Sous-traitance

Contenu

Cadre règlementaire

  1. Loi Solvabilité II : Art. 92 (recours à la sous-traitance)
  2. Règlement délégué 2015/35 : Art. 274
  3. Circulaire BNB BNB thématique sous-jacente : circulaire NBB_2020_18 concernant les recommandations de la Banque relatives à la sous-traitance de service en nuage
  4. Guidelines Eiopa : orientations 60 à 64

La sous-traitance est définie à l’article 15, 54° de la Loi Solvabilité II. L’on entend par sous-traitance tout appel à des tiers pour l’exercice d’activités ou de processus qui sont (i) propres à l’entreprise d’assurance et (ii) exercés de manière récurrente ou continue.  La sous-traitance peut porter tant sur des services aux assurés (centres d’appel, …) que sur des fonctions administratives (comptabilité, gestion des sinistres, gestion des placements, …) et spécialisées (IT, audit interne, gestion de données, …). 

7.1. Règles générales en cas de recours à la sous-traitance

7.1.1. Maintien de la responsabilité

La loi Solvabilité II prévoit que l’entreprise d’assurance qui sous-traite des fonctions, activités ou tâches opérationnelles conserve l’entière responsabilité du respect de l’ensemble des obligations qui lui incombe en vertu de cette loi.

En effet, il est prévu que la sous-traitance de tâches opérationnelles ne peut pas entraîner l’une des conséquences suivantes :

  1. compromettre gravement la qualité du système de gouvernance de l'entreprise d’assurance;
  2. accroître indûment le risque opérationnel ;
  3. compromettre la capacité de la Banque de vérifier que l'entreprise d’assurance respecte ses obligations prévues par ou en vertu de la loi Solvabilité II;
  4. nuire à la prestation continue d'un niveau de service satisfaisant à l'égard des preneurs d’assurance, des assurés et des bénéficiaires de contrats d’assurance ou des personnes concernées par l'exécution des contrats de réassurance.

7.1.2. Politique de sous-traitance

Le Règlement délégué 2015/35 précise que l’entreprise d’assurance qui envisage de recourir à la sous-traitance établit une politique écrite en matière de sous-traitance. Cette politique est approuvée par le conseil d’administration et tient comptes des principes de saine gestion développés ci-dessous.

L’entreprise d’assurance englobe dans sa politique l’approche et les processus de sous-traitance qu’elle suit du début à la fin du contrat et en particulier :

  1. le processus pour déterminer si une fonction ou activité est critique ou importante. A cet égard, elle détermine et documente cette analyse en se basant sur la question de savoir si la fonction ou activité est essentielle aux activités de l’entreprise au point que celle-ci ne serait pas en mesure de fournir ses services aux preneurs d’assurance sans ladite fonction ou activité.
  2. le processus de sélection du prestataire de services (processus de « due diligence ») et la méthode et la fréquence d’évaluation de ses performances et de ses résultats (dispositif de monitoring), en distinguant selon que la sous-traitance porte sur une fonction ou activité critique ou importante ;
  3. les compétences internes en matière de conclusion des contrats de sous-traitance et les détails à inclure dans l’accord écrit avec le prestataire de services, en distinguant selon que la sous-traitance porte sur une fonction ou activité critique ou importante ;
  4. les règles suivies en matière de plans de continuité[1]  ;
  5. les règles suivies en matière de traitement des données à caractère personnel ou confidentielles (cf. le GDPR) ;
  6. les règles en matière de documentation (registre des sous-traitance) et de reporting à la Banque.

[1] Concernant les aspects continuité, l’entreprise est attentive (i) à ce que les technologies, systèmes, applications et instruments utilisés soient suffisamment courants et connus, et à ce qu’il ne soit pas fait appel à des solutions moins habituelles ou dépendant de manière excessive du fournisseur de services ; (ii) à ce qu’une bonne documentation fonctionnelle des systèmes utilisés par le fournisseur de services soit établie et mise à jour ; (iiii) à ce que soit maintenue la compréhension nécessaire des caractéristiques techniques en matière de fonctionnement, d’organisation et de gestion des services sous-traités ; et (iv) à ce qu’il soit à tout moment possible de récupérer toutes les données propres sous une forme exploitable.

7.1.3. Fonctions et activités critiques ou importantes

L’entreprise définit un processus pour déterminer si une fonction ou activité est critique ou importante. A cet égard, elle détermine et documente cette analyse en se basant sur la question de savoir si la fonction ou activité est essentielle aux activités de l’entreprise au point que celle-ci ne serait pas en mesure de fournir ses services aux preneurs d’assurance sans ladite fonction ou activité. En d’autres mots, les fonctions ou activités critique ou importante sont celles fondamentales à l’activité d’assurance.  

