Par Cédric DUCHATELLE, Analyse Financière n° 61

Le monde de l’assurance n’échappe pas au renforcement des exigences en matière d’éthique des affaires. La directive européenne Solvabilité 2, modifie en profondeur les règles de la gouvernance. Elle accorde un rôle central à la fonction de vérification de la conformité. Elle induit de fait de nouvelles relations avec les organes de direction. Plusieurs niveaux se retrouvent désormais concernés.

Le 29 juillet 2016, le journal La Tribune1 publiait un article. Il signalait la condamnation de trois ex-banquiers à des peines de prison pour « conspiration en vue de fraude ». Dans le même temps, le journal mentionne la condamnation d’un ex-directeur d’une compagnie générale d’assurance. Ce dernier s’est vu infliger une peine d’emprisonnement de deux ans et neuf mois. Pour le journal « C’est la première fois depuis 2008 que des responsables du secteur bancaire écopent de peines d’emprisonnement ». Les propos du juge Martin Nolan mentionnent : « Le public doit pouvoir se fier à l’honnêteté des entreprises de valeur sûre. Si on ne peut pas se fier à l’honnêteté de ces banques, nous perdons tout espoir et confiance dans nos institutions ».

Dans ce contexte de défiance et de sanctions, l’exigence d’éthique dans le monde des affaires devient incontournable. Elle passe par un renforcement des dispositifs de vérification de la conformité. Cela implique notamment un changement dans la gouvernance des entreprises et une attention renforcée apportée aux dispositifs de conformité. Il s’agit désormais d’un nouvel enjeu dans le secteur de l’assurance2.

COMPLIANCE IN INSURANCE COMPANIES – A NEW KEY FUNCTION

Since the 1st January 2016, the directive 2009/138/EC of the European Parliament and the Council on the taking-up and pursuit of the business of Insurance and Reinsurance (Solvency2) has drastically changed the risk governance landscape in the area of insurance by obliging insurers to include quality requirements in their risk management system. In this context a new key function has emerged in compliance, one of the cornerstones of the operational risk management system. However, this responsibility is vested in special actors who, as such, must be independent in order to advise the management bodies and alert them in case of a major non-compliance issue.

Cédric Duchatelle,
AG2R La Mondiale
September 2016 – www.sfaf.com
La revue Analyse financière

Le monde de l’assurance n’échappe pas à la lame de fond qui traverse le secteur financier. Ce dernier entame depuis le 1er janvier 2016 sa mutation. En effet, la directive européenne Solvabilité 2 a été transposée par l’ordonnance n°015 – 378 du 2 avril 2015. Elle modifie en profondeur les règles de la gouvernance des organismes d’assurance.

À côté des dirigeants de droits habituels (directeur général, membres du directoire, directeurs généraux délégués) et membres des différents conseils (administration ou surveillance), de nouveaux acteurs font leur entrée dans le dispositif de gouvernance. Il s’agit des dirigeants effectifs et des responsables des quatre fonctions clés. Il s’agit de « l’audit », « la gestion des risques », « la fonction actuarielle » et la « fonction de vérification de la conformité ».

La directive n’a toutefois pas introduit de confusion de genre dans les rôles et responsabilités de ces nouvelles parties prenantes. Il appartient aux fonctions clés d’alerter les dirigeants et l’organe de surveillance d’une prise de risque qui serait excessive. En revanche, le pouvoir de décision appartient aux seuls organes de gouvernance et dirigeants effectifs.

Depuis le 1er janvier 2016, chaque organisme d’assurance a notifié à l’Autorité de contrôle prudentiel et de résolution (ACPR) les noms des dirigeants effectifs et responsables des fonctions clés aux fins de l’évaluation de leur honorabilité, de leurs compétences et de leur expérience.

La présente analyse a pour objet de mettre en perspective les liens à construire entre la fonction de vérification de la conformité en assurance et les organes de direction de l’organisme d’assurance.

