SOLVENCY II
Les ESAs modifient régulièrement la grille d’équivalence entre les credit steps de Solvency II et les notations de toutes les agences. La dernière modification est intervenue le 16 novembre 2021.
Le texte ajuste la grille des credit quality steps pour quatre agences et modifie les credit rating scales pour sept autres. Trois agences quittent le classement après suppression de leur licence.
Rien n’est modifié pour les principales agences (Standard & Poor’s, Fitch, Moody’s et A.M. Best).
1. Une révision importante de la liste et de la composition des états trimestriels et annuels qui doivent être « remis » aux autorités nationales de contrôle est passée peu aperçue par les commentateurs, alors qu’elle date du 17 mars 2023 et qu’elle est applicable au 1er janvier 2024. Or, les modifications des états sont considérables et s’appliquent avant (et même bien avant) la fin du processus d’approbation de la révision de Solvency II pour laquelle l’accord « politique » aurait été conclu mi-décembre 2023 entre les institutions européennes.
L’ampleur de la réforme est clairement décrite par le gestionnaire BR-AG de XBRL : plus de 50 % des tableaux 2.7.0 ont été modifiés : 132 ont été ajoutés, 85 supprimés. Par ailleurs, la nomenclature 2.8.0 prévoit quatre fois plus de validations (« contrôles » des données) que 2.7.0.
L’Institut des actuaires (IA) souligne la diversité des changements sur de nombreux états, la « granularité » plus fine des données (en Français, un niveau de détail plus important), l’intégration d’éléments sur la « durabilité » (en ligne avec la révision de Solvency II), la convergence des reportings vers le modèle des conglomérats financiers (prédominance, enfin, des contrôles « Groupe » sur les contrôles « solos »).
Galéa rappelle que certains états sont supprimés : le rapport annuel sur la stabilité financière, le rapport sur les garanties illimitées, la synthèse globale des actifs, les informations sur les transactions sur dérivés et les informations sur les garanties de contrats à annuités variables (variable annuities). En passant, on peut s’interroger sur la suppression de ces informations importantes pour l’appréciation de la situation prudentielle de l’entité, alors que l’on renforce l’information sur la durabilité prise en compte dans l’ORSA.
Galéa développe le sujet de la multiplication des « contrôles de données » (ou « validations » dans le langage XBRL), afin de vérifier l’exhaustivité et de contrôler la qualité des données et la cohérence des calculs entre les états.
L’IA propose une liste des changements 2.8.0 par rapport à 2.7. 0 qu’il est intéressant de reproduire ci-dessous :
– sur les actifs, on note surtout la prise en compte des actifs liés à des investissements spécifiques – notamment les investissements à long terme en actions (LTEI), le QRT (Quantitative Reporting Template) sur les risques liés au changement climatique sur les investissements (le sujet des « actifs échoués »), la suppression du QRT sur les positions fermées sur produits dérivés ;
– sur les passifs, le QRT sur les provisions vie et santé (semblables aux provisions vie dans la nomenclature Solvency II) et le suivi des primes futures par branche (LOB). Le QRT sur les projections de flux futurs de trésorerie brut. Sur le QRT décrivant les engagements (liabilities), description des caractéristiques des contrats (rachat, commissions, fiscalité), enseignement du montant de primes émises par réseau de distribution (direct, établissement de crédit, autres) ;
– pour le périmètre « comptable » : production des états des Transactions Intra-Groupe (TIG) dans le format prévu par la Directive FICOD (conglomérats financiers) ; des QRT nouveaux (vision solo) sur les activités par pays, les transferts intra-groupes (vision solo), un QRT nouveau sur les affaires transfrontalières ;
– pour le périmètre « risques » (bilan prudentiel) : évolution des états Fonds propres et SCR (Solvency Capital Requirement) ; QRT sur l’exposition aux contreparties dans le format FICOD ; des QRT en vision groupe sur le risque de concentration (monnaie, secteur, pays, catégories d’actifs et notation) ; information sur les techniques d’atténuation du risque (réassurance ?).
2. Les deux instructions de l’ACPR d’octobre 2023 contiennent diverses mesures de suppression d’états, notamment : le contrôle de la participation aux bénéfices, l’état sur les taux minimums garantis (en vie) et l’état sur la provision pour les sinistres non encore manifestés (PSNEM). Cela dit, ils sont remplacés par des états FR 22.01 et suivants, FR 24.0 1 et FR 26.01. Il s’agit sans doute d’un changement de nomenclature. Sont également maintenus les états sur l’ensemble des activités Santé et ceux sur la responsabilité médicale (souscription et sinistres). Enfin, la seconde instruction maintient les déclarations (groupe et solos) à des fins de stabilité financière. On notera que la Communication de la Commission (taxonomie 2.8.0) fait état de la suppression du reporting annuel sur la stabilité financière, solo, groupe et succursales des pays-tiers.
La version finale de la révision de Solvency II en début d’année 2024 permettra de clarifier ce point, d’autant qu’il est peu probable que l’EIOPA renonce globalement à ces informations sur la stabilité financière, sujet que l’Autorité considère comme central dans ses objectifs de contrôle.
L’ACPR avait adopté, le 17 juillet 2023, l’instruction n° 2023-I-08 relative aux documents prudentiels annuels à communiquer par les organismes assujettis au contrôle de l’ACPR relevant du régime Solvabilité 2, suite à des besoins statistiques exprimés par la Direction de la recherche des études de l’évaluation et des statistiques (DREES), dépendant du ministère de la Santé et de la Prévention.
L’instruction n° 2023-I-13 du 12 octobre 2023 a remplacé cette instruction au motif que par erreur les modifications apportées par l’instruction n° 2023-I-02 du 13 avril 2023 n’avaient pas été prises en compte.
L’ACPR a adopté six notices publiées le 1er décembre 2023 pour les entreprises et groupes d’assurance soumis à la directive Solvabilité 2 :
– communication d’informations à l’Autorité de contrôle et à destination du public (Rapport sur la solvabilité et la situation financière, SFCR) et (Rapport régulier au contrôleur, RSR) ;
– exigences en matière de qualité des données ;
– note de couverture relative aux modalités d’application des dispositions réglementaires ;
– modalités de calcul des ratios prudentiels ;
– modalités relatives à l’utilisation d’un modèle interne ;
– exercice d’évaluation interne des risques et de la solvabilité (EIRS) et rapport éponyme au contrôleur (rapport EIRS).
Ces textes détaillent les attentes de l’ACPR en matière de reporting en opérant une mise à jour sur plusieurs points qui avaient été mentionnés lors de ses réunions annuelles avec les marchés.
Concernant le SFCR, la notice indique que les données à déclarer sont basées sur les données contenues dans les états financiers publiés par l’entreprise. Les données publiées sont comparées avec celles établies au titre de la précédente période de référence. Doivent également figurer les données brutes et nettes de réassurance de l’entreprise. L’ACPR insiste par ailleurs sur la qualité des données et apporte des précisions en matière de calcul des ratios de solvabilité, notamment sur les frais et les niveaux de frais qu’il convient de prendre en compte dans le calcul des provisions et sur la provision technique en assurance vie. Il s’agit là de deux points importants compte tenu des approches différentes des assureurs sur le sujet des frais et de l’utilisation de certaines techniques impactant favorablement le ratio de solvabilité.
L’EIOPA a participé à 39 collèges de supervision des Groupes sur les 64 Groupes ayant institué un collège de supervision. Le ratio de solvabilité moyen de ces groupes avait augmenté de 225,28 % en 2021 à 230, 70 % à la fin du dernier trimestre 2022. Malgré les discours, les effets de l’inflation et de la hausse des taux, et donc l’ensemble du contexte macroéconomique, ne semblent pas avoir pesé sur les groupes d’assurance, non plus que la guerre en Ukraine (malgré des scénarios worst case élaborés en début d’année).
Le nombre de groupes semble baisser du fait du Brexit, du départ ou des fusions de filiales implantées dans l’Union et malgré la présence accrue de groupes de pays tiers soit par création de filiale, soit par l’arrivée au capital de groupes de l’Union de nouveaux actionnaires venant de pays tiers. L’EIOPA souligne la baisse globale du nombre de filiales et une tendance dite de « branching out » qui semble signifier la transformation de filiales en succursales. Enfin, une tendance à l’implantation des sièges sociaux à l’extérieur de l’Union est détectée par l’EIOPA : recherche de localisations moins exigeantes en matière de régulation ?
L’inflation a eu peu d’impact, malgré l’inclusion de ses effets dans les ORSA, grâce à « l’indexation » des primes non-vie (il s’agit sans doute d’augmentation des tarifs) et grâce aussi à l’ajustement de l’ALM sur les évolutions des marchés.
Quant aux efforts en matière d’ESG, l’EIOPA note l’inclusion des scénarios de changement climatique dans les ORSA et la prise en compte du « risque physique » par les assureurs non-vie. Le « risque de transition », qui est un risque de rentabilité des actifs, est globalement considéré comme sans importance après étude des tests sur scénarios.
L’EIOPA poursuit sa campagne contre le modèle d’affaires des « bancassureurs » au nom de la protection du consommateur dans le cadre de l’assurance emprunteur (cf. ci-après) et au nom de la stabilité financière en dénonçant l’augmentation de l’interconnexion, donc de la transmission de crises du fait de la proximité banque-assurance au sein du même Groupe.
L’EIOPA note que 18 Groupes sont considérés comme « Internationally Active Insurance Groups » par le Financial Stability Board (FSB) (IAIGs, ex. Groupes systémiques). Ils sont donc éventuellement soumis aux International Capital Standards de l’IAIS. Elle note que certains groupes expérimentent une forte différence entre le SCR de Solvency II et le capital exigé par l’ICS, du fait du traitement différent des fonds propres et de la marge de sécurité.
Les groupes sont en ligne avec leur plan de mise en œuvre de la norme IFRS 17.
L’EIOPA s’étonne du développement de nouveaux traités de réassurance pour couvrir le risque de résiliations massives (en vie), de l’abus de la réassurance considérée comme non usuelle, de l’utilisation de la réassurance en provenance de pays tiers (probablement les Bermudes ?) et de la confiance excessive des assureurs dans la notation de certains réassureurs de pays tiers. L’EIOPA continue de considérer la réassurance en mauvaise part.
Enfin, l’EIOPA annonce ses points d’attention à venir : la résistance du modèle d’affaires aux contraintes macroéconomique, la durabilité et le changement climatique dans l’ORSA, les conglomérats financiers. Au-delà, l’Autorité suit les modèles internes, la « bancassurance » et les IAIG et les normes de capital internationales de l’IAIS.
Ce texte répond sans doute à des problèmes internes aux National Supervisory Authorities, il n’en est pas moins surprenant, car on ne savait pas cette indépendance menacée.
L’exorde rappelle que l’indépendance des ESAs est majeure pour assurer la stabilité financière, la confiance dans le système financier et la protection du consommateur. Elle doit aussi écarter les conflits d’intérêts afin d’éviter l’influence sur les décisions de l’Autorité du secteur contrôlé et du gouvernement. C’est probablement le sujet.
Le Comité conjoint établit quatre critères d’indépendance :
– l’indépendance opérationnelle : des objectifs clairs, l’absence d’instruction du gouvernement ou des lobbies des professions, pas de subordination (reporting) à d’autres autorités, des pouvoirs adéquats, l’autonomie dans la définition des règles techniques, une transparence publique, des ressources adéquates en personnel compétent, des règles de sous-traitance sans transfert de responsabilité, une protection judiciaire adéquate des membres de l’Autorité, et des modalités d’appel à l’encontre des décisions de contrôle, mais qui ne compromettent pas l’application des décisions ;
– l’indépendance personnelle : processus transparent de sélection des membres de l’Autorité, compétence, transparence de la sélection, pas de volatilité « politicienne » des membres (spoil system) absence de conflits d’intérêts avec la profession contrôlée, des standards « éthiques » et la déclaration des intérêts économiques des membres. Et deux recommandations très britanniques complètent les critères de sélection : un niveau élevé de connaissance de l’anglais et l’obligation d’un délai de viduité (gardening period) après la cessation des fonctions au sein de l’Autorité ;
– l’indépendance financière de l’Autorité : niveau suffisant des ressources stables et diversifiées. Rien n’est dit sur le fait que ces autorités sont financées par des contributions obligatoires des entités et groupes contrôlés (le plus souvent calculées sur leur chiffre d’affaires) et non par les finances publiques ;
– le quatrième principe est traditionnel : « transparence » et responsabilité ; Rapport annuel ; responsabilité vis-à-vis du gouvernement et du Parlement ; solide gouvernance interne ; probité et respectabilité ; présence de « sauvegardes ».
C’est l’expression même d’un droit « fondé sur les principes » : le texte est assez vague et peu contraignant.
La Directive Solvency II a prévu une procédure de reconnaissance par l’Union européenne d’équivalence des règles de solvabilité et des régimes prudentiels des pays tiers. Le Covered Agreement avec les États-Unis est intégré dans la reconnaissance d’équivalence. La question est donc d’introduire un contrôle des conditions de réassurance et de rétrocession (des réassureurs entre eux) avec des entités de pays tiers non reconnus comme équivalents (sans doute les réassureurs bermudiens). L’EIOPA recommande aux autorités nationales de contrôle (NSA) de procéder aux contrôles suivants :
– vérifier la justification (au regard de la conduite des affaires) du recours à un réassureur non équivalent, vérifier l’implication de l’AMSB et engager le dialogue avec la cédante sur ce sujet, donc esquisser une démarche de contrôle ;
– l’ORSA de l’entité doit justifier la cession en question ;
– les NSAs doivent vérifier que le processus d’identification et de mesure du risque a été mené à bien, que le risque de compliance n’est pas réalisé à l’encontre du pays tiers, siège du réassureur (sanctions internationales), que le risque de contrepartie a été identifié et mesuré ;
– les entreprises doivent avoir vérifié le risque d’insolvabilité et ses modalités de gestion telles qu’organisées dans le pays tiers, la qualité des garanties collatérales, le risque de résiliation des contrats de réassurance en cas de faillite ;
– il convient d’évaluer les bases du choix du réassureur par l’entité cédante : niveau du capital et notation, la qualité du capital (les « tiers »), le niveau de Credit Quality, les collatéraux, les possibilités d’action en cas de détérioration de la notation ; les exigences nécessaires pour être un réassureur (licence, expérience, les sanctions régulatoires éventuellement prises contre ce réassureur) ; vérification de la concentration du risque de contrepartie, les opinions de l’IAIS, du FMI et informations diverses sur cette entité ; la notation des agences (ECAIS) ;
– les NSAs devraient également vérifier le traité de réassurance lui-même : les clauses de « termination » du traité en cas de détérioration de la situation du réassureur (double terminaison possible par l’assureur et par le réassureur), la hiérarchie de présentation des créances dans le pays tiers en cas de faillite, le droit local sur les collatéraux ;
– enfin, l’entité cédante doit démontrer qu’il s’agit d’un réel transfert de risque à la NSA.
Face à ce déluge de précautions, les NSAs doivent pouvoir :
– limiter l’exposition des assureurs à certains réassureurs des pays tiers ;
– demander la réduction du risque de contrepartie par l’exigence de garanties collatérales ;
– s’assurer que la cédante a un accès direct à la contrepartie en cas de défaut ;
– prévoir la possibilité de commutation du traité.
Assurance Europe a fait une réponse technique détaillée, mais ses commentaires généraux suffisent à montrer son attitude.
L’association exprime ses « préoccupations sérieuses » sur le projet de l’EIOPA. Les objectifs de la démarche et son ampleur lui paraissent peu clairs et en tout cas excessifs par rapport au très éventuel problème du risque d’insolvabilité d’un réassureur d’un pays tiers. L’image de la réassurance ainsi portée par l’EIOPA est disproportionnellement négative et cela est injustifié.
L’usage d’outils de contrôle devrait être limité à une analyse fondée sur le risque et non sur une approche générale d’un contrôle systématique. Il conviendrait d’exclure la rétrocession du domaine d’application de cette extension du contrôle. Au demeurant, le recours à des réassureurs non équivalents, non britanniques et non américains est probablement minimal. En d’autres termes, il s’agit de protéger le marché de la concurrence des réassureurs bermudiens. Donc, il s’agit d’une mesure protectionniste qui pourrait donner lieu à des mesures de rétorsion. Enfin, Insurance Europe considère que l’ensemble a pour but de contourner les règles de Solvency II.
L’association conclut en affirmant que la couverture des insuffisances d’assurance que souligne l’EIOPA (protection gaps) suppose de trouver des capacités de réassurance dans les pays tiers.
On ne saurait mieux dire que cette démarche de l’EIOPA, qui poursuit une guerre personnelle contre la réassurance en général (le risque de contrepartie, fréquemment invoqué) est inutile et probablement nocive.
Les courtiers ont accrédité l’idée que les « renouvellements » de Traités de réassurance pour 2023 s’étaient passés de façon chaotique. La réalité était que les taux de prime étaient en hausse (de 30 % en moyenne) et que les franchises augmentaient (notamment dans les traités « climatiques » « par événement », donc sur le risque tempête). Le plus intéressant est la notation que le « capital disponible » (probablement la capacité de souscription) avait baissée de 15,7 % (?). Il est probable que ceci est l’écho des difficultés des assureurs américains à trouver de la réassurance à la suite de la tempête Ian (2022), l’une des plus graves des 20 dernières années.
Les renouvellements pour 2024 ont été plus calmes, malgré (ou grâce au) le retrait des grands assureurs américains State Farm, Allstate et Farmers de la souscription des risques habitation en Californie et en Floride.
L’article montre bien que la capacité de réassurance dans le monde est fortement liée aux événements climatiques aux États-Unis.
Heureusement, l’écho de la campagne de renouvellement pour 2024 témoigne d’une certaine pacification des esprits. Les augmentations de taux sont plus modérées (après les hausses de 2023), malgré l’expérience médiocre de 2023 en matière de catastrophes naturelles : séisme en Turquie, incendies de forêt aux États-Unis, et Canada, inondations en Nouvelle-Zélande.
En revanche, l’article note l’apparition des demandes de couverture des émeutes et mouvements populaires, dont France Assureurs traitait en juillet 2023. Le coût total des émeutes de juillet en France était estimé à 650 millions d’euros pour les professionnels et les collectivités locales, soit 3 fois plus que les émeutes historiques de 2005.
Enfin, l’article de l’Argus souligne le retour, dans les discussions de renouvellement 2024, du thème de l’inflation sur les sinistres, qui risque de perdurer dans les années qui viennent si les taux de prime devaient s’orienter à la baisse.
Ce considérable Rapport répond aux questions de la Commission dans son projet de révision de la Directive IORP. Il présente désormais plus d’intérêt pour les assureurs français puisque 20 FRPS (les fonds de pension français) ont été agréés depuis la loi Sapin, puis la loi PACTE. Cette chronique reprend les propositions de l’EIOPA dans le (dés)ordre dans lequel les sujets ont été traités par l’Autorité.
1. La proportionnalité. L’idée est d’exonérer d’obligations les fonds de pension de petite taille et d’instituer une catégorie de fonds à faible profil de risque (comme pour les assureurs dans Solvency II). L’EIOPA s’y oppose et défend l’idée qu’il faut substituer à la notion de « seuil » ou de taille celui d’une appréciation « fondée sur le risque ». La réalité est que les autorités de contrôle sont hostiles à la mise en place de mesures de proportionnalité et qu’on en restera probablement là car, tout en défendant le « profil de risque », l’EIOPA propose des seuils de taille des fonds : 25 millions d’actifs et 1 000 membres et bénéficiaires.
2. Les questions de gestion du risque de liquidité. La question essentielle est celle des appels de marge sur les dérivés de crédit, en cas d’effondrement du cours du sous-jacent (obligataire) : c’est le syndrome de la crise anglaise de 2022 (le krach Truss). L’EIOPA propose de réglementer et de créer un liquidity risk assessment qui serait vérifié par les autorités nationales.
3. Les conflits d’intérêts avec les fournisseurs de service. Il s’agit des rétrocommissions versées par les gestionnaires d’actifs. La réponse de l’EIOPA est classique : système de gouvernance (fit & proper), vérification des conflits d’intérêts et organisation de leur gestion, contrat en bonne et due forme avec le fournisseur de service, minimum de deux personnes (deux paires d’yeux) pour gérer chaque fonds. Au-delà, l’enregistrement de l’IORP, sur la base d’un plan d’affaire, oblige à vérifier les coûts de distribution, de mesurer si le fonds dispose de moyens financiers suffisants et de vérifier l’existence d’un engagement de bonne fin du « sponsor » (entreprise qui a constitué le fonds pour ses salariés).
4. L’EIOPA revient sur l’hypothèse de créer un schéma prudentiel de type Solvency II : « cadre commun » de valorisation du bilan et mesure standardisée du risque, bilan en valeur de marché et développement de stress-tests fondés sur des scénarios. Les IORPS ayant été acceptés en France sur l’idée que la réglementation prudentielle était moins coûteuse que celle de Solvabilité II, la probabilité de succès de l’EIOPA sur sa proposition de durcissement du cadre prudentiel, est relativement faible.
5. Questions diverses. L’EIOPA souhaite élargir la définition des marchés régulés sur lesquels les Fonds sont autorisés à intervenir. Il souhaite surtout renforcer la réglementation de l’ORA (Own Risk Assessment), sorte d’ORSA de l’IORP, en soumettant à une politique écrite la rédaction de ce document triennal, qui devrait définir des limites de tolérance de risque et inclure les risques climatiques dans son périmètre, comme il se doit.
6. Les fonds transfrontaliers connaissent peu de succès (31 sont reconnus comme tels). L’EIOPA reconnaît l’échec de la création d’un marché intérieur des IORPS. L’Autorité laisse entendre que le PEPP, sa création, serait plus efficace. En attendant, elle souhaite créer une procédure de transfert de siège social des fonds d’un pays de l’Union à l’autre.
7. La question de l’information des membres et bénéficiaires de retraites est un sujet traditionnel. Il faut renforcer le contenu du document de base : « le Pension Benefit Statement » : renforcer l’information sur les risques (fonds en unités de comptes), améliorer la comparabilité ; attirer l’attention sur la durabilité intrinsèque aux investissements (le SFDR), information sur le ROI des 12 derniers mois, développement de l’information sur les modalités de sélection des investissements et le niveau de risque associé à chaque option d’investissement. L’Autorité consacre beaucoup de texte à l’information sur les coûts et les frais (exhaustivité de l’état des frais subis sur les 12 derniers mois) et sur l’information précontractuelle (les performances sur 10 ans, les options d’investissement et les risques associés et leurs coûts). L’EIOPA revient sur les projections des revenus de pension sur la base des performances passées, sur la variabilité de ces projections et sur les hypothèses sous-jacentes qui doivent figurer dans le « Pension Benefit Statement ». Des informations similaires doivent aussi figurer dans les informations précontractuelles destinées aux membres (cotisants) approchés pour souscription.
Enfin, l’EIOPA développe les questions de conduite des affaires : présentation du caractère « approprié » des Fonds aux besoins du membre cotisant, et devoir de care, notamment si le Fonds se convertit des prestations définies aux cotisations définies. L’Autorité souhaite l’instauration de ce devoir de care dans la réglementation, ce qui risque de provoquer de réelles difficultés aux gestionnaires et des contentieux douloureux.
8. Quant au mouvement de conversion des prestations définies (DB) aux cotisations définies (DC), l’EIOPA en souligne les risques puisque le cotisant et le rentier subissent seuls le risque financier du niveau de la retraite. Il faut donc instituer une présentation des risques à long terme fondée sur des projections, une tolérance du risque, une information claire sur les options d’investissement et la transparence des stratégies d’investissement du Fonds, ce qui conduit à développer ces sujets dans l’ORA. La Gouvernance du Fonds doit être soumise aux règles de compétence (fitness) de type Solvency II. Les autorités de contrôle doivent vérifier les coûts et les frais mis à la charge des adhérents au Fonds et, surtout, construire et justifier à l’EIOPA un cadre de contrôle du risque des IORPs, ainsi que la vérification de l’implication des adhérents, des partenaires sociaux et des sponsors dans le processus de décision.
9. Les propositions sur l’intégration de la durabilité sont complexes et multiples. Il faut que les gestionnaires du Fonds prennent en compte le risque de durabilité dans leurs investissements (risque de transition) et les adverse impacts (PAI), mais ils ne sont pas tenus à la publicité prévue par l’article 8 de la taxonomie et par les règles du SFDR. Il faut introduire l’exposition climatique dans l’ORA et utiliser des scénarios (comme pour l’ORSA). La rémunération des gestionnaires doit tenir compte d’objectifs de durabilité. Mais l’EIOPA réintroduit le principe de la Personne prudente : le gestionnaire doit investir les actifs dans l’intérêt à long terme des membres. Enfin, l’Autorité rappelle la nécessité de refléter, dans la politique d’investissement, les préférences des membres et bénéficiaires en matière de durabilité. Tout ceci devrait alourdir singulièrement la gestion de chacun des Fonds de pension. D’autant plus que l’EIOPA veut introduire la notion de stewardship, et donc la participation active du Fonds dans les Assemblées générales, et les normes sociétales du concept « S » dans ESG, par exemple, en diminuant les différences de genre dans les revenus de pension.
10. Les propositions de l’EIOPA s’étendent aux questions de diversité et d’inclusion. Elles concernent les AMSB, notamment l’inclusion des partenaires sociaux et l’équilibre des genres dans la représentation et la rémunération. L’EIOPA prévoit une obligation de reporting sur ces questions.
Au total, l’EIOPA souhaite renforcer la réglementation des IORPs en introduisant, dans celle-ci, une grande partie des normes prudentielles de Solvency II, les dispositions de la Directive sur la Distribution de l’assurance et une partie des obligations liées à la durabilité.
Le Cabinet d’actuaires constate qu’il existe désormais 18 FRPS (fonds de pension) agréés en France (dont des IORPS pour recueillir les PER-individuels et les PERP). En 2022, le chiffre d’affaires s’élève à 10,19 milliards d’euros.
Le ratio de solvabilité moyen est de 256 % et la médiane à 223 %, en forte baisse sur 2021 ; la hausse des taux d’intérêt a provoqué une augmentation des moins-values latentes sur les actifs obligataires. Cela a pu conduire à doter la provision pour risque d’exigibilité (PRE) destinée à couvrir un risque de liquidité en cas de vente rapide d’actifs en moins-value.
Le Cabinet souligne l’intérêt du maintien des IORPs dans le cadre prudentiel actuel (l’harmonisation minimale des réglementations en Europe) et ne semble pas craindre la pression de l’EIOPA pour « faire entrer » les IORPs dans le cadre prudentiel strict de Solvency II. On rappelle que c’est cette différence d’exigence de capita porudentiel, dans la Directive IORPs, qui avait justifié la promotion des Fonds de pension en France (lois Sapin et PACTE).
