Gel des avoirs : quels enjeux et quelles solutions pour l’Assurance non-vie ?

L’environnement réglementaire de la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT) évolue sans cesse. En parallèle, les exigences du régulateur sont plus élevées. L’application des mesures de LCB-FT, de Gel des avoirs et de sanctions internationales sont obligatoires, en France, en assurance vie comme en assurance non-vie (qui recouvre l’assurance dommages – par exemple auto, habitation, responsabilités, et l’assurance de personnes ou santé, prévoyance).

La sanction délivrée à MMA IARD¹, fin 2021, par la Commission des sanctions de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a marqué un tournant. En effet, il s’agissait de la première sanction d’un assureur « non-vie » pour des insuffisances dans son dispositif de Gel des avoirs.

Depuis cette date, l’attention portée par le superviseur français aux mesures mises en œuvre dans le domaine de la LCB-FT chez les acteurs « non-vie » n’a cessé de croître. De nombreux contrôles sont en cours et à venir chez des assureurs généralistes et chez des mutuelles. Rappelons que contrairement aux obligations en matière de LCB qui relèvent d’une obligation de moyens, le dispositif de détection des personnes ou entités désignées relève d’une obligation de résultat. Ce dernier doit permettre dans tous les cas l’application des mesures de Gel et d’interdiction de toute opération entrant dans le champ de ces mesures².

Notre point de vue porte sur le recours aux listes des sanctions et aux outils de filtrage pour détecter la présence éventuelle de personnes impliquées dans des affaires de terrorisme. Mais rappelons que l’ACPR appelle également les organismes assujettis à faire preuve de vigilance dans la détection des « signaux faibles » de financement du terrorisme³ en complément de l’exploitation des listes.

1. Pourquoi le Gel des avoirs est un enjeu prioritaire pour le secteur assurantiel non-vie ?

Les organismes d’assurance⁴ sont tenus de mettre en œuvre leurs obligations de Gel des avoirs⁵ à chaque stade de la vie du contrat, c’est-à-dire à la souscription et tout au long de la vie du contrat (que ce soit pour des encaissements ou des décaissements). La mise en œuvre de ces obligations n’est pas simple notamment parce que :

→ Il peut y avoir de nombreux tiers au contrat notamment dans le cadre de décaissements à destination de bénéficiaires qui ne sont pas l’assuré/souscripteur et de surcroit de manière différée. Ces tiers constituent des populations supplémentaires à passer au crible du Gel des avoirs au moment du décaissement après l’entrée en relation (par exemple, les salariés des entreprises et leurs ayants droit dans les contrats collectifs de santé ou prévoyance, les garagistes ou experts intervenant à l’occasion de sinistres, etc.), voire après la fin du contrat (par exemple, la rente temporaire ou viagère au conjoint survivant pour la prévoyance ou la garantie décennale dans le cadre de la responsabilité civile des constructeurs).
→ Les données KYC sur les clients et les tiers sont généralement assez pauvres et rarement à jour. La refonte des processus de souscription et d’actualisation des données KYC pour répondre aux nouvelles obligations LCB-FT n’a que partiellement eu lieu. Les pièces justificatives qui permettent de vérifier les données d’identification sont aussi souvent manquantes.

Il est important de rappeler que, contrairement à ce qui est parfois entendu, les personnes ou entités désignées sont relativement plus fréquentes dans le cadre des contrats d’assurance non-vie que ceux d’assurance-vie. Cela s’explique par le fait que le mot « financement » peut être trompeur : en effet, la réglementation interdit non seulement la mise à disposition de fonds mais aussi de moyens économiques comme par exemple, permettre à une personne de conduire un véhicule ou d’occuper un logement.

2. Quelles sont les faiblesses les plus constatées chez les assureurs non-vie dans leurs dispositifs de Gel des avoirs ?

Afin de se conformer aux exigences règlementaires et répondre ou anticiper sereinement un probable contrôle de l’ACPR, l’organisme d’assurance doit s’approprier complètement le sujet et prendre la hauteur nécessaire pour identifier les forces et les faiblesses de son dispositif.