A titre d’exemples de fonctions ou activités critiques ou importantes, on peut citer : la conception et tarification de produits d’assurance, la souscription des contrats, l’investissement d’actifs et gestion de portefeuille, la fourniture de stockage informatique et l’évaluation interne des risques et de la solvabilité ou «ORSA» (cf. le document de consultation des guidelines EIOPA 13/413, point n°5.174).  Des exemples de fonctions ou activités considérées comme non-critiques ou non-importantes sont: le conseil juridique, la formation du personnel, la sécurité des bâtiments, l’achat de services standardisés, le support logistique, la fourniture d’éléments relevant des ressources humaines comme le recrutement d’employés temporaires (cf. le document de consultation des guidelines EIOPA 13/413, n°5.175).

Par ailleurs, les fonctions de contrôle indépendantes sont en outre réputées être des fonctions critiques ou importantes dans la mesure où le respect de la Loi Solvabilité II en dépend. Le degré de sévérité des règles d’encadrement de la sous-traitance dépend du fait qu’il s’agit ou non d’une sous-traitance de fonctions ou activités critiques ou importantes.  La sous-traitance d’une fonction ou activité critique ou importante est soumise à des règles d’encadrement plus strictes qu’un cas de sous-traitance considérée comme non-critique ou non-importante.

7.2. Exigences de saine gestion dans la sous-traitance de fonctions ou activités non-critiques ou non-importantes

En cas de sous-traitance de fonctions ou activités considérés comme non-critiques ou non-importantes, l’entreprise d’assurance veille à ce que :

  1. la décision de sous-traiter repose sur une analyse approfondie portant au moins sur une description circonstanciée des fonctions ou activités à sous-traiter, sur les effets attendus de la sous-traitance, sur le respect des règles prévues dans la politique de sous-traitance et une évaluation des risques du projet  ;
  2. le processus de sélection du prestataire de service est opéré avec la vigilance et la prudence nécessaires, en tenant compte de la santé financière, de la réputation et des capacités techniques et de gestion du prestataire de service[2];
  3. cette sous-traitance fait l’objet d’un accord écrit avec le prestataire de service qui tient compte des principes de gestion exposés dans la politique de sous-traitance et précise la méthode et la fréquence d’évaluation des performances et des résultats du prestataire de service ;
  4. une attention particulière soit accordée aux aspects de continuité;

[2] Le processus de sélection doit être déterminé dans la politique de sous-traitance.  Concernant les critères de capacités techniques et de gestion, il convient de (i) prendre en considération sa capacité d’assurer la prestation de manière satisfaisante, afin de couvrir de manière appropriée les risques opérationnels et de rembourser les éventuels dommages, (ii) d’évaluer dans quelle mesure il dispose de plans d’urgence adéquats, et les mettre à l’épreuve de ses propres exigences en matière de continuité et (iii) prendre les précautions qui s’imposent afin d’être à même de transférer de manière adéquate les services sous-traités à un autre prestataire de services ou de les reprendre en gestion propre, chaque fois que la continuité ou la qualité de la prestation de service risque d’être compromise.

7.3. Exigences de saine gestion dans la sous-traitance de fonctions ou activités critiques ou importantes

7.3.1. Phase précontractuelle : vérifications à faire avant de conclure un accord de sous-traitance

Avant de conclure un accord de sous-traitance concernant une fonction ou activité critique ou importante, les entreprises d’assurance :

  1. évaluent si les conditions d’autorisation de la sous-traitance sont remplies ;
  2. effectuent les vérifications nécessaires à l’égard du prestataire de services ;
  3. identifient et évaluent tous les risques pertinents du dispositif de sous-traitance ; et
  4. identifient et évaluent les conflits d’intérêts que la sous-traitance pourrait entraîner (cf. section 9.5. de la présente circulaire).

§1. Conditions d’autorisation

Les entreprises d’assurance veillent à ce que la sous-traitance d’activités ou de fonctions à un prestataire de services situé en Belgique ou dans un Etat membre de l’Espace Economique Européen (EEE), dans la mesure où l’exécution de cette fonction ou activité nécessite un agrément ou un enregistrement par une autorité compétente de l’Etat membre dans lequel elles sont agréées, ne soit effectuée que si l’une des conditions suivantes est remplie :

  1. le prestataire de service est agréé ou enregistré par une autorité compétente pour exercer ces activités ou fonctions ;
  2. le prestataire de service est autorisé à exercer ces activités ou fonctions conformément au cadre juridique national applicable.

Si le prestaire de services est situé dans un Etat tiers, les conditions reprises à la section 7.4.3. sont à remplir.