L’Autorité européenne des assurances et des pensions professionnelles (EIOPA) a publié un rapport examinant les activités des institutions de retraite professionnelle (IRP) qui opèrent au-delà des frontières au sein de l’Espace économique européen (EEE) pour l’année 2023.
Rappelons que ces institutions sont créées pour permettre aux travailleurs qui se déplacent à travers les frontières européennes pour des raisons professionnelles de bénéficier d’un régime de retraite continu et cohérent, même s’ils travaillent dans différents pays de l’EEE. L’objectif est de faciliter la portabilité des droits à la retraite et de permettre aux individus de conserver et de continuer à accumuler des avantages de retraite lorsqu’ils changent de pays au sein de l’EEE.
Le rapport indique que, malgré les efforts pour promouvoir les IRP transfrontalières, le nombre d’institutions actives reste faible et n’a pas augmenté par rapport à l’année précédente. Seulement 31 IRP opèrent au-delà des frontières, confirmant une tendance persistante sur une décennie, où la croissance de ces institutions a stagné. Fin 2022, ces IRP transfrontalières rassemblent environ 100 000 membres et bénéficiaires au total, gérant 10,6 milliards d’euros d’actifs.
DDA ET POLITIQUES DE PROTECTION DU CONSOMMATEUR
L’ACPR a livré les conclusions de son enquête menée sur une quinzaine de contrats dépendance. Il s’agissait de contrats individuels à adhésion facultative avec couverture spécifique du risque dépendance d’une part, de contrats collectifs obligatoires de prévoyance d’autre part. Cet échantillon représente 60 % du marché. Les contrats prévoient en général le versement d’une rente mensuelle de 250 à 1 000 euros réduite de moitié en cas de dépendance partielle sous réserve de souscription de l’option ad hoc. En 2020 le montant mensuel des cotisations se situait entre 16 et 60 euros avec un âge moyen des cotisants de 76 ans, la durée moyenne des prestations étant de deux ans et demi.
L’ACPR estime nécessaire de renforcer l’information et le conseil, plus particulièrement le coût de la prise en charge lors de la souscription, les niveaux de dépendance garantis et leurs modalités d’évaluation. L’autorité de contrôle pense également qu’il s’avère nécessaire de revoir les pratiques de déclenchement des garanties (date souvent postérieure à la survenance effective de la reconnaissance de l’état de dépendance).
Dans cette « revue thématique », l’EIOPA s’en prend sévèrement au modèle d’affaires de la bancassurance où la banque, qui consent le crédit, peut imposer le choix de sa filiale d’assurance comme assureur (décès, prévoyance) de la bonne fin du crédit. Le système est donc, selon l’EIOPA, créateur de barrière à la libre concurrence entre les assureurs pour ce type de produit puisque le choix du consommateur est, de fait, limité. La première préoccupation est donc la protection du consommateur. Celle-ci est d’autant plus nécessaire que les produits d’assurance sont très divers, notamment en ce qui concerne les garanties et les exclusions, et les modèles d’affaires de chaque acteur.
L’EIOPA relève aussi la médiocrité des modalités de vente (le cross-selling facilite grandement la vente elle-même, qui s’exclut des règles de la DDA et du Product Oversight & Governance), à quoi s’ajoutent, selon l’EIOPA, de médiocres règles de souscription (poor underwriting). Ces deux remarques ne semblent pas s’appliquer à la France où, au contraire, les règles de souscription sont solidement établies, puisque dans la loi (règles AERAS).
Le discours sur la diversité des produits, permet de justifier l’action de l’EIOPA au nom de la fragmentation du marché unique, et donc de l’affaiblissement de la concurrence transfrontalière. C’est un discours traditionnel des autorités européennes pour justifier l’échec de la LPS dans le marché des risques de particuliers, mais on pourrait sans doute l’étendre à la plupart des produits d’assurance où le droit national du risque prévaut sur l’harmonisation européenne, ce qui constitue le véritable obstacle au bon fonctionnement du marché unique.
L’Autorité souligne que l’accord entre la banque et l’assureur, au sein du même groupe, crée des difficultés au client pour résilier son contrat et changer d’assureur. C’est la question qu’ont tenté, sans véritable succès, de trancher depuis 10 ans une succession de textes en France : Loi Lagarde en 2010, le Comité consultatif du secteur financier en 2015, la loi Hamon de 2014, la loi Bourquin de 2017 et la loi Lemoine de 2022. La question technique est probablement que l’individualisation du choix, en diminuant la mutualisation, fait passer le produit d’une tarification très peu segmentée à une évaluation du risque individuel, ce qui conduit probablement à une hausse des taux de prime(cf. loi Lemoine et suppression du contrôle médical).
Aux yeux de l’EIOPA, le plus grave est le risque de conflits d’intérêts et de subventions croisées entre les deux activités, bancaire et assurantielle. L’Autorité souligne la grande profitabilité de l’assurance emprunteur, liée à un niveau très bas du ratio sinistre/prime et le niveau élevé de frais injustifiés (selon l’EIOPA).
L’Autorité propose des mesures :
– une « alerte » aux assureurs et aux banques (une sorte d’admonestation ?) ;
– un examen par la Commission de la compatibilité de ces arrangements avec le droit de la concurrence de l’Union (c’est ce à quoi répondent les réglementations françaises) ;
– une identification des profits excédentaires des assureurs (malheureusement pour l’EIOPA, sans grand fondement juridique) ;
– une concertation sur le sujet avec l’EBA et la Banque Centrale Européenne (BCE).
Dans son commentaire, l’Institut des actuaires (IA) rappelle d’abord les efforts du législateur sur ce sujet et s’interroge sur le modeste succès du « déliement » du prêt et du contrat d’assurance.
Il avance que la question essentielle est celle de conditions homogènes de garanties qu’exige la banque d’un assureur « alternatif » pour couvrir le risque d’insolvabilité du client et de performance du prêt.
Dès lors, l’IA souligne le risque d’antisélection (absence de sélection médicale de la loi Lemoine) et semble introduire l’idée que les produits vont être tarifés sur la base de l’évaluation du risque individuel et non plus, comme aujourd’hui, au coût moyen des sinistres d’une mutualité très large.
Compte tenu de l’agressivité de l’EIOPA sur ce sujet, et de l’activité des associations de consommateurs, il est probable que la question sera de nouveau développée dans l’avenir.
La DGCCRF a mené, de 2021 à avril 2022, 400 contrôles dans 147 établissements du secteur de l’assurance, à la suite d’un accord de coopération avec l’ACPR. Il s’agit, pour l’essentiel, de courtiers. Ces contrôles, semble-t-il, concernaient surtout le respect des dispositions dites POG (Products Oversight and Governance).
Les points de contrôle étaient d’abord le démarchage téléphonique où 38 % des établissements contrôlés « ne respectaient pas les droits des consommateurs » (notamment les personnes âgées et le respect des règles de signature électronique). Le deuxième point concernait les conditions de souscription d’une assurance de protection juridique (clauses abusives) : 20 % des « établissements » contrôlés étaient en infraction. Enfin, les « frais » retenus en cas de résiliation anticipée du contrat (la résiliation dite « en 3 clics ») avec un taux de non-remboursement de ces frais qui atteint près de la moitié des établissements contrôlés.
Les deux institutions font le point des mesures prises par le secteur financier sur la protection des clients âgés/vulnérables dans la commercialisation des produits de placement. Cela fait suite aux travaux recommandant aux entités une vigilance renforcée sur ce sujet, avec des possibilités de recours hiérarchiques ou à la Direction Conformité de l’entreprise. La prise en compte est considérée comme « inégale » : 50 % des entités ayant mis en place un contrôle de conformité en la matière. La moitié seulement des établissements a mis en place un référent « vulnérabilité ». Une formation a été mise en place dans les deux tiers des établissements et la moitié a mis en œuvre une procédure de rendez-vous avec les personnes âgées à des âges « clés ».
La question de l’âge du client, auquel ces mesures doivent être mises en œuvre, reste sans solution : 85 ans pour France Assureurs, mais certains établissements proposent trois seuils : 65, 75 et 80 ans.
Les deux institutions recommandent :
– la mise en place de contrôles de « niveau 2 » (conformité) ;
– la vigilance sur la vente des produits « complexes » ;
– le développement d’une politique de prévention de la mauvaise commercialisation ;
– des pratiques de contrôle internes dites « double regard » ;
– des solutions technologiques de détection des clients âgés et/ou vulnérables.
L’ACPR a mené en 2023 une campagne de visites mystères sur le thème de la commercialisation des produits obsèques. Elle indique que « Les résultats montrent que la Recommandation adoptée par l’Autorité en 2021, après des échanges approfondis avec l’ensemble des parties prenantes, est très peu appliquée. L’Autorité rappelle aux distributeurs de contrats d’assurance obsèques qu’ils doivent désormais se mettre sans délai en conformité avec leurs obligations de respect des intérêts de la clientèle. »
Compte tenu de ces résultats, l’ACPR « relancera [...] en 2024 une série de contrôles sur place et tirera les conséquences des défaillances qui seraient une nouvelle fois constatées ».
La directive (UE) 2023/2673 du 22 novembre 2023 a été publiée au Journal officiel de l’Union européenne le 28 novembre 2023. Elle abroge la directive (CE) 2002/65 et vient modifier la directive (UE) 2011/83 pour les contrats financiers conclus à distance dans une optique de protection accrue du consommateur.
La directive s’applique comme celle de 2002 aux personnes qui distribuent des produits d’assurance/ financiers dans le cadre d’un système organisé de vente/prestation de services à distance et exclusivement par le biais d’une ou plusieurs techniques de communication à distance.
Cette directive, qui résulte de l’accord politique intervenu en juin 2023 dans le cadre du trilogue entre la Commission, le Conseil et le Parlement européen, précise le champ d’application et le dispositif de « filet de sécurité» dans la directive, en particulier pour les services financiers qui sont exclus d’autres législations sectorielles ou ne sont que partiellement visés par celles-ci. Rappelons, comme l’avait souligné la Commission dans son évaluation de la directive de 2002, que sa pertinence avait diminué compte tenu du volume de mesures spécifiques aux produits ou à certains services financiers qui contiennent des dispositions protectrices pour les consommateurs, notamment la directive distribution en assurance (DDA), le règlement PRIIPs ou le RGPD et du rythme rapide de l’innovation technologique.
Elle améliore les règles relatives à la divulgation d’informations et vise à moderniser les obligations en matière d’information précontractuelle, tout en s’assurant que ces règles ne font pas double emploi avec celles d’autres textes communautaires s’appliquant déjà au secteur de l’assurance. Il s’agit d’un principe important impliquant que les dispositions révisées ne s’appliqueront au secteur de l’assurance que dans la mesure où les dispositions sectorielles (DDA, MiFID II, PEPP, Solvency II) et d’autres législations européennes existantes s’appliquant au secteur de l’assurance ne contiennent pas de règles similaires aux dispositions révisées Ainsi, lors de la conclusion d’un contrat d’assurance à distance, un distributeur ne devra se conformer qu’aux exigences précontractuelles de la DDA et non à celles de la directive.
La directive maintient la possibilité pour les États membres d’imposer des règles nationales plus strictes dans ce domaine, évitant ainsi tout risque d’abaissement du niveau de protection des consommateurs.
Lorsque le professionnel utilise des outils en ligne, tels que des conseils automatisés ou des dialogueurs automatiques, le consommateur aura le droit de demander une intervention humaine, afin de mieux comprendre les effets du contrat sur sa situation financière.
La directive facilite l’exercice du droit de rétractation des contrats conclus à distance par l’inclusion, sur l’interface du prestataire de services, d’une « fonction de rétractation » facile à trouver. L’objectif de cette fonction de rétractation est de sensibiliser les consommateurs à leur droit de rétractation et de faire en sorte qu’il ne soit pas plus compliqué de se rétracter d’un contrat que de le conclure. Cela étant important pour tous types de vente à distance, la fonction de rétractation s’applique à tous les contrats conclus à distance, et non uniquement aux contrats de services financiers.
Le nouveau texte introduit une protection supplémentaire pour les consommateurs contre les interfaces truquées. Les États membres devront prendre des mesures pour limiter le recours aux techniques de commercialisation visant, au moyen d’interfaces truquées, à influencer les choix des consommateurs.
La directive ajoute aussi d’autres dispositions provenant de la directive sur les droits des consommateurs aux contrats de services financiers conclus à distance, notamment des dispositions sur la vente forcée (la fourniture de biens ou services non demandés à des clients potentiels en vue d’une vente).
La transposition de la directive en droit national devra intervenir au plus tard le 19 décembre 2025 pour une application à partir du 19 juin 2026.
L’EIOPA a publié le 26 septembre 2023 un rapport sur sa stratégie numérique au soutien des consommateurs, des marchés et des superviseurs grâce à la transformation numérique.
Compte tenu des évolutions continues et de l’adaptation de l’environnement réglementaire, l’EIOPA considère qu’il est important d’avoir une stratégie globale pour guider ses priorités, ses principes, son rôle et les domaines d’intervention qui en découlent au cours des trois prochaines années dans le domaine de la numérisation du secteur de l’assurance.
L’EIOPA définit dans ce document sa stratégie qui repose sur deux principes fondamentaux : « technologically neutral, and people first » et « flexible, yet firmly rooted ».
L’EIOPA reconnaît que différentes perspectives doivent être équilibrées pour garantir une concurrence saine sur le marché pour tous les participants. Elle identifie trois priorités clés à long terme pour guider sa contribution en matière de numérisation :
– veiller à ce que l’innovation soit alignée sur les meilleurs intérêts des citoyens ;
– renforcer la pérennité et la résilience du modèle économique de tous les acteurs du marché de l’assurance ;
– renforcer les capacités de surveillance de l’EIOPA et des autorités nationales de contrôle (ANC).
Dans cette stratégie numérique, l’EIOPA souligne également le rôle qu’elle devrait jouer dans ses efforts au soutien des consommateurs, des superviseurs et de l’industrie pour atténuer les risques et saisir les opportunités de la transformation numérique, telles que définies dans la stratégie EIOPA pour 2023-2026.
L’EIOPA a publié le 23 juillet 2023 les résultats de l’évaluation qu’elle a effectuée concernant la maturité du cadre de supervision des régulateurs européens en matière de surveillance et gouvernance des produits d’assurance (Product and Oversight Governance, POG) pour les entreprises d’assurance. Dans le cadre de cet examen, l’EIOPA émet des orientations quant aux points d’attention que les régulateurs nationaux devraient examiner lorsque ceux-ci évaluent la mise en œuvre des POGs par les concepteurs et les distributeurs de produits d’assurance. Sont ainsi recommandés aux régulateurs nationaux de :
– mettre en place une organisation définie du contrôle des POG qui soit proportionnée aux risques du marché de l’assurance, par exemple en allouant des ressources adéquates dotées de l’expertise nécessaire à la supervision des POG ;
– disposer d’un cadre de surveillance fondé sur les risques afin d’identifier les risques spécifiques aux produits et aux entreprises pouvant avoir un impact sur l’intérêt des souscripteurs ;
– définir et communiquer au marché les attentes en matière de supervision notamment au travers de lignes directrices ou de publications ;
– mener des activités de surveillance systématiques telles que des inspections sur place/hors site auprès d’entités concevant des produits d’investissement fondés sur l’assurance (Insurance-Based Investment Products, IBIPs).
Bien qu’il existe des différences significatives entre les différents régulateurs européens, l’EIOPA constate néanmoins que la plupart d’entre eux ont adapté des procédures internes pour inclure dans leur supervision les exigences en matière de POG qui devront être néanmoins améliorées au regard des recommandations mentionnées précédemment.
Ces recommandations feront l’objet d’un examen postérieur afin d’évaluer la conformité des régulateurs nationaux quant à la mise en place des actions recommandées.
NOUVELLES TECHNOLOGIES, CYBER RISK
Ce papier fait la synthèse des réponses reçues du marché à la suite de la consultation publique lancée en avril sur un document de réflexion dont le titre était une interrogation sur la qualification de la Finance décentralisée ou désintermédiée, nous la désignons dans cet article sous l’acronyme DeFi.
Nous avons produit un commentaire dans la chronique 26 sur ce document de réflexion qui en donne un résumé et décrit les risques spécifiques à la DeFi en distinguant dans l’écosystème trois strates, l’infrastructure blockchain, la couche applicative des services, les dispositifs d’accès des utilisateurs. Un haut niveau de concentration et une gouvernance très centralisée des applications caractérisent l’écosystème.
La consultation a suscité un réel intérêt avec 39 réponses reçues de France et hors de France (17 sur 39) avec des origines diverses (6 particuliers, 10 associations professionnelles, 11 représentants des écosystèmes crypto et DeFi, 6 prestataires de services sur actifs numériques – PSAN, 2 banquiers, 3 auditeurs, 1 capital-risque).
Concernant le risque de concentration les répondants distinguent la concentration économique de celle de la gouvernance. Ils font remarquer que l’essentiel des actifs se trouve sur quelques blockchains et un nombre restreint d’applications. Ils ont également souligné qu’une majorité des nœuds Etherum sont hébergés par des fournisseurs de cloud, Amazon Web Services (AWS) en particulier. L’ACPR voit là un facteur de risque si « un prestataire devait connaître une défaillance ». Elle estime que « cette situation rend particulièrement critique la question de la résilience des infrastructures blockchains ».
Gouvernance : comme cela l’avait été déjà souligné dans le document de réflexion elle est faussement décentralisée dans de nombreux protocoles l’ACPR fait référence au fait que les clés d’administrateurs se trouvent dans quelques mains. Il y a lieu d’ajouter la question de l’utilisation de pseudonymes par les participants à la blockchain ce qui rend plus délicate la lutte LCB-FT. L’ACPR estime souhaitable d’étudier une gouvernance minimisée qui, selon elle, pourrait être appliquée quand il s’agira de certifier les smart contracts.
Parmi les attaques passées en revue par les répondants ceux-ci citent celles visant les infrastructures et celles touchant les blockchains et les protocoles. Pour les infrastructures les participants sont d’accord pour affirmer que les solutions de layer 2 (surcouches) sont adaptées pour faire face à la congestion des réseaux. À propos des attaques la consultation a mis en relief les « attaques sandwich » sur le lieu de stockage temporaire des transactions (mempool) en attente sur la blockchain. Ce lieu est en général public donc accessible à tous les utilisateurs ce qui permet à un utilisateur non concerné d’intervenir et de fausser la transaction. Le dispositif sécuritaire de la blockchain est à revoir.
Quid des réglementations à envisager ? Les participants sont en faveur de blockchains publiques avec une résilience renforcée mais sans régulation de l’infrastructure. Un audit régulier du fonctionnement des blockchains est souhaité. Est avancée l’idée, soutenue par tous les répondants, que l’autorité publique puisse « opérer les nœuds d’archive de certaines blockchains publiques ». De la discussion lancée par l’ACPR il ressort qu’elle n’entend pas réguler le fonctionnement des blockchains. Par contre l’autorité nationale de contrôle n’envisage de surveillance qu’après constitution d’une base de données sans plus de précision.
Algorithmique des services : trois thèmes sont abordés par les répondants, la certification des smart contracts, les « oracles », les stablecoins. Les réponses portent en majorité l’accent sur les dangers pour les utilisateurs des smart contracts et sont d’accord sur leur certification et leur standardisation. Faut-il soumettre à une autorité centrale les vulnérabilités détectées ? Un répondant propose de ne certifier que les gros projets et de soumettre les autres à un audit de sécurité. Personne n’est du même avis sur l’étendue des contrats à certifier, la question des contrats non certifiés reste ouverte comme celle du renouvellement de la certification dans l’hypothèse où une nouvelle vulnérabilité générale se ferait jour. L’ACPR estime que le sujet mérite des « analyses complémentaires en lien avec les professionnels et les experts du secteur ». Les « oracles » interviennent dans la blockchain comme fournisseur de données, les répondants considèrent leur intervention comme critique.
Le document de réflexion avait proposé un système de certification avec des oracles centralisés ou décentralisés, les répondants préfèrent en majorité une certification des oracles décentralisés accompagnée d’un contrôle du fonctionnement de l’ensemble des « oracles ».
Au mois d’avril le document de réflexion proposait pour les stablecoins une extension du cadre applicable aux « Electric Money Tokens, EMT », prévu dans le règlement MiCA, à la totalité des crypto-actifs ayant pour objet de répliquer la valeur d’une monnaie officielle ce qui implique un droit de remboursement à la valeur faciale et la gestion d’une réserve constituée d’actifs liquides libellés dans la même devise. Les répondants sont divisés sur cette proposition, certains expriment l’idée que les stablecoins émis par des protocoles relèvent du régime « autres crypto-actifs » exposé au titre II de MiCA. Pour l’autorité de contrôle ces propositions fragilisent la promesse de stabilité et de sécurité faite aux utilisateurs.
Réglementer ou non la fourniture et l’accès aux services : Si certains répondants sont en faveur d’une centralisation obligatoire des protocoles DeFi, la grande majorité se prononce contre et beaucoup estiment qu’une sécurité accrue va de pair avec décentralisation. Par contre les participants à la consultation sont d’avis de réglementer les points d’accès en rejetant majoritairement toute extension du régime MiCA aux intermédiaires. L’ACPR va tenter d’éclaircir la position prise en avril dans le document de réflexion à savoir établir « une protection minimale des utilisateurs basée sur la nature du service fourni et non sur le type d’entité qui le fournit (entités centralisées, front-ends des applications décentralisées) ».
Commentaire : les assureurs sont a priori peu concernés par ces débats, sauf celui sur les smart contracts. Néanmoins ils suivront l’évolution du sujet vu la place très probablement croissante des crypto-actifs dans la gestion des actifs et dans celle de la liquidité.
Ce papier de l’EIOPA a été publié le 11 juillet 23 sur le thème « comment tester la composante cyber dans l’assurance », papier qui fait suite à deux discussion papers parus ces trois dernières années.
L’EIOPA distingue deux aspects dans la constitution des stress-tests (tests de résistance) :
– la cyber-résilience définie comme la capacité de l’entité à affronter l’effet financier d’un cyber-événement ;
– le risque cyber de souscription conçu comme la capacité de l’entité assurantielle à supporter le coût financier d’un scénario cyber touchant les couvertures d’assurance précisées dans les contrats.
Après avoir déterminé les motivations des cyberattaques et avoir classé ceux qui pourraient être les instigateurs, l’EIOPA a privilégié huit scénarios d’impact : rançonnage, déni de service (Denial of Service, DoS), violation de données (Data breach), crypto-jacking, transactions non autorisées, panne de l’infrastructure de paiement, endommagement du data center ou de l’infrastructure, panne électrique. Elle n’a retenu que cinq scénarios, le crypto-jacking, les transactions non autorisées, la panne de l’infrastructure de paiement, n’ont pas été étudiés à ce stade soit en raison de la faiblesse de leur impact soit parce qu’ils se rapprochent d’un test de liquidité (panne de l’infrastructure de paiement).
Dans une section consacrée au champ d’application le régulateur a choisi comme référence de métriques à utiliser dans les tests de cyber-résilience la taille du marché européen, pour les expositions dans une branche donnée la référence sera bien évidemment la taille du marché de la branche. Pour la cyber-résilience, l’EIOPA adoptera comme métriques selon le cas soit le total des actifs soit le chiffre d’affaires brut ou le total des provisions techniques brut. Pour les expositions dans les portefeuilles souscrits l’EIOPA prendra comme métriques le rapport provisions techniques brut sur chiffre d’affaires total des branches IARD concernées, pour la branche vie en unités de compte la métrique sera le total des actifs.
Le document explicite ensuite la nature des chocs et les métriques choisies pour chacun des cinq scénarios (panne du cloud, DoS, rançonnage, violation des données, panne électrique). Pour les risques cyber souscrits trois scénarios seulement sont retenus : panne électrique, rançonnage, panne du cloud ; le déni de service et le data breach n’ont pas été gardés en raison du faible montant des sinistres constatés.
Pour les produits cyber souscrits, la métrique retenue sera l’augmentation du montant des provisions techniques ou des sinistres payés selon le scénario choisi. De même les modifications des postes du bilan par rapport à la situation initiale (baseline) constitueront des métriques, le régulateur pourra faire varier certains paramètres tels que les éléments de passif ou d’actif, l’excès d’actif, les fonds éligibles, le SCR... L’EIOPA complétera ces métriques par une information qualitative sur les produits dénommée indicateurs auxiliaires (ancillary indicators) ceci afin de mieux apprécier l’impact d’un choc cyber.
Des exemples de chocs sont présentés pour chacun des trois scénarios retenus. Pour le rançonnage l’EIOPA donne une liste des paramètres à fixer : la partie des contrats affectés, le nombre de clients prêts à régler une rançon, le montant de la rançon, la durée moyenne de l’interruption, la perte quotidienne de profit, le montant des dépenses de reprise. Par qui et comment ces paramètres seront-ils fixés ? Pour l’interruption du cloud et pour la panne électrique l’estimation de ces paramètres est plus aisée.
La durée de panne sera le seul type de choc envisagé pour la cyber-résilience, deux types de choc pour le rançonnage (les processus business affectés, le facteur pénalité lié à la durée de reprise). Pour le scénario « Data breach » le choc portera sur le pourcentage de données violées. Deux types de métrique, l’une opérationnelle, l’autre financière, seront à utiliser. Pour la cyber-résilience comme pour les contrats cyber souscrits les entreprises auront à estimer un certain nombre de paramètres tels la durée de retour à une situation normale, la liste des processus affectés, l’augmentation des coûts opérationnels, la modification des postes d’actif et de passif, l’impact sur les fonds propres, le SCR...
Pour terminer il y a lieu de citer la liste des informations que devra fournir l’entreprise « choquée » :
– la durée de reprise ;
– la liste des processus business affectés par le choc ;
– l’accès aux back up ;
– les pratiques de cybersécurité ;
– les marges de tolérance admises pour les services spécifiques ;
– le coût d’interruption de l’activité ;
– le coût de détection et de restauration.
La REC devra être transposée dans les États membres au plus tard le 17 octobre 2024.
Une fois entrée en vigueur, la REC abrogera l’actuelle directive de 2008 (2008/114/CE du Conseil) portant sur le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection.
La REC s’inscrit dans le cadre des priorités définies par la stratégie de l’Union européenne pour « l’union de la sécurité ». En conséquence, afin de traiter de manière globale la résilience des entités qui sont critiques pour le bon fonctionnement du marché intérieur, la REC crée un cadre général applicable à la résilience des entités critiques en ce qui concerne tous les risques, qu’ils soient naturels ou d’origine humaine, accidentels ou intentionnels.
Elle vise à assurer la continuité de la fourniture des services essentiels dans le marché intérieur tout en renforçant, dans un contexte d’interconnexion croissante des activités, la résilience des opérateurs d’infrastructures critiques (désignés sous le terme d’« entités critiques ») des États membres, face aux risques actuels et futurs.
