Point de vue

Tierce introduction et externalisation : des notions et des obligations à mieux appréhender par les assureurs

Article co-écrit avec Valentin Brohm, Manager Risk Advisory

Alors que certains assureurs travaillent avec plusieurs milliers de distributeurs ou de délégataires, les obligations en matière de lutte contre le blanchiment et le financement du terrorisme (LCB-FT) qui s’appliquent à ces relations sont encore insuffisamment comprises. Ces obligations relèvent selon les cas de la tierce introduction et/ou de l’externalisation, deux mécanismes définis et régis par le code monétaire et financier, complété par l’arrêté du 6 janvier 20211. L’ACPR a par ailleurs explicité ces exigences réglementaires dans ses lignes directrices relatives à l’identification, la vérification de l’identité et la connaissance de la clientèle. Aussi claires que soient ces dispositions, elles n’en restent pas moins complexes à mettre en œuvre. Cet article traite de la définition et la portée des mécanismes de tierce introduction et d’externalisation LCB-FT, en veillant à souligner les enjeux auxquels les assureurs doivent faire face en la matière. Enfin, il est question des leviers et axes de réflexion pour adresser ces enjeux et clarifier les responsabilités respectives des assureurs et des tiers auxquels ils recourent.

1) Tierce introduction et externalisation, deux régimes distincts présentant des similitudes

La tierce introduction est un mécanisme encadré par la réglementation qui consiste à confier à un tiers répondant à des conditions précises certaines obligations de connaissance client : identification, vérification de l'identité des clients et recueil des éléments de connaissance des relations d'affaires à l'entrée en relation et au cours de celle-ci. Peuvent également être incluses les obligations vis-à-vis des bénéficiaires effectifs de clients personnes morales, ainsi que celles relatives aux bénéficiaires de contrat d’assurance-vie ou de capitalisation, mais cela s’arrête là : un tiers introducteur ne peut pas mettre en œuvre d’autres obligations LCB-FT pour le compte d’un assureur, sinon il s’agit d’une externalisation. Tous les tiers ne peuvent pas non plus être tiers introducteurs. En effet, il est nécessaire que deux conditions cumulatives soient réunies : le tiers introducteur doit être assujetti à la LCB-FT et il doit être établi en France, dans l’UE/EEE ou dans un pays tiers considéré comme équivalent. De fait, ces conditions excluent beaucoup d’intermédiaires d’assurance, dont les agents généraux et les mandataires d’assurance, et beaucoup de zones géographiques.

L’externalisation LCB-FT consiste quant à elle à confier à un prestataire externe la réalisation de tout ou partie des activités relatives aux obligations LCB-FT, au nom et pour le compte de l’assureur. Le périmètre des obligations LCB-FT pouvant être confiées est plus large que pour la tierce introduction puisque sont concernées les obligations LCB-FT de toute nature, à l’exception des obligations déclaratives. Autre différence avec la tierce introduction : le prestataire externe LCB-FT n’a pas à être assujetti à la réglementation LCB-FT. Cela implique que l’assureur qui a recours à un prestataire externe doit vérifier avant la contractualisation et pendant toute la durée de l’externalisation que le prestataire a la capacité et les moyens de mettre en œuvre les obligations LCB-FT. Contrairement à la tierce introduction où l’assureur se « repose » sur les diligences du tiers assujettis (de manière certes relative, des obligations de contrôle existant), il est donc exclu qu’il en fasse de même avec un prestataire externe.

Tierce introduction et externalisation LCB-FT obéissent à des exigences réglementaires distinctes, bien que parfois très proches. Le tableau ci-dessous synthétise les similitudes et différences entre les deux régimes :

2) Principaux enjeux auxquels les assureurs doivent faire face lors du recours à un tiers pour la mise en œuvre d’obligations LCB-FT

Dans le quotidien des assureurs, les partenariats ne se nouent pas avec des « tiers introducteurs » et des « prestataires externes LCB-FT », mais avec des distributeurs, des délégataires et des prestataires. Le premier enjeu pour un assureur est donc de réconcilier les notions et de pouvoir identifier, parmi ses partenaires actuels et à venir, qui est tiers introducteur et qui est prestataire externe au sens de la réglementation LCB-FT, étant entendu que certains partenaires peuvent revêtir les deux qualité à la fois. Ce dernier cas n’est pas rare : il arrive fréquemment qu’un assureur confie à la fois la distribution et la gestion de contrats à un courtier. Lorsque cela se produit, l’assureur doit veiller à conjuguer les deux régimes exposés ci-dessus, tout en conservant de la visibilité sur les relations d’affaires dont il assure des risques, ce qui n’est pas toujours aisé puisqu’il peut en être assez éloigné (en particulier lorsque les données client ne sont pas enregistrées dans ses propres SI).