COMPRENDRE LE RISQUE DE NON-CONFORMITÉ

Dans un monde des affaires complexifié, prendre une « bonne » décision pour un dirigeant implique de trouver un subtil accord entre des objectifs à maximiser et le respect de la réglementation. Cette complexité est d’abord la conséquence d’une inflation réglementaire. Celle-ci contraint les assureurs à transformer leurs organisations pour respecter les réglementations, nécessitant budget et ressources humaines. À titre d’exemples, dans les prochains mois les assureurs vont devoir intégrer la quatrième directive sur la lutte contre le blanchiment de capitaux3, le règlement européen sur le document d’information clé relatif aux produits d’investissement dit PRIIPs4, la directive DDA5 (directive sur la distribution d’assurance) sur la distribution, enfin la loi Sapin 26 sur la lutte contre la corruption.

Ensuite, la complexité repose sur le rôle actif joué par les parties prenantes. Elles sont de plus en plus sensibles aux enjeux éthiques et de conformité dans l’entreprise. Les clients mieux informés sont plus aptes à déceler les manquements à la réglementation. D’ailleurs, les clients peuvent s’organiser en action de groupe. Les ONG et les agences de notation intègrent dans l’évaluation des entreprises des critères qualitatifs. Enfin, les jeunes diplômés prennent en compte la réputation de l’entreprise pour se porter candidat.

Par ailleurs, en raison du risque financier généré par cette complexité, l’Autorité de contrôle prudentiel et de résolution (ACPR) a alourdi les sanctions prononcées. En 2014, les assureurs BNP Paribas Cardif7, CNP Assurances8 et Allianz9 ont été condamnés pour le non-respect de la loi « Eckert » sur les contrats d’assurance vie non réclamés. Aux blâmes, se sont ajoutées de lourdes sanctions pécuniaires (10M€ pour le premier, puis 40M€ et enfin 50M€). Ensuite, en juin 2015, c’est l’assureur Gan Vie qui a été condamné à une amende de 3M€10.

Dans ce contexte, parvenir à déceler dans le dédale des textes ce qui est conforme de ce qui ne l’est pas, ce qui est sensible de ce qui l’est moins, devient un exercice extrêmement périlleux.

Dans ce contexte de défiance et de sanctions, l’exigence d’éthique dans le monde des affaires devient incontournable et passe par un renforcement des dispositifs de vérification de la conformité. Cela implique notamment un changement dans la gouvernance des entreprises et une attention renforcée apportée aux dispositifs de conformité, nouvel enjeu dans le secteur de l’assurance.

LA FONCTION DE VÉRIFICATION DE LA CONFORMITÉ

Pour accompagner ce mouvement et aider les dirigeants à gérer en toute connaissance les risques, il y a eu une institutionnalisation de la fonction de vérification de la conformité. Romain Parisot, chef de projet de l’ACPR, souligne que « la mise en place de la fonction conformité ne doit pas être vécue comme une obligation extérieure mais comme un dispositif utile et essentiel pour l’entreprise. C’est un actif 11».

Cette nouvelle fonction, sortie « de l’ombre », a pour mission de conseiller la direction générale sur le respect des dispositions législatives, réglementaires et administratives. Elle a aussi pour mission de l’accompagner dans l’identification des risques de non-conformité et la mise en œuvre des plans pour y remédier. Cette fonction développe une vision d’ensemble sur les normes devant être respectées. Elle participe à la règle des « quatre yeux » posée par la directive. Cela consiste à vérifier la conformité des solutions mises en œuvre par les services opérationnels.

Elle contribue également à la maîtrise des risques lors de la mise sur le marché d’un nouveau produit. Cette nouvelle fonction induit de nouveaux comportements professionnels. Dorénavant, la mise à disposition d’un nouveau produit auprès du public se réalise avec, en amont, un diagnostic de conformité. Comme le précise Odilon Audouin, Director, Compliance & Risk advisory chez Deloitte Conseil12, « au moment du lancement d’un nouveau produit, la conformité trouvera naturellement sa place dans le processus d’approbation de la documentation contractuelle et commerciale ». Ensuite, l’article 25 de la directive DDA prévoit que les assureurs devront désormais, pour chaque produit mis sur le marché, maintenir, appliquer et réviser un processus de validation.