Le législateur communautaire a considéré qu’il était devenu « nécessaire de réorienter l’approche en vue de faire en sorte que les risques soient mieux pris en compte, que le rôle et les obligations des entités critiques, en tant que fournisseurs de services essentiels au fonctionnement du marché intérieur, soient mieux définis et cohérents, et que des règles de l’Union soient adoptées afin de renforcer la résilience des entités critiques » (Considérant 2 de la NEC).
Plus précisément, la REC a pour objet de réduire les vulnérabilités et à renforcer la résilience physique des entités critiques, qui sont définies par ladite directive (en annexe) et qui, plus généralement « fournissent des services indispensables pour maintenir les fonctions sociétales vitales, les activités économiques, la santé et la sécurité publiques ainsi que l’environnement ».
Au regard de l’évolution du paysage des risques et des interdépendances sectorielles croissantes ces dernières années, la REC remplace la directive de 2008 sur les infrastructures critiques européennes (axée essentiellement sur la protection de ces infrastructures) par un nouveau cadre juridique, qui notamment :
– en élargit le champ de compétences ;
– instaure de nouvelles règles qui donnent la priorité au renforcement de la résilience des entités critiques qui assurent la fourniture de biens et services spécifiques, tout en concourant à l’amélioration du bon fonctionnement du marché intérieur.
La REC s’inscrit donc dans la volonté communautaire globale d’assurer un niveau plus élevé de sécurité et de renforcer l’harmonisation des mesures et la coopération entre États membres.
Il est particulièrement intéressant de noter que (i) la REC a été adoptée concomitamment au Règlement sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act, encore appelé « DORA ») et d’autre part que (ii) la REC devra être transposée dans les États membres au plus tard le 17 octobre 2024 c’est-à-dire très proche de la date de transposition que la Directive NIS 2 (Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union européenne).
Il s’agit de la première réglementation – par les autorités européennes – des marchés de crypto-actifs qui sont la principale application de la technologie dite des « registres distribués » (blockchain). Le règlement porte sur les cryptos qui stabilisent leur valeur en référence à une monnaie officielle (stablecoins), de « jetons » qui se réfèrent à un ou des actifs, et « tous les autres jetons ». Le Règlement exclut ceux qui sont qualifiés « d’instruments financiers » et notamment ceux qui sont qualifiés de contrats d’assurance (vie, non-vie, retraite ou régime de Sécurité sociale), ainsi que ceux émis par le FMI, la BRI, les banques centrales et les administrations centrales. Il renvoie aux autorités européennes de contrôle le soin de requalifier (et donc de soumettre à la réglementation) les crypto-actifs considérés comme des instruments financiers. L’assurance n’est donc pas clairement concernée par cette réglementation.
Le Règlement affirme l’opportunité de cette réglementation pour protéger le consommateur et éviter la dispersion nationale des réglementations (prendre les États membres de vitesse), ce qui pourrait faire manquer des opportunités de développement, fausserait la concurrence (arbitrage réglementaire), accroîtrait le risque juridique et pourrait même menacer la stabilité financière.
La base du Règlement est l’obligation pour les émetteurs, les exploitants de plateformes de négociation, ou les fournisseurs de services de placement, de transmission et d’exécution d’ordres et la fourniture de conseils en crypto-actifs de notifier, à leurs autorités compétentes, un livre blanc décrivant leur activité. Les annexes fournissent les modèles de livres blancs sur les jetons se référant à un ou des actifs, sur les jetons de monnaie électronique et sur les cryptos autres que les jetons décrits ci-dessus. Les livres blancs sont notifiés à l’Autorité nationale compétente qui ne l’approuve pas, mais peut demander sa modification, et suspendre ou interdire l’offre, notamment en cas d’information jugée insuffisante du consommateur.
Les émetteurs de jetons qui se réfèrent à des actifs (stablecoins), sont soumis à des règles plus strictes, notamment un agrément, sauf s’ils sont des établissements de crédit, bien qu’ils soient astreints à la souscription d’un livre blanc. L’agrément peut être refusé, notamment sur la base d’un avis négatif de la BCE. Le livre blanc doit, en particulier, contenir des informations sur le mécanisme de stabilisation du cours, l’investissement des actifs de réserve, la conservation des actifs et les droits octroyés au détenteur. Les émetteurs sont soumis à des règles de gouvernance (les administrateurs sont « fit & proper » et ’ont pas subi de condamnation au titre de la LCB-FT).
Plusieurs normes prudentielles sont formulées : exigence de fonds propres, constitution de réserves couvrant les risques de marché et de change, séparation des actifs de l’émetteur et des réserves, et composés d’actifs sûrs et à faibles risques. Les émissions « significatives » de jetons (enregistrés, distribués à l’intérieur ou hors chaîne de blocs) doivent conduire à la constitution de fonds propres plus élevés. Les détenteurs doivent avoir un droit à remboursement des jetons et un plan de remboursement doit être élaboré et soumis à l’Autorité compétente en matière de résolution.
Le Règlement précise que les jetons n’étant pas des « réserves de valeur » (au sens de la théorie monétaire), l’activité ne porte pas de taux d’intérêt.
Le principe de congruence des actifs et de la monnaie crypto s’applique pour éviter tout risque de change.
Les mêmes règles doivent s’appliquer (agrément, règles prudentielles) aux émetteurs de monnaie électronique.
Diverses exigences s’appliquent aux relations avec les consommateurs : informations claires, complètes, loyales et non trompeuses et, en particulier, avertissement sur les risques spécifiques liés aux cryptos, élaboration d’une politique de gestion des conflits d’intérêts. Ces règles sont particulièrement développées pour les plateformes où des prestataires agissent pour le compte de leur client. Le Règlement rappelle les règles LCB-FT, les obligations liées au principe « know your customer », le respect des règles d’adequacy et d’appropriateness de la directive sur la Distribution. Il renvoie au droit national pour les opérations de prêts et d’emprunts sur crypto-actifs et à des règles spécifiques pour contrer le risque d’abus de marché.
Le Règlement fixe les compétences des autorités de contrôle :
– l’ESMA met en place un registre des livres blancs des acteurs de marché et elle est chargée de contrôler les prestataires de services sur cryptomonnaies.
– l’EBA (banques) contrôle les émetteurs de jetons adossés à des actifs dès lors que les émissions revêtent une importance significative
– l’EBA et les autorités compétentes nationales assurent une double surveillance des acteurs du marché
– la surveillance est dévolue aux autorités monétaires nationales en cas d’utilisation d’actifs en monnaie autre que l’euro
– des collèges de contrôleurs sont institués pour les émissions de montants significatifs. La Commission est chargée de fixer les critères de « significativité » de ces montants.
Les autorités sont évidemment investies de pouvoirs de sanctions.
Enfin, le Règlement prévoit que les prestataires de services (mais non les émetteurs) doivent être des personnes morales ayant leur siège social dans l’Union. Si les services sont fournis à partir d’un pays tiers, le prestataire doit être agréé en tant que tel dans l’Union.
Compte tenu de l’ampleur des délégations à la Commission et surtout à l’ESMA et l’EBA (Recital n° 110, 2 pages de texte), ce texte général sera très largement précisé et complété. Il faut surtout en retenir qu’il pose les principes et les grandes lignes du contrôle de l’émission et de la gestion des cryptomonnaies. Même si l’Assurance en tant que telle est exclue, elle n’est pas moins utilisatrice potentielle de cryptomonnaies et de la chaîne de blocs. Cette réglementation la concerne donc, ne serait-ce qu’au titre de la « conformité ».
Il s’agit, essentiellement, d’étendre les réglementations sur la lutte contre le blanchiment (LCB-FT) et le Règlement général sur la protection des données aux crypto-actifs. Le règlement traite, comme le Règlement général (étudié ci-dessus), de l’émission des cryptos, des divers services de gestion de ces cryptos et des fournisseurs de service en monnaie crypto.
Le Règlement pose les principes de traçabilité des transactions, du gel des avoirs et la liste des personnes exposées politiquement. Il renvoie à l’EBA le soin de fixer les lignes directrices à cet égard. Il impose aux acteurs du marché des cryptos, les règles du RGPD en matière de protection des données personnelles. La mise en œuvre de ces règles sera sans doute délicate, dans la mesure où les utilisateurs de services cryptos sont particulièrement attentifs à la confidentialité des transactions, souvent principal motif du recours au crypto-assets.
Le Règlement est particulièrement confus sur les nombreuses exceptions à l’application de ce corpus de règles : exceptions pour les paiements courants, les cartes de paiement, l’utilisation des automates bancaires, l’application d’un seuil de 1 000 euros pour les transactions soumises aux règles LCB-FT.
Les textes développent la nécessité d’une vigilance renforcée (due diligences) sur les transferts à des « self hosted adresses », en demandant à la Commission de prendre des mesures spécifiques pour la vérification de la propriété de ces adresses, ainsi que sur le payeur et le bénéficiaire des paiements.
Il s’agit bien de soumettre l’ensemble des acteurs de la chaîne de traitement des crypto-assets aux mêmes règles que les fournisseurs de services financiers traditionnels, notamment en matière d’investigation sur les payeurs et les bénéficiaires effectifs de paiements.
L’intérêt principal de ce texte est de confirmer que nombre de pays sont en cours de conception de réglementation sur les crypto-actifs. Il note l’avancée rapide de l’Union européenne, qui a très récemment abouti (décembre 2023). La France et l’Allemagne sont citées pour avoir mis en place une réglementation (ou un cadre général), probablement soumis à révision après l’achèvement du « trilogue » européen fin 2023. En revanche, ces deux pays n’ont pas engagé de processus de réglementation sur les stablecoins. Là encore, le Règlement MiCA va se substituer à l’initiative des États.
Par ailleurs, PwC rappelle la démarche du FSB d’un cadre général soumis à consultation en 2022 et qui a été évoqué dans notre chronique n° 25. Il traite également de la publication des règles du Comité de Bâle en décembre 2022, en particulier sur les normes de fonds propres applicables aux différentes catégories de crypto-assets telles que classifiées par le Comité de Bâle.
Le Cabinet de conseil cite par ailleurs des travaux de l’IOSCO (l’organisation des autorités de marché) sur les stablecoins considérés comme des infrastructures de marché importantes sur le plan systémique, ce qui est la conséquence du krach de FTX en 2022. La Task Force Fintech de la même IOSCO prépare des propositions de réglementation sur les crypto-assets et la Finance décentralisée (DeFi).
Cette intense activité illustre le discours de PwC qui déclare que « beaucoup d’autorités locales ont annoncé publiquement leurs projets de devenir des places internationales pour les actifs digitaux, la technologie et l’innovation ». La Commission ne dit pas autre chose lorsqu’elle annonce, dans les considérants de son Règlement MiCA, qu’il est urgent de réglementer au niveau européen pour éviter des initiatives nationales dispersées.
Cette première consultation est engagée jusqu’au 11 septembre 2023, et l’avis des ESAs est prévu pour le 17 janvier 2024. Elle sera suivie d’une seconde vague d’ITS prévue fin 2023 et qui sera commentée dans la prochaine chronique (n° 28 à paraître en septembre 2024).
1. Les textes d’application de l’article 15 de DORA sont divisés en de nombreux chapitres. Il nous a paru plus expédient de faire la liste des obligations qui sont imposées, avec un luxe de détail, par le projet de RTS soumis à consultation, dans la mesure où les commentaires des ESAs ont pour résultat de masquer la complexité et l’étendue des exigences de la Commission dans le cadre de ce RTS.
1.1. La gouvernance de la sécurité TIC : il s’agit d’inclure les TIC dans le cadre général de la gestion du risk (ERM) de l’entité, en particulier d’établir la responsabilité de l’AMSB à cet égard, notamment sur la sécurité des réseaux, les sauvegardes contre l’intrusion, la sécurité des données (la préservation de la disponibilité, l’exactitude, l’intégrité et la confidentialité), ainsi que l’identification des responsabilités et les modalités de révision. Il est également prévu une fonction de contrôle (fonction-clé ?) qui rapporte à l’AMSB.
1.2. Le risk management doit prévoir les niveaux de tolérance au risque, les procédures et méthodes de contrôle des risques, les modalités de gestion des risques. Il doit également être responsable de l’inventaire et de la mesure du risque « résiduel » après mesures de prévention (disposition traditionnelle dans l’ERM). Enfin, il contrôle les changements du système TIC (et donc la gestion des projets).
La gestion des « actifs » TIC : gestion de la durée de vie des machines ; inventaire détaillé des TIC ; les obligations liées à la continuité de l’activité ; les liens avec Internet et établissement d’une « politique de gestion » de ces actifs.
Le RTS requiert une politique d’encryptage et de contrôle des clés d’encryptage.
La sécurité des opérations requiert également la définition de politiques de description des mesures, des contrôles et de la gestion (les back ups) et des modalités de gestion des erreurs. Un paragraphe spécifique est consacré à la sécurité des réseaux et à la sécurité de la gestion des projets de changements.
Il est demandé une procédure de gestion des compétences et de la performance des salariés ; elle se complète de formations à la sécurité et d’une sensibilisation générale aux questions de sécurité.
Le Règlement prévoit une procédure de gestion de la vulnérabilité, y compris chez les sous-traitants, généralement dans l’usage d’intervenants tiers (bibliothèques d’applications, open source, etc.). Il demande de déployer des patches (pansements) pour gérer les vulnérabilités identifiées et même une procédure de patch management.
La sécurité des systèmes implique une procédure spécifique sur les accès (plus ou moins restreints), l’interdiction du Bring your own Device (utilisation d’outils personnels et privés de gestion des données), la gestion des données et leur stockage, la gestion du télétravail et les relations avec le cloud. La sécurité des réseaux implique surtout le risque de perte de données et la protection de la confidentialité.
Le Règlement est très disert sur la gestion des projets informatiques (gouvernance, planning, mesure du risque, tests ; l’acquisition de systèmes, notamment de packages acquis à l’extérieur ; la protection de l’intégrité des « codes source », vulnérables s’ils proviennent de prestataires de services extérieurs) et sur la gestion du changement informatique (séparation des fonctions de producteurs du changement des fonctions de validation, etc.).
La protection physique et « environnementale » doit être définie dans une politique écrite en fonction des menaces et du profil de risque : politique d’accès et de protection des données, gestion des droits d’accès, des restrictions, des retraits de droit d’accès, etc.
La gestion des incidents est évidemment majeure : documentation des incidents, process de gestion, définition des rôles et responsabilités, analyse des incidents. Le Règlement donne les critères d’alerte de façon très précise : activité malveillante, perte de données, impact négatif sur les opérations, indisponibilité du système, problème rapporté par les utilisateurs, notification d’un incident par un fournisseur de services, criticité des services affectés par l’incident.
La politique de continuité d’activité génère les mêmes obligations de planification, procédure, tests et définitions de critères pour activer le Plan de continuité (PCA). Le Règlement souligne l’organisation nécessaire de la Gouvernance, l’alignement du PCA informatique sur le PCA global de l’entreprise et le lien avec la politique de communication, ainsi que la nécessité du test des PCA. S’y ajoute la planification de la réponse et les scénarios des plans de remédiation dans les diverses situations d’attaques cyber, de pannes et manquements divers des sous-traitants, l’indisponibilité des principaux responsables, les catastrophes naturelles, les pandémies, les attaques terroristes, l’instabilité politique, la panne générale d’électricité. Le plan doit aussi prévoir les modalités de remplacement d’un fournisseur de services défaillant.
Enfin, le RTS s’étend complaisamment sur les modalités, le plan, le contenu, les évolutions à décrire dans le Rapport annuel sur le cadre de gestion du risk management.
Cette longue liste d’obligations n’a d’autre but que de montrer que DORA et les RTS, qui assurent son application, instaurent un contrôle exhaustif et spécifique de l’organisation informatique dans toutes ses composantes. On y retrouve notamment des dispositions de type Solvency II : implication de l’AMSB, fonction-clé spécifique de contrôle des risques informatiques, rapport direct de celle-ci à l’AMSB. On y voit aussi l’extension du « syndrome Sarbanes Oxley » de multiplication des politiques écrites pour chacune des rubriques de l’article 15 de DORA, considérablement étendu. La principale restriction à cette remarque est que de très nombreuses dispositions techniques, rendues obligatoires par DORA et le RTS, sont depuis longtemps mises en œuvre par les responsables informatiques des entreprises d’assurance et que les instances dirigeantes sont, d’ores et déjà, impliquées directement dans la gestion de ce qui constitue une partie importante (voire majeure) des budgets de frais généraux et l’essentiel du risque opérationnel de l’entreprise.
2. Le second RTS présente une vision « simplifiée » des obligations des entités définies par l’article 16 du DORA et considérées, par les ESAs, comme de petites ou très petites entités, notamment les petits fonds de pension.
La lecture cursive du RTS, qui reprend les 17 points du RTS principal, laisse à penser que les allègements d’obligations sont mineurs. Les ESAs en présentent le cadre dans quatre rubriques : le risk management informatique ; les éléments des systèmes, protocoles et outils nécessaires pour minimiser l’impact du risque informatique ; la continuité d’activité et le rapport sur le cadre annuel de gestion du risque. Cette simplification n’est qu’apparente puisque toutes les rubriques du RTS principal sont reprises dans ce second texte. Comme souvent, la démarche de respect de la proportionnalité et la simplification qui devrait en résulter cèdent aisément à l’appétit des réglementateurs.
1. Cet intitulé pesant pour des textes qui ne le sont pas moins, couvre une idée simple : définir qui est un fournisseur critique de services informatiques et, pour cela, quels sont les critères à retenir, sachant qu’il s’agit ensuite, pour les autorités nationales de contrôle, de contrôler les prestataires désignés comme critiques.
Comme rien n’est simple dans la bureaucratie européenne, on prévoit deux tours de sélection. Le premier consiste à appliquer 6 critères quantitatifs (étape 1), le second prévoit une sélection sur 5 indicateurs quantitatifs sur les prestataires de services retenus au premier tour.
Le premier indicateur de criticité mesure l’impact du Critical Third Party Provider (CTPP) sur la fourniture des services, en cas de faillite du CTPP. Cet indicateur est fonction de l’importance des clients du CTPP sur le marché de l’assurance : 4 critères sont prévus. Deux concernent le 1er tour de sélection : le nombre d’entités de l’Union utilisant le même CTPP et qui atteint ou dépasse 10 % des entités de l’Union ; les actifs des entités utilisant un même CTPP et représentant 10 % de la valeur des actifs dans l’Union européenne. Pour le 2e tour de sélection : la proportion d’entités de l’Union pour qui l’impact de la faillite du CTPP serait considéré comme élevé ; le nombre de CTPP recourant aux mêmes sous-traitants considérés comme critiques.
L’indicateur suivant cherche à cibler le caractère systémique des entités financières qui utilisent les services d’un même CTPP. Deux critères de 1er tour : le nombre de GSII (les grands assureurs désignés jadis par le FSB, qui y a depuis renoncé) et OSII (Other Systemically Important Institutions, ni banque, ni assureurs) qui utilisent le même CTPP, et le nombre d’autres institutions financières utilisant le même CTPP. Au deuxième tour de sélection, on appliquera le critère du niveau d’interdépendance des GSIIs, OSII et entités financières diverses liées au même CTPP.
Le troisième indicateur cherche à mesurer le degré de dépendance des entités financières impliquant le même fournisseur de services : un seul critère est appliqué au seul 2e tour : le niveau de criticité intrinsèque des services TIC fournis par un même CTPP.
Le quatrième indicateur cherche à cerner le degré de substituabilité des CTPP.
Au premier tour de sélection, le critère est la part des actifs dans l’Union des entités qui déclarent qu’il n’y a pas de CTPP alternatif. Le second est la part des actifs des entités qui déclarent que migrer ou réintégrer les fonctions sous-traitées serait complexe ou difficile. Le seul critère du 2e tour est la part de marché du CTPP dans les entités financières.
On souhaite beaucoup de courage aux autorités qui devront effectuer ces mesures pour justifier le contrôle et la perception de taxes sur – finalement – trois ou quatre fournisseurs de service cloud visés par cette cathédrale de critères.
2. Les taxes de contrôle. La méthode d’établissement de cet impôt sur les CTPP est, dans son principe, assez simple. Les autorités européennes établiront la liste des dépenses nécessaires pour déterminer la liste des CTPP à contrôler (donc, l’application de l’analyse multicritères ci-dessus), ainsi que les dépenses ultérieures de contrôle récurrent et les contrôles de la « gouvernance de ce contrôle ». Elles établiront les chiffres d’affaires certifiés des CTPP pour les seuls services rendus au titre du Règlement DORA. La taxe, calculée sur le chiffre d’affaires mondial, sera ajustée en fonction de la criticité du prestataire de service pour l’Union européenne, mais pas sur la criticité des fonctions prises en charge par le CTPP.
Enfin, les ESAs créent un impôt de répartition : le taux de la taxe de contrôle est déterminé par le chiffre d’affaires de chaque CTPP sur le chiffre d’affaires de tous les CTPP soumis à contrôle.
Il ne reste plus qu’à définir le ou les autorités (européennes ou nationales ?) chargées de ce travail de contrôle.
Bien qu’un peu ancien, ce document, sur les menaces cyber destinées aux entreprises, constitue une excellente synthèse des risques dans une classification originale, qui peut être utile à l’ensemble de la profession de l’assurance.
Nous ne reprenons ci-dessous que les têtes de chapitre :
– les attaques par ransomware (demandes de rançons pour retirer le blocage des systèmes/encryptage des données) ;
– les mails de phishing (vol de données personnelles, par exemple) ;
– les attaques « de force brute » visant à voler des mots de passe ;
– les attaques de spear fishing visant des cibles spécifiques ;
– les attaques par « l’homme au milieu » qui intercepte des communications entre deux parties ;
– les dénis de service (DDOS) ;
– les attaques de crypto-jacking (« minage » de cryptomonnaies) ;
– les usurpations d’identité ;
– l’attaque de l’Internet des objets ;
– l’injection de Structured Query Language (SQL) pour capturer des bases de données ;
– « l’ingénierie sociale » ou les « attaques au Président » ou aux cadres dirigeants (usurpations de signature, tromperie) ;
– les logiciels espions (malveillants : vols d’informations) ;
– les attaques liées au cloud.
Cette nomenclature vient compléter et renouveler des listes de types de cyberattaques, notamment celles issues des travaux du FSB.
La première réglementation européenne sur l’intelligence artificielle, l’AI Act, a été adoptée le 2 février 2024 à l’unanimité par les 27 États membres de l’Union européenne, suite au trilogue institutionnel qui avait abouti à un accord de principe le 8 décembre 2023.
Inscrit dans la stratégie numérique de l’UE, l’AI Act ambitionne de garantir de meilleures conditions de développement et d’utilisation de l’IA. Cette réglementation n’a pas vocation à encadrer la technologie en elle-même mais ses cas d’usages, en fonction des risques identifiés.
Rappelons que la Commission européenne avait déposé une première proposition de règlement le 21 avril 2021, portant l’objectif de créer un cadre juridique uniforme au niveau européen pour l’utilisation et la commercialisation des intelligences artificielles, sans pour autant freiner les innovations en la matière. Elle prévoyait une classification des IA en fonction de leur niveau de risques, afin d’encadrer ou interdire les pratiques aux risques les plus élevés et de les soumettre à des obligations spécifiques.
Un texte de compromis de la présidence slovène publié fin 2021 avait remis en cause cette proposition initiale en suggérant de modifier les règles de classification des systèmes d’IA à haut risque pour inclure les applications utilisées dans l’assurance à des fins de tarification, de souscription et d’évaluation des sinistres, compte tenu de risques de discrimination et d’exclusion. Par ailleurs, ce texte élargissait le périmètre des systèmes d’IA entrant dans le champ d’application de la réglementation en incluant désormais, sans aucune distinction, toutes « les approches statistiques », ce qui incluait toute l’assurance laquelle, étant fondée sur la mutualisation et sur l’inversion du cycle de production, est assise par construction sur l’activité statistique.
En mettant sur le même plan l’IA en assurance et l’IA utilisée pour la gestion de sites industriels ou embarquée dans des véhicules autonomes, la proposition de classification du texte de compromis était disproportionnée. Dans le cadre des IA en assurance, il y a réversibilité (ex. proposition d’indemnisation par une IA à la suite de laquelle l’assuré est toujours en mesure de demander une seconde proposition qui sera formulée par un humain). Aussi, cette classification instituait un traitement inéquitable entre l’assurance et d’autres secteurs aux impacts incomparables alors même que l’assurance dispose d’ores et déjà d’un cadre réglementaire strict et protecteur pour les consommateurs.
Dans son approche générale adoptée le 6 février 2022, le Conseil européen avait retenu une définition de l’IA qualifiant les approches statistiques comme étant un composant d’IA et non un système d’IA en tant que tel. Il avait également présenté un périmètre des systèmes d’IA classés à haut risque restreint à l’évaluation du risque et à la tarification en assurance vie et en assurance santé.
Le mandat de négociation adopté par le Parlement européen le 14 juin 2023, présentait une définition de l’IA alignée à celle de l’OCDE – pouvant donner lieu à plusieurs interprétations sur l’inclusion ou non des techniques statistiques et actuarielles dans le champ de l’IA. Le Parlement retenait également un périmètre des systèmes d’IA classés à haut risque sensiblement identique à la version du Conseil : « AI systems intended to be used for making decisions or materially influencing decisions on the eligibility of natural persons for health and life insurance. »
L’accord entre les institutions européennes du 8 décembre 2023 a adopté une définition de l’IA alignée sur celle de l’OCDE. Il ajoute une dérogation à la classification des systèmes d’IA à haut risque présentant exceptionnellement peu de risques significatifs ainsi qu’une réglementation à double niveau des modèles de fondations, dont les IA génératives. Le périmètre des IA à haut risque reste limité aux assurances de personnes, vie et santé.
Les principes du règlement issu de cet accord reposent sur :
– une approche réglementaire fondée sur les risques. Le règlement prévoit notamment un système d’interdiction pour les cas d’usage de l’IA contrevenant au respect des droits fondamentaux de l’UE, comme par exemple certains usages de systèmes de reconnaissance d’émotions. Comme envisagé par la Commission européenne dans sa proposition initiale, il instaure également des obligations renforcées pour les systèmes d’IA à haut risque définis par le règlement lui-même, dont notamment certains qui déterminent l’accès à des services considérés comme essentiels ;
– un système de supervision national et européen dont la mise en œuvre revient en premier lieu aux autorités nationales. Toutefois, notamment pour renforcer la convergence des régulateurs européens, un Bureau de l’IA (AI Office) sera mis en place au sein de la Commission européenne. Un Conseil de l’IA (AI Board), composé de représentants des États membres, aura également pour mission de conseiller la Commission européenne. Ce Conseil de l’IA sera assisté d’un forum de représentants de l’industrie ;
– un système de sanctions proportionnel au risque. Le non-respect des obligations introduites par le règlement peut être sanctionné, la sanction pouvant s’élever, selon la gravité du manquement jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel de l’entité responsable.
