Commission rend évidemment complexe la vision globale de son activité régulatoire en matière de données.
L’intérêt du pesant texte des deux instances tient à la volonté de rendre cohérentes avec le RGPD (et la protection des données de santé), les données recueillies par les outils dits de « wellness », qui sont (ou ne sont pas) des données de santé personnelles.
Le sujet est bien posé à l’occasion de la création de l’Espace européen des données de santé : les informations ainsi recueillies, renseignent sur le style de vie et sont donc des éléments de connaissance de l’état de santé. Dès lors, faut-il les soumettre aux « droits » tirés du RGPD par les clients et en limiter l’accès à un nombre limité de professionnels, sinon le risque de contradiction avec le RGPD des travaux sur l’« Espace européen » sera particulièrement sensible.
Par ailleurs, les deux instances développent la question de « l’usage secondaire des données électroniques de santé » et estiment que les textes en discussion sont beaucoup trop « laxistes » au regard des textes RGPD.
Enfin, les Autorités soulignent la création d’un Electronic Health Data System Board et de Health Data Access Bodies dans chaque État et les conflits d’attribution évidents.
Ces querelles bureaucratiques européennes pourraient aisément nous être indifférentes. Malheureusement, il est clair que la transmission et la gestion des données de santé (et des données qui peuvent être réputées « données de santé ») influent considérablement sur la gestion du risque santé dans l’assurance. Les batailles ouvertes avec la Cnil en France en témoignent. Il est donc important de suivre ces évolutions sur la gestion des données électroniques qui se déroulent dans de nouveaux forums.
Investissement durable,
réglementations ESG
13. Suivi et évaluation des engagements climatiques des acteurs de la Place – Troisième rapport ACPR/AMF – Parution : octobre 2022
Ce rapport comme les précédents est centré sur le suivi des engagements climatiques des banques et des assurances en utilisant le recensement effectué par l’Observatoire de la Finance Durable. Le document revient sur les politiques relatives aux énergies fossiles (charbon, pétrole, gaz) suivies par les principaux acteurs avec des estimations de leur exposition. Les auteurs ont utilisé des informations publiques et des éléments provenant des questionnaires adressés aux plus grands acteurs de la Place (9 banques, 17 entités d’assurances, 18 sociétés de gestion). Nous limitons notre résumé au secteur assurantiel.
Les assureurs ont maintenu en 2022 leur politique de seuils ou critères d’exclusion du secteur charbonnier. Les organismes tiennent compte d’un des deux critères « absolus » que sont la production annuelle ou la capacité installée des centrales au charbon, la majorité des organismes suivant les deux critères. Sept assureurs sur dix-sept déclarent ne pas avoir d’engagements au passif, c’est-à-dire d’avoir exclu toute activité de souscription de risques liés au charbon. Pour les autres, les seuils au-delà desquels les entreprises assurées sont exclues du portefeuille sont respectés. Ils varient de 10 à 30 % du chiffre d’affaires pour le critère production et de 10 à 30 % du mix énergétique pour les entreprises productrices d’électricité et d’énergie. Pour les critères absolus, les seuils communiqués aux rédacteurs du rapport évoluent entre 10 et 100 millions tonnes pour la production annuelle de charbon, ils varient de 5 à 10 gigawatts pour la capacité installée. Par contre, peu d’organismes d’assurance donnent le rythme de baisse de leurs seuils d’exclusion d’ici 2030 et trois organismes seulement ont communiqué un échéancier.
En ce qui concerne les politiques relatives au pétrole et au gaz, le rapport souligne l’amélioration de la qualité des informations fournies par les entités en ce qui concerne les politiques dédiées aux hydrocarbures. Si les seuils d’exclusion sont de plus en plus proches dans les différents organismes, les dates de fin des financements sont absentes ou imprécises.
Un distinguo des politiques est fait entre celles concernant les hydrocarbures conventionnels (pétrole et gaz issus de champs in/off shore) et celles relevant des hydrocarbures non conventionnels (gaz de couche ou gaz de charbon, pétrole et gaz de réservoir, schistes et sables bitumineux, gaz et huile de schiste, pétrole extra-lourd).
Quatre organismes ont déclaré vouloir réduire leur exposition aux hydrocarbures conventionnels. Une compagnie s’est engagée à exclure dès 2025 tout nouveau projet d’exploration et de développement ainsi que les nouvelles centrales électriques ; elle compte demander à la même date aux entreprises dont la production d’hydrocarbures est la plus importante d’adopter un objectif d’émission nulle pour les gaz à effet de serre, engagement valable tant à l’actif (investissement) qu’au passif (souscription). Trois autres organismes ont mis en place une politique propre aux hydrocarbures conventionnels.
Quinze organismes sur dix-sept déclarent avoir adopté une politique d’exclusion des hydrocarbures dits « non conventionnels », seuls sept d’entre eux prennent en compte au moins 5 catégories sur les 8 définies par l’Observatoire de la Finance durable. Les catégories les plus visées sont les sables bitumineux (15 organismes), le pétrole et le gaz de schiste, les ressources pétrolières et gazières dans l’Arctique (12 organismes), pétrole extra-lourd (9 entités), pétrole ultra profond (7 entités). Les modalités d’exclusion sont basés sur des critères quantitatifs et qualitatifs. Pour les critères quantitatifs il s’agit d’un pourcentage du chiffre d’affaires (9 organismes), d’un pourcentage de la production (3 entités), d’un pourcentage des réserves (3 entités). Les critères qualitatifs appliqués par les organismes sont constitués pour l’essentiel d’exclusions géographiques (Arctique, Amazonie, Équateur, Antarctique). Les nouveaux projets d’infrastructure ou d’exploration sont exclus ainsi que « les entreprises qui ne respecteraient pas ou ne s’engageraient pas à respecter une démarche cohérente de transition énergétique ». À peu près toutes les entreprises ayant des activités charbonnières, pétrolières ou gazières ont toute les chances d’être inscrites dans la black list des opérateurs du marché financier à compter de 2025. Quelles seront leur sources de financement externes ?
Le rapport donne ensuite le niveau des expositions aux énergies fossiles des assureurs. Les calculs s’appuient sur deux sources. L’une est déclarative (données transmises par les 17 organismes), l’autre est la base « placements » constituée par l’ACPR. Pour le charbon, l’exposition est comprise entre 0 et 1,6 % du total de l’actif global (données déclaratives), soit 9,5 milliards d’euros en 2021 contre 14,5 milliards d’euros en 2020. Avec la base de données « placements », l’exposition charbon est de 0,5 % en 2021 avant mise en transparence des investissements dans les fonds de placement (OPC), de 0,6 % après mise en transparence ; en 2020, les pourcentages respectifs étaient de 0,6 % et de 0,7 %. Le total des encours déclarés est de 14,8 milliards d’euros en 2021 avant mise en transparence, de 18,1 milliards d’euros après. Sur la période 2016/2021 l’exposition au charbon passe de 1 à 0,5 % avant mise en transparence, de 1,1 à 0,6 % après.
Concernant le pétrole et le gaz sur base déclarative les 17 organismes questionnés ont déclaré pour 2021 un encours de 36 milliards d’euros contre 29,4 milliards d’euros en 2020 avec 12 déclarants. Le rapport conclut que la part détenue en portefeuille est restée stable depuis 2018 et représente environ 1,1 % des financements détenus en direct, le pourcentage s’établit à 1,5/1,6 % après mise en transparence. Au passif, l’exposition au pétrole et au gaz n’a pas été chiffrée en raison de « difficultés méthodologiques », nous dit le rapport sans donner de détails. Dix organismes ont déclaré ne pas être exposés, cinq ne pas être en mesure de fournir l’information.
Pour l’ACPR et l’AMF, l’exposition des assureurs baisse dans le secteur charbonnier à moins de 1 % de l’actif et stagne dans le pétrole et le gaz à 1,5 % après mise en transparence.
Le rapport donne des indications sur les instances de gouvernance des changements climatiques en soulignant que « la gouvernance des engagements n’est plus uniquement opérée par les directions du développement durable ou de la communication », mais plutôt par la direction RSE et les directions opérationnelles rendant compte à un comité ad hoc. La Direction Générale est informée de l’évolution des engagements. Les contrôles dans la gouvernance des engagements climatiques n’ont eu lieu que dans 40 % des organismes.
13. Intégration des préférences de durabilité dans l’évaluation prévue conformément à la Directive DDA – EIOPA – BoS 22/704 du 20 juillet 2022
Ce document est le feedback d’une consultation publique lancée en avril 2022 par l’EIOPA (BoS 22-246) qui avait pour objet de demander leur opinion aux assureurs sur un projet de lignes directrices concernant l’activité vie-investissement relatives à la protection des préférences de durabilité du consommateur conformément à la Directive sur la distribution de l’assurance (DDA, en anglais IDD).