Le deuxième enjeu auquel l’assureur est confronté n’est pas moindre. Il lui incombe en effet de veiller à clarifier les rôles et responsabilités respectifs de l’assureur et du tiers introducteur ou prestaire externe au regard des obligations LCB-FT, notamment dans les conventions. Si une partie de la réponse à cette question est déjà fournie par la réglementation (par exemple, le tiers introducteur doit identifier et vérifier l’identité des clients), il n’en reste pas moins que la répartition et les modalités de mises en œuvre de certaines obligations doivent être définies. Ainsi en est-il par exemple pour :

  • L’évaluation du profil de risque des relations d’affaires (aussi connue sous son appellation anglaise de « scoring ») ;
  • L’identification des personnes politiquement exposées et des personnes visées par des mesures de gel des avoir, notamment à travers l’utilisation d’un dispositif automatisé de filtrage ;
  • Les règles de transmission des informations et documents relatifs aux relations d’affaires du distributeur ou du délégataire vers l’assureur, et particulièrement lorsque ces transmissions visent à pouvoir mettre en œuvre les obligations déclaratives.

Un troisième enjeu existe spécifiquement pour les tierces introductions dans le cadre desquelles, rappelons-le, le tiers introducteur est censé appliquer ses propres procédures LCB-FT. Construisant son dispositif LCB-FT autour de sa propre approche par les risques, le tiers introducteur peut avoir défini une classification des risques et/ou des mesures de vigilance qui diffèrent de celles de l’assureur. Par exemple, le tiers introducteur peut considérer comme « non-risquée » du point de vue LCB-FT une relation d’affaires que l’assureur considérera au contraire comme « risquée ». Il peut aussi arriver que le tiers introducteur ne recueille pas de pièces justificatives lors de la distribution de certains produits alors que l’assureur a prévu dans ses procédures le recueil systématique de telles pièces. En allant plus loin, il est encore possible d’évoquer le cas de la distribution de produits d’un assureur vie par un assureur non-vie dont les procédures LCB-FT ne sont généralement pas adaptées à ces produits, et les collaborateurs non formés aux risques qui leur sont inhérents. Il est donc nécessaire pour l’assureur de bien s’accorder a priori avec son tiers introducteur et de clarifier ses attentes (c’est-à-dire préciser les éléments, informations et documentations, qu’il est impératif de recueillir, ainsi que les modalités de leur transmission à l’assureur). A défaut, il pourrait être contraint de mettre lui-même en œuvre des diligences dont aurait opportunément pu se charger le tiers introducteur.

Un quatrième enjeu est cette fois spécifique aux prestations externalisées LCB-FT pour lesquelles il est attendu du prestataire qu’il applique les procédures LCB-FT de l’assureur. Il appartient donc à l’assureur de veiller à communiquer au prestataire, en amont de la réalisation de la prestation, les règles LCB-FT à appliquer. L’assureur devra s’assurer que les règles communiquées sont cohérentes et compréhensibles pour le prestataire et ses équipes. La bonne exécution « au nom et pour le compte » de l’assureur en dépend. Les règles communiquées se doivent d’être l’exact reflet des normes internes de l’assureur, il convient donc également de procéder à une communication des règles LCB-FT actualisées dès lors qu’elles sont mises à jour par l’assureur. Rappelons enfin que si le prestataire externe est également assujetti à la LCB-FT, l’assureur doit tenir compte de son dispositif LCB-FT. Il faut conjuguer les règles LCB-FT de l’assureur avec celles du prestataire de manière à ce que tous deux soient en conformité avec la réglementation et avec leurs procédures internes respectives.