§2. Diligence appropriée

Avant de choisir le prestataire de services pour une activité ou fonction critique ou importante (le comité de direction de l’entreprise d’assurance procède à un processus de diligence appropriée renforcé (« due diligence ») et veille ainsi à ce que:

(a) un examen approfondi soit réalisé pour vérifier que le prestataire de services potentiel est doté des aptitudes et de la capacité nécessaires pour exercer les fonctions ou activités requises de manière satisfaisante, compte tenu des objectifs et des besoins de l'entreprise;

(b) le prestataire de services dispose des ressources financières nécessaires pour s'acquitter comme il se doit et de manière fiable de ces tâches supplémentaires, et que tous les membres du personnel de ce prestataire appelés à participer à l'exercice des fonctions ou activités sous-traitées sont suffisamment qualifiés et fiables ;

(c) le prestataire de services ait pris toute mesure nécessaire pour qu'aucun conflit d'intérêts manifeste ou potentiel ne compromette la satisfaction des besoins de l'entreprise qui soustraite;

(d) la sous-traitance n'entraîne la violation d'aucun texte de loi, en particulier des règles relatives à la protection des données;

(e) le prestataire de services soit soumis aux mêmes dispositions, en matière de sûreté et de confidentialité des informations relatives à l'entreprise d'assurance ou de réassurance ou à ses preneurs ou bénéficiaires, que celles qui s'appliquent à l'entreprise d'assurance ou de réassurance.

§3. Evaluation des risques liés au dispositif de sous-traitance

Avant de conclure un accord de sous-traitance critique ou importance, compte tenu du principe de proportionnalité, les entreprises d’assurance doivent identifier, évaluer et gérer tous les risques auxquels elles sont ou pourraient être exposées dans le cadre d’accords de sous-traitance (perte de contrôle, risque de concentration, conflits d’intérêts, « lock-in risk », etc.).

Concrètement, les entreprises d’assurance doivent réaliser une évaluation des risques liés à cette sous-traitance (risk assessment). 

Cette évaluation des risques inclut des scénarios d’événements de risque potentiel, y compris des événements de risque opérationnel très élevé.  Dans le cadre de l’analyse de scenarios, les entreprises d’assurance évaluent l’impact potentiel de services défaillants ou inadéquats, y compris les risques causés par les processus, systèmes, personnes ou événements externes.  Les entreprises d’assurance, en prenant en compte le principe de proportionnalité, documentent l’analyse effectuée et ses résultats et estiment dans quelle mesure le dispositif de sous-traitance augmenterait ou réduirait leur risque opérationnel.

Dans cette évaluation, les entreprises d’assurance prennent en compte des avantages et des coûts attendus du dispositif de sous-traitance proposé, notamment en mettant en balance les risques qui pourraient être réduits ou mieux gérés avec les risques qui pourraient découler du dispositif de sous-traitance proposé, en tenant compte au moins des éléments suivants :

  1. les risques de concentration, y compris les risques provenant : (i) de l’externalisation à un prestataire de services majeur qui n’est pas facilement substituable et (ii) d’accords de sous-traitance multiples conclus avec le même prestataire de services ou des prestataires de services étroitement liés ;
  2. les risques agrégés résultant de la sous-traitance de plusieurs fonctions au sein de l’entreprise;
  3. dans le cas d’entreprises d’importance significative, le risque d’intervention («step-in risk»), c’est-à-dire le risque qui peut résulter de la nécessité d’apporter un soutien financier à un prestataire de services en difficulté ou de reprendre ses activités commerciales; et
  4. les mesures mises en oeuvre par l’entreprise et par le prestataire de services pour gérer et atténuer les risques.

7.3.2. Phase contractuelle : contenu minimum de l’accord écrit avec le prestataire de services

Les droits et obligations de l’entreprise d’assurance et du prestataire de service doivent être clairement répartis et définis dans un accord écrit.

Les conditions générales de l'accord écrit sont clairement expliquées au conseil d’administration et au comité de direction de l'entreprise et avalisées par ceux-ci.

Conformément à l’article 274 du Règlement délgué 2015/35, l'accord écrit que doivent conclure l'entreprise d'assurance et le prestataire de services pour des fonctions ou activités critiques ou importantes, énonce clairement, en particulier, l'ensemble des exigences suivantes:

(a) les devoirs et responsabilités des deux parties;

(b) l'engagement du prestataire de services de se conformer à toutes les dispositions législatives, exigences réglementaires et lignes directrices applicables, ainsi qu'aux politiques approuvées par l'entreprise d'assurance, et de coopérer avec la Banque pour ce qui concerne les activités ou fonctions soustraitées;

(c) l'obligation, pour le prestataire de services, de signaler tout événement susceptible d'avoir un impact important sur sa capacité à exercer les activités ou fonctions soustraitées de manière efficace et conforme aux dispositions législatives et exigences réglementaires applicables;

(d) un délai de préavis, pour l'annulation du contrat par le prestataire de services, qui soit suffisamment long pour permettre à l'entreprise d'assurance de trouver une solution de remplacement;