Cette fonction joue donc dorénavant un rôle central pour prévenir les risques de sanctions. Ces risques sont susceptibles de porter atteinte à la continuité de l’activité et à la confiance des clients. Par son action anticipatrice et prospective, elle limite les risques d’atteinte à la réputation. Il s’agit de la conséquence d’un défaut de respect de la réglementation.

La fonction de vérification de la conformité dispose désormais d’un nouveau cadre de fonctionnement13. L’article 268 du règlement UE d’octobre 201414 précise qu’elle est « exempte d’influences pouvant compromettre sa capacité à s’ac- quitter de façon objective, loyale et indépendante des tâches qui lui incombent ».

Pour faciliter ensuite l’exercice de l’indépendance, un rattachement hiérarchique ou fonctionnel à l’un des dirigeants effectifs de la société d’assurance semble préférable. Le texte prévoit que le responsable de la fonction clé se situe sous l’autorité du directeur général, du directoire ou du dirigeant effectif. L’ACPR préconise d’éviter les niveaux intermédiaires entre la direction effective de l’entité et les responsables fonctions clés. Elle déconseille la subordination hiérarchique d’un responsable de fonction clé par un autre. L’objectif est d’éviter tout risque de remise en cause de son indépendance.

Enfin, la fonction de vérification de la conformité doit pouvoir s’appuyer sur des effectifs suffisants. Le but est d’être en mesure de remplir ses missions. Déjà en juin 2013, l’ACPR sanctionnait une banque d’une amende de 10 millions d’euros au motif de l’insuffisance de moyen mis à la disposition du responsable conformité15.

CHOISIR LE RESPONSABLE

Le principe est qu’il appartient à l’organisme d’assurance de décider qui est éligible à remplir au mieux les responsabilités au titre des fonctions clés. Comme le souligne David Revelin16, Head of unit Insurance Supervision de l’ACPR: « Solvabilité 2 n’impose pas d’organisation type, et il faudra tenir compte des spécificités de l’activité et du profil de risque de chaque organisme ».

Solvabilité 2 a néanmoins introduit des conditions d’honorabilité et de compétence. Ces conditions qui s’appliquent aussi bien aux membres des conseils d’administration, aux dirigeants effectifs et aux responsables des fonctions clés. Leur nomination comme leur renouvellement sont notifiés à l’ACPR. Cette autorité peut s’y opposer en cas de non-respect des conditions attendues, conformément à l’article 42 de la directive.

L’évaluation de l’honorabilité d’une personne, précise l’article 273 du règlement délégué d’octobre 2014, comprend une évaluation de son honnêteté et de sa solidité financière. Cette évaluation est fondée sur des éléments concrets concernant son caractère, son comportement personnel et sa conduite professionnelle. A cela s’ajoute tout élément de nature pénale, financière ou prudentielle. Sont ainsi prohibées toutes les condamnations à des peines qui relèvent de l’escroquerie, recel, blanchiment17

L’évaluation de la compétence s’apprécie, quant à elle, par ses diplômes et qualifications professionnelles, ses connaissances et une expérience pertinente. En outre, le responsable d’une fonction clé doit disposer d’une forme d’autorité. Cela lui permettra de s’acquitter au mieux des missions confiées. Enfin, la place réservée à l’évaluation des impacts attachés aux changements de l’environnement réglementaire impose des compétences juridiques solides. A cela s’ajoute une excellente connaissance de l’organisation de la structure.

L’ACPR préconise d’éviter les niveaux intermédiaires entre la direction effective de l’entité et les responsables fonctions clés et déconseille la subordination hiérarchique d’un responsable de fonction clé par un autre pour éviter tout risque de remise en cause de son indépendance.

METTRE EN ŒUVRE LA STRATÉGIE DE VÉRIFICATION DE LA CONFORMITÉ

L’abondance des normes et des règles implique pour la fonction de vérification de la conformité d’agir avec discernement. Une étude fine et préalable des thèmes à traiter doublée d’une démarche d’identification des risques est indispensable pour réaliser la priorisation des risques de conformité. C’est tout l’intérêt des cartographies de risques. Il n’existe pas encore de référentiel unique et partagé sur ce sujet. Il appartient donc à chaque responsable de conformité de créer son référentiel. Le resposable doit également créer son dispositif de cotation des risques de non-conformité.