Avec cette réglementation qui devra en outre être complétée par un certain nombre de mesures techniques et de mise en œuvre, l’Union européenne se dote d’un dispositif inédit au niveau mondial pour permettre aux systèmes d’IA de se développer dans un cadre de confiance et dans le respect des droits fondamentaux. Le règlement européen sur l’IA entrera en principe en application dans deux ans.
L’adoption de ce cadre juridique européen de l’IA est de nature à assurer davantage de clarté et de prévisibilité juridique pour les acteurs du marché. Néanmoins de nombreuses questions demeurent concernant son interprétation et sa mise en œuvre et du fait des nombreuses interactions avec d’autres textes législatifs et réglementaires. Ce texte pourrait en outre susciter de nouvelles interrogations, s’agissant de la nécessaire évolution du cadre réglementaire ou de son impact sur l’innovation en Europe.
RÉGLEMENTS LUTTE CONTRE
LE BLANCHIMENT ET LE FINANCEMENT DU TERRORISME (LCB-FT)
L’ACPR a adopté le 6 décembre 2022 une nouvelle instruction relative aux questionnaires annuels sur les dispositifs LCB-FT, comportant cinq annexes, dont trois intéressent le secteur de l’assurance : « Questionnaire général » (annexe 1), « Questionnaire simplifié assurance » (annexe 2) et « Guide méthodologique » (annexe 5).
Cette nouvelle instruction est entrée en vigueur le 1er janvier 2024. Elle s’appliquera donc pour la première fois aux données de l’année 2023 qui seront remises en 2024.
Cependant, pour ce premier exercice, afin de permettre aux organismes assujettis d’organiser la collecte des informations, ces derniers ne sont pas tenus de répondre à certaines questions. Concernant les organismes d’assurance, il s’agit des questions suivantes :
– 1 030 : nombre de clients en relation d’affaires, dont les structures juridiques de gestion d’un patrimoine d’affectation (trusts, fiducies, et autres constructions juridiques similaires sans personnalité morale) ;
– 3 360 à 3 400 : questions relatives à la tierce introduction (pourcentage d’entrée en relation d’affaires ayant fait l’objet d’une tierce introduction par une entité hors groupe, proportion de tiers situés hors de France, pourcentage des relations pour lesquelles une vérification indépendante des informations communiquées a été réalisée...) ;
– 3 430 à 3 437 : questions sur les méthodes de vérification de la mise en œuvre des exigences du contrat d’externalisation ;
– 7 976 à 7 981 : questions relatives aux canaux de distribution (recours à des intermédiaires, catégories de ces derniers, part du canal de distribution digital dans les primes collectées en vie...) ;
– 7 994 à 7 997 : questions concernant le montant des rachats précoces, le montant des souscriptions pour lesquelles le souscripteur n’est pas le payeur et le nombre des alertes et déclarations de soupçon où le motif d’origine des fonds est « donation » ;
– 8 080 : nombre de décisions sur l’année de ne pas entrer en relation avec des prospects pour motif LCB-FT ;
– 8 090 : nombre de divergences signalées au registre des bénéficiaires effectifs ;
– 8 240 : pour les clients classés en risque élevé, pourcentage de dossiers disposant d’un justificatif de revenu, de ressources ou de situation financière daté de moins de 2 ans.
Ces nouveaux questionnaires entraînent une augmentation significative du volume des questions qui a quasiment doublé (392 questions au total contre 175 actuellement) et un certain nombre d’évolutions, notamment avec l’apparition de nouveaux types de questions plus granulaires (ex : autoévaluation sur une échelle de 1 à 4). Par ce nouveau questionnaire, l’ACPR anticipe le futur cadre européen en matière de LCB-FT, dont notamment la création d’une nouvelle autorité de supervision européenne.
Les organismes assujettis devront remettre les données de l’année N-1 le 31 mars de chaque année (au lieu du 28 février actuellement), à l’exception du tableau B4 qui est adressé au plus tard le 30 juin.
Ce nouveau questionnaire prévoit de nouveaux formats de réponse puisque certaines questions nécessitent de fournir un pourcentage ou encore une autoévaluation basée sur une échelle à 4 degrés selon une méthodologie précisée par l’ACPR dans son guide méthodologique. Les tableaux du questionnaire sont signés par les personnes assurant la direction effective des organismes.
Comme précédemment, ce questionnaire concerne les entreprises d’assurance qui réalisent des opérations relevant des branches 20 à 26 mentionnées à l’article R. 321-1 du Code des assurances. Les entreprises d’assurance réalisant des opérations d’assurance relevant des branches 1 à 18 remettent à l’ACPR uniquement le tableau BLANCHIMT B2-1 « Responsable du dispositif LCB-FT, correspondant/déclarant Tracfin, responsables du contrôle permanent et du contrôle périodique du dispositif LCB-FT » (pas de changement sur ce point).
Par dérogation, certains organismes d’assurance vie seront désormais soumis à un questionnaire simplifié. Il s’agit des organismes répondant à l’une des conditions suivantes :
– ils relèvent du risque faible (au sens de l’article R. 561-16 du CMF) ;
– ils ne présentent pas de valeur de rachat ;
– ils constituent des PER ;
– ils fournissent d’autres produits et services, que ceux mentionnés ci-dessus, à condition que ces autres produits ou services représentent moins de 1 million d’euros de primes annuelles et moins de 10 millions d’euros de provisions techniques.
Le service spécialisé du ministère des Finances dans la collecte des « déclarations de soupçon » liées à la lutte contre le blanchiment de capitaux et le financement du terrorisme, présente son Rapport annuel.
Les tendances d’évolution de la menace concernent l’utilisation des cryptomonnaies pour le blanchiment des produits d’activités criminelles (les rançons obtenues des victimes des pirates du Web), pour le blanchiment de fraude fiscale et le financement du terrorisme.
Les assureurs sont interpellés sur l’utilisation des produits de luxe et sur la gestion des « rançongiciels ». On se souvient du débat parlementaire sur l’essai d’interdiction de la garantie des paiements de « rançons » sur les cryptages de systèmes informatiques, sans doute impulsé par Tracfin.
Les « cas type » développés par Tracfin illustrent plus ou moins ce propos. Le cas n° 17, acquisition « intermédiée » de biens de luxe, ne montre pas en quoi une entité d’assurance intervient dans ce qui apparaît comme une sorte d’utilisation abusive de carte bancaire, sinon en ceci que les biens acquis n’ont pas été assurés, ce sur quoi l’assureur ne peut guère intervenir. Le cas n° 25 traite du blanchiment des fonds issus d’une rançon cyber. Là encore, le rôle des assureurs qui sont ceux de la victime du piratage informatique n’apparaît pas très clair.
Dans un arrêt rendu le 27 septembre 2023 la chambre commerciale de la Cour de cassation a sanctionné une entreprise, ayant comme activité la distribution en France de cartes bancaires prépayées, au motif que le non-respect par cette entreprise des obligations du Code monétaire et financier pour lutter contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT) lui conférait un avantage indu, qui peut être constitutif d’une faute de concurrence déloyale.
Cette décision constitue un signal fort pour les acteurs bancaires et financiers et ceux de l’assurance qui sont assujettis à la réglementation LCB-FT.
RÈGLEMENT SUR LA PROTECTION DES DONNÉES PERSONNELLES (RGPD)
Ce lourd document (200 pages) est surprenant dans ses intentions : alors que le RGPD organisait la restriction de la circulation des données dites « personnelles » à l’intérieur et vers l’extérieur de l’Union européenne, ce Règlement (abusivement qualifié de « loi ») a pour but de développer un marché concurrentiel des données, d’assurer l’équité dans la « répartition de la valeur produite par les données », de favoriser l’innovation et de rendre les données plus accessibles à tous. Les données sont donc des porteurs de valeur, d’où qu’elles proviennent (appareils connectés, Internet des objets). Elles peuvent être échangées et leur utilisation peut donner lieu à compensation financière. Heureusement, cet accès libertaire, favorable au déploiement du Big Data, est tempéré par la mise en place de « garde-fous » contre le transfert illicite de données.
Il est prévu d’organiser, dans chaque État membre, une gouvernance des données, dite « Coordinateur des données ». Le risque est évidemment pour la France que cette tâche soit confiée à la Cnil.
Quoi qu’il en soit, à ce stade et dans l’attente de la publication du texte final, les institutions européennes semblent avoir compris l’intérêt pour l’économie de l’Union d’organiser un « marché des données » sur le marché unique européen, en publiant l’objectif de « faire de l’Union un chef de file dans notre société fondée sur les données ». Le messianisme de l’exemplarité est agaçant mais l’idée est louable. Pour les assureurs, cette démarche va probablement pousser dans le sens de l’utilisation (après acquisition) des données issues des appareils connectés (automobile, sécurité des immeubles), et donc de la généralisation de la tarification fondée sur la valeur du risque, et non plus sur la gravité/fréquence/coût moyen des sinistres. Le Règlement va devoir affronter les théoriciens de la confidentialité des données, mais il est probable qu’il ouvre une voie réglementaire à la libéralisation des données et donc favorise la digitalisation de la profession d’assurance.
L’essentiel de ce Règlement tient dans la création de l’ESAP (European Single Access Point), plateforme de consultation des informations publiques financières et non financières (CSRD) concernant les entreprises et les produits d’investissement dans l’ensemble de l’Union. L’ESAP serait disponible à partir de l’été 2027 (!).
Le texte est pratiquement consacré à l’organisation de la plateforme, après que la Commission ait rappelé que l’ESAP était un élément majeur de l’Union des marchés de capitaux, en complément de la démarche du Green Deal sur la durabilité et assure un lien avec le devoir de vigilance et les dispositions sur les due diligence en matière de taxonomie.
Le Règlement confie la gestion de l’ESAP à l’ESMA. L’accès devrait être gratuit sous réserve de la facturation de frais par l’ESMA : il n’est donc probablement pas gratuit.
L’ESMA est chargée de dresser la liste des « organismes de collecte » des informations publiées par les entités ; ces organismes collectent les informations, les valident et peuvent rejeter celles-ci. Mais ils ne sont pas responsables de l’exhaustivité et de l’exactitude des informations, qui revient aux entités. Cette tâche peut être déléguée.
Enfin, l’ESMA et les organismes de collecte ne peuvent être tenus responsables de l’usage des informations. Le Règlement affirme également la parfaite conformité de tout ceci avec le RGPD.
La lecture de ce Règlement, présenté par les ESAs dans leur programme annuel comme une démarche majeure, est une obligation de résultat pour elles et ne manque pas d’interroger. Est-il indispensable de transformer l’ESMA en bibliothécaire des informations données par 50 000 entreprises européennes ? Ce pharaonique projet, dont à aucun moment on n’explique à quoi et qui il sert, va peser sur les finances des autorités européennes pendant près de 4 ans, pour offrir une information que chaque entreprise, soumise à la CSRD, est tenue de publier sur son site Internet.
Dans le cadre des travaux du Comité européen de protection des données (EDPB) sur le thème des transferts internationaux de données à caractère personnel, plusieurs lignes directrices et recommandations importantes relatives aux transferts de données ont été adoptées en 2022.
En ce qui concerne les règles d’entreprise contraignantes pour le responsable du traitement (désignées par l’acronyme anglais « BCR-C »), l’EDPB a publié les « Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR) » qui ont fait l’objet d’une consultation publique. Une fois le texte final adopté, ces recommandations remplaceront le WP256 rev.01 (le « référentiel BCR-C ») et le WP264 (le document contenant le formulaire d’application standard pour les BCR-C). Ce document contient en outre les accords trouvés dans le cadre des procédures d’approbation des BCR-C depuis l’entrée en vigueur du RGPD, ainsi que les exigences du jugement Schrems II de la CJUE.
RÉGLEMENTATION ANTICORRUPTION
Ce document, tardivement parvenu, traite essentiellement de l’activité de l’AFA en 2021. L’Agence a traité 900 affaires, qui ont donné lieu à 342 condamnations, avec un fort taux de relaxe des prévenus. La corruption représente près de 50 % des condamnations.
L’information principale tient dans le diagnostic national de 2022 sur la mise en place des mesures anticorruption dans les entreprises : 88 % disposent d’un code de conduite, 86 % d’un système d’alerte interne, 76 % d’une cartographie des risques de corruption et 66 % d’un dispositif de contrôle interne.
En 2022, 198 contrôles de l’AFA ont porté sur les acteurs économiques.
L’AFA a donc délibérément tourné son action vers les acteurs publics. Cependant, les « signalements » concernent fortement l’industrie : 54 %, dont seulement 2 % des activités financières, dont l’assurance.
L’Observatoire de l’éthique publique en collaboration avec la Chaire de droit des contrats publics de l’université Jean Moulin Lyon 3 a publié une trentaine de recommandations sous forme de propositions législatives dans le cadre d’un Livre blanc intitulé « Pour une loi Sapin 3 visant à renforcer la lutte contre la corruption et les autres atteintes à la probité ».
Les auteurs considèrent que les efforts de la France doivent se poursuivre pour consolider son attractivité économique, accroître les performances économiques et commerciales de ses entreprises à l’international et renforcer la confiance des citoyens en ses institutions.
Leurs propositions ont essentiellement pour objectif de perfectionner les dispositifs déjà créés par la loi plutôt que d’en créer de nouveaux. Le livre blanc entend ainsi conforter les missions de conseil et de contrôle de l’Autorité française anticorruption (AFA), notamment à l’égard des acteurs publics, combler certaines lacunes en matière de transparence dans la commande publique et les contrats de vente d’immeuble public relevant du domaine privé des personnes publiques, renforcer la justice négociée en clarifiant le régime de la convention judiciaire d’intérêt public (CJIP) dans la continuité de la loi du 24 décembre 2020 relative au Parquet européen, à la justice environnementale et à la justice spécialisée, améliorer les contrôles déontologiques dans la fonction publique et l’encadrement des représentants d’intérêts.
Ces recommandations s’inscrivent dans le prolongement de la proposition de loi visant à renforcer la lutte contre la corruption présentée par M. le député Raphaël Gauvain (n° 4586, enregistrée à la présidence de l’Assemblée nationale le 19 octobre 2021). Mais elles s’en écartent, rejetant notamment l’idée d’un transfert des compétences de l’AFA à l’égard des acteurs publics à la Haute Autorité pour la transparence de la vie publique (HATVP), et la complètent, en suggérant par exemple d’élargir le champ de la transparence en matière de contrats passés par les personnes publiques ou d’améliorer le système des contrôles déontologiques dans la fonction publique.
INVESTISSEMENT DURABLE, RÉGLEMENTATIONS ESG
La Commission européenne (EC) a demandé aux trois autorités européennes de supervision (EBA, EIOPA, ESMA) leur avis sur les thèmes suivants liés au greenwashing :
– définir le greenwashing ;
– exemples de cas et de réclamations afférentes au greenwashing ;
– supervision du greenwashing, difficultés de la tâche ;
– statut de la mise en œuvre de la réglementation de la finance durable ;
– lacunes, instabilités, problèmes de la réglementation actuelle pouvant occasionner un possible greenwashing.
L’EIOPA a fait paraître cet avis avant le lancement d’une consultation prévue au mois de décembre et à l’issue de laquelle elle publiera un rapport définitif en mai 2024.
L’approche choisie par le superviseur s’appuie sur quatre assertions :
– le greenwashing a un impact non négligeable sur les consommateurs (clients) de produits d’assurance et de retraite dans la mesure où ils pourraient souffrir du fait que le produit acheté ne serait pas en ligne avec leurs préférences ou bien si l’entité fournisseuse était convaincue de tentative de greenwashing. Commentaire : cet argumentaire est faible et risque de le rester, le client étant beaucoup plus intéressé par le rendement du produit que par le risque de greenwashing qu’il recèle ;
– ce phénomène de greenwashing peut se manifester à différents stades des cycles de vie de l’assurance, au niveau de l’entité, de la conception du produit, de la distribution ou du pilotage ; pour les fonds de pension le risque de greenwashing peut se concrétiser dans la conception des plans, dans la distribution ou le pilotage ;
– pour s’attaquer au greenwashing l’EIOPA estime nécessaire de disposer d’une supervision appropriée (la sienne peut-on présumer) ce qui implique un personnel spécialisé plus nombreux dans les autorités nationales compétentes (NCA). Commentaire : l’EIOPA n’hésite pas à demander aux NCA d’augmenter leur charge de travail et aux États d’en assumer le coût ;
– dans le cadre réglementaire actuel de nombreux défauts, lacunes et instabilités ont été relevés lors des différents exercices de regroupement de données auxquels a procédé l’autorité de supervision.
L’EIOPA et les ESA ont choisi de répondre à l’EC par un rapport en trois parties :
– fourniture des cas et réclamations relevant du greenwashing afin d’extraire une compréhension de « haut niveau » du greenwashing et une définition sectorielle du phénomène ;
– regroupement et centralisation de l’expérience acquise par les NCA, identification des pratiques de supervision appliquées, évaluation du respect des obligations de durabilité, manière dont les NCA appliquent leurs obligations de supervision ;
– propositions d’amélioration du cadre réglementaire.
Les ESAs se sont mis d’accord pour proposer une définition du greenwashing qu’ils estiment de « haut niveau » : « Une pratique par laquelle les états, déclarations ou communications relatives à la durabilité ne reflètent pas de façon claire et juste le profil de la durabilité sous-jacente d’une entité, d’un produit financier, ou de services financiers. Cette pratique peut-être trompeuse pour les consommateurs, investisseurs ou autres participants au marché. » L’EIOPA a tenté d’illustrer par des cas concrets cette définition de « haut niveau » aucun n’est vraiment convainquant, par contre certains exemples sont assez compliqués et révélateurs d’une volonté de rechercher les niches de greenwashing comme d’autres sont à l’affût de niches fiscales.
Cela étant le rapport donne des exemples de non-conformité avec le Sustainable Finance Disclosure Regulation (SFDR), en particulier pour des produits d’assurance vie multi-options (MOP) assujettis à l’article 8 avec une option d’investissement unique pouvant amener à un greenwashing. Ce cas de figure doit être assez rare. Par ailleurs, pour les Insurance Based Investment Products (IBIPs), l’EIOPA estime insuffisante l’information donnée sur les investissements durables, cantonnée en général au prospectus sur les fonds sous-jacents. Parmi différents exemples de greenwashing est signalé le cas de fonds classifiés initialement en article 9 et reclassés article 8. L’EIOPA estime qu’il y a greenwashing si l’entité ne propose pas de solution de remédiation.
Comment les NCA ont-elles entrepris la supervision du greenwashing ? Le rapport indique le faible effectif (22 FTE) spécialisé dans les tâches de supervision de la durabilité. Au mois de février 2023 trois NCA seulement avaient identifié au moins un cas, cinq enquêtaient sur des cas potentiels, les 21 NCA restants n’avaient rien identifié ou déclaré. Parmi les pratiques diverses utilisées le superviseur relève l’utilisation d’un outil « suptech » vérifiant la conformité des informations réglementaires, un autre outil analysant le texte des prospectus est également employé pour traquer le potentiel greenwashing. D’autres NCA ont mis en place des conseils internes sur le sujet au sein de leurs équipes de contrôle. L’EIOPA indique que les NCA pensent avoir les moyens suffisants pour contrôler et enquêter sur les cas de greenwashing.
Faut-il un développement réglementaire ? Le superviseur va examiner si les participants au marché financier tiennent compte des indicateurs DNSH à savoir les indicateurs « Principal Adverse Impact, PAI » cités à l’article 4 du SFDR et sur lesquels l’EIOPA compte beaucoup. En effet le superviseur considère la classification des fonds en catégorie 8, celle qui promeut les catégories ESG, ou en catégorie 9, celle qui qualifie un investissement durable, requiert des informations complémentaires. Partant de cette constatation l’EIOPA propose de labelliser les fonds article 9. En outre elle souhaite voir renforcer sa compétence sur les concepteurs de produits en amendant l’article 13 du SFDR. Accessoirement l’EIOPA en appelle à une distinction claire de ce qui est/n’est pas greenwashing. Pas sûre que la Commission soit enchantée par cet avis.
Le 18 juillet 2023 l’Institut des actuaires (IA) a fait paraître une synthèse des textes réglementaires en matière de durabilité, textes européens et français. Le document de 166 pages est divisé en trois chapitres : durabilité, produits financiers, SolvencyII. Chacune des réglementations est présentée sous forme de fiche donnant les références réglementaires, les liens hypertextes, un résumé, les enjeux, le détail des éléments clés, l’obligation d’un contrôle externe, les conséquences pour les actuaires, les difficultés de conformité. Ce document est à recommander pour qui veut mener une étude ou vérifier un point de réglementation.
Le premier chapitre résume en neuf sections la réglementation relative au reporting déjà appliquée ou en projet en juillet 2023. Les neuf sections traitent successivement de la taxonomie climatique, de la taxonomie environnementale (en projet), de la Sustainable Finance Disclosure Regulation (SFDR), du décret d’application de l’article 29 de la loi Énergie climat, de la déclaration de la performance extra-financière (DPEF), du devoir de vigilance selon les réglementations française (en application) et européenne (en projet), de la Corporate Sustainability Reporting Directive (CSRD) (en projet), des IFRS Sustainability Disclosure Standards (en projet).
Le chapitre suivant regroupe les éléments essentiels sur la réglementation appliquée aux produits financiers, au conseil ou à la stratégie. Sur quatre sections sont exposées le règlement dit « benchmark », la Directive Distribution Assurance (DDA, IDD en acronyme anglais), la directive MiFID II (Market in Financial Instruments II), la loi PACTE.
Le chapitre trois est consacré aux conséquences de ces nouvelles réglementations sur Solvency II. Dans la rubrique « Résumé » de la révision du pilier 1 de S II, l’IA rappelle que dans la proposition de révision transmise par la Commission au Parlement et au Conseil européen il est prévu de confier deux mandats à l’EIOPA, l’un pour étudier un « éventuel traitement prudentiel spécifique des expositions des actifs aux objectifs environnementaux ou sociaux », l’autre pour identifier dans le risque Cat’ Nat’ s’il existe un écart entre le capital requis au titre du sous-module SCR Cat’ Nat’ et le risque réel. Dans la partie « Détail des éléments clés », l’IA a extrait du texte de l’EIOPA ce qui a trait au traitement prudentiel des risques de durabilité selon trois angles : l’exposition des actifs financiers aux risques de transition, l’effet des mesures d’adaptation au climat sur le calcul des risques de prime, sur le calcul des réserves et sur le risque de catastrophe naturelle. Pour le risque de prime, l’IA fait observer qu’il s’agit de comparer l’effet de souscriptions avec ou sans mesures d’adaptation. La traduction des risques sociaux en risques prudentiels via les opérations d’investissement et de souscription abordée par l’EIOPA relève, pour l’IA, des piliers 2 et 3.
Ce chapitre 3 traite également du projet d’intégration du risque climatique dans l’ORSA. Cette intégration s’appuiera sur l’analyse de l’exposition aux risques climatiques sur des horizons longs, dans le détail il s’agit d’évaluer le risque climatique à court et à long terme en se fondant sur un scénario inférieur à 2 °C et un scénario au-delà. Deux facteurs de risque sont liés au changement climatique, les risques de transition (risques politiques, légaux, technologiques, réputationnels), les risques physiques (Cat’ Nat’, risques chroniques tels l’augmentation de la température, du niveau des océans, ou diminution de la biodiversité).
Dans chacun des cas passés en revue, une rubrique est consacrée à l’intervention des actuaires, dont il ressort que la profession est et sera sollicitée de façon croissante.
Ce rapport qui date du mois de juillet 2022 figure dans cette chronique malgré son ancienneté car la réglementation SFDR (Sustainable Finance Disclosure Regulation), parue en avril 2022, dispose à l’article 18 qu’un point sera fait chaque année par les ESA (European Supervisory Authorities) à compter de septembre 2022 sur la communication volontaire effectuée par les participants au marché financier sur leur site internet. Elle portera, lorsqu’ils prennent en compte les principales incidences négatives d’un investissement (acronyme anglais : PAI), sur les facteurs de durabilité, et comportera « une déclaration sur les politiques de diligence raisonnable (initiées par les entités) en ce qui concerne ces incidences compte tenu de leur taille, de la nature et de l’étendue de leurs activités ainsi que des types de produits financiers mis à disposition ». À la lecture de ce texte imprécis on peut comprendre que les participants au marché n’aient pas marqué un enthousiasme effréné pour alimenter leur site.
Ce document rend compte à la Commission de cette première enquête sur cette information livrée de façon volontaire par les Financial Market Participants (FMP). Pour la réaliser l’ESA a adressé un questionnaire aux autorités nationales compétentes (NCA) pour savoir ce qui avait été fait dans leur juridiction et signaler les best practices.
Des 33 réponses obtenues les ESA ont tiré l’impression d’une grande disparité des réponses, ensuite elles ont observé un niveau de conformité plus important chez les FMP appartenant à un groupe susceptible de mettre à disposition de ses membres une approche pour identifier et donner la priorité aux PAI et à d’autres polices d’engagements. Par ailleurs les ESAs ont constaté dans certains cas une pratique consistant à inclure dans la due diligence des risques de durabilité ou des polices d’exclusion en classant les contreparties sur la base de facteurs ESG ou sur des préférences pour les contreparties avec de meilleures caractéristiques ESG.
Autre observation : la conformité est assez peu détaillée. Les FMP ne fournissent pas d’indication quant à leur intention de considérer ces incidences négatives et quand une explication est fournie l’accent est mis sur la difficulté à satisfaire des exigences réglementaires incertaines et incomplètes, sur le manque d’information et de méthodologie, et sur la façon d’obtenir des données de la part des émetteurs. La révolte gronde !
Quelques NCAs ont fait savoir leur intention d’enquêter sur la non-conformité à l’article 4 du SFDR dans les entités qu’elles contrôlent. Mais un certain nombre de NCA refusent d’assurer le suivi de l’application de cet article qui n’entre pas dans leurs priorités. La révolte s’amplifie !
La majorité des NCA reconnaît que l’information sur la communication est d’accès facile. Par contre le degré d’alignement avec les objectifs de la COP de Paris est très faible et quand une justification est donnée l’ESA la qualifie de vague et comme manquant de détails. Là aussi les autorités de supervision espèrent des progrès.
Le rapport donne en annexe des exemples de best practices qui lui ont été remontées par les NCA. Ces bonnes pratiques résulteraient de la visibilité améliorée de la communication.
Les ESAs se refusent donc de tirer des conclusions à ce stade, elles sont en attente de la mise en œuvre des RTS attendus pour rédiger leurs recommandations à la Commission européenne.
Pour répondre aux besoins massifs de financement afin de faire de la France la championne de l’industrie verte en Europe, la loi du 23 octobre 2023 relative à l’industrie verte comporte un volet en vue de mobiliser l’épargne privée en la fléchant en priorité en faveur des industries vertes.