Sept lignes directrices ont été définies par le régulateur qui a posé douze questions aux participants. Les lignes directrices privilégiées par l’EIOPA confirment la volonté du régulateur d’être en conformité avec la politique européenne sur la durabilité, les questions posées portaient sur :
– l’information du consommateur quant à l’évaluation de ses préférences de durabilité ;
– la collecte d’informations sur les préférences de durabilité du client ;
– l’évaluation périodique de ces préférences ;
– la collecte d’informations sur les dispositions de durabilité contenues dans les produits d’assurance basés sur l’investissement (IBIP) ;
– la recherche de produits IBIP coïncidant avec les préférences de durabilité exprimées ;
– la conformité avec les exigences réglementaires de rédaction et de conservation, par les assureurs et les intermédiaires, de l’avis justifiant le choix de tel ou tel produit adapté aux préférences de durabilité du client ;
– la compétence du personnel des entités d’assurance et des intermédiaires à évaluer les préférences des prospects.
Le feedback du marché a été assez rapide, un mois, 34 réponses reçues dont 15 provenant des associations professionnelles. Le feedback du marché a été assez rapide, un mois, 34 réponses reçues dont 15 émanent d’associations professionnelles et 8 d’organismes d’assurance. Deux ONG ont également envoyer des réponses. La répartition géographique a été assez diversifiée, 9 réponses d’Allemagne, 6 de France, 6 de Belgique, au total dans le panel neuf pays sont représentés. Les consultés ont donné leur opinion sur chacune des questions posées et l’EIOPA a ensuite précisé la sienne point par point. Sans entrer dans le détail des questions et des réponses on peut relever les positions de l’EIOPA après qu’elle ait pris connaissance des réactions des participants :
Concernant l’approche choisie et le souhait d’un process plus simple et plus convivial exprimé par de nombreux participants, le régulateur a décidé de suspendre l’envoi de lignes directrices tout en adressant une orientation sur le sujet dès le mois d’août. Commentaire : cette suspension de régulation suite à consultation est une première qu’il faut saluer.
L’EIOPA est d’accord avec les remarques émises pour fournir dans l’orientation prévue un texte explicatif sur les préférences de durabilité.
Les préférences de durabilité selon la réglementation DDA doivent remplir les trois critères suivants :
– pour un produit IBIP donné le consommateur détermine la proportion minimale à placer dans des investissements durables répondant à la taxonomie européenne ;
– pour un produit IBIP donné le consommateur détermine la proportion minimale à placer dans des investissements durables selon la réglementation SFDR (Sustainable Finance Disclosure Regulation) ;
– pour un produit IBIP donné, le consommateur doit examiner les « Principal Adverse Impacts » de ses décisions d’investissement et plus particulièrement celles concernant la durabilité dans les domaines environnementaux, sociaux et de l’emploi ainsi que le respect des droits humains, doivent également être pris en compte les aspects LCB FT et de subornation. Cet examen s’appuiera sur des éléments qualitatifs ou quantitatifs.
L’EIOPA considère que c’est au client de fixer les proportions minimales d’investissement relevant des critères a) et b).
L’EIOPA ne sait pas comment déterminer la proportion minimale d’investissements alignés avec la taxonomie européenne. Elle considère dans le document d’orientation paru au mois d’août (BoS 22-391) que les intermédiaires ont à expliquer le calcul de deux indicateurs clés (KPI), l’un, le KPI1, pour le critère a) et l’autre, le KPI2., pour le critère b)
L’Autorité européenne, qui craint plus que tout l’influence de l’intermédiaire ou de l’assureur dans le choix d’investissement du consommateur, admet la possibilité pour les assureurs et intermédiaires d’aider le client à « identifier » de façon neutre les minima dans le cas où celui-ci ne parviendrait pas à les déterminer pour les critères a) et b).
Néanmoins, l’EIOPA autorise assureurs et intermédiaires à faire une recommandation de placement à un consommateur ayant exprimé ses préférences de durabilité sans pouvoir spécifier une préférence entre les critères a), b), c), recommandation devant être consignée dans un rapport dit d’adaptabilité.
Le cas de l’application des minima dans l’hypothèse d’un produit multi-options (MOP) a été envisagé. Le régulateur est un peu hésitant quant à la manière de procéder devant un contrat permettant des arbitrages et de diminuer en conséquence la proportion des minima pour telle ou telle option. Il semble que l’EIOPA estime que dans ce cas le calcul de proportion se fait sur l’ensemble de l’actif investi. Le calcul des indicateurs clés devrait faciliter les choses, en effet le KPI1 prend en compte la totalité des investissements y compris les obligations souveraines et le KPI2 exclut les obligations d’État. Le client ayant le choix de l’indicateur on peut penser qu’il optera pour le KPI2 donnant un résultat plus favorable pour atteindre les minima.
La ligne directrice n° 5, parue dans le document BoS 22-246, propose qu’une fois les préférences de durabilité évaluées un produit pourrait être choisi parmi ceux répondant aux préférences exprimées. Cette approche a été contestée par certains participants au motif qu’un risque d’adaptation des préférences existe qui permet de faire coïncider préférences et caractéristiques de certains produits. L’EIOPA est d’accord pour qu’assureur ou intermédiaire fassent connaître au client ou prospect les produits les plus proches des préférences exprimées.
La ligne directrice n° 7 concerne la qualification du personnel chargé d’évaluer les préférences de durabilité du consommateur (pour l’Autorité européenne clients ou prospects n’ont pas d’existence seuls comptent les consommateurs qui méritent une protection). L’EIOPA avait demandé aux participants quel devait être le niveau des employés en charge de cette évaluation. En outre les conséquences organisationnelles, le coût de développement informatique, les frais de personnel étaient demandés aux assureurs et intermédiaires participants ainsi qu’une estimation de la taille de l’organisation interne en résultant. La réponse des participants a consisté à estimer le coût des tâches en allant du coût d’acquisition des données au coût de développement informatique et aux coûts de formation. L’ensemble se traduit pour certains des participants par un surcoût d’acquisition pour le client de 25 %, pour un participant le surcoût représenterait entre 1 et 1,5 % de la valeur du contrat, pour une agence ou un bureau de courtage le surcoût est chiffré à 10 %. La connaissance de ces préférences valent-elles une telle augmentation des coûts qui ont toute chance de se traduire par une augmentation des frais demandés au client et alors qu’au même moment l’EIOPA mandate les Autorités de contrôle nationales de les encadrer.
13. Divers articles sur le risque de réputation des assureurs en matiere de finance durable – Argus des 19 octobre 2020 et 24 juin 2022
Argus du 19 octobre 2020. L’Argus reprend des travaux d’ONG (Insurance Scorecard 2022) qui soulignent que certains assureurs n’ont pas exclu d’assurer de nouveaux projets pétroliers et gaziers (au contraire d’Allianz, Munich Re et Swiss Re) et que 19 assureurs se seraient engagés dans une politique de retrait du pétrole et du gaz tandis que 20 (ré) assureurs ne couvriraient plus de nouvelles centrales et mines de charbon. Évidemment, les grands acteurs américains et chinois coréens se gardent bien de refuser de couvrir les nouveaux projets gaziers et pétroliers. L’article porte le blâme sur AXA et surtout sur SCOR dont la politique sectorielle parait trop favorable au gaz.
Le texte explique qu’il suffirait de prendre des engagements supplémentaires de non-couverture des infrastructures de transport de pétrole et de gaz pour améliorer le « classement » d’AXA et SCOR dans le tableau des soutiens de la transition énergétique.
En pleine crise énergétique européenne due aux « sanctions » contre la Russie, dont seule l’Europe des 27 subit le poids, on peut se demander si ces discours sont marqués au coin du simple bon sens.
Argus du 24 juin 2022. Une importante distinction est introduite par cet article entre la notion d’ESG (et la notation y afférente) et la notion d’ « impact ». Dans le premier cas, il s’agit de refléter la qualité de la gestion des risques ESG par l’entreprise, dans l’autre, il s’agit de l’incidence de l’activité de l’entreprise sur l’ensemble des parties prenantes. En pratique, il s’agit d’expliquer pourquoi Exxon Mobil a une notation ESG élevée (gestion de la santé, de l’éthique) alors que son activité économique est évidemment centrée sur la production d’énergie fossile.
Cela montre bien que la querelle ouverte par la taxonomie sur les « bons » et les « mauvais » industriels (donc investissements) n’en est qu’à ses débuts.
13. Lignes directrices d’application pour le contrôle de la prise en compte du changement climatique dans l’ORSA – EIOPA – BOS 22-239 du 2 août 2022
Ce document fait suite à l’opinion sur l’ORSA et le risque climatique de 2021. Il ne présente malheureusement que très peu d’intérêt.
1. Il convient de contrôler la réalité du risque ou d’expliquer son inexistence, donc de définir l’impact du changement climatique sur l’activité de l’entité et de mesurer l’exposition à la fréquence et à la gravité des événements extrêmes. Les risques à mesurer sont les risques juridiques (croissance des litiges, poursuites pour objectifs climatiques non atteints), et la distinction entre risques de transition (les risques sur investissements) et les risques physiques (les risques de souscription). L’EIOPA recommande une matrice de contrôle de la matérialité du risque qui associe probabilité/impact (ou gravité) et l’horizon temporel (la « période de retour » de l’événement).