(e) que l'entreprise d'assurance peut, si nécessaire, mettre fin à l'accord de sous-traitance sans que cela nuise à la continuité ni à la qualité de ses services aux preneurs;

(f) que l'entreprise d'assurance se réserve le droit d'obtenir des informations sur les fonctions et activités soustraitées et leur exercice par le prestataire de services, ainsi que le droit d'émettre des lignes directrices générales et des instructions particulières à l'adresse du prestataire de services sur les éléments à prendre en considération dans l'exercice des fonctions ou activités soustraitées;

(g) l'obligation, pour le prestataire de services, de protéger toute information confidentielle relative à l'entreprise d'assurance, à ses preneurs, bénéficiaires, salariés et contractants et à toute autre personne;

(h) que l'entreprise d'assurance, son commissaire et la Banque jouissent d'un accès effectif à toutes les informations relatives aux fonctions et activités soustraitées, ce qui inclut la possibilité d'effectuer des audits / inspections sur place, dans les locaux du prestataire de services;

(i) que, lorsque cela est approprié et nécessaire aux fins du contrôle, la Banque peut adresser directement au prestataire de services des questions auxquelles celui-ci est tenu de répondre;

(j) que l'entreprise d'assurance peut obtenir des informations sur les fonctions et activités sous traitées et donner des instructions en ce qui concerne les fonctions et activités sous-traitées;

(k) le cas échéant, les conditions selon lesquelles le prestataire de services peut lui-même sous-traiter l'une ou l'autre des fonctions et activités qui lui ont été sous-traitées;

(l) que toute sous-traitance effectuée conformément au point k) est sans préjudice des devoirs et responsabilités incombant au prestataire de services en vertu de son accord avec l'entreprise d'assurance.

Ainsi, la Banque recommande aux entreprises d’assurance d’être particulièrement vigilantes à ce que les 4 aspects suivants soient décrits de manière précise et claire dans l’accord écrit de sous-traitance :

a) sous-traitance en cascade: si la sous-traitance en cascade est permise, l’accord doit (i) préciser tous les types d’activités qui sont exclus de la sous-sous-traitance, (ii) préciser les conditions à respecter en cas de sous-sous-traitance (y compris, l’obligation de se conformer aux lois et exigences règlementaires applicables et l’obligation d’accorder les mêmes droits d’accès et d’audit auprès du sous-prestataire de service), (iii) préciser que le prestataire de service est tenu de superviser les services qu’il a lui-même sous-traités ; (iv) exiger du prestataire de services qu’il obtienne au préalable l’autorisation écrite spécifique ou générale de l’entreprise d’assurance avant de sous-sous-traiter des données ;(v) prévoir l’obligation pour le prestataire de service d’informer l’entreprise d’assurance de toute sous-sous-traitance et de tout changement significatif concernant celle-ci ; (vi) s’assurer que l’entreprise d’assurance a le droit de s’opposer à la sous-sous-traitance envisagée ou au changement significatif concernant celle-ci ; (vii) s’assurer que l’entreprise d’assurance a le droit contractuel de résilier l’accord en cas de sous-sous-traitance abusive. En outre des informations complémentaires sont à communiquer à la Banque dans le cadre de la notification.

b) droits d’accès, d’information et d’audit: l’accord écrit prévoit que le prestataire de service accorde à la fonction d’audit interne de l’entreprise, au commissaire réviseur agréé et à la Banque (i) un accès complet à tous les locaux professionnels pertinents et (ii) les droits inconditionnels en matière d’inspection et d’audit du dispositif de sous-traitance.

c) sécurité des données et des systèmes: l’accord écrit prévoit que le prestataire de services respecte les normes informatiques appropriées ;

d) droits de résiliation: le dispositif de sous-traitance prévoit que l’entreprise d’assurance peut résilier l’accord lorsque (i) le prestataire contrevient aux dispositions légales, règlementaires ou contractuelles applicables, (ii) des obstacles susceptibles d’altérer les performances de la fonction sous-traitée sont identifiés, (iii) il se produit des changements significatifs concernant le dispositif de sous-traitance ou le prestataire de service, (iv) il existe des faiblesses concernant la gestion et la sécurité des données et (v) des instructions sont données par la Banque, par exemple dans le cas où la Banque n’est plus en mesure de surveiller efficacement l’entreprise d’assurance du fait du dispositif de sous-traitance.