L’article 32 procède à la réécriture de l’article L. 131-1-2 du Code des assurances qui prévoit déjà l’obligation dans les contrats d’assurance vie de référencer des unités de compte constituées de valeurs mobilières ou d’actifs ayant obtenu les labels reconnus par l’État satisfaisant aux objectifs de transition écologique ou d’investissement socialement responsable. Par ailleurs, il prévoit l’obligation de prendre en compte les préférences en matière de durabilité du titulaire dans le cadre de l’obligation de conseil lors de l’adhésion à un PER individuel. Ces dispositions entrent en vigueur le 1er janvier 2024.
L’article 34 met en place le plan d’épargne avenir climat (PEAC) à destination des personnes âgées de moins de 21 ans. Il prend la forme d’un contrat de capitalisation ou d’un compte-titres. Le PEAC est clôturé lorsque le titulaire atteint l’âge de 30 ans. Les rachats partiels sont possibles dès lors que le plan a été ouvert depuis plus de 5 ans et que son titulaire a atteint l’âge de 18 ans. Cette disposition entre en vigueur à une date fixée par décret et au plus tard le 1er juillet 2024.
Lorsque le PEAC est ouvert sous la forme d’un contrat de capitalisation, les versements sont notamment affectés à l’acquisition de droits exprimés en unités de compte (UC) constituées de titres financiers qui contribuent au financement de la transition écologique et selon une allocation permettant de réduire progressivement les risques financiers pour le titulaire.
Pour les contrats comportant des garanties exprimées en unités de compte, l’article 35 oblige à référencer des allocations d’actifs profilées qui sont réglementairement définies et comprennent une part minimale d’UC constituées d’organismes de placements collectifs investis en actifs non cotés ou de titres éligibles au PEA PME-ETI. Concernant le plan d’épargne retraite (PER), il prévoit que les allocations réglementairement définies le concernant comprennent également une part minimale composée de ce type d’UC. Il autorise le recours à une valeur estimative pour ces UC constituées d’organismes de placements collectifs investis en actifs non cotés ou de titres éligibles au PEA PME-ETI.
Par ailleurs, l’article 35 prévoit également les dispositions suivantes :
– l’interdiction du recours à des tables de mortalité sexuées pour les contrats de retraite d’entrepris. Cette interdiction s’applique aux contrats conclus et aux adhésions à des contrats d’assurance de groupe effectuées un an après la publication de la présente loi, qui est intervenue le 24 octobre 2023, et à ces contrats et adhésions reconduits tacitement après cette date ;
– l’encadrement du mandat d’arbitrage en matière d’assurance sur la vie ou d’opération de capitalisation ;
– la mise en place un devoir de conseil tout au long de la « vie » du contrat et la prise en compte des préférences en matière de durabilité de l’assuré dans le cadre du devoir de conseil ;
– la création par le Comité consultatif du secteur Financier (CCSF) d’un observatoire des frais et de la performance des contrats d’assurance sur la vie et des opérations de capitalisation, des compte-titres, des PER individuels, des PEA, des PEA PME-ETI et des PEAC ;
– la modification de l’information annuelle concernant les frais ;
– dans le cadre du dispositif d’information sur l’épargne retraite via le site Info-Retraite géré par le GIP Union-Retraite, l’autorisation donnée à celui-ci de communiquer aux gestionnaires de produits d’épargne retraite la date du décès du titulaire, la date de la liquidation par le titulaire de sa pension dans un régime obligatoire d’assurance vieillesse ainsi que les rectifications relatives aux données d’identification transmises par les gestionnaires à l’exclusion du numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR) ;
– l’habilitation conférée au pouvoir réglementaire de fixer le niveau maximal des frais en cas de transfert d’un ancien contrat retraite vers un PER ;
– l’inclusion des UC constituées de parts de fonds d’organisme de financement dans la liste de celles dont la sélection est subordonnée à la situation financière, aux connaissances ou à l’expérience en matière financière du contractant ainsi que la non-application de ces conditions lorsque le contrat a fait l’objet d’un mandat d’arbitrage ou lorsque les UC sont constituées de part de fonds « ELTIF retail ».
Ces dispositions entrent en vigueur un an après la publication de la loi.
L’article 36 autorise le décantonnement du PERP dès lors que les engagements afférents à celui-ci ont été transférés dans le canton « PER » ou dans un FRPS.
L’article 37 abaisse le délai maximal de préavis pour changer de gestionnaire de PER à six mois au lieu de dix-huit mois.
L’article 38 prévoit la possibilité d’un transfert collectif des anciens contrats retraite d’entreprise vers un PER d’entreprise obligatoire.
Plusieurs textes d’application restent en attente en vue de la mise en œuvre effective de l’ensemble des dispositions de la loi.
Ce décret fixe la liste, les modalités de délivrance et les critères des labels reconnus par l’État au titre du financement de la transition énergétique et écologique ou de l’investissement socialement responsable modifiant l’article L. 131-1-2 du Code des assurances
Ces labels répondent à un référentiel (cahier des charges) défini par décret qui détaille les critères environnementaux, sociaux et de gouvernance (ESG) à respecter pour l’obtention de ces labels.
Pour le label ISR (investissement socialement responsable) actuel, les principaux critères sont une élimination des 20 % plus mauvaises valeurs d’un univers d’investissement, ainsi que des obligations en matière d’engagement.
Pour le label Greenfin, il s’agit d’un pourcentage minimal d’investissement dans des secteurs durables (énergie, bâtiment, gestion des déchets, industrie...) et des exclusions (charbon, gaz, nucléaire).
Les labels, propriété de l’État, sont attribués par des organismes désignés par le ministère (pour ISR : EY, Deloitte et AFNOR), qui évaluent la conformité des fonds candidats au référentiel.
À ce jour, la liste des labels reconnus ne change pas (ISR et Greenfin). Ces deux labels sont en cours de révision, en s’appuyant sur leur propre modèle de gouvernance. Des labels supplémentaires (ou des déclinaisons) pourront également être reconnus.
La Corporate Sustainability Reporting Directive (CSRD) est approuvée en fin décembre 2022. Elle oblige les entreprises les plus importantes à un reporting extra-financier puis, progressivement, pratiquement toutes les entreprises de plus de 250 salariés de 25 millions de bilan et/ou de 50 millions de chiffre d’affaires à partir de 2024 soit, à terme, 50 000 entreprises en Europe, ainsi que les filiales (importantes) en Europe de Groupes implantés dans les pays tiers. Ce reporting couvre l’ensemble de l’activité de l’entreprise au titre des questions environnementales, sociales et de Gouvernance. La Commission a chargé l’European Financial Reporting Advisory Group (EFRAG) de construire les normes de reporting afin d’organiser le reporting CSRD sous des standards communs. Ces standards ont été approuvés à la fin de 2023 et s’appliqueront, par conséquent, en 2025 sur l’exercice 2024 puis, pour les grandes entreprises, non soumises à l’ancienne Directive NFRD, en 2026 sur l’exercice 2025, et pour terminer en 2028 (pour 2027) pour les entreprises hors Union, ayant une activité significative en Europe.
La présentation du projet de l’EFRAG, quoiqu’ancienne, montre efficacement l’articulation des normes de reporting. Il est prévu 3 « strates » de reporting (tous secteurs ou « agnostique » ! /sectorielle/spécifique à l’entreprise), 3 sujets de reporting (E, S, G) et 3 dimensions (la stratégie, la mise en œuvre et la mesure de performance). L’ensemble doit présenter les divers sujets après une analyse de matérialité (qui est prévue comme obligatoire pour tous les sujets, sauf les informations regroupées sous le terme ESR 2 « informations générales »). Cette analyse est fondée sur le principe de la « double matérialité » : matérialité financière, c’est-à-dire les effets financiers que les facteurs de durabilité peuvent avoir sur l’entreprise et la matérialité d’impact, c’est-à-dire l’impact que l’entreprise peut avoir sur la population ou l’environnement (ces principes sont déclinés dans la norme ESR 1).
La norme ESR 1 définit la partie des normes qui couvrent les entités (entreprises) incluses dans le périmètre de consolidation comptable, mais aussi les acteurs de la chaîne de valeur du Groupe, upstream et downstream (fournisseurs, sous-traitants, commerciaux).
La norme ESR 2, est dite « transversale » et donne les principes pour toutes les obligations d’information. Elle se décompose en 10 normes (GR) de « nature générale » (secteur d’activité, éléments clés de la haîne de valeur, clés de la création de valeurs), 5 normes (SBM) sur la stratégie et le modèle d’affaires, 5 normes (GOV) sur la gouvernance de la durabilité, 3 normes (IRO) sur la description de l’analyse de la matérialité.
Les normes de disclosure sont d’abord l’ESR E1 sur le changement climatique qui décrit la stratégie, sa mise en œuvre et la mesure des performances, en particulier la réduction des émissions de gaz à effet de serre selon les 3 « scopes », en distinguant le risque brut et le risque résiduel après application des politiques d’atténuation ; l’analyse de 2 scénarios (au minimum) : de fortes émissions de GES et le scénario de réalisation de l’objectif à 1,5 °C, et la description de la contribution des diverses mesures prises aux objectifs de réduction des émissions de gaz à effet de serre en 2030 et 2050.
L’ESR E2 « pollution » contient 5 sous-normes : l’air, l’eau, le sol, les substances préoccupantes (Directive REACH) et les activités habilitantes pour prévenir, contrôler, réduire, éliminer la pollution.
L’ESR E3 concerne l’eau et les ressources marines et décrit leur utilisation par l’entité en distinguant, comme dans chaque ESR, les politiques, les objectifs, les plans d’action et la mesure de la performance.
L’ESR E4 traite de la biodiversité avec la même déclinaison de sujets, mais avec des difficultés à établir des critères de performance : la norme se réfère au texte du SFDR « Activités qui affectent négativement (PAI) les zones sensibles de la biodiversité ».
L’ESR E5 traite de l’utilisation des ressources et de l’économie circulaire (en français commun, la gestion des déchets) avec 5 sous-normes : les ressources et matières utilisées, les produits destinés à l’économie circulaire, les déchets, les mesures pour optimiser l’utilisation des ressources et les actions menées dans la chaîne de valeur (relations avec fournisseurs, sous-traitants et clients).
Les ESRS sociaux sont considérablement détaillés dans 4 sous-normes : les salariés de l’entreprise, ceux des participants à la chaîne de valeur (les sous-traitants notamment), les affected communities (termes dont l’obscurité est complète pour l’auteur de cet article) et les consommateurs. L’EFRAG explique que ces trois dernières sous-normes seront développées dans un deuxième paquet de normes. Quant au contenu de la norme ESRS S1 (les salariés), on peut considérer qu’il regroupe des normes du droit du travail (négociation collective, rémunération, Sécurité sociale), des normes plus sociétales (équilibre entre le travail et la vie personnelle, égalité des salaires entre les genres) ou des éléments liés au respect des droits de l’homme (non discrimination, emploi des handicapés).
Les normes ESRS G1 et 2 traitent de la gouvernance, de la gestion du risque et du contrôle interne : c’est, en pratique, la composition de l’AMSB et le respect des bonnes pratiques en matière d’Enterprise Risk Management. ESRS G2 est une description de la conduite des affaires dans l’entreprise : éthique, anticorruption, les activités de lobbying, les délais de paiement des fournisseurs, etc.
Au total, cet ensemble de normes, dont on rappelle qu’une partie seulement est publiée, implique une lourde charge de travail pour les entreprises soumises à la CSRD. En effet, les obligations de reporting se mesurent de la façon suivante :
– ESR 1 et 2 : 12 requêtes d’information ;
– les objectifs environnementaux : 32 requêtes ;
– les objectifs sociaux : 32 requêtes ;
– la Gouvernance : 6 requêtes.
Pour chaque obligation d’information (Disclosure requirement, DR), la norme prévoit des data points, éléments d’information qui doivent être renseignés. À titre d’exemple, le DR sur le changement climatique compte 220 data points.
Par ailleurs, le projet de normes EFRAG introduit (ou développe) quatre sujets majeurs.
– la « double matérialité » (sur laquelle la Commission insiste fermement) et qui développe l’idée que l’entreprise est exposée aux risques environnementaux à travers ses investissements (on rejoint là la logique de la taxonomie), mais aussi qu’elle crée des risques pour l’environnement (logique des « Potential Adverse Impacts » et des « Do not significantly Harm ». DNSH d’autres réglementations). [Voir sur ce sujet le développement, dans divers documents, d’une « matrice de double matérialité » financière et d’impact qui montre l’extension du domaine du reporting liée à cette notion de double matérialité] ;
– elle étend les obligations de communication à l’ensemble de la chaîne de valeur (fournisseurs, sous-traitants) ;
– elle crée le processus, quasi général, de vérification ou d’établissement de la matérialité des sujets sur lesquels l’entreprise doit faire un rapport. Le document de septembre 2023 de KPMG (page 14) définit très clairement les étapes et modalités de ce test de matérialité (voir aussi le tableau de la Commission. Appendice E de la norme ESR 1) ;
– elle démontre la nécessité, rendue obligatoire par la CSRD, d’un audit externe (dit dans les textes « assurance ») pour certifier le contenu du rapport extra-financier.
Reste la question complexe du lien entre la norme CSRD-EFRAG et les divers autres textes normatifs, le SFDR pour l’Europe, ainsi que la taxonomie, mais aussi les travaux de l’ISSB (plus connus sous le nom de normes IFRS) et, heureusement, (l’EFRAG s’y réfère), les obligations de reporting de la « Securities Exchange Commission » américaine(SEC).
Le document « Get ready for ESRS » de septembre 2023 de KPMG contient, en outre, deux informations importantes.
– les normes EFRAG contiennent des dispositions sur le reporting « taxonomie » des entreprises. Elles doivent fournir des informations sur chacune de leurs activités et dire si elles sont « éligibles » ou « alignées » au regard de chacun des 6 objectifs du Green Deal, calculer le pourcentage du chiffre d’affaires (éligible ou aligné), le pourcentage de Capital ou Capex et le pourcentage de dépenses opérationnelles ou OPEX. Elles doivent également publier leur contribution à l’objectif, commenter leur conformité aux effets secondaires de chaque objectif sur les autres (le principe de Do Not Substantially Harm, DNSH) et le respect des minimum safegards (les obligations dans les domaines « sociétaux » et de Gouvernance de l’ESG). La cohérence avec les normes EFRAG, issues de la CSRD, n’est pas garantie ;
– la CSRD et les normes EFRAG devront faire l’objet d’un audit externe dit « limited assurance » pour les exercices 2024 à 2027 (Rapport soumis en 2028) et, au-delà, pour les années 2028 et 2029 (Rapports en 2029 et 2030) d’un audit en reasonable assurance (exhaustif). Les entreprises devront choisir entre un auditeur « spécialisé » (éventuellement issu du même Cabinet d’expertise que l’auditeur des comptes) et un independant assurance provider d’un organisme tiers.
Enfin, la France, par l’ordonnance n° 2023-1142 du 6 décembre 2023, a transposé la Directive CSRD au droit français, à temps pour en imposer l’obligation en 2024 (Rapport en 2025) aux entreprises de grande taille, antérieurement soumises à la NFRD.
Ce document répond à diverses questions posées par l’adoption des normes EFRAG qui définissent la composition du reporting non financier des entreprises non financières mis en œuvre par la Directive CSRD.
1. Pourquoi ces normes ? Il s’agit de créer une norme commune de reporting, pour toutes les entreprises désormais soumises à la CSRD, adoptée fin 2022. Cette norme permet aux investisseurs de faire face à leurs obligations au titre du SFDR (et sans doute au titre de la mise en place des produits dits « article 8 » et « article 9 » de placement en titres d’entreprises qui contribuent à l’amélioration de l’environnement).
2. Ces normes sont fondées sur l’avis technique de l’EFRAG de novembre 2022.
La Commission y a apporté diverses modifications :
– des délais supplémentaires pour les entreprises de moins de 750 salariés ;
– soumission de la majorité des normes à la vérification de matérialité et soumission obligatoire de l’ESRS 2 « general disclosures » à cette vérification, ainsi que les normes sur le climat et les éléments nécessaires aux investisseurs dans le cadre du SFDR ;
– réduction du nombre de data points obligatoires.
3. La question de l’alignement des normes EFRAG et des normes IFRS. La Commission ne peut nier que les deux normes sont divergentes.
L’IFRS couvre seulement les questions climatiques, alors que les normes EFRAG couvrent l’ensemble des objectifs du Green Deal (l’eau, la pollution, l’économie circulaire, la biodiversité).
La notion de double matérialité : IFRS est concentré sur les risques financiers et les opportunités pour l’entreprise, tandis que l’EFRAG examine aussi l’impact de l’entreprise sur l’environnement. Cette différence est évidemment majeure.
L’Europe s’engage, solitaire, sur un chemin de publicité très large de la conformité ESG de ses entreprises. La norme internationale est plus restrictive et s’en tient à la mesure des risques du dérèglement climatique et des mesures environnementales (bilan carbone) encourus par l’entreprise. La Commission a tort de minorer cette divergence de fond et l’ampleur des obligations qu’elle impose aux entreprises européennes.
1. La « notice » 267 publie un ensemble de questions et réponses sur la taxonomie « climat » et les critères d’examen techniques sur la « mitigation » (CCM) et sur l’adaptation au changement climatique (CCA), ainsi que sur la partie des critères Do Not Significantly Harm (DNSH).
Elle développe de nombreuses réponses techniques sur les normes d’éligibilité et d’alignement à la taxonomie de diverses activités : forêts, industrie manufacturière, énergie, gestion de l’eau, transport, construction, information, artisanat et activités « professionnelles ». Elles n’ont d’intérêt que pour les entreprises soumises à la Règlementation taxonomie. La Notice donne également des éclaircissements sur les DNSH « génériques » qui s’appliquent aux divers objectifs non liés à l’émission de gaz à effet de serre (CCM) et qui concernent l’adaptation au changement climatique, la prévention de la pollution, la protection et la restauration de la biodiversité. Là encore, les textes sont de nature purement technique.
La Notice traite enfin quelques questions générales :
– développement de la taxonomie : de nouveaux secteurs seront introduits dans l’Acte délégué climat étendant ainsi le champ de la taxonomie ;
– la Commission s’oriente vers l’obligation d’une certification externe de la conformité avec les critères d’examen technique des entreprises ;
– les activités dans les pays tiers seront, à terme, incluses dans le reporting taxonomie ;
– la question épineuse du traitement des industries de la défense dans (et probablement hors de) la taxonomie est énoncée mais éludée ;
– la Commission est obligée de concéder que des entités, qui n’exercent aucune activité alignée sur la taxonomie, ne sauraient être exclues des mécanismes financiers.
2. La Notice 305 complète les trois lignes directrices sur le contenu de l’article 8 du règlement taxonomie, que vient compléter cette Notice. Elle dispose de :
– l’alignement des niveaux d’entreprises soumises au reporting taxonomie et à la CSRD (Grandes entreprises en 2024 et publiées en 2025, grands groupes, puis PME pour 2026 et publiés en 2027) ;
– l’audit externe du Rapport taxonomie suivra les mêmes règles que celles applicables au rapport CSRD ;
– les règles de consolidation des Capex, Opex et chiffre d’affaires prévoient la consolidation de toutes les filiales, même extérieures à l’Union européenne ;
– les activités d’assurance de périls liées au climat et la réassurance sont des activités facilitantes (enabling) ;
– les autres questions traitent de particularités de comptabilisation des Capex, Opex et du chiffre d’affaires.
L’intérêt de ces textes est de montrer le degré de détail comptable dans lequel la Commission est entrée. Il est vrai que l’ensemble des déclarations taxonomie fera l’objet, comme les informations contenues dans le rapport non financier de la CSRD, d’un audit externe de nature partiellement comptable.
L’EIOPA tente d’esquisser une réglementation pour limiter les insuffisances de garantie, en partant de l’attitude des acheteurs d’assurance, dont il a relevé, par ailleurs, la forte réticence à acquérir des garanties Cat’ Nat’.
L’Autorité note que quelques pays ont résolu le problème en instituant des garanties obligatoires. Elle se garde de le recommander, sans doute persuadée de la forte résistance des États membres et des assureurs. Nous développons, par ailleurs, dans l’article suivant de la chronique, les difficultés techniques majeures de la démarche (mutualisation large ou évaluation des primes fondées sur le risque multi-périls ou sélection de ceux-ci, etc.). Il faut donc que l’EIOPA s’en tienne à l’incitation des clients à demander des garanties.
L’analyse des causes des réticences est assez sommaire. Le revenu des clients est actuellement en crise et l’attention est concentrée sur le coût des primes : c’est le concept de l’assurance coûteuse voire « unaffordable », hors de portée du client du fait de son revenu. D’où l’hostilité de l’EIOPA à l’assurance obligatoire.
La suite de l’analyse est également traditionnelle. Les contrats actuellement vendus ne sont pas clairement libellés en ce qui concerne les coûts (?) et la « nature ou l’étendue de la garantie » (les « exclusions » cachées, les périls exclus, la définition des périls garantis). Les clients ont une faible connaissance de l’exposition au risque : on peut en douter, sauf à considérer que les clients ont une perception faible ou délibérément sous-évaluée de la fréquence et de la gravité des périls, notamment des périls extrêmes (inondations en Allemagne, tempêtes Ciaran et Domingos en France). L’expérience d’une mauvaise gestion d’un sinistre peut également jouer un rôle (délais d’indemnisation). Enfin, l’EIOPA considère que les clients ont tendance à placer leurs espoirs de forte indemnisation dans l’État, plutôt que dans l’assurance. À noter aussi que nombre d’assurés en Multirisques Habitation n’auraient, selon l’EIOPA, souscrit cette assurance que pour obtenir un prêt à l’acquisition d’un logement.
Évidemment, l’Autorité propose de cibler l’action sur l’amélioration du produit d’assurance et sur la politique commerciale : mieux informer le client sur l’existence, la fréquence et la gravité des risques naturels ; simplifier et clarifier les contrats ; respecter les règles du Product Oversight and Governance (POG) sur la définition du marché cible et l’adaptation (suitability) des produits ; mieux gérer les sinistres (« l’expérience client »). L’Autorité imagine d’obliger les assureurs à « subventionner » (par la baisse de taux des primes) les mesures prises par le client pour réduire son exposition au risque et l’inciter ainsi à acquérir une garantie contre les événements naturels.
Cela suppose évidemment une tarification fondée sur le risque, donc une moindre mutualisation des situations géographiques et des périls entre eux. Nous sommes donc loin de la sorte de « Sécurité sociale » des Cat’ Nat’ « inassurables par le marché », instituée par la Loi française.
Ce texte a l’intérêt de mettre en avant les aspects pragmatiques du sujet, souvent négligés par l’EIOPA.
Les professionnels rappellent d’abord que certains marchés ont mis au point des solutions, avec des partenariats public/privé, qui couvrent automatiquement ou obligatoirement le risque de sans-assurance. Les cas de la Suisse et de l’Espagne sont cités et, curieusement, pas celui de la France.
La question n’est pas tant le prix de la garantie, qui est la grande préoccupation de l’EIOPA (affordability) que la conscience du risque encouru par le client. Favoriser cette prise de conscience de l’exposition aux catastrophes naturelles (cf. inondations de 2022 en Allemagne) est, pour les professionnels, un point majeur. D’autant qu’ils rappellent que le prix de la garantie devrait refléter l’exposition au risque et, par conséquent, induire des pratiques de prévention. L’expérience des catastrophes et le coût des sinistres permettraient de sensibiliser les clients à la prévention. De même, les assureurs européens estiment que le contrat peut contenir des incitations données au client pour se prémunir contre le risque : il faudrait lier baisse de primes et mesures de prévention.
Dans tous ces domaines, la simplicité des produits, l’amélioration de l’information et de la procédure précontractuelle, la mise en œuvre de la procédure POG (Product Oversight and Governance) permettraient d’accroître la sensibilité du client à la nécessité de se garantir contre les catastrophes naturelles et éviteraient, sans doute, le risque de multiplication des exclusions.
Fielleusement, les assureurs notent qu’il existe, chez les clients, une confiance excessive dans l’intervention de l’État, dont ils attendent la solution généreuse de leurs difficultés, tout en garantissant la gratuité individuelle (sinon collective, via l’impôt) de la couverture du risque. Le système français évite l’essentiel de ce travers, mais les pressions politiques vers l’élargissement du régime (tempêtes) ou l’augmentation des indemnités (relogement, « police de l’expertise ») ou encore la suppression des mécanismes d’augmentation des franchises (Loi Baudu) ne sont pas pour autant absentes.
Enfin, les assureurs européens contournent prudemment la question de l’obligation d’assurance, en soulignant que son instauration dépend des conditions spécifiques à chaque marché, ce qui ne veut rien dire.
En réalité, l’EIOPA rêve d’un grand système de garantie, harmonisé au niveau européen, dont personne ne veut vraiment. D’autant qu’il poserait la question centrale de l’obligation, donc de la très large mutualisation entre les pays et, surtout, entre les « périls » couverts et de la tarification en fonction de l’exposition au risque (ou aux risques spécifiques : submersion marine, sécheresse, inondations, tremblements de terre). Or, c’est justement cette tarification, en fonction de l’exposition au risque, que visait à éviter la loi française de 1982 en imposant une totale mutualisation (ou quasi) sur l’ensemble du territoire et multi-périls. Il est donc peu probable que l’EIOPA impose une véritable refondation des régimes de couverture à travers la gestion des insuffisances d’assurance ou des exclusions de certains périls, que l’Autorité voudrait réduire ou supprimer par voie régulatrice.
Le cabinet Ernst et Young présente un bilan chiffré des rapports fournis par 320 entreprises cotées, dans 17 pays, suivant chacun des Key Performance Indicators.
Pour les entreprises non financières :
– le chiffre d’affaires « éligible » à la taxonomie est de 25 % en moyenne ;
– le chiffre d’affaires « aligné » est de 8 % en moyenne ;
– la part des investissements (Capex) se monte à 36 % pour l’éligibilité (en moyenne) et à 15 % pour l’alignement ;
– les dépenses opérationnelles (Opex) sont à 28 % en moyenne éligibles et à 12 % « alignées ».
Pour les entreprises financières (assurance) :
– les primes « éligibles » sont en moyenne à 48 % ;
– les actifs éligibles sont en moyenne à 15 %.
Les remarques sectorielles détaillées sur l’assurance concernent le « flou » sur la notion de prime « éligible » et, plus particulièrement, les secteurs concernés selon que l’on se réfère à la branche (line of business de Solvency II), à l’analyse des contrats ou à la tarification des périls liés au climat, tarifés séparément. Quant aux investissements, le cabinet Ernst et Young estime qu’ils sont peu renseignés et que l’essentiel concerne l’immobilier et l’activité de prêts au logement.