2. Le Rapport contient des « exemples concrets » de scénarios avec deux « familles » de scénarios climatiques, avec réchauffement limité à 1,5 °C et un réchauffement climatique supérieur à 2 °C. L’essentiel pour l’EIOPA est évidemment de transformer les « scénarios » en risques liés à la transition et en risques physiques sur les portefeuilles d’actif et de passif. Pour le passif, c’est ce que pratiquent les réassureurs quote-part « par événement » sur les portefeuilles de leurs cédantes. Il n’y a, en réalité, pas de vrai problème à insérer des scénarios (à court horizon de temps) dans les ORSA.
13. Tableau de bord des insuffisances de garantie (protection gap) pour les catastrophes naturelles – EIOPA – BOS 22/507
La préoccupation légitime de l’EIOPA est de recenser les cas de sous-assurance des risques climatiques et leurs conséquences sur l’assurabilité de ces risques.
1. Le panorama est à peu près le suivant :
– Les tempêtes sont correctement assurées.
– La « submersion marine » est insuffisamment assurée au Pays-Bas et en Allemagne.
– Les feux de forêt sont mal (Portugal, Grèce) ou insuffisamment (Autriche, Croatie, Slovaquie, Chypre) assurés.
– Les inondations sont insuffisamment assurées aux Pays Bas, en Allemagne et en Croatie et, dans 5 autres pays, le protection gap devrait être suivi (Italie, Roumanie, Slovaquie, Bulgarie et Autriche).
– Les tremblements de terre ont un protection gap très élevé en Grèce et en Italie, assez élevé en Roumanie et Bulgarie, et le protection gap devrait être surveillé en Slovénie, Chypre, Croatie et Portugal.
2. Globalement, les pays où les assurés sont les moins bien protégés sont la Grèce et l’Italie.
Sur la période 1980-2021, c’est seulement le quart des pertes totales qui a été assuré et indemnisé, et les trois principaux gaps sont le tremblement de terre en Italie, l’inondation en Allemagne et celle en Italie qui constituent 45 % des pertes non assurées.
L’inondation est le péril le moins bien assuré, la tempête celui qui est le mieux couvert.
À noter que le système public/privé des catastrophes naturelles et l’obligation d’assurance des tempêtes mettent la France à peu près à l’abri de ces insuffisances de garanties.
13. Discussion Paper sur le traitement prudentiel du risque de durabilité – EIOPA –BOS 22-527 du 29 novembre 2022
Ce fort document (119 pages) permet enfin d’entrer dans le concret des difficultés prudentielles à venir du fait de la prise en compte, dans les normes Solvency II, du risque de transition (donc des investissements) et du risque de souscription (exposition des risques de dommages aux biens et de pertes d’exploitations), donc le « risque de prime » (tarification), le risque sur le calcul des provisions, et les risques de catastrophes naturelles.
1. Risques sur les actifs (risques de transition)
L’utilisation d’indices de marché, pour mesurer des différences de risques potentiels de transition pour les actions et les obligations, dits indices MSCI World Climate Change, MSCI World Climate Paris Aligned, and MSCI World Low Carbon Target Index, donnent des Value at Risk (sur la période 2013/2021) pour les actions ; divers autres indices MSCI sont cités par l’EIOPA pour les obligations. Ces indices mesurent soit l’écart de niveau de risque d’un secteur, soit celui de chacune des sociétés spécifiquement. Les autres systèmes de mesure, notamment la taxonomie de l’Union, les notations ESG, et scores environnementaux, la mesure des émissions de gaz à effet de serre, ou l’utilisation d’indices composites présentent divers inconvénients (non-rétrospectivité, pas de prise en compte des institutions financières qui n’ont pas de bilan carbone et occupent une place importante dans les portefeuilles d’investissements) rendent difficile l’approche par entreprise de la Value at Risk.
Il faut ensuite construire le portefeuille-type pour la formule standard avec trois ou deux portefeuilles (exposition forte, moyenne ou faible au risque de transition) pour les actions et obligations, avec le problème de définition des seuils. La question demeure de savoir s’il faut adopter une approche sectorielle ou par entreprise.
Pour le portefeuille d’actions, l’EIOPA suggère le choix du MSCI European index, de mesurer un risque statique (existant) des entreprises du portefeuille, et de chercher à isoler le risque de transition des autres risques subis par le portefeuille.
Pour les obligations, l’EIOPA suggère de maintenir l’approche initiale du CEIOPS pour Solvency II : un index européen d’obligations l’iBoxx € overall et l’iBoxx $ Overall indice sur les obligations privées (corporate), l’utilisation de données sur le spread sur une période de 12 mois (méthodologie Solvency II).
Pour l’immobilier, la question essentielle est l’efficacité énergétique des bâtiments et le risque d’immeubles « échoués » (stranded) car rendus impropres à la location par des réglementations nationales l’interdisant. L’idée est de pénaliser les propriétés dont le bilan carbone est mauvais en créant un lien entre l’efficacité énergétique et la valeur de marché de la construction.
L’EIOPA considère que ces « calibrations » du risque sur investissement doivent inclure une approche dynamique dans le temps (« forward looking »). Il s’agit donc de produire des facteurs de vulnérabilité des investissements à la transition écologique, en combinant l’approche proposée à des modèles de développement du changement climatique et à des modèles de transition vers une économie neutre en carbone. Les « chocs » seraient calculés en fonction de 3 scénarios de transition aujourd’hui étudiés (catastrophique par extrapolation de la situation actuelle, ou transition progressive et linéaire vers l’économie décarbonée, ou transition brutale et désordonnée en 2030). La perspective de ces travaux est, pour le moins, complexe.
2. Les risques de souscription
L’EIOPA estime avoir inclus en 2021, dans la calibration, les catastrophes naturelles, les effets du changement climatique et fait la liste des périls/pays concernés, et un discussion paper en mai 2022 a été envoyé sur l’exposition globale aux risques de changement climatique. Les mesures proposées sont l’augmentation des primes et les changements des clauses des contrats, la promotion des mesures de prévention et protection, et le développement de la souscription à « impact ». L’Autorité développe une distinction entre les mesures d’adaptation au risque et les mesures de réduction du risque, qui n’aboutit pas à de claires conclusions, sinon que les mesures d’adaptation au risque ont des effets importants sur le résultat technique, notamment à travers le niveau des primes. L’EIOPA souhaite utiliser, pour calibrer le « risque de prime », la méthode des Paramètres spécifiques d’entreprises (USP), prévue par la réglementation Solvency II, en évaluant l’écart type de deux situations de souscription avec et sans mesures d’adaptation.
3. Les risques liés aux objectifs sociaux (ESG)
L’EIOPA rappelle les nombreuses dispositions déjà existantes et l’existence d’un « Social Taxonomy Report » de la plateforme de finance durable.
Les risques sociaux sont présents des deux côtés du bilan, en particulier l’investissement et la souscription dans des activités réprouvées (les armes, l’alcool, le tabac etc.). Pour les assureurs, les risques sont liés aux impacts directs : perte de valeurs, accidents du travail, santé ; ils concernent aussi le risque de réputation, le risque opérationnel voire le risque de marché (les actifs « échoués »).
L’EIOPA considère que le traitement prudentiel ne concerne que les Piliers 2 et 3 de la Directive (et heureusement pas le bilan prudentiel). Il s’agit de la gouvernance, de la gestion de risque, de l’ORSA, de la définition de la rémunération des dirigeants, de la stratégie d’investissement et de l’application de la Personne prudente, donc de la limitation de l’exposition à certaines activités, de la « souscription à impacts », de l’activisme (stewardship) dans les AG d’actionnaires. En réalité, c’est l’ensemble de la Gouvernance qui joue un rôle majeur dans la conformité « sociétale » de l’assureur, notamment au regard du risque de réputation.
Ce document complexe de consultation doit recevoir des réponses le 5 mars 2023 de la part des parties prenantes. Elles sont d’autant plus importantes que l’EIOPA souhaite introduire ses propositions de « calibrage » des risques liés à la transition écologique et aux thèmes ESG dans la proposition finale de révision de la formule standard de Solvency II.
13. Intégrations des préférences « durables » du consommateur dans le questionnaire de suitability de la Directive sur la Distribution (DDA) – EIOPA – 20 juillet 2022 – Commentaires de presse (Argus 20 juillet et 2 août)
Depuis le 2 août 2022, les vendeurs de produits financiers (notamment les contrats d’assurance vie en Unités de compte) doivent recueillir les préférences des clients en matière de durabilité, dans le cadre des questionnaires de suitability et d’appropriateness rendus obligatoires par la DDA. C’est à cette occasion que vont se révéler les contradictions (ou au moins l’incompatibilité) entre les préoccupations de description des « impacts adverses sur l’environnement » (disclosure) et l’application de la taxonomie et son absence d’effet négatif significatif sur l’ensemble des objectifs environnementaux de l’Union (le Do Not Significantly Harm – DNSH).
Bien entendu, l’EIOPA ne répond pas à ces questions et l’ACPR « accompagne » les professionnels concernés dans la mise en œuvre de cette réglementation ambiguë. Les concepts de suitability et d’appropriateness restent confus et reposent sur une vision du « devoir de conseil » très hiérarchisée selon les produits. La notion de « vente avec conseil » correspond plus ou moins à la « recommandation personnalisée » du niveau 2 français. Quant à la confusion/contradiction Principal Adverse Impact (PAI) et Do Not Significantly Harm (DNSH), il suffit de relire la « clarification » des RTS émise par les Autorités européennes de contrôle le 2 juin 2022, pour constater que les régulateurs eux-mêmes sont en difficulté.