En premier lieu, rappelons, avec le schéma ci-dessous les principales étapes de la détection et du signalement des personnes désignées :

Toutes ces étapes sont importantes, les manquements en matière de Gel des avoirs étant d’une « particulière gravité, eu égard à l’intérêt général impérieux de protection de l’ordre public et de la sécurité publique auquel répond la législation relative au gel des avoirs dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme »⁶.

Nous avons retenu sept thématiques sur lesquelles nous rencontrons assez régulièrement des défaillances :

En ce qui concerne la collecte des informations, le principal point d’attention est le périmètre à filtrer avec les données obligatoires d’identification. Il est parfois constaté :

Des contrats non filtrés : par exemple des contrats souscrits via certains intermédiaires d’assurance
Des individus ou entités non filtrés : en assurance non-vie, les populations à filtrer sont larges : prospects, sociétaires, assurés, bénéficiaires, bénéficiaires effectifs des personnes morales, tiers victimes, tiers intervenant dans les sinistres, deuxième conducteur…
Une qualité insuffisante des données de connaissance de la clientèle : certaines données pourtant obligatoires à l’identification des clients (ex. nom de jeune fille, lieu de naissance) n’ont pas été collectées. C’est également souvent le cas des justificatifs des données collectées, qui font intégralement partie du KYC et qui sont souvent manquantes. Les nouvelles obligations LCB-FT qui pèsent sur la non-vie n’ont pas systématiquement généré une remise à plat des processus de souscription et de gestion (y compris d’actualisation des données KYC). Pourtant cette refonte est impérative afin de collecter et d’actualiser les données nécessaires au respect des obligations relatives au Gel des avoirs.

Les données d’identification intègrent l’outil de filtrage selon des fréquences définies et une temporalité spécifique. Il est parfois constaté :

Une fréquence d’intégration des données insuffisante, que ce soit pour le flux (nouvelles personnes entrant dans le portefeuille ou personnes ayant des données modifiées) ou le stock de l’ensemble du portefeuille
Une intégration dans l’outil de filtrage incomplète, irrégulière ou non optimisée du portefeuille en stock : en raison d’une volumétrie importante, seuls les flux sont chargés régulièrement dans l’outil de filtrage, entraînant les conséquences suivantes :
- En cas d’incident technique qui résulte d’une non-intégration des données, le filtrage de ces flux manquera
- Les personnes sorties du périmètre de filtrage (ex. clients/prospects anciens, clients occasionnels, « white list »…) continuent à être filtrées, ce qui génèrent des alertes qui devront être traitées alors qu’elles auraient pu être évitées.
Un filtrage a priori absent ou non systématique, alors qu’il est obligatoire avant d’entrer en relation ou avant de décaisser des fonds

Il est parfois constaté des difficultés avec les listes officielles de Gel des avoirs et de Sanctions internationales utilisées et leur actualisation :

Des listes manquent ou des listes sont inutiles : certaines listes internationales ou de pays limitrophes sont pertinentes au regard des activités et pourraient être prises en compte. D’autres listes des pays étrangers, en revanche, ne sont pas nécessaires pour les organismes qui ne sont soumis aux obligations locales. L’utilisation de ces listes crée des charges supplémentaires et inutiles pour les organismes d’assurance⁷
Les listes utilisées ne sont pas à jour : si la mise à jour du contenu des listes n’est pas assez fréquente (ex. hebdomadaire), l’organisme d’assurance ne pourra pas détecter et communiquer sans délai aux autorités compétentes des dossiers de cas avérés ou pour lesquels il existe un doute lié à une homonymie

Le paramétrage du filtrage des noms est un point critique du dispositif. Pour permettre un filtrage efficace, l’outil et/ou la façon dont il a été paramétré doivent :

Permettre de prendre en compte les variations orthographiques (paramétrage « fuzzy matching » sur les noms ou dénomination des personnes désignées (personnes physiques, personnes morales, entités) d’une personne physique ou dénomination d’une personne physique, et les spécificités linguistiques des noms des personnes en portefeuille)
Laisser l’équipe Conformité s’approprier le fonctionnement de l’outil, via une documentation pertinente et à jour sur l’outil et son paramétrage (effet « boîte noire »)
Permettre de piloter le « bon » seuil déclencheur des alertes et le taux approprié de « fuzzy matching » (ni trop strict, ni trop souple)
Être revus périodiquement et disposer d’une gouvernance définie