L’organisme publie la norme IFRS 1 qui développe les risques et opportunités liées à la durabilité pour les entreprises. La norme IFRS concerne plus directement les publications d’information liées à l’objectif climatique. Ces normes sont clairement destinées aux investisseurs qui tiendront compte des informations dans leurs décisions d’investissement.
Les réactions à cette publication ont été favorables dans le monde anglo-saxon et plus mitigées en Europe. La question dite de la « double matérialité » est clairement au centre du débat. Pour caricaturer, l’attitude IFRS correspond aux besoins des investisseurs, donc des entreprises qui sont soumises au SFDR en Europe. La démarche de la Commission CSRD-EFRAG est plus nettement tournée vers le reporting sur l’action des entreprises en faveur de la transition climatique, de l’ensemble des objectifs fixés par la Commission dans le cadre du Green Deal et des objectifs sociétaux et de Gouvernance qui s’imposent aux entreprises européennes. All news (Suisse) oppose une démarche fondée sur la valeur de l’entreprise, et celle fondée sur « les valeurs » que souhaite promouvoir l’Europe à travers les entreprises.
La différence est évidemment beaucoup plus importante que ne le reconnaît la Commission.
1. Le document de la Commission, publié avec le complément de la taxonomie en juin dernier, sur l’économie circulaire, les ressources aquatiques et marines, la pollution et la biodiversité, annonce essentiellement un prochain Règlement sur les notations ESG. Il sera commenté ultérieurement, après l’achèvement de la navette Commission/Parlement/Conseil.
Il annonce les objectifs de cette démarche : transparence accrue ; intégrité renforcée ; méthodologie plus claire ; obligation d’agrément et surveillance continue ; clarté des sources de données. Avec, pour but final, une amélioration de la performance du marché unique.
Les organismes qui publient ces notations vont donc devenir réglementés et contrôlés.
2. La question de l’opportunité se pose particulièrement en France où le Ministre vient d’annoncer la réforme du label ISR, avant que les normes prévues par la Commission ne soient adoptées. Le nouveau label ISR exclut désormais les entreprises qui exploitent des sites de production de charbon, des hydrocarbures non conventionnels et celles qui lancent de nouveaux projets d’exploration, d’exploitation ou de raffinage de pétrole et de gaz naturel (y compris les projets concernant les hydrocarbures conventionnels).
Le nouveau label ISR exclut les 30 % d’entreprises ayant les plus faibles notes dans la taxonomie ESG. Il vise également l’obligation de déclaration de la « double matérialité » et l’obligation de présenter une politique « climat » pour les fonds labellisés. Le nouveau label ISR doit être appliqué à partir du 1er ars 2024.
1. Le premier document est une transposition du texte de base de l’EFMA (européenne) du 25 octobre 2023, qui traite de l’application à partir de l’exercice 2024 de la CSRD pour les rapports publiés en 2025 en tenant compte des normes ESRS encore en cours d’approbation par les institutions européennes.
Le champ d’application de la CSRD s’élargit au groupe « d’émetteurs » soumis aux exigences du reporting de la taxonomie.
Les exigences de la Commission du 27 juin 2023 pour le secteur financier concernent la réalisation d’une analyse de double matérialité pour définir des trajectoires de transition spécifique pour chaque entité, l’utilisation de la taxonomie comme un « outil de transition » et l’importance des « plans de transition » pour les investisseurs disposés à financer les efforts de transition des « émetteurs ».
Les priorités des déclarations de performance extra-financière :
– taxonomie : publier l’éligibilité et désormais l’alignement de chaque émetteur sur la taxonomie. Des explications « contextuelles » sont attendues sur la conformité avec les critères de contribution substantielle, sur les DNSH et les exigences de garanties minimales (OCDE/ONU/Charte des Droits de l’Homme. Cf. notices de la Commission du 16 juin 2023). L’AMF souligne que le 27 juin, la Commission a publié la taxonomie au titre de 4 nouveaux objectifs du Green Deal, complétant l’adaptation et la réduction du changement climatique ;
– publication d’informations sur les objectifs climatiques et sur les actions et progrès connexes : préciser le lien entre objectifs climatiques et les objectifs stratégiques de l’émetteur, information sur la méthodologie et les hypothèses, justification des objectifs climatiques choisis, modalités de contrôle des résultats et de révision des objectifs. L’AMF souligne que l’élaboration de « plans de transition climatique » permet d’évaluer l’efficacité des mesures et les progrès réalisés.
La question spécifique de la réduction des émissions des gaz à effet de serre (GES) et de la limitation du réchauffement climatique à 1,5 °C semble être traitée à part et s’ajouter à la Communication CSRD/Taxonomie/Plan de transition climatique. Il s’agit de justifier des choix de leviers de décarbonation (interne ou externe : réduction brute, utilisation des crédits carbone ou séquestration/stockage de CO²). Il faut également donner des informations sur les ressources financières consacrées à ces objectifs de décarbonation.
L’information doit avoir pour but de faire connaître la trajectoire de l’émetteur vers un modèle d’entreprise plus durable.
Enfin, l’AMF souhaite que les rapports soient plus explicites et détaillés sur les émissions de GES dites de « Scope 3 ». Les émetteurs doivent déclarer leur position quant à la complétude de leur rapport en l’absence d’informations communiquées sur les émissions de « Scope 3 ». Sinon, ils doivent préciser les limites de calcul des émissions de « Scope 3 » (recours à des estimations, quantités couvertes par ces estimations, et la méthodologie associée à ces estimations). L’AMF recommande de fournir les données brutes sur le « Scope 3 » séparément de l’effet lié aux diverses mesures de décarbonation, dont l’utilisation des crédits carbone.
À toutes fins utiles, rappelons que le « Scope 3 » du bilan carbone concerne les activités en amont de la production (achats de produits, déplacements domicile/travail, gestion des déchets, transport de marchandises, actifs en leasing), et en aval (investissements, franchises, utilisation des produits vendus, transports, déchets et leasing aval). Depuis le 1er janvier 2023, le bilan carbone doit intégrer les émissions « carbone » du « Scope 3 ».
2. Le second document de l’AMF commente la CSRD. Il s’agit d’abord de rappeler la mise en place progressive des obligations de publication de 2025 (sur l’année 2024) à 2029 (sur l’année 2028) en fonction de la taille des entreprises (cotées ou non, ayant leur siège social en Europe ou une activité en Europe de 150 millions de chiffre d’affaires).
L’AMF propose ensuite une description particulièrement claire des « standards ESRS de reporting de durabilité ». La Commission vient d’adopter ces normes issues de l’EFRAG après les avoir modifiées.
L’AMF rappelle les priorités d’actions à mettre en œuvre en 2024 : mettre en œuvre les analyses de « double matérialité » (il existe un guide de l’EFRAG sur l’analyse de la matérialité) ; analyser l’écart existant entre les informations publiées aujourd’hui dans le cadre de la déclaration de performance extra-financière (DPEF) et les nouvelles obligations de reporting. Par ailleurs, l’Autorité souligne certaines nouveautés :
– l’application de la CSRD à l’ensemble de la chaîne de valeur ;
– la « connectivité » de l’information financière et de durabilité (cohérence avec les états financiers) ;
– la présentation des informations suivant la nouvelle norme EFRAG ;
– et, naturellement, le bilan carbone, dont l’obligation demeure.
Ce document commente, notamment, les modifications apportées par la Commission sur le projet EFRAG, (résumé par ailleurs dans la présente chronique) de novembre 2022 et figurant désormais dans le texte approuvé le 9 juin 2023 et applicable au 1er janvier 2024 pour un reporting en 2025 :
– élargissement du périmètre des informations ESRS 1 qui sont soumises à analyse de matérialité, ce qui réduit l’ampleur et la diversité de l’obligation de reporting ;
– renforcement des dispositions transitoires listées dans ESRS 1, notamment les effets financiers attendus des impacts, risques et opportunités significatifs liés aux sujets environnementaux, et l’ensemble des mesures applicables aux entreprises ou groupes n’excédant pas 750 salariés ;
– caractère désormais volontaire de certaines informations prévues dans les ESRS sur la biodiversité, sur les travailleurs non salariés (« non employés ») et la corruption ;
– modifications prévues pour garantir la proportionnalité : informations sensibles, non-obligation de la méthode LEAPP (Locate, Evaluate, Assess and Prepare) pour l’analyse de matérialité ;
– renforcement de la cohérence avec le cadre légal européen ;
– « interopérabilité » avec les normes IFRS.
Mazars rappelle que le référentiel ESRS sera complété sur :
– la norme applicable aux PME cotées ;
– les normes sectorielles (à compter de 2025).
Par ailleurs, le premier « set » de normes de l’EFRAG sera complété (ou modifié) sur l’analyse de matérialité, la prise en compte de l’intégralité de la chaîne de valeurs, l’analyse détaillée des « Data points » (éléments d’information) définis dans les ESRS.
Sur l’échantillon de 54 assureurs « solos » et de 10 groupes constitués par le Cabinet d’actuaires Galéa, plus de la moitié des acteurs ont communiqué sur le risque de durabilité dans leurs rapports 2022 (publiés en 2023), mais 18 % seulement ont publié des informations détaillées ou très détaillées.
La majorité évoque le risque de transition (financier), la moitié le risque physique (souscription) et 20 % le risque de responsabilité.
Quelques thèmes majeurs sont abordés par le Rapport SFCR :
– l’impact des événements climatiques sur la sinistralité ;
– la politique d’investissement et la gamme des produits RSE ;
– la gouvernance et notamment la fonction gestion des risques, ainsi que les scénarios réalisés pour les ORSA ;
– dans le profil de risque, outre les risques de durabilité, les rapports signalent le risque de non-conformité à la réglementation et le risque de défaillance informatique à la suite d’un événement climatique.
L’intérêt de ce texte est à la fois le constat de l’insuffisance des efforts d’adaptation au changement climatique et de la « résilience » ou développement de la capacité d’adaptation au changement des entreprises, et de proposer une liste des mesures qui pourraient être prises, ainsi que les moyens que devrait mettre en œuvre la science actuarielle pour aider à gérer la réduction du risque, l’adaptation au risque et la gestion du risque (assurance).
Le Rapport note à la fois la mauvaise adaptation globale des comportements, malgré le risque de réputation et le caractère corrélés ou « en cascade » des risques : la sécheresse induit des effets sur la santé (canicule), mais aussi des risques d’approvisionnement en électricité (centrales nucléaires mises à l’arrêt faute de d’alimentation en eau des fleuves).
Les actions d’adaptation sont multiples : les normes de construction, les plans de santé publique (canicule), les pratiques culturales agricoles (les semences OGM résistantes), la réduction des risques d’inondation, les stratégies de gestion des chaînes d’approvisionnement et les relocalisations d’activité, les mesures de prévention contre la hausse du niveau de la mer.
Les actuaires ont des rôles multiples à jouer :
– produire des scénarios et analyses coût/bénéfice des solutions ;
– étudier la croissance de sévérité des événements (modélisation de l’extension des catastrophes) ;
– promouvoir des solutions pour éviter les insuffisances d’assurance ;
– évaluer les besoins d’augmentation des primes et, plus encore, les montants de capitaux nécessaires pour couvrir les risques croissants ;
– étudier le couple tarification/mesures de prévention.
Plus généralement, une meilleure connaissance de l’exposition au risque et de la vulnérabilité pour prévoir les risques, les coûts et la capacité des assureurs à y faire face est recommandée.
Malheureusement, tout cela n’est pas très novateur. Mais le texte a le mérite de recentrer la profession sur son objet qui est de prévoir, garantir et gérer des risques. C’est une vision de risque management « holistique » du risque climatique, alors que la réglementation détourne les énergies vers le reporting et la conformité à des réglementations, plutôt que vers la prévision, la prévention et la prise de mesures de protection qui soutiennent l’assurabilité et protègent de l’insurance gap subi ou accepté par de trop nombreux clients.
1. Pendant le deuxième semestre 2023, la presse a fortement développé les préoccupations des citoyens et des Pouvoirs publics sur l’indemnisation des effets du retrait-gonflement d’argiles (RGA) sur la solidité des bâtiments et, plus concrètement, des fissures constatées sur les maisons individuelles de construction récente, à la suite de la sécheresse constatée en 2022 et 2023.
On rappelle que la France est le seul pays à considérer la sécheresse comme une catastrophe naturelle assurable, dans le cadre du régime de la loi de 1982. Cette caractéristique trouble la communication avec les autorités européennes. La France dispose d’un régime légal très extensif de couverture des catastrophes naturelles et d’une obligation d’assurance des tempêtes. Par conséquent, l’appréciation du coût des événements naturels est différente selon les définitions de chaque État membre, et la France ne connaît pratiquement pas, dans ce domaine, les problèmes d’insuffisance ou d’absence d’assurance (l’insurance gap de l’EIOPA) ou les difficultés créées par les « exclusions » de certains assurés du fait de leur surexposition aux risques. En contrepartie, le coût cumulé des tempêtes, de la sécheresse et des événements naturels, porté par les assureurs, les réassureurs et l’État via la Caisse Centrale de Réassurance (CCR) est nettement plus élevé que dans les autres pays européens.
La presse a publié que 6 000 communes avaient été reconnues en état de catastrophe naturelle au titre de la sécheresse de 2022 (d’avril à juillet 2023), puis 150 communes supplémentaires par des arrêtés d’octobre 2023. Au total, 200 communes se seraient vu refuser leur classement en « catastrophe naturelle », ce qui a été considéré comme un « recul de l’État face à la pression des assureurs ». Le coût du retrait-gonflement des argiles en 2022 est estimé à 3,5 milliards d’euros (L’Argus du 18 octobre 2023). Il s’agit probablement des provisions constituées sur les déclarations de sinistres.
Pour 2023, L’Argus du 18 octobre 2023 annonce un coût provisionné de 750 millions à 1 milliard, estimé par la CCR.
2. À la suite de la loi dite « Baudu » (du 28 décembre 2021) de « réforme » du régime des catastrophes naturelles, ainsi que des arrêtés de fin 2022/début 2023, le régime des franchises a été revu (380 euros, sauf pour les sinistres RGA où la franchise est à 1 520 euros) et, surtout, la « pénalisation » des habitants des communes qui n’ont pas mis en place de Plan de Prévention des Risques Naturels (PPRN), en fonction du nombre de fois où l’état de catastrophe naturelle est reconnu a été supprimée. Mais cette mesure ne s’applique pas aux biens des collectivités territoriales si le PPRN n’est pas établi. Tout cela charge évidemment le coût du péril sécheresse, donc l’effet sur les comptes des assureurs et réassureurs et de la CCR au titre du « régime des catastrophes naturelles », et l’État s’en inquiète. La logique est probablement l’augmentation de la « surprime » de 12 à 18 %, voire au-delà, des primes MRH et Automobile au nom du « réchauffement climatique ».
3. L’Argus du 6 octobre 2023 souligne un dégât collatéral des effets de la sécheresse sur les bâtiments et de leur indemnisation par le système des catastrophes naturelles. Le Rapport de Vincent Ledoux, député, remis au ministre de l’Intérieur, fait état de la défiance des victimes vis-à-vis des experts, soupçonnés d’être « de mèche » avec les assureurs. Il propose donc un « pilotage national de l’expertise », la révision de la notion de « cause déterminante » des désordres à la construction imputés à la sécheresse et, bien sûr, un effort massif de prévention et l’augmentation de la surprime.
4. La question de la sous-assurance et des moyens d’y porter remède est évidemment importante, mais essentiellement pour les tempêtes (garanties obligatoires en France). Aux États-Unis, Farmer’s State Farm et Allstate ont exprimé des refus explicites d’assurance en Californie et en Floride. En France, la question revient par le biais de la modification du littoral, dont la perspective conduirait à des refus d’assurance par les assurances, des garanties insuffisantes dans les territoires d’outre-mer et pour les assurances des campings en bord de mer. Dans l’ensemble, les acteurs semblent tous concourir à augmenter la couverture du régime des catastrophes naturelles, alors même qu’ils soulignent ses difficultés financières. À noter, dans ce même ordre d’idées, la proposition de rattachement des assurances « tempêtes » (neige et grêle ?) au régime semi-public des catastrophes naturelles, heureusement repoussée dans les arbitrages de fin de l’année.
5. La Fédération professionnelle des assureurs (France Assureurs), le 17 octobre 2023, a présenté une master class sur la sécheresse et le régime des catastrophes naturelles. La Fédération note que l’ordonnance du 8 février 2023, dite « RGA », a étendu le régime en prenant en compte les sécheresses successives (suppression du risque d’aggravation des franchises), encadré l’expertise et étendu la reconnaissance de l’état de catastrophe naturelle aux communes adjacentes. Par ailleurs, ce document note que 16 % des communes subissent des sécheresses successives et que 1 238 communes, reconnues en 2022, l’ont été à 5 reprises dans le passé. La Fédération estime que les sécheresses concentrées en 1989-2015 en Ile-de-France et dans la vallée de la Garonne s’étendent, en 2016-2021, dans le Grand-Est, la Bourgogne et l’Auvergne, ainsi qu’à l’ensemble (ou quasi) du pourtour méditerranéen. Le coût de la sécheresse pourrait ainsi tripler à l’horizon 2050.
Enfin, France-assureurs ne manque pas de souligner la longue durée nécessaire à l’expertise : 4 mois d’expertise et 7 mois d’étude géotechnique, soit un an d’étude avant de commencer des travaux qui suivent le choix du « prestataire » de service ou de « solutions » techniques au RGA.
6. Les inondations de novembre 2023 ont relancé le débat politique sur le régime des catastrophes naturelles, après que la date de mise en œuvre de l’indemnisation des frais de relogement ait été rétroactivement avancée au 1er novembre 2023 (et non au 1er janvier 2024 comme prévu par la loi). 214 communes ont été reconnues comme éligibles au régime des catastrophes dans les départements du Nord et du Pas-de-Calais.
Le ministre de la Transition écologique a estimé qu’il fallait intégrer les effets de la tempête dans les catastrophes naturelles, comme c’est le cas pour les ouragans, au nom de l’accroissement de la solidarité nationale. Le ministre de l’Économie, pour sa part, a estimé qu’il fallait « repenser le système assurantiel français », et être prudent sur les hausses proposées de surprime (la question du « pouvoir d’achat »).
La situation pourrait se clarifier par l’abandon de l’extension du régime aux tempêtes qui semble acquis, et par une « simple » augmentation de la « surprime Cat’ Nat’ » pour faire face aux besoins financiers de la CCR générés par la « crise » de la sécheresse et des RGA. Mais la « politisation » des événements naturels apparaît bien comme la contrepartie (dangereuse) d’une obligation d’assurance à large spectre sur les types de périls, avec une mutualisation considérée comme un facteur de solidarité nationale.
Dans son « point d’étape » de novembre, Thierry Langreney, chargé d’un rapport sur « l’assurabilité des risques naturels » (mission confiée en mai 2023 par le Ministre), a prudemment soutenu les qualités d’un système privé/public à la française, permettant d’associer assurance et redistribution. Il a évidemment stigmatisé un système d’assurance privé qui génère des primes techniques et coûteuses pour le client, une « instabilité de l’offre » (des exclusions) et des coûts budgétaires importants pour l’État appelé à intervenir pour indemniser après crise. Il ne manquera pas de souhaiter le renforcement de la contribution du système français au financement de la prévention et de l’adaptation des particuliers au changement climatique (abondement du Fonds « Barnier »).
La base de données de l’EIOPA couvre un nombre relativement faible de périls : inondations ; tempêtes dites extratropicales (donc exclut les cyclones tropicaux) ; orages convectifs (y compris la grêle, l’effet du vent et des éclairs, les tornades) ; feux de forêt. On note qu’elle exclut donc les cyclones/ouragans dans les DROM/POM français et les tremblements de terre et éruptions volcaniques.
Elle couvre seulement les « expositions » assurées et recueille les informations sur les pertes assurées.
Pour l’instant, l’Autorité a recueilli les informations sur la tempête Clara (2020), les feux de forêt au Portugal de 2017 et l’inondation en Europe centrale en 2013.
L’intérêt de cet exercice est évidemment très faible. L’Europe aurait intérêt à utiliser les bases d’information construites par les sociétés spécialisées dans l’analyse des périls qu’utilisent les réassureurs, voire celle que Swiss Ré et Munich Ré ont constituées.
Cette solide étude actuarielle montre la différence de gestion d’un portefeuille d’actifs selon qu’elle est ou non soumise à des contraintes écologiques.
L’optimisation de la gestion d’actifs est réalisée en cherchant l’équilibre optimal entre le rendement et la volatilité d’un portefeuille, grâce au modèle de Markowitz qui détermine la frontière efficiente rendement/volatilité et le portefeuille le moins risqué dit GMV ou Global Minimum Variance. Puis, on détermine le meilleur compromis entre rendement espéré et risque accepté et l’on cherche le portefeuille qui maximise le Ratio de Sharpe sur la base du rendement du taux sans risque et de la volatilité.
Dans cette logique d’optimisation, l’étude se propose d’introduire une contrainte de « notation climat » des actifs composant le portefeuille. Très logiquement, on montre que la contrainte « climat » modifie la frontière efficiente et réduit le nombre de portefeuilles réalisables. Plus la contrainte est forte, plus le nombre de portefeuilles se réduit. Mais, note l’auteur, le portefeuille sous contrainte réduit le risque de non-conformité et le risque de transition (baisse de valeur des actifs atteints par le changement climatique).
Cependant, théoriquement, une stratégie intégrant des contraintes climatiques devrait être moins performante d’un point de vue financier que des portefeuilles gérés dans un modèle de Markowitz/Sharpe. Mais la réglementation peut demain améliorer le rendement des actifs « verts » au détriment d’actifs « bruns », dont la rentabilité serait progressivement réduite par le « verdissement » global de l’économie, et donc de la finance.
L’IFD était, jusqu’à présent, très proche de l’association bancaire Paris Europlace. Il s’en est désormais séparé. Le Rapport fournit cependant d’intéressantes perspectives sur les possibilités de « verdissement » de l’activité financière, avec une approche concrète et pragmatique.
Les besoins de financement de la transition sont évalués en 30 et 65 milliards par an, en supplément des efforts déjà accomplis, d’ici 2030 : 20/40 milliards pour les entreprises et les acteurs publics ; 10/25 milliards pour les particuliers. Globalement, le premier demandeur de ce surcroît d’investissement est le secteur de la construction : 10/20 milliards par an, devant l’énergie 3/16 milliards et l’industrie manufacturière 2 à 3 milliards.
L’épargne financière atteint aujourd’hui un encours de 6 000 milliards. L’IFD estime l’épargne « mobilisable » à 3 200 milliards (en comptant les investissements en actions). Or, l’épargne financière finance aujourd’hui faiblement les activités de la transition : le Livret A et l’assurance vie ne sont pas ou peu orientés vers le financement « vert ». Les financements publics (l’auto électrique, Ma Prime Renov’ ) sont jugés peu efficaces.
L’IFD propose donc un plan d’action. Il s’agit d’abord de verdir l’emploi de la totalité de l’épargne longue. Pour ce faire, il faut créer un label « projet de la transition écologique », définir des conditions à respecter par les entreprises pour bénéficier de l’inclusion dans la « stratégie verte », et un label pour les produits financiers. Tout cela ressemble fortement aux règles de la taxonomie européenne et à la réglementation des contrats « article 8 » et « article 9 » du Règlement Disclosure.
Il faudrait favoriser la rentabilité de la transition écologique. À cette fin, il faut créer un amortissement fiscal accéléré, des garanties publiques pour les investissements « verts », accompagner les particuliers avec des éco-prêts à taux zéro et des aides financières renforcées, « massifier » l’éco-prêt à taux zéro (en élargir les possibilités d’emploi), donner une déductibilité fiscale par les amortissements des investissements des ménages dans la transition. C’est la litanie classique des aides publiques et des niches fiscales que l’échec relatif du programme « Ma Prime Rénov’ » condamne probablement.
Le grand sujet est de « flécher » les fonds existants vers le financement de la transition. Privilégier ces emplois dans l’utilisation du Livret A par rapport aux emplois traditionnels vers le logement social et la « politique de la ville » ; augmenter le plafond du livret de développement durable ; diriger les encours du PER vers des investissements « verts », par conséquent à rentabilité étendue dans le temps ; investir les fonds PER et Plan d’Epargne d’Entreprise dans des fonds labellisés « transition écologique » ; réduire le forfait social sur le PER-Collectif pour les fonds labellisés « transition ».
Ce Rapport présente la collection exhaustive des subventions et créations de niches fiscales. Pourtant, il néglige la question majeure des arbitrages budgétaires et fiscaux à réaliser par un État ne disposant d’aucune marge de manœuvre financière, qui est éminemment « politique » : renoncer à subventionner la construction et la politique de la ville suppose un solide argumentaire vis-à-vis de l’opinion publique. Cela dit, le mérite de ce document est de présenter et de chiffrer le problème, en proposant des solutions drastiques. À noter que certains membres de l’IFD l’ont quitté au motif de sa hardiesse insuffisante dans les exigences et de son inféodation au monde financier. Il rejoindrait l’ADEME dans les prochains moins.
Ce document de l’AMRAE (Risk Managers français) donne un « sondage » sur la situation des entreprises sur la gestion des risques climatiques, sur la « double matérialité » et sur l’avancée des travaux de reporting sous le CSRD. Nous ne reprendrons que les grands titres de ce Rapport intéressant :
– les deux tiers des entreprises traitent – au sein du risk management – les risques « physiques » (climatiques) et les risques de transition (investissement) ;
– les risques physiques « aigus » les plus redoutés sont la tempête (le vent), les canicules et les inondations ;
– les risques physiques « chroniques » les plus redoutés sont : la hausse des températures, la variabilité des précipitations et le stress hydrique. À noter que la hausse du niveau de la mer et l’érosion des côtes sont peu redoutées ;
– la visibilité sur les risques physiques de la chaîne de valeur est considérée comme mauvaise tant pour les fournisseurs de rang 1 que de rang 2.(sous-traitants et leurs propres sous-traitants) ;
– la visibilité sur les risques liés aux fournisseurs ne progresse pas depuis trois ans ;
– sur les risques de transition, les principaux risques redoutés sont : l’augmentation du coût des matières premières et de l’énergie, l’obligation de s’adapter à des exigences réglementaires et l’évolution de la demande des consommateurs ;
– le niveau de connaissance de la « double matérialité » est considéré comme « moyen » pour 41 % des Risk Managers ;
– la moitié des Risk Managers contribue (et dans ce cas nettement) à l’analyse des opportunités liées au dérèglement climatique : il s’agit notamment des économies d’énergie et d’augmentation de la « résilience » ;
– la gouvernance des risques climatiques est en place dans les deux tiers des entreprises ;
dans la moitié des entreprises, ce rôle est confié à la Direction RSE ;
– le COMEX de l’entreprise est considéré comme moteur ;
– l’étude s’interroge sur la faible prise en charge de la planification de l’adaptation (sur les grands sujets RSE) ;
– les Risk Managers sont majoritairement insatisfaits des offres des assureurs (inassurabilité des zones géographiques, de certaines activités, manque de capacité, manque d’aide à la prévention et à la modélisation) ;
– préparation à la CSRD : les travaux semblent bien avancés.