En attendant de nouvelles clarifications, les commerciaux doivent être très prudents dans ce recueil d’informations sur les préférences des clients en matière d’ESG, notamment parce qu’il conditionne le placement auprès des clients des contrats en UC article 8 ou article 9 du Règlement « disclosure ». Et la menace de contrôles sur le greenwashing (voir la présente chronique), qui pourrait résulter d’une « vente trompeuse » (misselling) d’un produit indûment qualifié de « vert », n’est pas pour rassurer.
13. Question de la Commission du 23 mai 2022 aux European Supervisory Authorities (ESAs) sur les risques de « verdissement » (greenwashing) et le contrôle de la finance durable – Enquête des ESAs – Novembre 2022
La Commission entame une campagne contre le « verdissement » abusif des politiques déclarées par les institutions financières en matière d’activités durables (contenu du nouveau rapport SFDR) et dans l’information aux clients sur les produits (notamment d’épargne). Il ne fait pas de doute qu’elle ouvre ainsi un nouveau secteur de contrôle qui pourrait être particulièrement tatillon après les résultats (en 2014) de l’enquête demandée aux ESAs.
Les questions portent sur la taille du marché des produits « verts », et donc sur la taille du « verdissement » potentiel. La Commission explique que le greenwashing peut intervenir lors de la vente des produits, dans la publicité de marque, ou en relation avec des États tiers, et dans la publication de textes sur la politique de durabilité de l’établissement. Les questions portent aussi sur les réclamations, l’absence (!) de réclamations, les risques généraux de greenwashing pour les marchés financiers, et leur description. Elle souhaite connaître les méthodes de contrôle du greenwashing : identification, gestion du problème, mesures pour prévenir ou supprimer ces pratiques, convergence de la supervision, contrôles mis en place sur le SFDR et la taxonomie, suffisance des mesures et moyens de contrôle existants et, naturellement, propositions d’améliorations du cadre réglementaire. Bref, il s’agit bien de développer un nouveau schéma de contrôle.
Les ESAs n’ont pas manqué de préparer un imposant questionnaire aux Autorités nationales de contrôle et envisagent un rapport final pour mai 2024.
Elles définissent le greenwashing à deux niveaux : la publication de textes sur la contribution à la finance durable au niveau de l’entité, et les produits commercialisés. Elles considèrent quatre axes de développement :
– le rôle de l’acteur financier : « déclencheur », « développeur » ou receveur du greenwashing ;
– les modalités : publication sur la gouvernance et la rémunération liée à la durabilité, publication sur la stratégie, publicité des objectifs et résultats ;
– les caractéristiques trompeuses dont il est fait état dans les publications (publications sélectives d’informations et omissions) ;
– les réseaux de diffusion et les diverses étapes de la vie des produits où ces informations trompeuses sont diffusées (ratings, benchmark, labels).
Le questionnaire développe une partie commune aux trois activités Banque/Assurance/Marché sur la nature et les modalités du greenwashing, les réseaux de communication du greenwashing, l’étape du cycle de vie du produit où est créé le greenwashing (PRIIPs, produits vie, non-vie, fonds de pension), les pratiques : vente trompeuse, mauvaise classification du produit, mauvaise dénomination ou labellisation, tromperie du marché.
L’EIOPA a développé sa propre partie du questionnaire qui porte sur les risques exposés (réputation, contentieux, solvabilité ?), sur l’existence d’une gouvernance spécifique au greenwashing (!), sur les outils internes de surveillance et sur la détention d’actions sans utilisation des droits de vote (qui pourrait être constitutive de greenwashing).
Le pire est à craindre de cette investigation invasive, qui répond à une forte sollicitation des mouvements écologistes.
13. Premier Rapport conjoint sur des Autorités de contrôle européennes sur l’amplitude des déclarations volontaires sur les principaux impacts négatifs (Principal Adverse Impact ou PAI) dans le SFDR – ESAs – 28 juillet 2022 – JC – 2022.35
C’est un rapport sur le contenu des rapports sur la finance durable (SFDR) que doivent souscrire les entités financières au titre du Règlement disclosure de 2019. Faute de pouvoir clairement définir les principal adverse impacts (PAI) (dont on sait qu’ils sont plus ou moins « cousins » des Do Not Significantly Harm – DNSH – de la taxonomie), les ESAs se contentent d’observer comment les entreprises financières se tirent de l’exercice de publication sur le web, depuis mars 2021 des PAI de leurs investissements et depuis le premier juillet 2022 de la publication de leurs due diligence pour réduire les dits principal adverse impacts.
Les ESAs relèvent donc des pratiques diverses :
– le full PAI statement : traitant des indicateurs de durabilité des investissements effectués, donnant des données précises et une méthodologie, des précisions sur l’activité de stewardship (participation aux votes des Assemblées générales) ;
– des descriptions des process d’appréciation des PAI ;
– des affirmations de principe, sans détail sur les PAI ;
– des affirmations générales sur la « conformité avec l’accord de Paris » (COP21 : réchauffement limité à 1,5 °C) ;
– des objectifs de décarbonation de l’investissement.
D’une façon générale, les ESAs sont clairement déçues du peu de précision de ces publications. D’autant plus qu’elles rappellent qu’au titre de la taxonomie, ces déclarations deviennent obligatoires au premier janvier 2023, ce qui promet une jolie pagaille.
Les ESAs font quelques recommandations aux Autorités nationales de contrôle : identifier les acteurs financiers qui ne publient pas de déclaration sur les PAI, leur expédier des questionnaires réguliers, procéder à des inspections sur dossier et « donner des instructions précises ».
En pratique, les entités ne savent que faire pour connaître et mesurer ces fameux « impacts négatifs », et les Autorités de contrôle ne sont pas plus à l’aise. La confusion est grande entre les PAI, les mesures de réduction des PAI (que pourraient être le stewardhip) et le respect des objectifs de l’Accord de Paris, sans oublier la taxonomie, ses « indicateurs techniques » et l’absence d’impact significatif (DNSH) de chaque investissement sur d’autres objectifs environnementaux que le changement climatique.
La situation reste durablement confuse.
13. Directive sur le Corporate Sustainability Reporting (Reporting non financier sur la durabilité – CSRD)
Il s’agit du Rapport sur la durabilité de leur activité (CSRD) que doivent publier toutes les entreprises (et pas seulement les financières : pour elles, c’est le SFDR, organisé par ailleurs !). Toutes les entreprises de l’Union européenne y sont soumises, soit 50 000 entreprises, auxquelles il faut ajouter les entités qui produisent un chiffre d’affaires de 150 millions d’euros dans l’Union et ont leur siège dans un pays tiers.
La complexité du processus législatif européen a introduit une confusion cacophonique dans le calendrier de mise en place de cette Directive. Elle a été adoptée le 28 novembre 2022, mais sa publication semble retardée. Elle fixe elle-même un calendrier de mise en œuvre des obligations déclaratives des entreprises :
– au 1er janvier 2024, pour 1re publication en 2025, pour les entreprises actuellement soumises à l’ancienne Directive dite Non Financial Reporting Directive (NFRD) ;
– au 1er janvier 2025 pour publication en 2026, pour les 50(000 entreprises visées par la CSRD, qui se substitue à la NFRD ;
– au 1er janvier 2026 pour publication en 2027, pour les PME cotées en Bourse.
Le rapport défini par la CSRD est annuel. Il décrit comment l’entreprise intègre les critères ESG et les impacts de l’entreprise sur la durabilité, les politiques durables qu’elle mène et les procédures de due diligence qu’elle conduit à cet égard, les activités qui sont susceptibles d’avoir des incidences négatives (Principal Adverse Impacts ou PAI), les indicateurs clés de performance non financière dans le domaine des activités durables.
L’EFRAG (normes comptables) est missionnée pour établir les normes européennes de reporting de durabilité (European Sustainability Reporting Standards).
Les Rapports CSRD seront obligatoirement soumis à un audit extérieur, comme c’était déjà le cas en France pour les entreprises soumises au NFRD. Cet audit peut être effectué au choix de l’entreprise par le Commissaire aux Comptes ou par un autre auditeur indépendant. L’AG peut requérir un tiers auditeur (si l’actionnaire demandeur dispose de plus de 5 % du capital) et les représentants du personnel doivent être consultés sur le Rapport CSRD.
Sont soumises à rédaction du CSRD :
– les « entités d’intérêt public » (dont les institutions de crédit et les assureurs, donc CSRD + SFDR !) ;
– les « grandes entreprises » définies par 2 des 3 critères : 250 salariés/40 millions de chiffre d’affaires et total de bilan de 200 millions d’Euros ;
– les PME cotées ;
– les entreprises non européennes ayant une filiale ou une succursale dans l’Union produisant au moins 150 millions d’euros dans l’Union ;
– les filiales dont la maison mère publie un rapport de durabilité sont dispensées de publier un Rapport de durabilité à leur niveau.