7.3.3. Phase post-contractuelle : exigences à respecter après avoir conclu un accord de sous-traitance

L'entreprise d'assurance qui soustraite des fonctions, activités ou tâches opérationnelles importantes ou critiques satisfait également à l'ensemble des exigences suivantes:

(a) elle veille à ce que les éléments pertinents des systèmes de gestion des risques et de contrôle interne du prestataire de services soient propres à garantir le respect des dispositions ci-dessus de la loi Solvabilité II;

(b) elle tient dûment compte des fonctions ou activités sous-traitées dans ses systèmes de gestion des risques et de contrôle interne, de façon à respecter les dispositions ci-dessus de la loi Solvabilité II;

(c) elle met en place un dispositif de monitoring des fonctions ou activités sous-traitées en effectuant un suivi régulier des performances des prestataires de services de manière structurée (en utilisant par exemple des indicateurs de performance clé) et selon une approche par les risques comprenant notamment l’intégrité et la sécurité des données) ;

(d) elle veille à ce que le prestataire de services mette en place des plans d'urgence adéquats pour faire aux situations d'urgence ou d'interruption de son activité et à ce qu'il teste régulièrement ses systèmes de secours, si nécessaire, compte tenu des fonctions ou activités sous-traitées ;

(e) elle veille à disposer d’une stratégie de sortie documentée qui soit conforme à sa politique de sous-traitance ainsi qu’à leurs plans de continuité de l’activité en veillant à ce que le fait de se retirer d’un accord de sous-traitance n’entraîne pas de perturbations de ses activités commerciales.

7.4. Cas particuliers de sous-traitance

7.4.1. Souscription

Lorsqu’un intermédiaire d’assurance[3] qui n’est pas un employé de l’entreprise d’assurance est habilité à souscrire des contrats ou à régler des sinistres au nom ou pour le compte de cette entreprise d’assurance, l’entreprise d’assurance s’assurer que l’activité de cet intermédiaire est soumise aux exigences de sous-traitance reprises ci-dessus (en distinguant selon que cette activité est considérée comme critique/importante ou non).

[3] Intermédiaire d’assurance au sens générique du terme et non « intermédiaire à titre accessoire » au sens de la directive 2016/97 du Parlement européen et du Conseil du 20 janvier 2016 sur la distribution d’assurances.

7.4.2. Sous-traitance intragroupe

§1. Règles générales

Le principe est que les mêmes règles s’appliquent selon que la sous-traitance est externe ou au sein du groupe (sous-traitance intragroupe[4]), et ce qu’il s’agisse d’une sous-traitance intragroupe de fonctions ou activité scritiques/importantes ou non.

Néanmoins, des modalités particulières de mise en œuvre des exigences de saine gestion reprises ci-dessus s’appliquent :

1) dans le cadres des analyses à faire avant de décider sous-traiter (phase précontractuelle), l'entreprise d'assurance tient compte de l'étendue du contrôle qu'elle exerce sur le prestataire ou de l'influence qu'elle peut avoir sur ses actes (simplification du processus de diligence approprié, possibilité de recourir à une analyse des risques centralisée, etc.) ; et

2) dans le cadre de la mise en œuvre des exigences de saine gestion reprises ci-dessus pour les phases contractuelle et post-contractuelle, l’entreprise tient compte du fait que le prestataire de services est soumis au même contrôle consolidé qu’elle (simplifcation des règles à reprendre dans l’accord écrit de sous-traitance, possibilité de mettre en place un système de monitoring centralisé, possibilité de s’appuyer sur un plan de sortie centralisé, etc.)

Par ailleurs, outre le respect des règles que les entreprises d’assurance doivent suivre en matière de sous-traitance au niveau « solo », si des fonctions ou activités critiques ou importantes sont sous-traitées au sein du groupe, l'entreprise qui est responsable du groupe établit la documentation permettant de déterminer quelles fonctions ont trait à quelle entité juridique et garantir que l’exercice des fonctions, activités ou tâches critiques ou importantes au niveau de l’entreprise filiale n’est pas compromis par ces accords.

Si la sous-traitance intragroupe concerne une fonction de contrôle indépendante, l’attention est attirée sur le fait que l’entreprise d’assurance qui sous-traite cette fonction de contrôle indépendante doit toujours désigner une « personne-relais responsable » en son sein.  L’ensemble des règles reprises à la section 7.4.4. de la présente ciruclaire trouve pleinement à s’appliquer.

§2. Sous-traitance à une société de services centralisés au sein du groupe

Une société de services centralisés est une société qui -au sein d’un groupe- offre des services à plusieurs entités du groupe sans faire l’objet d’un contrôle prudentiel ou d’un contrôle équivalent et qui est donc considérée comme étant « non réglementée ».