La fixation des priorités relève de plusieurs dimensions. Elle sera donnée par le législateur avec les échéances de mise en œuvre des nouvelles réglementations. Cette fixation sera également donnée par le responsable de la fonction conformité pour les non-conformités qu’il aura identifiées. La priorisation sera également déterminée par l’attention que les autorités de contrôles apporteront à certaines réglementations et, enfin, par la direction générale pour les risques de non-conformité qu’elle jugera stratégiques.

Le dispositif repose maintenant sur la mise en place d’une politique et d’un plan de conformité. On retrouve conformément cette disposition à l’article 270 du règlement délégué.

La politique conformité définit les responsabilités, les compétences et les obligations de reporting. Elle constitue le document de référence en matière d’organisation de la conformité. Elle sera complétée par la description des processus qui structurent les principales missions de la fonction. À titre d’exemples :

Le plan de conformité peut être annuel ou pluriannuel. Il met en perspective les axes de développement de la fonction. De plus, il détaille les activités prévues pour la fonction au regard de la priorisation des risques retenus. Ces activités couvriront tous les domaines d’activité pertinents de l’entreprise et leur exposition au risque de conformité.

Le plan de conformité est un outil qui va continuer à prendre de l’ampleur dans les prochaines années. C’est un indicateur sensible du niveau de maturité du dispositif de vérification de la conformité. Idéalement, il devrait fixer les priorités à mettre en œuvre à l’intérieur du stock des exigences réglementaires déjà en place dans l’entreprise. A cela s’ajoutent celles qu’il convient de retenir pour la mise en œuvre des nouvelles réglementations. Le plan intègre le déploiement des actions de formations spécifiques que la fonction de conformité souhaite mettre en œuvre. Le plan pourra toutefois être infléchi en fonction des demandes ou audits des autorités de contrôles.

La clé d’organisation du plan repose donc sur la capacité « à bien choisir » les sujets. Il faut tenir compte de l’exposition au risque de non-conformité de tel thème par rapport à tel autre. De plus, il faut intégrer naturellement la capacité à « faire » de l’équipe, en fonction des profils des collaborateurs et de leur nombre.

Le plan de conformité peut donc, à titre d’exemple, être organisé de la manière suivante :

DIALOGUE AVEC LES DIRIGEANTS

Le dialogue entre la fonction clé de vérification de la conformité et les dirigeants se noue à plusieurs niveaux.

D’une part, la gestion du risque de non-conformité se partage entre le responsable conformité et le dirigeant. Au premier, il appartient de présenter les principaux risques de non-conformité identifiés. Il faut aussi sensibiliser le dirigeant sur les évolutions réglementaires à venir. Pour aider à la prise de décision des dirigeants, des recommandations sont formulées. L’objectif est de faciliter la mise en œuvre de plans d’actions (évolutions de système d’information, modifications de processus ou procédures, renforcement de dis- positifs de contrôles). Au second, il appartient d’impulser une culture de la conformité et d’allouer les ressources et les budgets nécessaires. Il doit également transmettre des consignes claires à l’ensemble des collaborateurs. Le but est de garantir au responsable de la fonction clé l’accès à toute information nécessaire.

D’autre part, un dialogue est main- tenant institutionnalisé entre la fonction de vérification de la conformité et les conseils. En effet, le responsable de la fonction clé a également l’obligation d’informer directement et de sa propre initiative le ou les Conseils des problèmes majeurs rencontrés dans l’exercice de ses missions. Le conseil doit donc pouvoir ensuite influencer le dirigeant effectif sur le choix des actions de mise en conformité à prioriser. Un dialogue constructif doit être trouvé entre le dirigeant effectif, son conseil d’administration et le responsable de la fonction clé de vérification de la conformité. Comme le soulignaient Anne Bechet et Véronique Herguido-Lafargue dans la revue Analyse financière de janvier 201618, « le Chief Compliance Officer, partenaire stratégique […] se positionne en véritable conseil pour anticiper les risques de non- conformité à tous les niveaux ».