Le dernier enjeux que nous considèrerons ici est peut-être le plus important. En effet, comme la Commission des sanctions de l’ACPR a pu le rappeler récemment², les entités assujetties doivent mettre en place des mesures de contrôle interne suffisantes sur les prestations externalisées. Ces mesures doivent permettre de contrôler que l’assureur respecte, par l’intermédiaire du prestataire externe, ses obligations en matière de LCB-FT et de respect des mesures de gel des avoirs, un défaut du prestataire externe n’exonérant en aucun cas l’assureur de ses obligations. Les mesures de contrôle interne visant les prestations externalisées LCB-FT doivent s’inscrire dans le dispositif global de contrôle interne de l’assureur, tel qu’il résulte de la mise en œuvre des obligations issues de « Solvabilité 23 » (y compris celles relatives aux sous-traitants importants ou critiques). Il convient également que ces mesures de contrôle soient construites en cohérence avec les autres processus de maîtrise des risques de l’assureur qui sont concernés : gestion des externalisations, audit interne, gestion des données personnelles, vérification de la conformité… Cet enjeu vaut d’ailleurs tout autant pour les tierces introductions qui doivent elles-aussi être couvertes par des mesures de contrôle adéquates4.

3) Leviers et axes de réflexion pour faire face aux enjeux que rencontrent les assureurs

Afin d’être en mesure de faire face aux nombreux enjeux qui gouvernent le recours à des tiers pour l’exécution d’obligations LCB-FT, les assureurs peuvent structurer leur approche autour de quatre chantiers complémentaires.

 

Une des conditions au bon déroulement des tierces introductions et externalisations LCB-FT est d’avoir défini et déployé des processus robustes en amont de l’exécution des tâches confiées. Ainsi, le processus de sélection des tiers (tiers introducteurs et prestataires) devrait permettre à l’assureur d’avoir une connaissance précise de la capacité du tiers à mettre en œuvre les obligations LCB-FT conformément à ses attentes. Corollairement, l’assureur doit pouvoir déterminer si le recours au tiers peut avoir comme effet d’augmenter ses propres risques en matière de LCB-FT. Pour couvrir ces deux points, l’assureur doit donc recueillir toutes les informations et la documentation utiles à la connaissance du tiers, procéder à des vérifications visant le tiers et ses parties prenantes, matérialiser les analyses et « due diligence » réalisées, associer la Conformité LCB-FT au processus de sélection et s’astreindre à ne pas conclure avec le tiers en cas de risque élevé pour son propre dispositif LCB-FT.

Concernant le processus de contractualisation avec les tiers, des progrès sont également possibles. Dans un contexte où les pratiques peuvent parfois être laborieuses, avec des négociations contractuelles qui s’étendent sur des mois, voire des années, il convient de chercher à fluidifier le processus. En ce sens, le département Conformité LCB-FT devrait assister proactivement le département Juridique et le département en charge de la Gestion déléguée dans la préparation de la convention (en fournissant notamment une clause LCB-FT adaptée à la situation et aux activités du partenaire) ainsi que dans la phase de négociation (en veillant à ce que ne soit pas porté atteinte aux exigences réglementaires, en aidant le département Juridique à fournir des réponses argumentées en cas d’objection de l’autre partie) et dans les phases ultérieures de mise à jour des conventions.

Dans le cadre de sa gestion du recours à des tiers, l’assureur doit être en mesure de distinguer ceux relevant de la tierce introduction, ceux relevant de l’externalisation LCB-FT et ceux qui ne relèvent ni de l’un, ni de l’autre. La logique qui prévaut actuellement chez certains assureurs est de considérer que la tierce introduction s’applique dès lors qu’une convention de distribution est signée avec un autre assureur, un courtier ou une banque. L’externalisation LCB-FT concerne alors les autres cas de distribution (par les intermédiaires d’assurance non-assujettis à la LCB-FT) et l’ensemble des délégations. Si cette approche dichotomique a le mérite d’être pratique, elle ne permet pas d’appréhender l’entièreté des cas de figure existants qui sont pour le moins variés : courtiers avec délégation de souscription, délégataires de gestion partielle de sinistres, contrats « marque blanche », etc. Il convient donc de la compléter par une démarche tenant compte de la portée des différents types de délégation (souscription, encaissement, indemnisation, etc.) et des obligations LCB-FT qui s’y greffent, afin de bien identifier le mécanisme applicable à chaque cas.

Afin de pouvoir remplir leurs obligations, les assureurs peuvent utilement se doter de plusieurs outils : des modèles de clause à insérer dans les conventions avec les tiers, un document de synthèse des règles LCB-FT de l’assureur à destination des prestataires externalisés, un outil informatisé de gestion des tiers ou encore un extranet courtage.