Il ne sert à rien de détecter rapidement si les alertes ne sont pas également traitées rapidement. En effet, il est parfois constaté :

Un délai de traitement important en raison de trop nombreux cas de « faux positifs » à traiter, et de l’absence de recours à l’automatisation de certaines tâches
Un délai de traitement allongé si trop peu d’informations sont remontées directement dans l’outil de filtrage (et donc accessibles pour celui qui traite l’alerte). Il faudra alors récupérer les informations supplémentaires en naviguant entre plusieurs outils
Un traitement non-optimal à cause d’un workflow de traitement des alertes mal conçu (ex. l’impossibilité de « whitelister » les « faux positifs » confirmés implique qu’ils seront à nouveau générés à chaque modification des données, même mineure (soit dans le portefeuille, soit dans les listes officielles))
Une piste d’audit insuffisamment renseignée dans le case manager⁸ de l’outil de filtrage, qui ne permettra pas de contrôler l’efficacité du traitement de l’alerte
Un traitement inégal des alertes sur la même personne dans les différentes entités d’un groupe. Ceux qui traitent les alertes doivent être formés et les processus de traitement des alertes homogénéisés.

Les résultats du filtrage doivent être intégrés dans les outils de souscription et de gestion afin d’être pris en compte par les lignes métiers, pour une mise en œuvre des mesures de gel et de levée de gel sans délai. Il y a ici des enjeux importants y compris au niveau du business. En effet, il souvent constaté :

Un ralentissement des processus de souscription ou de gestion dans tous les parcours (ex. via Internet, via le téléphone ou en en agence), si la remontée des informations n’est pas faite en temps réel au moment de la souscription ou avant la réalisation de l’opération
Des lignes métiers ne sachant pas quoi faire, car elles n’ont pas été associées au déploiement du dispositif et accompagnées pour comprendre et assimiler le changement. Des questions restent alors en suspens, comme :
- Quelle position adopter quant à l’encaissement des cotisations ?
- Comment gérer les prestations automatiques (ex. remboursement de frais de santé) ?
- Quels types d’opérations sont autorisés ?
- Quel est le discours à tenir vis-à-vis de la personne désignée ?
- Faut-il résilier le contrat ?
- …

Enfin, l’insuffisance du contrôle permanent et de la qualité de documentation du dispositif est souvent constatée, par exemple :

Absence d’un dispositif de contrôle permanent sur l’efficacité de l’outil de filtrage, le traitement des alertes et tous les autres composants du dispositif développés ci-dessus
Documentation inexistante sur :
- La gouvernance : gestion des incidents et des évolutions de l’outil
- Le choix de la solution de filtrage et l’historique des évolutions : options structurantes dans l’étude et le choix de la solution de filtrage, évolutions majeures et mineures de l’outil tant sur les paramétrages que sur les fonctionnalités
- La modélisation et le traitement des données, la qualité des données : alimentation des données du portefeuille, data mapping, transformation des données s’il en a (concaténation des données par exemples tous les noms et prénoms d’une personne physique, les adresses…)
- Les résultats de performance et de backtesting : en lien avec l’efficacité des résultats de filtrage et la pertinence des alertes générées, les résultats de test justifiant le choix des paramétrages, seuils…

3. Comment rendre son dispositif de Gel des avoirs plus efficace ?

Mettre à niveau son dispositif de détection et de traitement des personnes désignées est obligatoire. Les défaillances seront de plus en plus sanctionnées. Les enjeux, y compris ceux vis-à-vis de la Société civile, qui est de plus en plus attentive aux comportements des acteurs financiers, sont cruciaux. Nos nombreuses interventions pour nos clients nous permettent de partager quelques retours d’expérience pour répondre aux faiblesses identifiées précédemment. Ci-dessous des « quick win » et des recommandations à adapter et/ou à compléter au regard de votre contexte et de vos spécificités (contrats proposés, organisation et réseaux de distribution, etc.).

Sur la collecte des informations

L’identification précise du périmètre de filtrage est le point de départ d’un dispositif de détection conforme.

