Externalisation d'activité importante

Externalisation d’activité ou fonction importante ou critique

Présentation de la mesure

La réglementation prévoit des dispositions en matière d’externalisation des activités ou fonctions importantes ou critiques, y compris une information préalable de l’ACPR.

 

Certaines activités ou fonctions sont qualifiées d’importantes ou critiques. C’est le cas des fonctions clés réglementaires que sont l’audit interne, la gestion des risques, l’actuariat et la conformité, et c’est aussi le cas des autres activités ou fonctions dont l’interruption est susceptible d’avoir un impact significatif sur l’activité de l’organisme d’assurance ou sur sa capacité à gérer efficacement les risques, voire à remettre en cause les conditions de son agrément.

 

Lorsque l’exécution d’une activité ou fonction importante ou critique est confiée à un tiers, y compris au sein du groupe, l’organisme d’assurance doit néanmoins en conserver la maîtrise, selon des modalités définies dans la politique écrite d’externalisation, et en garantissant – comme pour toute externalisation – l’accès aux données pour lui-même, pour les commissaires aux comptes et pour l’ACPR.

 

En particulier, l’externalisation d’une activité ou fonction importante ou critique ne doit pas être susceptible de compromettre gravement la qualité du système de gouvernance de l’organisme, d'accroître indûment le risque opérationnel ou de nuire à la prestation continue d'un niveau de service satisfaisant à l'égard des assurés. C’est pourquoi l’organisme d’assurance doit notamment analyser pour chaque externalisation le coût de la prestation, sa capacité à trouver un autre prestataire ou à reprendre l’activité en direct si nécessaire ainsi que les conséquences potentielles d’un retard ou défaut du prestataire.

 

Compte tenu des conséquences de l’externalisation d’une fonction ou activité critique ou importante, l’organisme doit en informer préalablement l’ACPR.

 

Références réglementaires Les dispositions relatives à l’externalisation d’activité ou fonction importante ou critique figurent aux articles L. 354-3 et R. 354-7 du code des assurances, applicables aux organismes relevant des trois codes et transposant l’article 49 de la Directive 2009/138/CE, dite "Solvabilité II". Elles sont complétées par l’article 274 du règlement délégué (UE) n°2015/35, dit "niveau 2", et par le point 12.4 de la notice "Solvabilité II – système de gouvernance".

 

Cette disposition s’applique aussi aux organismes de retraites professionnelle supplémentaire mentionnés aux articles L. 381-1 du Code des assurances, L 214-1 du Code de la mutualité et L.942-1 du Code de la Sécurité sociale.

 

Contenu du dossier d’information

Les organismes assujettis doivent informer l’ACPR de leur intention d'externaliser des activités ou des fonctions importantes ou critiques ainsi que de toute évolution importante ultérieure concernant ces fonctions ou ces activités.

L’information mentionnée à l’alinéa précédent est effectuée au moyen du formulaire de notification figurant en annexe de l’instruction 2019-i-06.

 

Chaque organisme doit notamment :

  • décrire le périmètre des activités ou fonctions externalisées ;
  • expliquer les raisons qui ont conduit à l’externalisation ;
  • indiquer le nom du fournisseur de services et, lorsque l’externalisation concerne une fonction clé, le nom de la personne en charge de la prestation chez le fournisseur de services (pour mémoire, l’organisme d’assurance doit tout de même désigner et notifier à l’ACPR un responsable de la fonction clé en son sein).

 

Par ailleurs, l’organisme d’assurance doit être en mesure de :

  • démontrer que l’externalisation n’est pas susceptible de compromettre gravement la qualité du système de gouvernance, d'accroître indûment le risque opérationnel ou de nuire à la prestation continue d'un niveau de service satisfaisant à l'égard des assurés ;
  • préciser les dispositions garantissant que le prestataire de services coopère avec l'Autorité de contrôle prudentiel et de résolution, dans l'exercice de la fonction ou activité externalisée, et que l’organisme d’assurance, les personnes chargées du contrôle de ses comptes ainsi que l'Autorité de contrôle prudentiel et de résolution puissent avoir effectivement accès aux données afférentes aux fonctions ou aux activités externalisées.
Procédure

Les organismes assujettis doivent transmettre le formulaire de notification au plus tard 6 semaines avant l’entrée en vigueur de la sous-traitance. Dans des cas exceptionnels, et sur demande dûment justifiée déposée auprès de la brigade ayant la charge du contrôle, ce délai pourra être ramené avec l’accord de la brigade à 4 semaines avant l’entrée en vigueur de la sous-traitance ou de toute évolution importante ultérieure concernant ces fonctions ou ces activités, par voie postale à l’adresse suivante :

Secrétariat général de l’Autorité de contrôle prudentiel et de résolution
Brigade de contrôle des organismes d’assurance n° …
4, place de Budapest
CS 92459
75436 Paris Cedex 09

 

Le formulaire devra également être adressé par voie électronique à la brigade de contrôle concernée.

 

NB : Les exigences d’information préalable à l’ACPR ne s’appliquent pas pour les activités ou fonctions importantes ou critiques déjà externalisées au 1er janvier 2016.

Mis à jour le : 03/04/2019 16:45