En lien avec les exigences de l’arrêté du 6 janvier 2021 cité précédemment, les assureurs doivent veiller à insérer dans les conventions avec leurs partenaires de nombreuses mentions obligatoires qui dépendent du mécanisme s’appliquant. A cette fin, il est utile de prévoir des modèles de clauses contractuelles (voire d’annexe au contrat) dédiées à la LCB-FT qui contiennent ces mentions. Plusieurs modèles pourront être formalisés en fonction des types de tiers auxquels l’assureur a recours, ainsi que des tâches qui leurs sont confiées. Par ailleurs, au-delà des mentions réglementaires, il faudra également s’assurer que ces clauses prévoient une claire répartition des rôles et responsabilités entre les deux parties.

Dans le cadre des prestations externalisées LCB-FT, il est attendu du prestataire agissant au nom et pour le compte de l’assureur qu’il applique les procédures LCB-FT de l’assureur. Or, le corpus procédural LCB-FT de l’assureur comporte généralement de nombreux documents dans lesquels il peut être difficile pour le prestataire externe, et ses équipes, de s’y retrouver. Il est donc important que l’assureur veille à communiquer au prestataire, en amont de la réalisation de la prestation, les règles LCB-FT à appliquer dans un document unique, cohérent et aisément compréhensible. Ce document se devra d’être l’exact reflet des normes internes de l’assureur et il conviendra donc de le tenir actualisé au regard de ces dernières. Rappelons par ailleurs que si le prestataire externe est également assujetti à la LCB-FT, l’assureur doit tenir compte de son dispositif LCB-FT. Le document précité pourra alors matérialiser cette prise en compte et décrire les règles LCB-FT qui permettent à la fois à l’assureur et au prestataire d’être en conformité avec la réglementation et leurs procédures internes respectives.

Compte tenu du nombre de tiers auxquels ont recours certains assureurs, le déploiement d’un outil informatisé de gestion des tiers (ou TPRM pour l’anglais « third party risk management ») semble indispensable pour piloter cette multitude de partenariats. Cet outil permet avant tout d’avoir une vision exhaustive sur les tiers, dans une base unique (là où l’absence d’outil peut conduire à une dissémination, dans toute l’organisation, des informations relatives aux tiers), mais il permet aussi d’améliorer de nombreux aspects de la gestion des tiers. Ainsi, l’outil est particulièrement utile pour : centraliser et référencer les conventions signées avec les tiers, dans un contexte où la mise en conformité des conventions reste un enjeu fort ; piloter la mise à jour des conventions ; identifier et hiérarchiser les tiers en fonction de leur criticité, afin d’adapter les efforts de contrôle ; suivre les actions de contrôle sur les tiers ainsi que leurs résultats dans le temps…

Enfin, la mise à disposition d’un extranet auprès des courtiers et autres intermédiaires d’assurance peut également permettre d’améliorer le respect des obligations LCB-FT. Un tel extranet permet de connaitre les caractéristiques et conditions des contrats et garanties, de disposer d’outils d’aide à la vente, de procéder à la tarification et à la souscription, de gérer les signatures électroniques, de suivre les dossiers… Il est donc tout à faire pertinent d’inclure des contrôles de conformité dans cet extranet afin de sécuriser la collecte des éléments de connaissance client, leur enregistrement et leur transmission à l’assureur. L’extranet peut également servir à mieux sensibiliser les distributeurs sur la connaissance client, voire sur la détection de situations atypiques.