La Presse se fait l’écho de la situation confuse que crée le retard du CSRD, à l’extrême fin de 2022, suivi des 18 mois nécessaires pour la transposition des dispositions dans le droit national. Le CSDR des entreprises est nécessaire pour calculer les célèbres PAI dans le SFDR des entités financières et, surtout, pour fournir l’information « durabilité » des investissements en unités de comptes dans les produits « article 8 » et « article 9 ». Il faut donc travailler, dit l’EIOPA, sur ces sujets « avec responsabilité », en l’absence d’informations.
Globalement, ces questions de calendrier créent une confusion totale. Ainsi, la CSDR impose-t-elle aussi un reporting non financier et un bilan carbone en 2025, sur l’exercice 2024, alors que la SFDR demande une conformité des investissements en juillet 2022, et que la taxonomie verte est inachevée.
Il serait bon que l’Autorité nationale française mette un peu d’ordre dans ce capharnaüm, en donnant des instructions claires aux entreprises financières et non financières, au moins pour la période qui nous sépare du plein exercice des dispositions vers 2025/2026.
13. Règlement délégué 2022/1214 du 9 mars 2022 (publié le 15/7/2022), modifiant le Règlement délégué 2021/2139 et le Règlement délégué 2021/2178 (Taxonomie)
Il s’agit du règlement très attendu sur les « critères d’examen technique » prévus pour la taxonomie, en ce qui concerne les activités économiques exercées dans certains secteurs de l’énergie et les informations à publier spécifiquement pour ces activités économiques. Concrètement, il s’agit du traitement dans la taxonomie des investissements dans le gaz fossile et dans l’énergie nucléaire.
Le Règlement, de rédaction particulièrement confuse, compte tenu de la difficulté politique du sujet, explique que le sujet tenait à l’octroi de la qualité « d’énergie de transition » donnée (ou non) au gaz d’origine fossile et au respect (ou non) du principe « Do Not Significantly Harm » (DNSH) de l’activité de production nucléaire, dont les déchets ont un cycle de vie long.
Dans ce cadre, le Règlement estime que les deux sources d’énergie permettent de contribuer à la « décarbonation » de l’économie de l’Union. Le gaz permet d’éliminer l’usage du charbon. Mais l’énergie nucléaire n’est pas une énergie renouvelable, même si elle permet un résultat proche de zéro émission de gaz à effet de serre.
Le sujet DNSH est très largement développé pour l’énergie nucléaire. Les « critères d’examen technique » doivent prévoir le respect des normes de sécurité et de sûreté (référence aux normes Euratom) et des protections contre les risques extrêmes d’origine humaine (Tchernobyl) ou naturelle (Fukushima).
Il est fait allusion à des « combustibles résistants aux accidents », à l’encouragement à la construction de « réacteurs de génération IV » (EPR), et à la nécessité d’examens techniques à prévoir pour la prolongation de vie des installations existantes. Quant aux déchets, le règlement impose la création d’un « fonds de gestion des déchets radioactifs » et d’un « fonds de déclassement nucléaire », exclut l’élimination des déchets par l’exportation dans les pays tiers et encourage le stockage en zone géologique profonde. Ces conditions respectées permettraient de considérer qu’il n’y a pas d’effets néfastes importants sur l’environnement (DNSH).
Bien entendu, tout cela suppose des vérifications par des tiers indépendants, notamment pour le gaz fossile et des réexamens réguliers compte tenu de l’évolution de la technologie.
Sous ces conditions, le règlement s’applique au 1er janvier 2023.
L’article 8 du règlement disclosure est également modifié, s’agissant du « CSRD » applicable à toutes les grandes entreprises de l’Union européenne (50 000), qui devront publier : 1) les activités « alignées sur la taxonomie » ; 2) les activités éligibles à la taxonomie, mais non alignées sur celle-ci ; 3) les activités liées à l’énergie nucléaire, considérées comme « non éligibles à la taxonomie », de même que les activités liées au gaz fossile « non éligibles » à la taxonomie. Il faut bien sauver la face.
Dans les Annexes, on note une longue description des investissements nucléaire et gaziers admis, bien que non éligibles à la taxonomie : les projets de stockage des déchets (qui doivent être opérationnels d’ici 2050, dit le Règlement), les phases préalables « précommerciales » des technologies nucléaires (la recherche, sans doute), la construction des centrales, la production dans les installations existantes, la production à partir de « combustibles fossiles gazeux » (donc gaz de schiste ?), la cogénération pour des systèmes de chauffage urbain, la production nucléaire pour la production d’électricité, de chaleur, « y compris la production d’hydrogène ».
On voit que la Commission s’engage dans une « police des investissements » dont l’application sera délicate. En tout état de cause, cette réglementation a perdu de vue son objectif de régulation des investissements ; il s’agit d’une nouvelle stratégie énergétique européenne et non des investissements du secteur financier.
13. Les projets de Standard technique de réglementation (RTS) sur l’exposition aux investissements dans le gaz et le nucléaire dans les documents précontractuels, les rapports périodiques et les sites web – JC 2022-42 du 30 septembre 2022
Il s’agit de traduire le « Règlement délégué gaz et nucléaire » (voir ci-dessus) dans les informations précontractuelles et périodiques données aux clients de l’investisseur institutionnel, qui ont souscrit des contrats UC, soit « article 8 » (du Règlement « disclosure ») qui « promeuvent » des investissements durables, soit « article 9 » (du même règlement) qui ont un objectif exclusif de développement durable.
Dans un luxe improbable de détails dans la configuration des documents d’information (48 pages !), les Autorités imposent au vendeur du produit d’épargne et à peu près dans les mêmes termes pour les deux types de produits :
– la publication des investissements dans le gaz et le nucléaire (montant et proportion par rapport aux activités alignées sur la taxonomie) dans le précontractuel et les informations récurrentes ;
– avec une précision sur la conformité de ces investissements avec la taxonomie : « contribution à la limitation du changement climatique et n’a pas d’effets néfastes importants sur d’autres objectifs environnementaux » (DNSH) ;
– pour les activités gazières : contribue à la limitation des émissions et engagement de convertir l’activité vers les énergies renouvelables ou les sources d’énergie bas carbone avant la fin de 2035 ;
– pour les activités nucléaires : adoption des règles de sécurité et de gestion des déchets ;
– donner des informations sur la part des investissements dans des activités transitionnelles et dans les activités qui favorisent (enabling) la transition écologique.
Au moins, les formulations sont-elles à peu près claires, si le contenu n’en demeure pas moins difficile à élaborer.
International, Brexit
14. Articles divers sur les décisions du Gouvernement britannique sur la solvabilité des assureurs – 22 novembre 2022
Le Chancelier de l’Echiquier a affirmé qu’il s’agissait de « faire, du Royaume-Uni, le centre financier le plus innovant et le plus compétitif du monde ». Il a annoncé son intention de réduire la marge pour risque de 65 % pour les assureurs vie et de 30 % pour les assureurs non-vie.
La marge de risque est calculée en fonction du coût du capital fixé à 6 % par la Directive et le Règlement délégué.
L’effet sur le SCR (en formule standard et, a fortiori, dans les modèles internes) pourrait donc être très important – de 2 à 4 points de pourcentage de fonds propres en moins à constituer par les entités britanniques.
C’est donc un facteur de promotion des investissements des assureurs, notamment vie au Royaume-Uni.
En revanche, le Gouvernement n’a pas suivi l’Autorité prudentielle nationale (la PRA) qui souhaitait réduire l’ajustement égalisateur sur le taux d’intérêt sans risque (matching adjustment).
Il est possible que cette réduction de la marge de risque lance une concurrence prudentielle entre les entreprises britanniques et européennes sur la rentabilité des produits d’assurance vie.
Bilans et rapports annuels (Europe et France)
16. Rapport au ministre de l’Economie et des Finances sur le régime d’indemnisation des catastrophes naturelles – CCR – Publication : décembre 2022
La Caisse Centrale de Réassurance (CCR) procède tout d’abord à un rappel sur le fonctionnement du régime d’indemnisation des catastrophes naturelles (CAT NAT) : cession à la CCR par l’assureur du risque en quote-part à 50 %, la partie restant à la charge de l’assureur est plafonnée, au-delà du plafond un traité stop-loss contracté avec la CCR intervient. L’État garantit la CCR quand sa sinistralité annuelle dépasse 90 % des réserves. Cette garantie est payée par la Caisse depuis 2017 moyennant cession de 10,8 % des primes collectées ce qui représente 100 millions par an. Reste à charge des assurés la franchise souscrite, les assureurs et les réassureurs supportent la part du sinistre CAT NAT située entre la franchise et le seuil de déclenchement du traité.
La Caisse signale l’amélioration du service aux sinistrés imputable à la réforme de 2021 tout en constatant que l’indemnisation des désordres dus à la subsidence (retrait/gonflement des argiles) reste difficile. Depuis 1989 le régime CAT NAT couvre les désordres aux bâtiments causés par ces mouvements de terrain, cependant le sinistre ne relève du régime qu’à partir du moment où la Commune est déclarée en état de catastrophe naturelle ce qui suppose un épisode de sécheresse anormale. De 2016 à 2020 la sinistralité a été chaque année le double de sa moyenne de long terme (50 000 sinistres pour un coût moyen de 1,1 milliard d’euros), les zones les plus touchées depuis 2016 le Sud-Ouest et le Nord-Est. Depuis la loi du 28 décembre 1921 les sinistres de subsidence sont totalement pris en charge, la France se distingue des autres pays relevant de Solvency II où ce risque n’est pas couvert.