La Commission européenne a adopté le 31 juillet 2023 l’acte délégué relatif aux normes ESRS (European Sustainability Reporting Standards), normes européennes d’information sur la durabilité destinées à guider les entreprises entrant dans le périmètre de la directive CSRD du 14 décembre 2022 à présenter et à communiquer sur leurs performances extra-financières dans le domaine de la RSE (Responsabilité Sociétale des Entreprises) et des critères ESG (Environnemental, Social et Gouvernance) en suivant une approche de double matérialité.
Le Groupe consultatif européen sur l’information financière (European Financial Reporting Advisory Group – EFRAG) a été activement impliqué dans le processus d’élaboration de ces normes depuis septembre 2020.
Ces nouvelles normes constituent un outil important pour soutenir le programme de l’Union européenne en matière de finance durable. Elles couvrent l’ensemble des questions environnementales, sociales et de gouvernance, permettant aux entreprises des États membres de montrer les efforts qu’elles font pour atteindre les objectifs principaux du Green Deal (cadre du Pacte vert pour l’Europe) et fournissent ainsi des informations aux investisseurs pour comprendre l’impact des actions des entreprises dans lesquelles ils investissent en matière de développement durable.
Bien qu’elles soient adaptées aux politiques de l’Union européenne, elles offrent un degré élevé d’alignement sur l’International Sustainability Standards Board et la Global Reporting Initiative, afin d’assurer l’interopérabilité et d’éviter les doubles rapports.
Ces normes évaluent les répercussions des activités de l’entreprise sur l’environnement et les individus et la manière dont les questions de durabilité influent sur les performances financières de l’entreprise. Elles sont conçues pour s’assurer de l’engagement des entreprises envers la durabilité et la sobriété dans leurs activités et exigent pour cela que chaque entreprise fournisse des informations transparentes, de qualité, comparables, détaillées et pertinentes pour chaque critère ESG. En outre, les données de durabilité présentées dans le rapport doivent être soumises à une vérification externe.
Elles concernent 12 thématiques différentes, regroupées en quatre domaines :
– transversal : 2 normes (exigences générales et informations générales) ;
– environnemental : 5 normes (changement climatique, pollution, eau et ressources marines, biodiversité et écosystèmes, utilisation des ressources et économie circulaire) ;
– social : 4 normes (main-d’œuvre propre, travailleurs de la chaîne de valeur, communautés affectées, consommateurs et utilisateurs finaux) ;
– gouvernance : 1 norme (conduite des affaires).
Alors que les « informations générales » précisent les informations essentielles obligatoires pour toutes les entreprises, les autres normes font l’objet d’une évaluation de leur importance. Cela signifie que chaque entreprise doit uniquement rendre compte des questions qui sont pertinentes pour son modèle d’entreprise et son activité, bien qu’elle doive justifier pourquoi certaines questions ne sont pas couvertes.
Ainsi, la directive européenne sur le reporting des entreprises en matière de développement durable (ESRS) exige une assurance sur les informations relatives au développement durable communiquées par les entreprises et prévoit la mise en place d’une taxonomie numérique de ces rapports sur le développement durable.
Les entreprises visées par les normes ESRS sont celles soumises aux exigences de la CSRD, englobant les grandes sociétés, qu’elles soient cotées en bourse ou non, ainsi que les PME.
La période d’examen des colégislateurs, qui s’est achevée le 21 octobre 2023, n’a donné lieu à aucune objection à l’égard de l’acte délégué ESRS.
L’ordonnance du 6 décembre 2023 relative à la publication et à la certification d’informations en matière de durabilité et aux obligations environnementales, sociales et de gouvernement d’entreprise des sociétés commerciales est prise en application de la loi du 9 mars 2023 portant diverses dispositions d’adaptation au droit de l’Union européenne en matière économique et financière (DDADUE).
Elle transpose les dispositions législatives de la directive du 14 décembre 2022 en ce qui concerne la publication d’informations en matière de durabilité par les entreprises (CSRD).
Les obligations de transparence en matière de durabilité des grandes entreprises, des petites et moyennes entreprises cotées en bourse, ainsi que, par un régime spécifique, des entreprises de pays tiers ayant une succursale ou une filiale en France sont renforcées. Ces informations portent sur les enjeux sociaux, environnementaux et de gouvernance (ESG) et seront établies selon le principe dit de « double matérialité », qui permet de refléter les incidences de l’activité de l’entreprise sur les enjeux de durabilité, mais aussi les incidences de ces enjeux sur l’entreprise. Pour en assurer l’application homogène, l’ordonnance étend les compétences de l’Autorité des normes comptables (ANC) à ces informations.
Ces informations devront être certifiées par un commissaire aux comptes ou par un organisme tiers indépendant accrédité. L’encadrement de cette nouvelle mission de certification est prévu. L’ensemble des professionnels procédant à cette nouvelle mission seront supervisés par la Haute autorité de l’audit (H2A), que l’ordonnance fait succéder au Haut conseil du commissariat aux comptes (H3C).
L’ordonnance tire également les conséquences des nouvelles dispositions transposées en modifiant plusieurs dispositifs du Code de commerce en matière de responsabilité sociale et environnementale des entreprises. Il s’agit d’éviter des redondances en termes de reporting, d’améliorer la cohérence du déclenchement des différentes obligations en créant des définitions communes des tailles de sociétés et de groupes, de faciliter la lisibilité des dispositifs en les rassemblant au sein d’une section commune aux différentes formes de sociétés, et d’unifier les procédures judiciaires d’injonction permettant aux personnes de demander leur respect.
Les entreprises concernées doivent satisfaire à au moins deux des trois critères suivants : bilan annuel dépassant les 20 millions d’euros, chiffre d’affaires net supérieur à 40 millions d’euros, plus de 250 employés. En outre, les entreprises extérieures à l’Union européenne entrent également dans le champ d’application si elles remplissent deux conditions : chiffre d’affaires net supérieur à 150 millions d’euros au sein de l’UE et présence d’au moins une filiale ou une succursale établie dans l’UE.
Toutes ces dispositions qui s’appliquent à l’ensemble des entreprises d’assurance entreront en application à partir du 1er janvier 2024, en prévoyant une application progressive des nouvelles obligations de publication d’informations de durabilité pour les entreprises en fonction de leur taille.
La Taskforce on Nature-related Financial Disclosure (TNFD) (Groupe de travail sur la divulgation financière liée à la nature) a rendu publique le 18 septembre 2023 son cadre final relatif aux risques et opportunités liés à la nature et à la biodiversité (version 1.0).
Ce cadre a pour vocation d’aider les entreprises et institutions financières à anticiper les risques provoqués par l’érosion de la biodiversité et à évaluer les impacts des activités économiques et investissements, qu’ils soient positifs ou négatifs, en vue de définir des stratégies à la hauteur des enjeux.
Il comporte 14 recommandations qui sont intégrées au sein de quatre piliers conceptuels, conformément au cadre de divulgation développé par la Taskforce on Climate related Financial Disclosures (TCFD) : gouvernance, stratégie, gestion des risques et suivi des objectifs. Les recommandations sont alignées sur celles de la TCFD sur le climat, facilitant ainsi l’appropriation par les entreprises et les institutions financières, et la compatibilité avec leurs démarches climat déjà existantes. Elles sont également conformes à l’exigence de l’objectif 15 du Cadre mondial pour la biodiversité en matière de reporting d’entreprise, qui appelle à l’évaluation et à la divulgation des risques, des impacts et des dépendances liés à la nature, permettant ainsi aux entreprises d’aligner leurs rapports d’entreprise sur les objectifs politiques mondiaux.
INTERNATIONAL, BREXIT
La Commission européenne a proposé en mai 2023 une proposition de directive sur le devoir de vigilance des entreprises en matière de durabilité, dite « CSDD » (corporate sustainability due diligence directive), qui a pour objectif de favoriser un comportement responsable des entreprises. Les entreprises européennes, répondant à des conditions, devraient mener des opérations de « diligence requise » (ou due diligence) sur leur chaîne d’activité, afin d’identifier, de prévenir et de remédier aux incidences négatives pour les droits humains et environnementaux.
Rappelons qu’un devoir de vigilance existe depuis 2017 dans la loi française qui impose aux sociétés mères et aux entreprises donneuses d’ordre qui emploient 5 000 salariés dans leurs filiales directes et dont le siège social est en France, ou 10 000 salariés en France et à l’étranger avec un siège social en France. Ces entreprises doivent déclarer un « plan de vigilance » : « mesures de vigilance raisonnable propre à identifier les risques et prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement ». Le plan concerne également les sous-traitants et les fournisseurs. Il comprend une cartographie, l’évaluation des filiales et des sous-traitants, les actions d’atténuation des risques et un mécanisme d’alerte.
En avril 2023, le Parlement européen a adopté le projet de directive CSDD destinée à créer un devoir de vigilance à l’échelle européenne en le rendant applicable aux entreprises de plus de 250 salariés, de plus de 40 millions d’euros de chiffre d’affaires en Europe et de plus de 150 millions d’euros de chiffre d’affaires à l’étranger. Il a également voté l’inclusion de certains établissements financiers, notamment les gestionnaires d’actifs et les investisseurs industriels (hors fonds de pension et fonds alternatifs).
Dans le cadre du trilogue, le Parlement européen et le Conseil de l’Union européenne se sont mis d’accord le 13 décembre 2023 sur le texte. Les entreprises devront adopter et mettre en place un plan qui assure que leur modèle économique et leur stratégie soient « compatibles avec l’accord de Paris sur le changement climatique ».
Celui-ci rendra les entreprises responsables des impacts négatifs sur l’environnement et les droits humains tout au long de leur chaîne de valeur. Concrètement, il imposera des sanctions aux entreprises si elles, leurs filiales ou une partie de leurs partenaires commerciaux portent atteinte aux droits humains ou à la protection de l’environnement. De plus, l’accord « facilite l’accès à la justice des personnes affectées » par l’action des entreprises. Ces personnes pourront en effet intenter un procès aux sociétés concernées durant cinq ans. Pour les plaignants, « la divulgation des preuves, les mesures d’injonction et les coûts de la procédure » sont limités.
La directive s’appliquera aux entreprises européennes de plus de 500 salariés et dont le chiffre d’affaires est supérieur à 150 millions d’euros. Les entreprises non européennes réalisant un chiffre d’affaires supérieur à 300 millions d’euros sur le territoire de l’Union européenne seront aussi concernées, trois ans après l’entrée en vigueur de la directive.
L’exclusion du secteur financier du périmètre du texte a finalement été actée. Mais une clause de revoyure est prévue, rendant possible son inclusion ultérieure.
Le 5 octobre dernier l’EIOPA a publié son avis sur la façon de superviser les captives, sujet laissé de côté par la réglementation Solvency II non adaptée à ce type d’entités liées très souvent à des groupes industriels et ne recherchant pas de clientèle. Ces sociétés sont plus des sociétés de services que des compagnies d’assurance. Le superviseur européen paraît embarrassé sur l’objet de son contrôle c’est pourquoi il se tourne vers les autorités nationales de contrôle (NCA) et sur les rapports reçus des captives elles-mêmes pour fixer un objectif et examiner des politiques optionnelles afin de se faire une opinion.
Objectif premier : contrôle des liquidités du groupe auquel appartient la captive, il s’agit de liquidités versées dans un pool permettant la gestion des transactions intra-groupe (cash pooling). L’EIOPA souhaite compléter la réglementation par un regard sur ce cash pooling et s’assurer que le principe de la « personne prudente » selon SII est bien respecté.
Second objectif : harmonisation des « bonnes pratiques » sans introduire de nouvelles exigences réglementaires mais plutôt en complétant et en clarifiant les dispositions SII existantes.
Deux points ont focalisé l’attention de l’EIOPA : la supervision des prêts inter-sociétés du groupe et les accords de cash-pooling d’une part, la gouvernance de la captive (composition de l’AMSB) et les activités sous-traitées aux sociétés du groupe et aux managers de la captive d’autre part.
Le superviseur fait sienne concernant le cash-pooling une approche basée sur la clarification des dispositions réglementaires au prétexte que c’est la meilleure option en termes de coûts/bénéfices pour les sociétés et pour le superviseur. Pour le second point, l’EIOPA tient compte dans son analyse du fait que le modèle économique de la captive repose sur un personnel restreint et qu’il n’y a pas lieu d’exiger des embauches supplémentaires. En conséquence l’approche choisie par l’EIOPA s’intitule « clarifier le contexte de gouvernance du business model spécifique » (on aurait pu trouver quelque chose de plus littéraire). Ainsi pour respecter cette spécificité le superviseur est prêt à assouplir les conditions pour les quatre fonctions clés énoncées dans Solvency II : audit interne, pilotage des risques, fonction actuarielle, conformité. L’EIOPA admet que ces fonctions clés puissent être assumées par un membre du Board. L’auditeur interne peut également être membre du département audit interne de la maison mère. Quant au pilotage des risques il pourra être confié au manager de la captive ou à un prestataire de services. Il en est de même pour la fonction actuarielle et pour la conformité. Comme on peut le constater l’EIOPA fait preuve, une fois n’est pas coutume, d’une grande souplesse dans l’application des règles de Solvency II.
Comme d’habitude, une consultation est prévue pour recueillir l’avis des assureurs.
Ce Rapport traite des structures (type FTX) qui proposent une large palette de services sur crypto-actifs, autour d’une plateforme commerciale : achat/vente de cryptos, distribution de produits, le tout sans contrôle, avec un risque majeur de conflits d’intérêts, alors que ces fonctions seraient séparées et contrôlées specifiquement dans la finance traditionnelle. L’intérêt de ces opérations en plateforme est, selon le FSB, que le prix des services est fortement minoré du fait de la non-conformité avec les réglementations existantes.
Le FSB souligne que ces plateformes (MCI) sont « offshore », que leur opacité est intentionnelle, que leur gouvernance interne n’est pas divulguée, et qu’en particulier une personne peut détenir la propriété, le contrôle et le pouvoir de décision : les conflits d’intérêts sont donc probables. La concentration sur un petit nombre d’acteurs leur donne un pouvoir de marché important. Les vulnérabilités sont semblables à celles qui affectent la finance traditionnelle : leverage (endettement), risque de liquidité, risque technologique et opérationnel mais accru par l’accumulation des facteurs de risques. Plus sérieusement encore, les risques de transmission à la finance traditionnelle et au système financier de l’économie peuvent résulter des stablecoins adossés à des actifs de la finance traditionnelle (le dollar). Pour l’heure, la menace sur la stabilité financière est limitée, mais les fermetures de banques qui utilisent les crypto-actifs laissent présager la réalisation de risques graves.
Les MCI se caractérisent par leur volonté de s’isoler des obligations réglementaires et d’éviter toute publication de bilan, caractéristiques des produits, etc. Ils développent de multiples activités : émission de stablecoins et autres cryptomonnaies ; commercialisation de produits et négoce de ceux-ci ; programmes d’investissement, prêts/emprunts ; paiements ; cartes prépayées ; conservation d’actifs, « portefeuille », investissements directs, opérations sur la blockchain, gestion de celle-ci (mining). Les services aux clients sont donc très variés (gestion de la blockchain, échange de cryptos contre de la monnaie fiduciaire, cartes de débit prépayées, émissions de stablecoins remis en dollars). Il est clair qu’une majeure partie de cette activité concerne le marché américain, y compris celui des particuliers.
La structure de ces MCI est marquée par l’opacité : multiples « juridictions » (zone d’activité des contrôles), financement dans des centres offshore (Bahamas, iles Vierges britanniques), pas de risk management, etc.
L’interconnexion, avec les activités financières traditionnelles, se fait grâce à des investissements conjoints avec des banques traditionnelles, le trading, des opérations dites de venture capital (investissements avec le private equity), les paiements, la tenue de comptes en monnaie fiduciaire. Bref, la finance traditionnelle pourrait bien être complice de la gestion des crypto-actifs en y ayant trouvé des sources de profits.
Les vulnérabilités des MCI tiennent à la création de leverage, au trading sur les crypto-assets propriété des gestionnaires (FTX), et à une politique de prise de risque excessive. Le venture capital (recherche de rendements élevés) génère un gap de liquidité, et donc des risques de vente massive sur le stablecoin. La contagion vers l’économie résulte du risque de ventes flash, de dépréciation de collatéraux (garanties financières) libellés en crypto-actifs, et de la participation des MCI dans les activités dites de « Finance Décentralisée » (DeFi). La vulnérabilité opérationnelle n’est pas moindre : Ethereum et certaines blockchains ont connu des difficultés technologiques et les MCI sont vulnérables à des attaques cyber. Cette vulnérabilité est amplifiée par l’absence de gestion de risque et par la confusion des brokers et des traders, le proprietary trading et les conflits d’intérêts qui en résultent. La concentration du marché fait qu’un seul défaut peut avoir des conséquences dramatiques pour l’ensemble des MCIs. Enfin, les MCI sont établis dans des États où la régulation est légère : elle peut servir des clients à qui l’usage des mécanismes financiers est interdit.
Globalement, la finance traditionnelle est exposée aux crypto-assets via les MCIs et le risque s’accroît avec l’extension possible de l’usage des cryptos. Les effets sont, pour l’instant, limités par la petite taille du marché, la confiance limitée dans ces mécanismes, l’importance des fluctuations de la valeur des cryptos et la limitation de l’exposition de la finance traditionnelle. Mais les émetteurs de cryptomonnaies viennent d’être introduits au Nasdaq, malgré les réticences sérieuses de la Securities Exchange Commission.
Il n’en demeure pas moins nécessaire de limiter les effets sur la stabilité financière, ce qui dépend de quatre facteurs : la réglementation et la coordination internationale, la surveillance des liens avec l’économie globale, la surveillance de la concentration du risque MCI et l’évolution de la séparation des activités au sein des MCI.
Pour améliorer la situation, le FSB recommande de combler les faiblesses de l’information sur 3 points : la taille et la nature des fonctions des MCIs actuelles, les vulnérabilités et les interconnections avec la finance traditionnelle.
En conclusion, le FSB constate que la menace sur la stabilité financière est limitée, mais que son évolution dépend de l’accroissement des liens avec la finance traditionnelle. Il note que, en juillet 2023, il a proposé un cadre global de régulation « durci », après la faillite de FTX et, qu’en mai 2023, l’IOSCO (Association des superviseurs des marchés) a fait les mêmes recommandations. Ses recommandations sont de contrôler la séparation des métiers au sein des MCIs (conflits d’intérêts), le développement de la coopération avec les États ouverts aux crypto-assets pour contrôler « l’arbitrage régulatoire » et la solution rapide des insuffisances d’information (information gap)sur la structure et les résultats des MCI.
La crise de FTX a fait peur aux marchés financiers. La réglementation des crypto-actifs est en marche (cf. la présente chronique sur le Règlement MiCA européen).
Comme le dit le sous-titre du Rapport, il s’agit de fournir aux autorités de contrôle, une « boîte à outils » afin d’éviter la redoutée « fragmentation » des approches des contrôles nationaux dans le domaine de la supervision de la sous-traitance par les institutions financières.
Comme beaucoup de documents issus du FSB, le premier chapitre traite utilement de définitions que le FSB voudrait voir adopter de façon générale. Les plus importantes ciblent les notions suivantes : le « service critique » (ou majeur : par exemple, sous-traiter le calcul des provisions techniques) ; le fournisseur de services critiques (par exemple, fournisseur d’accès au cloud) ; la dépendance d’un sous-traitant qui a un caractère systémique (sous-traitant qui détient une part de marché telle que sa défaillance impacterait un grand nombre d’acteurs du marché financier). Cela semble couvrir la notion d’acteur « critique » de la sous-traitance.
Le Rapport traite du risk management par les institutions financières de leur politique de sous-traitance. Les recommandations sont traditionnelles : identification des « services critiques » (et définition de la criticité), cartographie, conduite des due diligences sur le service critique et sur le fournisseur de services ; information exacte sur les incidents affectant le service critique ; connaissance de la chaîne de traitement des fournisseurs de services ou sous traitants ; plans de continuité d’activité de part et d’autre (tenir un registre) ; stratégies de rupture du contrat de sous-traitance et de substitution d’un nouveau sous-traitant ; gestion du risque de « concentration » sur un même prestataire et sur un prestataire qui concentre les prestations d’un grand nombre d’entités du marché, et politique de réduction de ce risque ; création de procédures de reporting (y compris en interne) ; définition d’une politique contractuelle (clauses types).
Le FSB s’intéresse aussi aux modalités de contrôle des autorités nationales. La connaissance de la concentration de la sous-traitance, les modalités du reporting demandé par les autorités, la connaissance des incidents impliquant des dépendances systémiques, et la définition de critères d’identification des risques systémiques sont les mesures « réglementaires » considérées comme nécessaires par le FSB. Le Conseil suggère aussi l’organisation de la coopération transfrontalière et l’échange d’informations entre les autorités et des « exercices de coordination » des réponses des sous-traitants aux obligations imposées pour le contrôle du risque systémique.
Enfin, le Rapport fait la liste des organisations qui éditent des « normes » sur le sujet : l’Europe avec le Règlement DORA ; le Comité de Bâle avec les Principles for the Sound Management of Operational Risk (PSMOR) ; l’IOSCO (Organisation internationale des autorités de marché financier) : Principles of outsourcing ; le Comité des paiements et des infrastructures de marché ; l’International Association of Insurance Supervisors (IAIS) (note sur la résilience opérationnelle du secteur de l’assurance).
Le 23 juin 2023, l’Association internationale des contrôleurs d’assurance (AICA) (International Association of Insurance Supervisors, IAIS) a lancé sa dernière consultation publique sur l’Insurance Capital Standard (ICS) visant à donner un cadre de régulation prudentiel commun à l’ensemble des sociétés actives à l’international, les IAIG (International Active Insurance Groups).
Rappelons que cette démarche fait suite à une requête du FSB, qui veille à la stabilité du secteur financier dans son ensemble, avec comme objectif de favoriser la stabilité du secteur assurantiel mondial, dans l’intérêt des assurés, tout en assurant une comparabilité entre les différents acteurs et zones géographiques.
Cette dernière consultation vise à solliciter les commentaires des parties prenantes sur l’ICS avant son adoption en tant qu’exigence de capital prescrit (PCR) de groupe pour les IAIGS. La consultation identifie également certaines modifications apportées aux documents de niveau 1 et de niveau 2 pour la version 2.0 de l’ICS, qui ont été publiés par l’IAIS en novembre 2019 et mars 2020 et sont actuellement en cours d’évaluation sur une période de suivi de cinq ans.
L’IAIS a publié des consultations sur les projets révisés des Insurance Core Principles (ICP) 14 (exigences prudentielles pour l’évaluation des actifs et des passifs à des fins de solvabilité) et 17 (ressources et exigences en matière de capital réglementaire). Ces ICP n’ont pas été inclus dans la révision des ICP de 2019, compte tenu des travaux en cours sur l’ICS. Dans le cadre de l’accord d’Abou Dhabi, il a été décidé que ces deux ICP révisés, seraient adoptés d’ici la fin 2024).
La consultation publique s’est clôturée le 21 septembre 2023. L’AICA est en train d’examiner les commentaires reçus. Toutes les questions de consultation étaient facultatives, permettant aux parties prenantes de commenter l’ensemble ou un sous-ensemble des questions.
En France, les 8 IAIG concernés par la norme ICS n’ont pas souhaité répondre à la consultation. Rappelons que les acteurs français, qui représentent près de la moitié des acteurs européens concernés et qui sont le 2e marché le plus impacté par le projet derrière les États-Unis, soutiennent l’objectif d’un standard de capital unique. Ils considèrent toutefois que le projet a changé de nature en passant de la mise en place d’un standard unique s’appuyant sur des règles communes à la mise en place d’un cadre de multi-équivalences internationales géré par des superviseurs.
Le projet de standard de capital international en assurance, qui reste subordonné à la réalisation de travaux d’implémentation de la méthode MAV (Market-Adjusted Valuation), l’équivalent de la formule standard de Solvency II devrait être adopté d’ici décembre 2024 avec une mise en œuvre prévue en 2029.
BILANS ET RAPPORTS ANNUELS (EUROPE ET FRANCE)
Nous commentons ici certains de ces documents de façon très résumée et de façon aussi à en extraire les informations pertinentes pour notre chronique.
1. L’assurance à l’ère de la blockchain. La finance décentralisée (DeFi) présente de nombreux avantages : optimisation des coûts et délais de gestion, l’acquisition de nouveaux clients, la transformation de la distribution par la création des smart contracts ou contrats indiciaires (et non indemnitaires). On connaît quelques cas d’usage de ces contrats conçus pour la blockchain : l’assurance indiciaire des risques agricoles, l’expérience d’AXA sur les assurances des retards de voyages aériens.
Les actuaires soulignent pourtant les obstacles au développement : le Règlement général sur la protection des données, la non-conformité globale de la blockchain, les difficultés de gestion à l’intérieur des systèmes informatiques existants et, enfin (et surtout), la volatilité des cryptomonnaies.
2. L’enquête des actuaires et la cartographie des risques à fin juin 2023. Elle traite surtout de l’évolution des facteurs de risque sur les assurances de personnes.
Pour l’épargne-retraite, les assureurs sondés soulignent :
– faible croissance de la collecte : 37 % seulement des assureurs pensent que la collecte sera en hausse, s’expliquant par le contexte économique (53 %), la concurrence, les marchés financiers ;
– le provisionnement évoluera peu (25 %) ou pas (33 %) ;
– l’activité sera impactée pour 87 % des assureurs par les mouvements du taux d’intérêt ; pour 48 % par un choc sur le marché immobilier ; pour 38 % par la fiscalité sur les produits ; pour 31 % par un choc sur les marchés actions ; pour 30 % par les problèmes de liquidité ; pour 26 % par la hausse des défauts d’entreprise ; pour 16 % par le risque de durabilité (impact sur les placements) ; pour 15 % par la hausse du risque de non-conformité. Les « chocs » traditionnels prévalent donc sur les nouveaux paradigmes.
Pour la santé, 78 % estime que la collecte de primes augmentera (inflation des coûts médicaux) ; 47 % estime que les prestations augmenteront de 0 à 5 % ; mais 29 % qu’elles augmenteront de 5 à 10 %.
L’essentiel de l’explication tient à l’inflation des coûts médicaux. Les facteurs de risque sont, pour 83 %, liés à l’évolution réglementaire (retraite, grande Sécu, réforme de la prévoyance, Fonction publique) ; pour 46 % à l’évolution sociétale (augmentation des troubles psychologiques) ; pour 31 % à l’augmentation des maladies ; pour 27 % à une crise sanitaire.