Comme pour les processus qu’il met en œuvre lui-même, l’assureur doit veiller à déployer des mesures de contrôle interne sur les tierces introductions et les prestations externalisées LCB-FT qui s’inscrivent dans son propre dispositif de contrôle interne. Ainsi, il doit mobiliser ses trois lignes de défense (première et deuxième lignes relevant du contrôle permanent, troisième ligne relevant du contrôle périodique) pour s’assurer du respect des obligations LCB-FT mises en œuvre par les tiers. S’il ne peut couvrir systématiquement l’ensemble des tâches confiées à des tiers, l’assureur doit procéder selon une approche par les risques, en priorisant le contrôle des tâches qui sont le plus sensibles : celles relatives au respect des mesures de gel des avoirs d’abord, celles ayant trait à la détection et au traitement des opérations atypiques ou à l’identification des clients ensuite. En tout état de cause, l’assureur doit pouvoir démontrer que son dispositif de contrôle interne lui permet de maîtriser les risques liés à la LCB-FT lorsqu’il recourt à des tiers et a fortiori lorsque ces derniers ont la réputation d’être moins diligents en la matière5. Les résultats des contrôles doivent également être exploités afin de s’assurer que les insuffisances sont identifiées et corrigées, voire, dans les cas où les insuffisances sont importantes, de s’interroger sur le maintien de la relation avec le tiers. D’ailleurs, l’ACPR est de plus en plus attentive à au contrôle des tiers, y compris lorsque le délégataire n’est pas lui-même assujetti à la LCB-FT.

4) Conclusion

Nous conclurons en rappelant que la sanction de la Commission des sanctions de l’ACPR visant l’établissement de crédit BMW finance (cf. supra) illustre bien les nouvelles attentes du régulateur. Dans le cadre d’une externalisation du traitement des alertes relatives aux personnes politiquement exposée et au gel des avoirs, la Commission a en effet retenu plusieurs motifs pour fonder son dixième grief « sur l’insuffisance des contrôles internes portant sur la prestation externalisée » :

  • L’établissement de crédit n'était pas en mesure de s'assurer que le prestataire traitait l'ensemble des alertes ;
  • Il ne s'assurait pas que le traitement des alertes par le prestataire était réalisé avec célérité ;
  • Il ne contrôlait pas que le classement sans suite d'une alerte était dûment documenté ou justifié ;
  • Il avait déployé un dispositif de contrôle permanent de premier niveau lacunaire sur le classement des alertes ;
  • Il n’avait pas mis en place des contrôles permanents de second niveau suffisants sur le traitement des alertes par le prestataire, car ces contrôles portaient sur un échantillon trop réduit au regard des volumes en présence.

Du côté de l’Assurance, la tendance est la même comme l’a montré la récente sanction de la Commission des sanctions visant Abeille Vie6 (ex-Aviva). Le contrôle sur place avait en effet permis de relever qu’Abeille Vie n’avait diligenté aucun contrôle permanent des activités de LCB-FT externalisées auprès du GIE AFER au cours des deux années précédant le contrôle et la Commission n’a pas manqué de retenir un grief face au constat de cette carence.

Concernés par ces jurisprudences, les assureurs doivent en tenir compte pour mettre à niveau leurs dispositifs de contrôle interne et, plus globalement, de gestion des tiers. Il ne fait nul doute qu’au cours des prochaines années, la surveillance de l’ACPR sur le sujet sera renforcée. D’ailleurs, avec la refonte du QLB (questionnaire lutte anti-blanchiment), cela a déjà commencé7.

1 Arrêté du 6 janvier 2021 relatif au dispositif et au contrôle interne en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme et de gel des avoirs et d'interdiction de mise à disposition ou d'utilisation des fonds ou ressources économiques
² Commission des sanctions, décision BMW FINANCE du 16 mai 2023, procédure n°2022-04
3 Directive 2009/138/CE du Parlement Européen et du Conseil du 25 novembre 2009 sur l’accès aux activités de l’assurance et de la réassurance et leur exercice
4 Voir en ce sens, la décision de la Commission des sanctions, CNP ASSURANCE du 26 juillet 2018, procédure n°2017-01, dans laquelle avait notamment été reprochée à l’assureur une insuffisance du contrôle de la transmission, par les distributeurs, des informations qu’ils devaient lui adresser
5 Voir en ce sens la publication d’avril 2021 de la Revue de l’ACPR « La LCB-FT pour les courtiers d’assurance : nouveautés et points d’attention », et l’article paru sur le site de l’Argus de l’assurance le 7 avril 2021 « Lutte contre le blanchiment : l’ACPR rappelle les courtiers à leurs obligations »
6 Commission des sanctions, décision ABEILLE VIE du 12 octobre 2023, procédure n°2022-03
7 Suite au remplacement de l’instruction n° 2019-I-24, à partir du 1er janvier 2024, par l’instruction n° 2022-I-18, de nombreuses nouvelles questions sont posées aux entités assujetties, dont les questions 3.350 à 3.437 relatives aux tierces introductions et externalisations en matière de LCB-FT