La CCR prévoit une hausse de la sinistralité de 50 % d’ici 2050 (avec le scénario ssP5-8,5 du GIEC) ce qui se traduirait par une augmentation de la sinistralité annuelle de 650 millions d’euros, faisant passer de 1 300 à 1 960 millions d’euros le coût annuel des sinistres malgré la réforme du régime des CAT NAT. La sinistralité extrême avec cette hypothèse passerait de 4,5 à 6,5 milliards avec un raccourcissement de la période de retour de 40 ans à 10 ans.
Commentaire : le scénario choisi est le plus pessimiste de ceux étudiés par le GIEC car il prévoit un réchauffement en 2100 dû aux activités humaines de 8,5 Watt/m² sachant qu’il est actuellement de 2,2 Watt/m².
Afin d’éviter d’avoir à faire jouer la garantie de l’État, la CCR propose au Ministre deux types de mesure :
– création ou renforcement d’ouvrages hydrauliques de protection contre les inondations et les submersions marines via la dotation annuelle de l’État de 96 millions d’euros au Fonds de prévention des risques naturels majeurs (FPRNM) ;
– application des dispositions de la loi ELAN concernant la construction de maisons en zone argileuse.
Au total la Caisse chiffre à 230 millions d’euros la réduction de la sinistralité annuelle en 2050 résultant de l’application de ces mesures. Si ces hypothèses se révèlent exactes la hausse attendue de la sinistralité annuelle en 2050 se réduirait à 32 %.
La Caisse consacre un chapitre à l’équilibre financier du régime. Elle rappelle que la pérennité est assurée si le montant des primes couvrent la sinistralité standard augmentée du coût de la garantie de l’État et de la dotation à la provision pour égalisation, actuellement de 1 500 millions d’euros . En 2050 sur la base des hypothèses GIEC rappelées plus haut le montant atteindrait 3 500 millions d’euros alors que les simulations actuelles ne prévoient pas plus de 2000 millions d’euros. Cela entraînerait une exposition des finances publiques plus importantes et surtout une période d’intervention probable de l’État plus courte passant de 35 à 10 ans. Cette conclusion est fortement dépendante du scénario GIEC choisi, scénario le plus pessimiste mais le moins probable.
La CCR estime aujourd’hui à 420 millions d’euros le déficit de financement du régime CAT NAT en 2050 sans prise en compte de la réforme du régime ni de l’évolution de la subsidence, elle propose un renforcement de la prévention en :
– augmentant la dotation annuelle au FPRNM ;
– s’assurant que les collectivités augmentent dans les mêmes proportions que l’État les cofinancements des opérations fin ancées par le FPRNM ;
– renforçant la lisibilité des dispositifs dont l’objectif est la réduction de la vulnérabilité des bâtiments existants.
Les deux premières mesures demandent des financements publics à un moment peu faste pour les finances de l’État et critique pour celles des collectivités locales.
Le rapport se termine par un appel au recentrage des critères de reconnaissance des évènements qualifiés en catastrophe naturelle. Pour l’instant les critères en vigueur pour les inondations et la sécheresse sont fondés sur un retour de l’aléa de 10 ans pour les inondations et de 25 années pou la sécheresse, la CCR souhaite une révision de ces critères. À l’appui de sa demande elle a estimé qu’avec un seuil décennal de 10 ans à la fois pour les inondations et pour les sécheresses la hausse de la sinistralité moyenne annuelle en 2050 serait limitée à 22 % à hypothèses constantes sur le dérèglement climatique.
16. ACPR. Conférence annuelle du 2 décembre 2022 – Quelques faits marquants
1. Discours de François Villeroy de Galhau
La conjoncture est marquée par 3 paramètres : le retour de l’inflation est mauvais pour l’économie, mais la hausse des taux est une bonne nouvelle pour le secteur financier ; la volatilité qui est de retour sur tous les marchés (la crise brutale de la dette britannique en Novembre) impose de protéger les consommateurs, notamment en ce qui concerne les frais de l’assurance vie ; enfin, le ralentissement économique est probable. Néanmoins, la situation de solvabilité des banques et assurances est solide.
Restent plusieurs risques pour le système financier : les autres intermédiaires financiers (non-banques/non-assurances) ; le risque de résilience opérationnelle face aux menaces cyber, avec la surveillance des fonctions critiques sous-traitées dans les pays tiers qu’organise le règlement DORA ; les marchés immobiliers et les cryptos avec le krach de la plate-forme FTX.
Le Gouverneur de la Banque de France a enfin confirmé qu’il n’était pas question de relâcher les efforts du secteur financier en faveur de la transition climatique, et a salué la perspective du stress-test majeur de 2024, évaluant les risques liés au « paquet fit for 55 » de la Commission.
2. Discours de Jean-Paul Faugère
Le sujet des frais en assurance vie : le vice-président rappelle les pressions qui s’exercent sur le sujet, souhaite un accord de place mais considère qu’il ne faut pas exclure de recourir à la « recommandation » (c’est-à-dire à la réglementation).
Le sujet de l’application de la DDA pose toujours les questions de la politique de gouvernance des produits (POG), des conflits d’intérêts et, surtout, le contentieux récurrent sur la rémunération de l’intermédiaire lorsqu’elle introduit des biais dans la commercialisation en influant sur les choix du consommateur. Sur ce dernier point, Jean-Paul Faugère promet une recommandation de l’ACPR pour la mi-2023, qui sera bienvenue.
Le vice-président note l’émergence du sujet des préférences ESG des clients et les difficultés du recueil de ces préférences pour les intermédiaires ainsi que l’émergence d’une nouvelle bataille lancée par l’EIOPA sur l’assurance emprunteur.
3. DORA (voir aussi la présente chronique)
L’ACPR traite des points majeurs : reporting obligatoire des incidents pour toutes les entités financières, tests obligatoires, mise en place de tests d’intrusion « fondés sur la menace », système de surveillance des « prestataires critiques » sous-traitants de fonctions elles-mêmes importantes ou critiques (le contrôle européen des prestataires du cloud). L’ACPR affirme son rôle actuel et à venir sur la surveillance du « risque opérationnel » et l’appui à la « résilience opérationnelle » du secteur financier.
4. La Directive sur la Distribution
L’ACPR donne ses « points d’attention » : la notion « d’adaptation significative » des produits, la granularité des marchés cibles, la solidité des tests produits, l’amélioration de la gestion des conflits d’intérêts et le suivi qualitatif des réclamations. L’Autorité insiste également sur le suivi de la qualité de la vente des réseaux de distribution par l’assureur.
5. L’exposition des acteurs financiers au risque climatique
Les Autorités rappellent les instructions de février 2022 sur la gouvernance des risques de changement climatique dans l’assurance et, en août 2022, la révision de Solvency II et la notion de « durabilité » intégrée dans le Pilier 2 (cf. la présente chronique), ainsi que le rapport commun ACPR/AMF sur le « suivi des engagements » des banques et des assureurs. Elle annonce le stress-test de la Commission sur les risques de transition liés au « paquet fit for 55 » (baisse de 55 % des émissions en 2030) adopté en juin 2022. Le stress-test sera effectué en 2024.
6. LCB/FT
L’essentiel de la communication a porté sur le « gel des avoirs » et la désignation de la Direction Générale du Trésor comme Autorité nationale compétente dans ce domaine. L’ACPR a, par ailleurs, détaillé les mesures prises dans le cadre des 8 « paquets » de sanctions contre la Russie depuis février 2022.
16. ACPR. Situation des assureurs soumis à Solvency II en France au 1er semestre 2022.
Nous reproduisons ici quelques chiffres clés.
Taux de couverture moyen du requirement de solvabilité par :
– les fonds propres : 263 %
– organismes vie : 259 %
– organismes non-vie : 273 %
Placements en cours : 2 662 milliards dont :
– 23 % en obligations souveraines
– 25 % en obligations du secteur financier
– 11 % en obligations du secteur non financier
Primes
– Vie : +0,5 % (sur le 1er semestre 2021)
– Non-vie : +5,8 % (sur le 1er semestre 2021)
Collecte nette vie par rapport au 1er semestre 2021 :
+ 10,5 milliards (dont 22,1 pour les supports en UC)
Ratio combiné net non-vie (hors santé) : 99,1 %
16. Les activités de contrôle en 2021 – EIOPA – BOS – 22.114 – 19 mai 2022
Nous reprenons simplement les têtes de chapitres, car la plupart des travaux ont fait l’objet de commentaires dans les chroniques précédentes.