3. Chatbot-GPT : une IA conversationnelle sur la réglementation en matière de durabilité. Bonne synthèse de l’ampleur du sujet de l’inflation réglementaire sur la réglementation durabilité. Il reste manifestement encore beaucoup à faire pour que l’outil soit utilisable avec une fiabilité suffisante (chatbot ESG-GPT), mais son utilité à moyen terme ne fait aucun doute.
4. Enquête sur la mise en place de l’ORSA climatique par les entités :
– 50 % n’ont pas de politique écrite ;
– 48 % n’intègrent pas la double matérialité ;
– 75 % disposent d’indicateurs ;
– 28 % ont institué une comitologie spécifique ;
– 85 % ont engagé une formation ;
– 79 % n’ont rien prévu en matière de rémunération ;
– 54 % disposent de scénarios sur les risques physiques et sur les risques de transition.
L’intégration dans l’ORSA reste limitée dans une vision à court terme : ce qui est logique pour un exercice généralement à horizon trois ans.
5. Actualité Solvency II. L’Institut des actuaires (IA) fait un point sur le contenu de la révision Solvency II : i) prise en compte de questions hétérogènes et multiples (critères ESG, questions macroprudentielles, liquidité, taux d’intérêt) ; ii) alignement croissant sur la réglementation bancaire (liquidité, résolution) ; iii) la Directive est moins principielle et plus normative ; iv) changement de paradigme sur la proportionnalité.
Il traite du texte de l’EIOPA du 17 mars 2023 sur les QRT (dite taxonomie 2.8.0) : modification dans les états trimestriels ; granularité de l’information ; introduction de la durabilité ; extension vers les modèles de conglomérats financiers (harmonisation avec la Directive FICOD).
L’IA souligne que des contrôles nouveaux sont associés à la taxonomie 2.8.0 sur l’exhaustivité des données, le renforcement de la qualité des données et la cohérence des calculs réalisés.
À noter une Annexe détaillée sur les changements apportés par la taxonomie 2.8.0 à l’ensemble des QRT. Voir le commentaire spécifique dans la présente chronique dans la rubrique 1.3
6. Open Data et enrichissement de la prédiction du risque sécheresse en 2023. L’intérêt essentiel est de tracer quelques voies pour une meilleure modélisation du risque sécheresse. Il s’agit de cerner le « risque » de sécheresse géotechnique (soit 3 % de la superficie totale de la commune exposée au risque de retrait-gonflement des argiles. RGA). Il concerne 29 100 communes et 48,5 % du territoire. Il est différent du risque de sécheresse météorologique : le Soil Wetness Index observé sur l’année doit être une des 2 valeurs les plus basses observées sur les 50 dernières années (« période de retour » de 25 ans).
Le texte étudie en particulier la sécheresse « géotechnique » en volume et coût croissant. 2003 : 2,1 milliards d’euros ; 2022 : 3,5 milliards d’euros, mais aussi, 2018 proche du niveau de coût de 2003. Il esquisse une théorie de la généralisation de cette sécheresse géotechnique : 2003, puis 2011, puis 2018 et enfin 2022. Un autre exposé de l’IA rappelle que le coût estimé de la sécheresse en 2022 a été de 3,5 milliards d’euros (contre 5 milliards tout de même pour la grêle) et de 900 millions en 2023 (contre 1,3 milliard pour les tempêtes Ciaran et Domingos). Les sécheresses moindres ont été constatées en 2019, 2020 et 2011. C’est la fréquence et le coût en croissance récente depuis 2018 des événements sécheresse « géotechnique » qui est le facteur majeur d’évolution du risque.
7. Analyse de la résilience des assureurs français comparée à leurs pairs européens – Exposition à la baisse de taux. La reprise du Quantitative Easing en 2019 a provoqué une baisse de la solvabilité en 2018-2019. Les assureurs français sont cependant moins exposés du fait de l’absence (ou quasi) des taux de rendement garantis et d’un gap de duration plus ouvert entre les actifs et les passifs qui permet de profiter de la remontée des taux.
La hausse des taux depuis 2021 fait que les assureurs français sont les plus exposés au risque de rachat en Europe, notamment du fait de la concurrence des produits de placement bancaire et du Livret A. Mais les rachats sont limités par les écarts de duration qui favorisent une gestion active de l’adossement actif/passif, l’organisation de la distribution (bancassurance), le maintien du rendement par l’emploi de la provision pour participation aux bénéfices et la fiscalité (8 ans de conservation nécessaire pour bénéficier pleinement de l’avantage fiscal de la capitalisation en franchise d’impôt, fiscalité des successions).
Il demeure un risque législatif en assurance vie : l’encadrement des commissions et frais sur les unités de compte, le principe nouveau de value for money (assurance emprunteur notamment), les obligations de transparence au profit de l’investisseur. Le règlement Retail Investment (RIS) pourrait remettre en cause une conception des produits tournée à 100 % vers la valorisation du capital (approche patrimoniale, appuyée par la franchise fiscale sur les droits de succession).
En non-vie, les ratios sinistres/primes sont à 100 %, et la rentabilité technique est, pour l’instant, nulle. L’inflation est donc une forte menace, d’autant que la concurrence entre acteurs reste forte et qu’il y a un risque « politique » d’incitation ministérielle à réduire les marges d’augmentation des primes (Auto, MRH, Santé). Pour les catastrophes naturelles, les actuaires rappellent que les principaux événements récents, Ciaran et Domingos, vont rester à la charge du marché (assureurs et réassureurs) et peser sur la rentabilité technique. Pour l’instant, et heureusement, les tempêtes ne sont pas des Cat’ Nat’, sauf les ouragans dans les DOM.
Les autres livraisons de ce séminaire de l’IA nous ont paru moins pertinentes pour notre chronique.
Il s’agit des produits d’assurance en unités de compte étudiés par l’EIOPA : 1 000 produits dits IBIP auprès de 173 sociétés, 200 produits d’épargne retraite individuelle et 1 400 produits de pension collective (IORPs).
L’information majeure pour 2022 est l’impact de l’inflation et de la baisse des taux d’intérêt sur les marchés financiers. L’EIOPA parle de performance médiocre des marchés, avec une forte volatilité et des rendements très divers. Mais aussi (et surtout) la réduction sensible de la collecte de primes, face à la baisse des rendements. Les produits en unités de compte et les produits hybrides ont publié des résultats négatifs, tandis que les produits dits à participation aux profits (with profit) ont fourni des rendements positifs. L’interprétation de ces résultats reste cependant difficile, car les pertes sont potentielles (la baisse de valeur des actifs obligataires n’est réalisée qu’en cas de vente), et les rendements bruts sont évidemment à rapprocher du taux d’inflation pour mesurer le rendement net du produit. Il est donc logique que les produits IBIPs, soit en unités de compte, soit hybrides, aient publié des résultats nets négatifs et une collecte en baisse.
Les frais sont demeurés à peu près stables (baisse de 10 à 20 points de base pour les UC), mais les frais sur les produits with profit sont moindres que ceux sur les produits en unités de compte : alors que les frais représentent 1,5 % du rendement pour les produits avec participation aux profits, ils s’élèvent à 2,1 % pour les produits en unités de compte.
La performance nette globale dépend de la « classe de risque » choisie : la volatilité s’accroît et le rendement tend à baisser pour les produits investis en actifs risqués, et donc conduit les unités de compte à publier des résultats négatifs. À noter que la politique prudentielle générale, qui survalorise la sécurité des produits de taux, a conduit les gérants à priver les clients d’UC d’une hausse historique en 2022 et 2023 des cours des actions. L’EIOPA en convient, en soulignant que certaines UC ont pu bénéficier d’un changement d’allocation d’actifs. L’Autorité constate aussi que la performance des IBIP (UC) est influencée par la période de rétention recommandée des produits (en France, c’est la fiscalité qui organise cette rétention dans le temps), et également par la fréquence de versements de primes : les primes périodiques ont un rendement négatif plus élevé que les primes uniques.
Quant aux investissements « verts » (ou durables), le diagnostic de l’EIOPA est brutal : ils sont en général moins performants que les autres fonds et, surtout, sont plus chargés en frais.
Les produits individuels de pension génèrent des résultats parallèles : les pensions adossées à des unités de compte affichent un rendement négatif et les produits en profit sharing un rendement légèrement positif (+0,7 %). Les produits en unités de compte sont plus chargés de frais que les produits « en euros » ou avec participation aux bénéfices.
Pour les produits des IORPs, l’EIOPA constate que, hormis les Pays-Bas, le taux de pénétration reste faible (mais cela pourrait changer en France avec la loi PACTE et l’agrément d’une vingtaine de FRPS) et, surtout, que les produits fondés sur le principe de la contribution définie (où l’essentiel des risques de valeur des actifs et d’adéquation de la retraite aux besoins pèse sur le client) ne représentent que 21 % de l’encours des actifs des IORPs. Donc, le grand mouvement de transformation des prestations définies vers les contributions définies paraît moins nettement engagé que ne l’affirme l’EIOPA depuis plusieurs années.
L’EIOPA a produit un texte de réflexion sur l’impact de l’inflation, mais aussi sur l’augmentation des taux d’intérêt, conséquence de la hausse de l’inflation sur la politique monétaire. Malheureusement, le texte est inutilement complexe.
1. Constats de base. L’impact de ces deux phénomènes est dû à la forte exposition aux produits de taux des assureurs, à la duration des actifs qui est menée par la duration des passifs (durée des sinistres en non-vie, des contrats en vie) et à la sensibilité des sinistres et des coûts de production à l’inflation. On sait que l’inflation implicite de ces deux postes de bilan est toujours (et bien avant la « flambée » d’inflation de 2020-23) supérieure à l’inflation du niveau général des prix. En outre, selon l’EIOPA, les taux d’inflation générale sont durablement supérieurs au seuil de 2 % de la Banque centrale européenne : 3,4 % dans les 12 mois et 2,4 % pour les 3 années suivantes (selon l’EIOPA), donc le niveau des taux d’intérêt restera élevé.
2. Les assureurs ont réagi à cette situation :
– l’exposition aux produits de taux a été réduite pour faire face à la baisse de valeur des actifs ;
– les provisions techniques en vie ont baissé, ce qui compense la hausse des coûts, au moins en partie, du fait des résiliations ;
– les provisions techniques en non-vie ont un peu augmenté (anticipation de la hausse du coût des sinistres), mais les taux d’actualisation des provisions sont en baisse, ce qui entraîne une baisse des provisions techniques prudentielles ;
– le ratio des actifs sur les passifs et les fonds propres ont diminué en vie (valeur de marché des produits de taux), avec un impact certain en vie, mais faible en non-vie.
Pour l’avenir, on doit considérer l’inflation et la hausse des taux comme une source de risques, dit l’EIOPA. Selon ses scénarios, le ratio des actifs sur les passifs devrait baisser assez fortement en non-vie et se modifier très faiblement en vie (réinvestissement dans des actifs à plus fort rendement du fait de la hausse des taux). En revanche, l’activité non-vie ne bénéficierait pas suffisamment de la hausse des taux pour compenser l’inflation sur les sinistres (l’actualisation a peu d’impact sur les provisions techniques sur les risques à courte duration). L’EIOPA en conclut que le principal risque réside dans une relativement forte inflation de longue durée.
3. Quant à la profitabilité, l’inflation l’affecte pour la non-vie, à cause des coûts croissants des sinistres. La question est donc de savoir si les consommateurs accepteront des augmentations de tarifs. En vie, les hausses de rendements devraient faire augmenter la profitabilité, mais l’augmentation progressive des taux de rémunération des actifs pourrait être trop lente pour éviter le risque de fortes vagues de résiliations (lapses).
4. L’inflation et la hausse des taux d’intérêt font courir un risque de liquidité aux assureurs :
– en cas de mass lapses, la vente des actifs liquides peut ne pas suffire à couvrir les besoins de liquidité ;
– les dérivés de crédit peuvent peser sur le besoin de liquidité (appels de marge).
Cela dit, l’EIOPA note, qu’en 2022, la position de cash-flow a été obérée par les résiliations, mais que la disponibilité d’actifs liquides a évité la difficulté.
5. Quant aux consommateurs, ils sont évidemment victimes de l’augmentation des taux de primes et des coûts associés aux résiliations, mais ils bénéficient, depuis 2022, de placements mieux rémunérés.
Dans ces deux tableaux de bord, l’EIOPA insiste sur les risques macroéconomiques : baisse de la croissance mondiale, et écart croissant entre la situation des institutions financières (plutôt favorable) et le PIB (l’économie « réelle »). C’est en effet un facteur d’inquiétude. Bien entendu, l’EIOPA considère toujours la hausse des taux d’intérêt et de l’inflation comme des menaces, bien que l’une et l’autre soient orientées à la baisse ou stables.
Les risques de marché demeurent importants : baisse des prix de l’immobilier et volatilité des marchés boursiers et des obligations.
Les indicateurs de liquidité sont plutôt rassurants (en juillet ratio médian à 4 %), malgré l’augmentation significative des taux de résiliation en 2022.
La profitabilité est en amélioration et la solvabilité se maintenait au premier semestre 2022 : pour les « groupes », il a évolué de 225 à 219 % (ratio médian) et pour les entités « solo » vie et non-vie, il est à peu près stable.
L’inquiétude vient plutôt du risque de souscription où les primes sont en faible baisse en non-vie et stagnantes à zéro croissance en vie. Elle est plus forte encore au 3e trimestre du côté des risques « cyber » et digitaux, avec une recrudescence des cyber incidents.
Quant aux risques dits de « contagion », au sein du secteur financier, ils sont modestes : les investissements dans les banques (médiane) sont à 15,8 % des actifs, à 1,7 % dans les assurances, à 22 % dans les « autres institutions financières » et baissent à 0,4 % pour les dérivés de crédit.
Le Rapport traite principalement du contrôle des frais sur les produits financiers, dans le prolongement des travaux du Rapport Husson-Montgolfier, et de l’accord de Place de février 2022. Il s’agit essentiellement des frais sur les contrats d’assurance vie en unités de compte, et donc de la vérification du processus de commercialisation (MIFID/DDA/PRIIPs) et de la future Directive Retail Investment (RIS). Le Comité consultatif du secteur financier a noté les divergences entre les Directives PRIIPs et MIF2, en cours de solution. Il a élaboré un glossaire des frais (plutôt une nomenclature) qui sert de base aux contrôles. Dans l’avenir, les deux autorités veilleront, dans le cadre de l’analyse des SFDR des entités financières (Rapport extra-comptable sur la durabilité) au respect des règles EIOPA sur l’intégration des préférences des clients en matière de durabilité dans le processus de commercialisation et de conception des produits.
Les deux autorités développent leur action de veille publicitaire, notamment sur les produits financiers qui mettent en avant leur contribution à la durabilité des actifs financiers. Cela vise notamment l’écoblanchiment contenu dans la promotion de certains produits (greenwashing) : 20 % des produits invoquent leur contribution à la finance durable.
Enfin, les deux institutions alertent sur les offres frauduleuses et sur les « usurpations » d’enregistrement/agrément de certains intermédiaires. Elles affirment l’attention qu’elles portent aux offres et modalités de commercialisation aux personnes âgées ou vulnérables de produits de placement.
Comme d’habitude, l’EIOPA donne un avis sur le niveau et la tendance des risques principaux du secteur de l’assurance. Ce papier se base sur des informations chiffrées du mois de septembre 2023. Selon elle au moment de la rédaction de l’article les risques restent élevés dans le domaine macroéconomique, dans le secteur des risques de marché et celui des risques cyber. Sept autres risques sont classés comme modérés, il s’agit des risques de liquidité et de financement, des risques de profitabilité et de solvabilité, des risques d’interconnexion et de déséquilibre, du risque de baisse des cours des actions du secteur, des risques ESG et enfin des risques cyber et digitalisation.
Concernant les risques macro, l’EIOPA répercute l’inquiétude générale des milieux économiques en s’appuyant sur des prévisions à moyen terme d’une faible progression du PIB mondial (0,6 %), sur un taux d’intérêt swap à 10 ans en forte hausse (3,3 % contre 0,5 % début 2022), sur un écart négatif croissant entre le montant des crédits et le PIB.
Le risque de marché, tout en restant élevé, est stable par rapport au trimestre précédent. La volatilité sur les marchés actions et obligations reste à un haut niveau. À noter : l’écart entre le rendement des placements et le taux garanti (fonds Euro des contrats vie) s’est effondré de 25 % depuis la fin de l’année 2022 en raison de la baisse des cours des valeurs à revenu fixe.
Profitabilité et solvabilité restent à un niveau moyen. Le ratio combiné en non-vie est de 98 % au second semestre 23 contre 97 % fin 22. Le ratio médian actifs sur engagements se maintient à 114 %. Quant au rendement des actifs il est passé de 0,6 % à la fin 2022 à 0,9 % au 30 juin 2023. À la même date le SCR médian pour les groupes se situe à 232 %, celui des compagnies non-vie est à 212 %, celui des compagnies vie à 244 % (hors effet transitoire le ratio est ramené à 219 %).
Par risques d’interconnexion et de déséquilibre le superviseur européen fait référence au suivi des investissements de la banque, des assurances, des institutions financières, et aux placements dans la dette souveraine domestique. L’objectif est la surveillance de l’évolution des investissements des entités d’assurance dans ces secteurs connectés au secteur assurantiel. On note une stabilité récurrente du pourcentage d’actifs investis dans le secteur bancaire (15 %), de l’assurance (1,5 %), des institutions financières (23 %), de la dette souveraine (9,2 %). La part des primes cédées aux réassureurs était de 5,6 % à fin juin 2023. Les dérivés représentaient 0,4 % à la même date. Les chiffres indiqués ont été établis à partir des montants globaux transmis par chaque NCA.
La perception du marché à l’égard des titres émis par les compagnies cotées est restée moyennement stable selon l’EIOPA, les actions des sociétés non-vie ayant sous-performé de 6 % par rapport au marché et les entités vie ayant fait 1 % de plus que le marché. Le PER médian des groupes est stable à 11. La médiane des écarts sur les CDS (Credit Default Swap) est revenue à 61 bps, son niveau du premier trimestre 2023.
La digitalisation et le risque cyber sont en tête de la liste des main risks établie par les assureurs. La tendance est à l’aggravation bien que la matérialité des risques estimée par les superviseurs soit plutôt à la baisse. La fréquence sur un an des incidents cyber est très volatile d’un trimestre sur l’autre, difficile de conclure. Cependant le sentiment général, basé sur le nombre d’incidents communiqué par les groupes seuls, est à la hausse.
Ce rapport traditionnel adopte la vision invariablement pessimiste de ce type d’exercice.
Pourtant, les crises financières récentes ont été surmontées avec succès : la crise de la dette britannique de 2022, la crise des banques moyennes américaines, l’effondrement du Crédit Suisse n’ont pas provoqué de crise systémique de quelque durée.
La hausse des taux et la hausse des primes de risque succèdent à la litanie précédente du « low for long » des taux, due à la persistance, voire à la reprise (Covid), des politiques monétaires permissives. Les ESA soulignent la baisse de valeur des actifs et l’impact sur la profitabilité des assureurs (pourtant non vérifié), les « risques de marché » (pourtant, les valeurs boursières sont au plus haut historique), les problèmes de liquidité liés aux appels de marge sur les crédits dérivés. On redoute une détérioration de la qualité des actifs du secteur financier : défauts d’entreprises, défauts sur les dettes, risques liés à la baisse de valeur de l’immobilier et de l’activité des prêts immobiliers.
Le risque d’inflation est largement développé : risque d’augmentation des frais généraux et coût croissant des sinistres avec des difficultés pour ajuster les primes. L’EIOPA ne manque pas de rappeler les effets sur les retraites (pensions) et, curieusement, sur le caractère « approprié » (appropriateness) des produits d’épargne et d’assurance ; donc l’Autorité insiste sur la nécessité du Product Oversight and Governance (POG).
Globalement, les ESA rappellent la nécessité d’un solide Enterprise Risk Management (en rappelant les exemples des banques moyennes américaines et du Credit Suisse, sans noter les manquements évidents des contrôles qui avouent aux États-Unis s’être montrés défaillants). Elles font, à l’occasion, allusion à la nécessité de constituer des réserves de fonds propres (capital buffers), sans doute en écho aux travaux du Financial Stability Board et de l’IAI sur les entités financières systémiques (ex. GSIIs).
Le programme conjoint de l’EBA, de l’ESMA et de l’EIOPA est un peu plus précis que celui de l’EIOPA « solo » :
– la question de la finance durable est globalement prioritaire : le SFDR, le greenwashing et le Rapport sur les Principal Adverse Impacts (PAI), la taxonomie et les RTS et ITS, la modélisation et les tests sur le risque climatique sont cités parmi les préoccupations majeures ;
– le Règlement DORA et les modalités du contrôle des fournisseurs critiques de services informatiques et la coordination du risque systémique informatique.
– le retour sur le règlement PRIIPs, sorte de « serpent de mer » de la réglementation des marchés et de l’assurance vie que les ESA voudraient voir enfin maîtrisé ;
– les agences de notation ;
– le contrôle des conglomérats financiers ;
– la création de l’European Single Access Point (voir la présente chronique).
Là aussi, l’absence de travaux prévus (ou cités) sur la réglementation des crypto-actifs surprend, autant que le silence sur la question de la Directive sur les due diligence (CS3D) et sur le devoir de vigilance qui y est associé.
Ce texte traditionnel répète les objectifs stratégiques de l’Autorité. Il suffit d’en faire la liste pour anticiper les priorités des activités de contrôle :
– l’intégration de la finance durable dans l’ensemble du cadre de contrôle, avec une mention particulière pour les insuffisances de garantie « insurance gap » ;
– lDORA et le contrôle désormais installé des fournisseurs critiques de services, ainsi que le cadre de coordination des contrôles sur le risque cyber systémique, l’intelligence artificielle (IA), l’ « European Single Access Point » ;
– la révision de Solvency II et la résolution des entités d’assurance ;
– le Règlement RIS ;
– et, naturellement, le développement du rôle de l’EIOPA dans la surveillance de la stabilité financière. En revanche, l’Autorité est muette sur son implication dans les sujets de blanchiment des capitaux et, surtout, sur la réglementation en cours d’approbation sur le contrôle des crypto-actifs, bien que l’Autorité soutienne la transformation digitale.
Ce rapport traditionnel du FSB retrouve un certain intérêt du fait des évènements de quasi-faillite bancaire survenus dans l’année : le Credit Suisse, les trois banques « moyennes » américaines (Silicon Valley, Signature Bank et First Republic) et les difficultés du secteur bancaire britannique. Le besoin de procédures de gestion de la « résolution » bancaire se trouve donc confirmé, même si le Gouvernement helvétique a choisi une procédure de gestion « privée » (traditionnelle) de la résolution d’une banque « Global Systemically Important », le Credit Suisse, plutôt que la procédure de résolution adoptée aux États-Unis pour les banques moyennes locales. L’exemple du Credit Suisse, première faillite d’un Groupe systémique depuis 2008, laisse à penser que la stabilité financière tient moins à l’existence de procédures (toujours inadaptées au cas des grands Groupes) qu’à la capacité de prévision des autorités de contrôle, à la vigueur et aux capacités d’intervention des institutions (banque centrale pour les banques, Direction du trésor pour les assureurs).
Le FSB n’en demeure pas moins attaché à développer l’utilisation par les autorités nationales d’une procédure harmonisée de résolution fondée sur des principes communs dits « Key Attributes », applicables aux Global Systemically Important Banks (GSIBs), soit aujourd’hui 29 Banques. L’essentiel du Rapport est consacré aux Banques et aux difficultés rencontrées pour mettre en œuvre les Key Attributes, la mise en place d’un calcul du Total Loss Absorbing Capacity (TLAC) pour chaque Banque et la constitution de ce « coussin » de capital des GSIBs est assuré. Mais des difficultés demeurent quant à l’usage, dans le cadre de la résolution, des garanties collatérales transfrontalières (obstacles légaux, liés à la régulation ou simplement opérationnels). Il en est de même pour les modalités d’utilisation des diverses procédures de soutien public financier aux mesures de résolution. Le FSB souligne aussi que l’ère digitale est un facteur favorable au développement des bank runs pour retirer les dépôts en cas de rumeur propagée par les réseaux sociaux sur la proximité d’une crise d’insolvabilité d’une Banque.
Quant aux assureurs, le FSB fait un constat mitigé sur l’état de préparation et d’approbation des procédures de résolution dans le monde. La perspective d’une Directive européenne sur l’organisation de la résolution dans l’Assurance est saluée : il semblerait que le texte qui fait partie du « paquet » de la révision 2020 de Solvency II, ait été approuvé en décembre dernier par les trois institutions. La France est considérée comme ayant mis en place un resolution planning complet dans l’Assurance, sous réserve de problèmes juridiques qui demeurent sur les pouvoirs donnés aux autorités de résolution (ACPR) de restructurer, limiter ou résilier les contrats d’assurance et de réassurance, dans le cadre du processus de résolution.
Par ailleurs et surtout, s’agissant de l’application des Key Attributes aux Global Systemically Important Insurers (GSII), le FSB constate le blocage intervenu sur la définition de la liste de ces assureurs et l’abandon en 2022 de la notion même de GSII. Ce n’est pas une petite victoire de la profession qui a toujours nié le caractère « systémique » de l’assurance. En contrepartie, le FSB se fixe l’objectif de publier en 2024, une liste d’assureurs (importants ou systémiques ?) tels que définis par chaque Autorité nationale de contrôle, sur la base de leurs propres critères de définition des assureurs importants. Restera à faire accepter à ces assureurs ainsi désignés, les obligations de constitution d’une strate supplémentaire de fonds propres destinés à couvrir le besoin supplémentaire de solvabilité de ces assureurs importants. C’est donc un sujet à suivre attentivement.
La Commission européenne a adopté le 17 octobre 2023 son programme de travail pour 2024, qui met fortement l’accent sur la simplification des règles pour les citoyens et les entreprises dans l’ensemble de l’Union européenne. Cela fait suite à l’engagement pris par la présidente von der Leyen de réduire les charges liées aux obligations de déclaration de 25 %, conformément à la stratégie visant à stimuler la compétitivité à long terme de l’Union européenne et à épauler les PME.
Le programme de travail pour 2024 présente des propositions de simplification supplémentaires dans toute une série de domaines d’action, sans abaisser les normes sociales, environnementales, économiques, en matière de sécurité ou de protection des consommateurs. Les simplifications envisagées simplifieront les exigences de déclaration qui n’ont qu’une utilité limitée, par exemple en consolidant les obligations qui se chevauchent, en réduisant le nombre d’entreprises concernées et en augmentant la numérisation.
Parmi les exemples de propositions de simplification figurent le report du délai d’adoption des normes européennes sectorielles d’information en matière de durabilité (directive sur la publication d’informations en matière de durabilité par les entreprises) ainsi que les modifications du champ d’application de la directive comptable et du règlement sur les indices de référence. n