L’exhaustivité et la qualité des données d’identité des personnes sont des prérequis. Elles doivent donc être déterminées et suivies de manière assidue par l’organisme d’assurance.

De fait, les processus de souscription (pour tous les parcours clients) et de gestion doivent être repensés, afin de collecter les données d’identification nécessaires à un filtrage pertinent. Ils doivent également favoriser la vérification de ces données via la collecte de pièces justificatives. A noter que la collecte et l’actualisation des données peuvent être réparties entre la deuxième ligne et la première ligne et faire également l’objet d’une automatisation partielle.

Sur l’alimentation de l’outil de filtrage

La notion de filtrage « a priori » ou « a posteriori » est relative, et traduit potentiellement la nécessité de réaliser un filtrage dit « en temps réel » (versus via batch selon une fréquence définie), notamment avant la réalisation des opérations de décaissement.

Quant à l’entrée en relation, il est important de prévoir le filtrage au moment opportun, et sur les prospects dès que possible. Ici la connexion des outils des solutions de criblage/filtrage avec les applications CRM (Customer Relationship Management – Gestion de la relation prospects et clients) est cruciale.

En conséquence, les évolutions dans les outils de souscription/de gestion sont à prévoir, notamment sur les modalités de blocage et les informations disponibles en cas de détection de personnes ou entités faisant l’objet de sanctions.

Sur le filtrage des noms

Si la plupart des organismes d’assurance se dotent d’outils de filtrage qui permettent de détecter les noms avec un taux de concordance défini (« fuzzy match »), les algorithmes définis simplement sur la base de « distances » ne répondent plus efficacement à leurs besoins (comme le filtrage dit « phonétique » sur les noms en langue étrangère).

Certains éditeurs de solution de filtrage proposent désormais des modules qui permettent de réduire les « faux positifs » en couplant la détection via les algorithmes avec des règles, ou encore les nouvelles technologies (ex. Machine Learning, Entity Resolution).

Afin de déterminer si le paramétrage du filtrage fonctionne correctement ou nécessite une optimisation, deux méthodes de test peuvent être mises en place :

• Des éléments de benchmark des pratiques de la place, permettant de situer son paramétrage (choix de seuil ou règles de détection) par rapport aux autres utilisateurs des solutions similaires

• Un « crash test » de l’outil, avec le filtrage de différents cas de test sur mesure selon les besoins et les cas spécifiques de l’organisme (ex. spécificité des noms en certains langues, ou des listes de certains pays)

Sur le traitement des alertes

Le traitement des alertes peut être géré par l’organisme d’assurance lui-même, centralisé en cas de groupe, ou bien sous-traité (par exemple dans des Centres de services partagés). Dans ce dernier cas, l’organisme doit rester maître des délais de traitement et de la qualité des analyses menées. Pour ce faire, il doit notamment engager des actions de contrôle permanent et périodique.

Il est également possible, selon les situations, de mettre en place des solutions technologiques pour une « préanalyse » des alertes :

• RPA (Robotic Process Automation) pour collecter et compléter les informations de la personne en portefeuille si celles-ci ne sont pas disponibles directement dans l’outil de filtrage

• Machine Learning pour optimiser les résultats des alertes à traiter…

Audit & Assurance

Consulting

Risk Advisory

Financial Advisory

Juridique

Fiscalité

Afrique francophone

Consommation

Energie, Ressources & Produits industriels

Santé & Sciences de la vie

Secteur public

Services financiers

Technologies, Médias & Télécommunications

Consulter nos offres

Echanger avec nos ambassadeurs

Nous rencontrer

Climat et Développement durable

Gel des avoirs : quels enjeux et quelles solutions pour l’assurance non-vie ?

1. Pourquoi le Gel des avoirs est un enjeu prioritaire pour le secteur assurantiel non-vie ?

2. Quelles sont les faiblesses les plus constatées chez les assureurs non-vie dans leurs dispositifs de Gel des avoirs ?

3. Comment rendre son dispositif de Gel des avoirs plus efficace ?

Notre expert

Odilon Audouin

Associé Regulatory, Operations and Controls, secteur Assurance

Sur le même sujet

Data Privacy & Compliance

Journée européenne de la protection des données personnelles 2022