Les questions générales recouvrent les travaux sur la « proportionnalité » et en particulier l’organisation des fonctions-clés dans les petites entités « non complexes » ; sur les modèles internes et, en particulier, les indicateurs de justification dans le temps (on going appropriateness indicators) des modèles internes, et la publication fin 2023 d’un tableau de bord des modèles internes (sans doute à examiner de près lors de sa publication) ; le « risque de mauvaise conduite », en particulier sur l’assurance voyage, l’assurance emprunteur (voir la présente chronique), les contrats catastrophes naturelles, la méthodologie des indicateurs de risques de particuliers (retail), le cadre d’appréciation du conduct risk, les questions transfrontalières, et le faible rapport coût/efficacité (value for money) pour les Unités de comptes (cf. chroniques précédentes). L’EIOPA annonce la prochaine publication de son manuel de Contrôle sur le Products Oversight and Governance (POG). Elle rappelle ses travaux sur l’introduction du changement climatique dans l’ORSA. Elle poursuit son effort de contrôle des Groupes : gestion des fonds propres des conglomérats, transactions intragroupe, cumul/concentration des risques au sein des Groupes, et méthodes comptables pour le calcul de la solvabilité des Groupes. Enfin, l’EIOPA annonce un projet de collecte exhaustive de données sur les célèbres Key Information Documents (KID) des contrats en unités de compte (PRIIPs).
En ce qui concerne les « risques pour le marché intérieur », l’EIOPA a émis des lignes directrices sur le calcul des provisions best estimates et les frontières des contrats. Elle essaie de s’immiscer dans le Contrôle des Groupes et des modèles internes : les risques de souscription pour les principaux produits « Non vie », les risques de marché et de crédit, le bénéfice de diversification tiré du modèle interne. Elle rappelle les travaux communs (voir la présente chronique) sur les Contrôles de l’honorabilité et la compétence des membres de l’organe de Direction (AMSB).
Plus curieusement, elle annonce des travaux à venir (en 2022) sur la réassurance des entités de l’Union européenne par des réassureurs de pays tiers.
L’EIOPA annonce aussi ses travaux sur la sécurité cyber des assureurs, dans la logique du règlement DORA (voir présente chronique), et traite de diverses initiatives sur les Digital Ethics (l’intelligence artificielle) et la participation à l’European Forum of Innovation Facilitators ; c’est le retour des « bacs à sable » ( !) prudentiels, dont il a été naguère beaucoup question.
Plus originales sont les initiatives de l’EIOPA sur l’open assurance (chronique 24), la blockchain et les smart contracts (idem), les travaux sur les sociétés de run-off (un Supervisory statement), les acquisitions (mal considérées) d’assureurs par des sociétés de Private Equity, les travaux sur la souscription du risque cyber et les « couvertures silencieuses » (chronique 25), les créations de « coquilles vides » et la sous-traitance (chronique 25).
Enfin, l’EIOPA fait le point sur les « équivalences » de contrôle (prévues par Solvency II) en cours de discussion jusqu’à fin 2022 avec les Bermudes et la Suisse. Ce sont des questions majeures, compte tenu du rôle de ces deux pays dans l’assurance et la réassurance mondiales.
16. EIOPA – Programme de travail 2023-2026
On ne résumera que les têtes de chapitre de ce document pesant et très détaillé.
Les priorités à long terme de l’EIOPA sont clairement définies, mais évoluent peu depuis plusieurs années :
– l’assurance « durable » et notamment les insuffisances de couverture (protection gaps) en matière d’événements naturels ;
– la transformation digitale de l’assurance : limiter les risques et saisir les opportunités ;
– une supervision efficace, notamment pour soutenir l’activité transfrontalière ;
– une activité de proposition pour faire face aux besoins changeants et croissants dans la société et aux effets des réglementations horizontales (l’IAIS est citée) ;
– la stabilité financière ;
– être une Autorité modèle de l’Union européenne.
Si l’on excepte la contribution à la stabilité financière de l’Union, ces priorités paraissent globalement éloignées des objectifs de base de la régulation prudentielle.
Quant aux activités pour 2023, elles sont heureusement moins théoriques :
– intégrer l’ESG dans la logique prudentielle ;
– initier des stress-tests sur l’assurance face au changement climatique ;
– implanter le règlement DORA ;
– rendre « safe » and « secure » l’utilisation de l’Intelligence artificielle dans l’assurance ;
– contrôler les risques transfrontaliers au profit des consommateurs ;
– donner ses avis sur la révision de la Directive IORPS2 ;
– identifier et minorer les risques liés à la crise inflationniste et à une croissance faible ou négative.
Le pire est à craindre de la révision de la Directive IORPs que l’EIOPA veut transformer en Solvability II bis et sur l’application de DORA dont la complexité est déjà grande.
16. EIOPA – Rapport annuel 2021
Curieusement, le texte du Rapport ne recoupe pas parfaitement le texte du Rapport sur les activités de contrôle.
L’Autorité rappelle son rôle dans la rédaction des « standards de mise en œuvre » (ITS) sur le Greenwashing en application des règlements disclosure et taxonomie, plus ou moins passés inaperçus dans la marée réglementaire ESG.
Elle cite ses travaux sur le Key Information Document de la « saga » PRIIPs (contrats d’assurance vie en UC), à notre connaissance, toujours en chantier, avant la révision de la Directive PRIIPs en cours. Les préoccupations sur le rapport coût/efficacité (value for money) pour les Unités de compte restent fortes. C’est la question des « frais » sur les contrats qui mobilise le Gouvernement français. Elles rejoignent les travaux de compilation et de réglementation des frais et des performances passés des Fonds.
L’Autorité poursuit l’objectif de convergence des contrôles dans la construction de manuel de Contrôle (notamment sur le POG) et prétend avoir développé un cadre de contrôle du risque systémique européen (European systemic Risk Assessment Framework), que l’auteur n’a pu trouver. La publication du Single Rule Book sur la directive Distribution est également annoncée.
Dans la rubrique stress-test, l’EIOPA persiste à souligner l’importance du risque de « taux d’intérêt bas pour longtemps » et de la disparition nécessaire des « mesures transitoires » (taux et provisions) de Solvency II, ce qui, dans la période ouverte en 2022, est pour le moins baroque.
Parmi les préoccupations plus concrètes, on note les insuffisances de garantie en matière d’événements naturels (protection gaps), les analyses de l’assurabilité des pertes d’exploitation indirectes, et la conception d’indicateurs de performance (KPI) pour la réglementation taxonomie, ainsi que la conception de lignes directrices sur les Technologies de l’Information et de la Communication (TIC), dans la perspective de la mise en œuvre du Règlement DORA.
Tout cela ne manque pas de donner l’impression d’une activité désordonnée et « touche à tout » d’une Autorité dont la fonction principale devrait être le contrôle de la solvabilité des assureurs.
16. Rapport de stabilité financière pour 2021 – EIOPA – 22 juin 2022
Le panorama de la situation financière dressé par l’EIOPA n’est pas original.
Sur fond de « choc » économique et géopolitique, l’inflation a repris sur les approvisionnements (énergie et matières premières). La politique anti-inflationniste des banques centrales, fondée sur le redressement des taux d’intérêt met fin à la perspective du « low for long ». Le conflit ukrainien est désormais installé dans la durée et pèse sur la conjoncture mondiale. L’EIOPA ne traite cependant pas de la Chine, dont l’influence sur la situation économique mondiale est pourtant bien plus considérable que le conflit ukrainien.
Les conditions financières de l’activité d’assurance n’en sont pas moins très positives : solvabilité élevée, profitabilité, croissance de la collecte des produits en Unité de compte, faiblesse des taux de résiliation des contrats. L’assurance est donc « résiliente ». Mais elle doit faire face à des indemnisations croissantes liées à trois risques en développement : les risques climatiques (fréquents ou extrêmes), la Covid19 (les pertes d’exploitation) et les risques cyber. La guerre d’Ukraine est plus lointaine, mais les « sanctions » seront coûteuses (par exemple, le coût d’immobilisation des avions de ligne loués à la Russie et inutilisés désormais).
Dès lors, les questions d’avenir sont dans le droit fil des évènements de 2021. Les engagements en Russie sont faibles (0,1 à 0,2 % des actifs), mais les effets boomerang (second round effects) sur l’économie vont désormais peser : la récession et la stagflation liées aux prix des matières premières, l’exposition des assureurs, au titre de leurs investissements, aux banques elles-mêmes, assez fortement impliquées en Russie. L’exposition générale aux banques a baissé mais reste une préoccupation de rentabilité. Les risques climatiques et l’ESG, la « finance durable » sont des sujets cruciaux aussi bien à l’actif (retour possible aux investissements dans les énergies fossiles) qu’au passif (inclusion de scénarios de risques extrêmes dans les ORSA). Le risque cyber sera évidemment coûteux, mais crée des risques de souscription, donc d’exclusions et d’insuffisances de garanties. Le Règlement DORA permettra de centraliser et de gérer l’information sur les incidents « cyber ». Enfin, l’EIOPA s’inquiète (à juste titre) de la nécessité de surveiller et de gérer (monitoring) les nouveaux risques liés aux crypto-assets.
16. Tableau de bord des risques – EIOPA –
Octobre 2022
Le tableau de bord est présenté par l’EIOPA comme montrant la résistance du secteur de l’assurance malgré l’existence de risques élevés sur les marchés et au niveau macro-économique.
– Les risques macro-économiques sont évidemment considérables, notamment du fait de politiques monétaires restrictives anti-inflationnistes des Banques Centrales qui font craindre une récession mondiale. Mais cela concerne-t-il l’assurance ? C’est le sujet que devrait traiter l’EIOPA, plutôt que de multiplier les banalités sur le contexte économique.