LA CULTURE DE LA COMPLIANCE ET DE L’ÉTHIQUE DES AFFAIRES

La directive Solvabilité 2 offre véritablement l’opportunité aux entreprises d’assurance non seule- ment d’améliorer leur maitrise des risques, y compris celui de non- conformité, mais surtout d’instaurer une véritable culture de la conformité et de l’éthique des affaires.

Comme le précise Blandine Cordier19, « la compliance ne se limite pas au respect des normes juridiques ou financières. Elle comprend les processus qui visent à assurer une bonne gouvernance dans l’entreprise et, de manière optimale, à en améliorer la performance globale. Une vision du métier qui va bien au-delà du respect de la conformité ».

L’objectif n’est pas de rendre l’entreprise vertueuse. Le sujet n’est pas celui de la morale. Le but est plutôt d’arriver à faire prendre conscience qu’un fonctionnement éthique dans le monde des affaires est un levier essentiel. La perspective est de protéger l’un des principaux actifs de l’entreprise qu’est sa réputation.

La mise en œuvre de cette culture implique, d’une part de fonctionner en transversalité avec l’ensemble des collaborateurs ainsi qu’avec les autres fonctions clés. D’autre part, cela implique de se fonder sur le partage de valeurs, essentiel à toute culture d’entreprise. Cela se décline ensuite en bonnes pratiques, seules capables de faire évoluer les comportements.

La diffusion de ces bonnes pratiques implique l’élaboration de règles d’entreprises, simples, compréhensibles et contrôlables. Cela peut par exemple prendre la forme d’un guide des bonnes pratiques commerciales. Cela rappelle les conditions de la mise en œuvre d’une bonne démarche de conseil. Il peut aussi prendre la forme d’un guide pour encadrer les cadeaux et marques d’hospitalité. Il est important que la création de ces documents de référence se fasse avec la contribution des parties prenantes concernées. Le but est d’éviter une trop forte déconnexion avec la réalité. La fixation de ces règles n’est toutefois que la première étape de la démarche. En effet il faut ensuite s’assurer d’une diffusion efficace de ces dernières et de leur bonne compréhension. C’est tout le travail autour du « sens » attaché à ces règles qui doit être transmis dans le cadre de dispositifs de formations.

La directive solvabilité 2 apparaît donc comme une formidable opportunité de créer une nouvelle façon éthique de concevoir les affaires et les relations d’affaires. Elle est un levier permettant de développer de nouveaux comportements qui accompagnent et/ou anticipent les évolutions de demain. Renforcer la culture de la conformité dans l’entreprise est donc le moyen de faire vivre des valeurs et des pratiques. Le but est s’assurer de conserver la confiance des clients. Il faut aussi donner envie aux collaborateurs d’être fiers et heureux de s’impliquer dans les secteurs de la finance.

POUR CONCLURE

Les échanges sur cette thématique de la compliance sont tenus dans le cadre du Cercle d’Éthique des Affaires. Ils montrent que cette nouvelle façon de concevoir l’éthique des affaires concerne l’ensemble des entreprises. Il peut aussi bien s’agir des entreprises industrielles, commerciales ou de services.

Le responsable fonction clé de la conformité est désormais un partenaire stratégique des dirigeants effectifs. Par la mise en œuvre de programmes de compliance, il s’inscrit dans le système de gouvernance de l’entreprise. Ces responsable veille au respect des exigences réglementaires et des pratiques éthiques qui en découlent. Il est également le garant pour les dirigeants effectifs qu’il conseille, de la bonne prise en compte des risques financiers et extra-financiers. On fait référence au risque de réputation, dans les décisions opérationnelles et stratégiques que ces derniers sont amenés à prendre.