Lorsqu’une entreprise d’assurance sous-traite des activités ou fonctions à une société de services centralisés, les règles générales de proportionnalité reprises au §1 en matière de sous-traitance intragroupe trouvent à s’appliquer mais il est attendu des entreprises d’assurance qu’elles respectent les recommandations spécifiques suivantes :

  1. veiller à ce qu’il y ait un suivi régulier de la société de services centralisés par la fonction de gestion des risques groupe ou une équipe dédiée à cet effet et que les entreprises du groupe qui sous-traitent une fonction ou activité critique ou importante à cette société reçoivent, au moins annuellement et sur demande de la fonction de gestion des risques groupe ou de l’équipe dédiée à cet effet, des rapports comprenant au moins un résumé de l’évaluation des risques et du suivi des performances. En outre, les entreprises d’assurance devraient aussi recevoir un résumé des rapports d’audit pertinents relatifs à cette société de services centralisés [5];
  2. veiller à être informée des changements prévus pertinents concernant la société de services centralisés qui pourraient avoir une incidence potentielle sur les fonctions critiques ou importantes sous-traitées, y compris par l’intermédiaire d’un résumé de l’analyse des risques portant notamment sur les risques juridiques, le respect des exigences réglementaires et l’incidence sur les niveaux de service, afin qu’elles puissent évaluer l’incidence de ces changements ;
  3. lorsque le choix de la société de services centralisés s’est appuyé sur une évaluation des risques centralisée, recevoir un résumé de cette évaluation et veiller à ce que la structure et les risques spécifiques de l’entreprise d’assurance soient pris en compte dans cette évaluation ;
  4. veiller à disposer de la liste complète de toutes les sous-traitances prestées par la société de services centralisés ;
  5. lorsque les entreprises s’appuient sur un plan de sortie centralisé concernant la société de services centralisés, veiller à recevoir une copie de ce plan et à s’assurer que celui-ci peut être effectivemment exécuté.

 

[4] Les règles relatives à la sous-traitance intragroupe s’appliquent également au sein des consortiums.

[5] Si la fonction d’audit interne est elle-même sous-traitée à la société de service, un rapport d’une entreprise indépendante externe est une alternative recommandée.

7.4.3. Sous-traitance hors de l’Espace Economique Européen

§1. Règle générale pour tous les cas de sous-traitance

Une sous-traitance de fonctions ou activités hors de l’Espace Economique Européen (pays tiers) est autorisée à condition que l’entreprise d’assurance puisse expressément garantir qu’elle-même, son commissaire réviseur agréé et que la Banque peuvent exercer et faire appliquer leurs droits de regard et d’examen et ce conformément à l’article 307 de la Loi Solvabilité II.

La capacité d’assainissement et de liquidation de l’entreprise en Belgique doit également être garantie.  Il faut que l’accès aux informations nécessaires à cet effet soit possible à tout moment en Belgique.

§2. Règles additionnelles pour les cas de sous-traitances de fonctions ou activités critiques ou importantes

Outre la règle générale reprise au §1, la sous-traitance d’une fonction ou activité critique à un prestataire de services situé dans un pays tiers ne peut être effectuée que si les conditions suivantes sont remplies :

  1. il existe un accord de coopération entre la Banque et l’autorité de contrôle prudentielle du pays tiers où est le prestataire de services est situé ou, si le prestataire de services fait partie d’un groupe soumis à un contrôle au niveau du groupe conformément à la directive 2009/138/CE (article 343 de la Loi Solvabilité II), il existe un accord de coordination relatif à un collège de supervision auquel la Banque et l’autorité de contrôle prudentielle de ce pays tiers sont parties ; et
  2. l’accord de coopération ou de coordination visé au point a. garantit que la Banque est au moins en mesure, d’une part, d’obtenir, sur demande, les informations nécessaires à l’accomplissement de ses missions et, d’autre part, d’obtenir un accès approprié aux données, documents, locaux ou personnel du pays tiers qui sont pertinents pour l’exercice de ses pouvoirs de contrôle (article 307 de la Loi Solvabilité II).

Ces 2 conditions ne doivent néanmoins pas être remplies si les services concernés sont exécutés au sein d’une filiale ou d’une succursale situé dans l’EEE du prestataire de service et ce nonobstant le fait que le prestataire de service est une personne morale qui est établie dans un pays tiers .

7.4.4. Sous-traitance de fonctions de contrôle indépendantes

En cas de sous-traitance d’une fonction de contrôle indépendante, l’entreprise respecte l’ensemble des règles applicables au cas des sous-traitances de fonctions ou activités critiques ou importantes reprises au point 7.2 ci-dessus.  En outre, deux règles additionnelles doivent être respectées :

§1. Désignation d’une « personne-relais responsable »

Comme indiqué aux points 2.1. et 5.1.3. de la présente circulaire, lorsque l’entreprise d’assurance décide de sous-traiter une fonction de contrôle indépendante, elle désigne en son sein une personne ayant la responsabilité globale de la fonction de contrôle indépendante sous-traitée (« personne-relais responsable »), qui est honorable et possède une connaissance et une expérience suffisantes de la fonction sous-traitée pour être en mesure de soumettre à un examen critique les prestations et les performances du prestataire de services. 