– Le risque de crédit reste modéré : les spreads restent faibles sur les obligations publiques.
– Le risque de marché est modéré dans tous ses compartiments (actions, obligations, immobiliers) bien que la volatilité croisse.
– Pour l’activité d’assurance : la solvabilité est stable à niveau élevé (couverture SCR > 200 %), la liquidité est stable, les taux de résiliation (lapse rates) en faible hausse et le ratio « combiné » (technique) net en non-vie est à 97 %. La rentabilité est de 7 %.
– Le risque de « contagion » (interlinkage) est modeste (10 % de dette souveraine nationale, 12 % d’obligations bancaires), et les « dérivés » représentent 0,4 % des actifs.
– Le risque de souscription est stable à 65 % de ratio sinistre sur primes.
– Bien que l’assurance sous-performe en Bourse, les notations demeurent stables.
– Le risque lié aux contraintes environnementales, sociétales et de gouvernance (ESG), est à niveau moyen. Mais les assureurs investissent peu (3 %) dans les actifs « liés au climat ».
– Curieusement, l’EIOPA note une forte réduction du ratio de sinistre lié aux catastrophes naturelles (En Europe !).
– L’Autorité note une baisse de la fréquence des sinistres cyber au 2e trimestre (ce n’est pas significatif).
16. Rapport du Comité conjoint sur les risques
et les vulnérabilités du système financier de l’Union européenne – ESAs (EBA-ESMA-EIOPA)
Ce rapport ne fait pas preuve d’une grande originalité. Il répète que l’Union est menacée par la récession provoquée par la guerre d’Ukraine, qui met fin à la reprise qui avait suivi en 2021/début 2022 la crise économique liée au Covid et aux confinements. Non seulement le « rattrapage » est terminé, mais la crise menace. Loin de se féliciter de la hausse des taux d’intérêt qui profite au secteur financier, les ESAs soulignent les risques liés au surendettement des secteurs industriels (et des États). Quant à l’inflation, elle dépasse aujourd’hui très largement les objectifs (2 % annuel) des Banques centrales, et constitue le principal facteur de vulnérabilité des économies. Enfin, les ESAs soulignent les risques liés aux conséquences des sanctions contre la Russie et les vulnérabilités des nombreux secteurs touchés. Les risques opérationnels sont également facteur de vulnérabilité et l’on développe le thème traditionnel du risque cyber.
Les actions recommandées aux acteurs des marchés financiers sont peu originales. L’essentiel est de se préparer à la détérioration probable de la qualité des actifs, à la hausse des primes de risques et à la baisse de valeur des obligations en portefeuille, et donc d’ajuster les politiques d’investissement en conséquence. Pour l’inflation, les ESAs sont particulièrement attentives à la rentabilité nette des actifs, qui passe en territoire négatif, et sur les produits de retraite (pensions) directement affectés avec un effet de transmission rapide à l’économie réelle (pouvoir d’achat). De même, il faut se préparer à une plus forte volatilité des marchés actions (les valeurs technologiques !). Enfin, les ESAs soulignent combien il est important que les clients particuliers acquièrent une meilleure connaissance des risques liés aux crypto-actifs : ces risques sont aujourd’hui très peu perçus, et le krach récent d’une plateforme d’échanges est significatif des pertes potentielles des particuliers sur ces marchés. Les Autorités se sont pourtant, par le passé, montrées beaucoup moins négatives sur le développement des cryptomonnaies.
16. EIOPA (Mme Hielkema) à la conférence
de Standard & Poor’s sur l’assurance européenne (15 novembre 2022)
L’intérêt essentiel de ce texte est l’exposition claire de la situation des assureurs face à la reprise de l’inflation.
Les assureurs vie bénéficient de la hausse inattendue de l’inflation, qui réduit la valeur des engagements, et diminue les participations aux bénéfices des clients.
Les assureurs non-vie souffrent de l’augmentation nominale des sinistres, qui oblige à constituer des provisions supplémentaires (souvent plus rapidement que ne le permet le marché) pour la hausse des primes au renouvellement des contrats.
Quant à la hausse des taux, l’EIOPA constate qu’elle profite le plus aux assureurs – notamment assurance vie – dont l’écart de duration est le plus élevé entre la duration des actifs et celle des engagements. Pour le reste, le remplacement des actifs à taux bas par des actifs plus rentables prendra évidemment du temps.
L’inquiétude sur la solvabilité est développée à propos du risque d’appels de marge sur les dérivés de crédit qui ont produit une crise sur la dette publique obligataire britannique (crise dite du « mini-budget Truss »). Mme Hielkema pense qu’il n’est pas exclu que le même phénomène puisse se produire dans la zone euro, quoique moins probablement. Le marché de la dette publique en euro est vaste, la hausse des swaps sur l’une des dettes publiques de la zone pourrait avoir un effet plus modéré et l’utilisation des dérivés, pour arbitrer les risques de taux, est moindre par les assureurs continentaux qu’en Angleterre. La liquidité n’en demeure pas moins une question grave, ce qui conforte la position de l’EIOPA dans ses propositions de révision de Solvency II (les « outils macroprudentiels »).
Résolution
17. Examen de la proposition de directive sur
le rétablissement et la résolution – EIOPA –
Staff Paper 22/636 – 6 juillet 2022 – FAQ 22/939
du 20 novembre 2022
Ce document, sans grand intérêt, nous apprend que l’EIOPA approuve le projet de Directive sur la « résolution » dans l’assurance. Il s’agit en effet de faire échapper le secteur au droit commun de la faillite, de donner des avantages aux assurés sur les créanciers et, surtout, de créer des Autorités spécifiques (européenne et nationales) dans le domaine de la Résolution. Et, bien entendu, de se rapprocher de la situation bancaire.
L’EIOPA rappelle les justifications de cette démarche : les suites de la crise financière de 2008 (et les interventions des finances publiques) ; l’existence de « défauts » (failures) d’assureurs (encore que, à part la filiale d’assurance des emprunts bancaires d’AIG...) ; l’existence d’une procédure spécifique pour les banques ; et les recommandations de l’IAIS et du Financial Stability Board (les Key attributes et les Insurance Core Principles).
La Directive, selon l’EIOPA, insiste sur l’importance de l’approche préventive (preventive planning), et propose un cadre général pour les 27 pays européens (harmonisation – contribution à la stabilité financière). Les Autorités « spécialisées » permettent d’éviter le recours à des liquidateurs, donc se rapprochent des préoccupations « prudentielles ». Surtout, ces Autorités poursuivent des objectifs proches de ceux de l’EIOPA : protection des consommateurs, stabilité financière, continuation du fonctionnement des fonctions critiques (paiement des sinistres), et la « protection des fonds publics », thème régulièrement abordé par l’EIOPA qui craint le développement de subventions à des acteurs déficients. L’EIOPA poursuit un discours confus sur le calendrier de la résolution, qui doit être « nécessaire dans l’intérêt public », donc réalisé « à temps ». Enfin, l’Autorité recense les moyens d’action disponibles pour mettre en œuvre, dans chaque pays, la « résolution », se félicite de la flexibilité qui résulte de la diversité de ces moyens et salue la création de « collèges de résolution » qui vont assurer la coopération transfrontalière et... un rôle à l’EIOPA.
Les réponses aux questions (Frequently Asked Questions – FAQ) n’apportent pas d’éclairages très nouveaux. Quelques points intéressants :
– les mutuelles ne sont pas exclues du champ de la Résolution ;
– le « test d’intérêt public » fait par les Autorités a pour but de savoir si la faillite traditionnelle aurait le même impact (sur les créanciers, les actionnaires, les clients) que la résolution. Si tel est le cas, la faillite doit être préférée à la résolution ;
– le financement de la Résolution (par exemple les Fonds de garanties des assurés) est l’affaire des États membres. L’EIOPA prend acte du renoncement de la Commission à l’harmonisation des Fonds de Garanties d’assurés, mais continue d’affirmer que ces Fonds seraient nécessaires pour les bénéficiaires d’assurance.
17. Comparaison des procédures de « rétablissement » et de résolution dans la banque et l’assurance – EIOPA – Staff Paper 22/940 du 10 novembre 2022
Ce document compare les procédures de la Directive Banque BRRD et la proposition de Directive assurance IRRD. Nous reprendrons simplement la liste des différences.
Il n’existe pas encore de liste des entités qui doivent préparer un plan préventif de rétablissement dans l’assurance : l’EIOPA prépare des RTS pour fixer les critères.
Les banques doivent constituer un « coussin » de fonds propres de recapitalisation de précaution qui n’existe pas dans l’assurance et la BRRD prévoit des outils gouvernementaux de stabilisation.
Il existe un Single Resolution Fund financé par les contributions des banques, et l’assurance dispose de fonds de garantie des assurés susceptibles de financer la résolution dans l’assurance.
Le solvent run off est un outil de résolution qui est prévu dans l’assurance, et serait prévu dans la Banque.
Enfin, il n’existe pas de Central Resolution Board dans l’assurance (mais des Collèges de résolution), alors que le marché bancaire unique en prévoit la constitution. n