Ensuite, par le lien privilégié qu’il entretient avec les autorités de contrôle, il est le plus à même de s’assurer que les risques de non-conformité les plus sensibles ont bien été considérés et couverts. Enfin, en déployant une communication adaptée et des dispositifs de formation ciblés à destination de l’ensemble des collaborateurs, il contribue à donner du sens aux exigences réglementaires. Par toutes ces actions, le responsable de vérification de la conformité est dorénavant un contributeur clé pour améliorer la performance globale de l’entreprise.

CÉDRIC DUCHATELLE EST RESPONSABLE GROUPE CONFORMITÉ & ETHIQUE DES AFFAIRES, FONCTION CLÉ DE VÉRIFICATION DE LA CONFORMITÉ AG2R LA MONDIALE ET VICEPRÉSIDENT CLUB-PRO DU CERCLE D’ÉTHIQUE DES AFFAIRES.
Après un début de carrière comme avocat, il a rejoint en 2000 AG2R La Mondiale, premier groupe de protection sociale en France. Depuis le 1er janvier 2016, il est responsable Groupe de vérification de la conformité. Il enseigne par ailleurs le droit au sein de l’Université Catholique de Lille en master 2 droit des affaires avec des étudiants de dernière année de l’EDHEC. Membre de l’Association française des professeurs de Droit & Management, Cédric Duchatelle est titulaire d’un DEA en droit et sciences judiciaires et diplômé du Centre des hautes études d’assurance (CHEA).

(1) http://www.latribune.fr/economie/union-europeenne/irlande-trois-ex-banquiers-condamnes-a-de-la-prison-huitans-apres-la-crise-financiere-589749.html
(2) Revue internationale de la compliance et de l’éthique des affaires, n°13 du 31 mars 2016, de Cédric Duchatelle. « La conformité, nouvel enjeu dans le secteur de l’assurance », Études 30.
(3) Directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de
capitaux ou du financement du terrorisme.
(4) Règlement (UE) n°1286/2014 du Parlement européen et du Conseil du 26 novembre 2014 sur les documents d’informations clés relatifs aux produits d’investissement packagés de détail et fondés sur l’assurance.
(5) Directive (UE) 2016/97 du Parlement européen et du Conseil du 20 janvier 2016 sur la distribution d’assurances.
(6) Projet de loi relatif à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (FCPM1605542L).
(7) CARDIF ASSURANCE VIE Procédure n°2013-03 bis du 7 avril 2014.
(8) CNP ASSURANCES Procédure n°2013-05 du 31 octobre 2014.
(9) ALLIANZ VIE Procédure n°2014-01 du 19 décembre 2014.
(10) GROUPAMA GAN VIE Procédure n°2014-09 du 25 juin 2015.
(11) Cité dans « La fonction conformité sort de l’ombre » de Jérôme Speroni, publié le 7 mars 2014 L’argus de l’assurance.com
(12) Cité dans « Les actions à réaliser » de Jérôme Speroni, publié le 7 mars 2014 L’argus de l’assurance.com
(13) Directive 2009/138/CE du Parlement européen et du Conseil du 25/11/2009 sur l’accès aux activités de l’assurance et de la réassurance et de leur exercice (Solvabilité).
(14) Règlement délégué (UE) 2015/35 de la Commission du 10 octobre 2014 complétant la directive 2009/138/CE du Parlement européen et du Conseil sur l’accès aux activités de l’assurance et de la réassurance et leur exercice (solvabilité II).
(15) Commission des sanctions de l’ACPR n°2012-03 du 25 juin 2013 à l’égard d’UBS (France) SA.
(16) Cité dans « Placer la fonction conformité sur un organigramme » de Jérôme Speroni, publié le 7 mars 2014 L’argus de l’assurance.com
(17) Articles L. 322-2 R. 322-11-6 R. 322-167 du Code des assurances ; Articles L. 931-7-2 R. 931-3-10-1, R. 931-3-45-1 du Code de la sécurité sociale; Articles L. 114-21 R. 114-9, R. 211-13 du Code de la mutualité.
(18) Revue Analyse financière n° 58 Janvier-Mars 2016, p 79.
(19) Revue Analyse financière n° 58 Janvier-Mars 2016, p 80.