§2. Reporting aux organes de gestion

En cas de sous-traitance d’une fonction de contrôle indépendante, la Banque recommande que le prestataire de services de cette fonction ait des contacts directs avec les organes de gestion de l’entreprise.  En effet, sans remettre en cause le rôle de la « personne-relais responsable » dont la principale mission est de suivre la qualité des performances du prestataire de services, il convient d’éviter que le reporting des fonctions de contrôle sous-traitées ne soit « filtré » par cette « personne-relais responsable ».  Dès lors, la Banque recommande aux prestataires de service en charge d’une fonction de contrôle indépendante de directement faire part de leurs activités et de leurs observations au conseil d’administration ou à un de ses sous-comités spécialisés comme le comité d’audit et des risques (voire au comité de direction).  La « personne-relais responsable » peut bien entendu assister aux séances de reporting faites par le prestataire de services et donner son avis en tant que responsable du suivi de la qualité des performances et responsable ultime de la fonction de contrôle indépendante sous-traitée.

7.4.5. Interdiction des ‘coquilles vides’

Les entreprises d’assurance qui sous-traitent de manière intensive leurs opérations et fonctions de contrôle devront toujours avoir sur leur registre du personnel une ou plusieurs personnes en charge du suivi de ces sous-traitances.  En effet, l’impact d’une sous-traitance ne peut prendre des proportions telles que l’entreprise d’assurance présente les caractéristiques d’une coquille vide devenue incapable de respecter ses conditions d’agrément et d’exercice. En outre, il est également renvoyé à la section 4.3. de la présente circulaire concernant les règles à respecter en matière d’administration centrale.

7.4.6. Mise à disposition de personnel

Pour être valable en droit social belge, une mise à disposition de personnel est soumise à des conditions strictes (ne peut constituer une activité normale de l’employeur qui prête ses travailleurs, durée limitée, écrit signé, autorisation préalable du Contrôle des Lois sociales, etc.) et, dans un contexte transfrontalier, elle soulève des questions complexes de droit international privé.  Il revient à l’entreprise d’assurance de s’assurer du respect de ces règles de droit social et du droit international privé. De son côté, la Banque considère (i) que, d’un point de vue prudentiel, les cas de mise à disposition de personnel sont traités de manière similaire à des cas de sous-traitance, les entreprises réglementées étant par ailleurs responsables du respect du droit social belge ; et (ii) que toutes les règles prudentielles légales et règlementaires reprises dans la présent chapitre 7 doivent être respectées.

7.4.7. Sous-traitance à des fournisseurs de services en nuage (« Cloud outsourcing »)

L’entreprise d’assurance détermine si un dispositif conclu avec un prestataire de service en nuage (« cloud ») relève de la définition de sous-traitance conformément à la Loi Solvabilité II.  Si c’est le cas, en complément des exigences générales en matière de sous-traitance reprises dans le présent chapitre, l’entreprise doit également respecter les recommandations spécifiques pour le cloud outsourcing précisées dans la circulaire NBB 2012_11 et, à partir du 1er janvier 2021, celles de la circulaire NBB 2020_18 (cf. également le chapitre 10 de la présente circulaire).  

 

7.5 Contrôle par les fonctions d'audit interne et de la conformité (compliance)

Les activités de la fonction d’audit interne et de la fonction de conformité (Compliance) doivent couvrir, selon une approche par les risques, l’examen indépendant des activités ou fonctions sous-traitées.  

7.5.1. Audit interne

Concernant l’audit interne, le plan et le programme d’audit devraient comprendre, en particulier, la révision des dispositifs de sous-traitance de fonctions critiques ou importantes.  En ce qui concerne le processus de sous-traitance, la fonction audit interne devrait au moins s’assurer :

  1. que le cadre de sous-traitance de l’entreprise d’assurance, y compris la politique de sous-traitance, est correctement et effectivement mis en oeuvre et est conforme aux lois et règlements applicables, à la stratégie en matière de risques, ainsi qu’aux décisions des organes de gestion;
  2. de l’adéquation, la qualité et l’efficacité de l’évaluation du caractère critique ou important des fonctions ou activités conernées ;
  3. de l’adéquation, la qualité et l’efficacité de l’évaluation des risques liés aux dispositifs de sous-traitance critique ou importante et que ces risques restent conformes avec la stratégie de l’entreprise en matière de risques ;
  4. que le niveau de participation des organes de gestion est approprié ; et
  5. que le suivi et la gestion des dispositifs de sous-traitance sont appropriés.

 

7.5.2. Fonction de conformité (Compliance)

S’agissant de la fonction de conformité (Compliance), une mission de contrôle a priori des dossiers de sous-traitance critique ou importante lui est confiée.  Ainsi, pour chaque nouvelle sous-traitance critique ou importante, la Banque demande à la fonction de conformité (Compliance) de au moins vérifier :

  1. Le respect des exigences de gouvernance liées à la sous traitance et à ses différentes phases : phase précontractuelle, phase contractuelle[6] et phase post-contractuelle (cf. section 7.3.1 à 7.3.3 ci-dessus) ; et
  2. Le respect des exigences en matière de documentation et de reporting à la Banque (cf. section 7.6).

Cette mission de contrôle a priori[7] se concrétisera par l’émission, pour chaque dossier de notification à la Banque d’une sous-traitance d’une activité ou fonction critique ou importante, d’un avis de la fonction de conformité (Compliance) sur ledit dossier (cf. section 7.6.2 infra).  La Banque demande que le contenu de cet avis soit conforme au formulaire standard repris en anexe 4 de la pésente circulaire.

Cette mission de contrôle spécifique allouée à la fonction de conformité (Compliance) pour ce qui concerne la sous-traitance ne porte pas préjudice aux devoirs et responsabilités incombant aux organes de gestion et aux services opérationnels de première ligne de l’entreprise d’assurance.

 

[6] Pour ce qui concerne le respect des exigences liées à la phase conrtactuelle, la fonction de conformité (Compliance) peut le cas échéant s’appuyer sur les travaux du département juridique.

[7] Pour le contrôle de la phase post-contractuelle, il est attendu de la fonction de conformité (Compliance) qu’elle s’assure que l’encadrement nécessaire est en place.

7.6. Documentation et reporting à la Banque

Il est conseillé aux entreprises d’assurance qui recourent à la sous-traitance de tenir un registre comprenant des informations sur tous les dispositifs de sous-traitance au sein de l’entreprise, en faisant une distinction entre la sous-traitance de fonctions ou activités critiques ou importantes et la sous-traitance de fonctions ou activités non-critiques ou non-importantes. 

S’agissant du reporting à la Banque, les obligations en matière de sous-traitance sont doubles :

  • le reporting d’une partie du registre des sous-traitances, à savoir la liste des sous-traitances de fonctions ou activités critiques ou importantes qui est à transmettre via la plateforme eCorporate (reporting B.9. repris dans la communication eCorporate 2019_22) ; et
  • la notification à la Banque des sous-traitances prévues de fonctions ou activités critiques ou importantes.

7.6.1. Liste des sous-traitances critiques ou importantes

Concernant la liste des sous-traitances de fonctions ou activités critiques ou importantes à transmettre via la plateforme eCorporate, la Banque s’attend à ce qu’elle comprenne au moins les informations suivantes :

  • date de début et de fin du contrat de sous-traitance ;
  • brève description de la fonction ou activité sous-traitée ;
  • brève description de la raison pour laquelle la fonction ou activité est considérée comme critique ;
  • nom du prestataire de services ;
  • pays au sein duquel le service sera exécuté (y compris la localisation des données) ;
  • le cas échéant, le nom des éventuels sous-traitants de nième rang auxquels des parties significatives d’une fonction critique ou importante sont externalisées, y compris le pays où ce sous-traitant est enregsitré.

7.6.2. Notification à la Banque

Concernant la notification à la Banque, conformément à la loi Solvabilité II, les entreprises d'assurance informent préalablement et en temps utile la Banque (i) de leur intention de sous-traiter des fonctions ou activités critiques ou importantes ou critiques ou des fonctions de contrôle indépendantes ainsi que (ii) de toute évolution ultérieure importante concernant ces fonctions ou activités sous-traitées (en ce compris la décision de mettre fin à la sous-traitance d’une de ces fonctions ou activités).

Concrètement, la Banque attend des entreprises d’assurance qu’elles lui communiquent, dans un délai raisonnable (en principe au plus tard 6 semaines avant l’entrée en vigueur de la sous-traitance, sauf dérogation spécifique dûment justifiée), un dossier conforme au formulaire standard de notification repris en annexe 3 de la présente circulaire.  Ce formulaire standard de notification est le même pour tous les cas de sous-traitance (intragroupe, externe, sous-traitance d’une fonction de contrôle indépenante, sous-traitance cloud, etc.) mais les annexes à joindre diffèrent en fonction du cas d’espèce.

Le dossier de notification doit être systématiquement accompagné d’un avis du responsable de la fonction de Compliance conforme à l’annexe 4 de la présente circulaire confirmant point par point (i) le respect des exigences liées aux différentes phase de la sous-traitance (c’est-à-dire les points 7.3.1 à 7.3.3, complété le cas échéant avec 7.4) et (ii) le caractère complet du dossier transmis[8].

 

[8] Déclaration à transmettre dans tous les cas de sous-traitance sauf lorsque celle-ci porte sur la fonction Compliance.

Liens et documents utiles

Annexe 4: Formulaire standard de notification à la BNB d’une sous-traitance critique ou importantedocx
Annexe 5: Formulaire standard d’Avis du responsable de la fonction de Compliance concernant la sous-traitance d’une activité ou fonction critique ou importante docx