Alors que certains assureurs travaillent avec plusieurs milliers de distributeurs ou de délégataires, les obligations en matière de lutte contre le blanchiment et le financement du terrorisme (LCB-FT) qui s’appliquent à ces relations sont encore insuffisamment comprises. Ces obligations relèvent selon les cas de la tierce introduction et/ou de l’externalisation, deux mécanismes définis et régis par le code monétaire et financier, complété par l’arrêté du 6 janvier 20211. L’ACPR a par ailleurs explicité ces exigences réglementaires dans ses lignes directrices relatives à l’identification, la vérification de l’identité et la connaissance de la clientèle. Aussi claires que soient ces dispositions, elles n’en restent pas moins complexes à mettre en œuvre. Cet article traite de la définition et la portée des mécanismes de tierce introduction et d’externalisation LCB-FT, en veillant à souligner les enjeux auxquels les assureurs doivent faire face en la matière. Enfin, il est question des leviers et axes de réflexion pour adresser ces enjeux et clarifier les responsabilités respectives des assureurs et des tiers auxquels ils recourent.
La tierce introduction est un mécanisme encadré par la réglementation qui consiste à confier à un tiers répondant à des conditions précises certaines obligations de connaissance client : identification, vérification de l'identité des clients et recueil des éléments de connaissance des relations d'affaires à l'entrée en relation et au cours de celle-ci. Peuvent également être incluses les obligations vis-à-vis des bénéficiaires effectifs de clients personnes morales, ainsi que celles relatives aux bénéficiaires de contrat d’assurance-vie ou de capitalisation, mais cela s’arrête là : un tiers introducteur ne peut pas mettre en œuvre d’autres obligations LCB-FT pour le compte d’un assureur, sinon il s’agit d’une externalisation. Tous les tiers ne peuvent pas non plus être tiers introducteurs. En effet, il est nécessaire que deux conditions cumulatives soient réunies : le tiers introducteur doit être assujetti à la LCB-FT et il doit être établi en France, dans l’UE/EEE ou dans un pays tiers considéré comme équivalent. De fait, ces conditions excluent beaucoup d’intermédiaires d’assurance, dont les agents généraux et les mandataires d’assurance, et beaucoup de zones géographiques.
L’externalisation LCB-FT consiste quant à elle à confier à un prestataire externe la réalisation de tout ou partie des activités relatives aux obligations LCB-FT, au nom et pour le compte de l’assureur. Le périmètre des obligations LCB-FT pouvant être confiées est plus large que pour la tierce introduction puisque sont concernées les obligations LCB-FT de toute nature, à l’exception des obligations déclaratives. Autre différence avec la tierce introduction : le prestataire externe LCB-FT n’a pas à être assujetti à la réglementation LCB-FT. Cela implique que l’assureur qui a recours à un prestataire externe doit vérifier avant la contractualisation et pendant toute la durée de l’externalisation que le prestataire a la capacité et les moyens de mettre en œuvre les obligations LCB-FT. Contrairement à la tierce introduction où l’assureur se « repose » sur les diligences du tiers assujettis (de manière certes relative, des obligations de contrôle existant), il est donc exclu qu’il en fasse de même avec un prestataire externe.
Tierce introduction et externalisation LCB-FT obéissent à des exigences réglementaires distinctes, bien que parfois très proches. Le tableau ci-dessous synthétise les similitudes et différences entre les deux régimes :
Dans le quotidien des assureurs, les partenariats ne se nouent pas avec des « tiers introducteurs » et des « prestataires externes LCB-FT », mais avec des distributeurs, des délégataires et des prestataires. Le premier enjeu pour un assureur est donc de réconcilier les notions et de pouvoir identifier, parmi ses partenaires actuels et à venir, qui est tiers introducteur et qui est prestataire externe au sens de la réglementation LCB-FT, étant entendu que certains partenaires peuvent revêtir les deux qualité à la fois. Ce dernier cas n’est pas rare : il arrive fréquemment qu’un assureur confie à la fois la distribution et la gestion de contrats à un courtier. Lorsque cela se produit, l’assureur doit veiller à conjuguer les deux régimes exposés ci-dessus, tout en conservant de la visibilité sur les relations d’affaires dont il assure des risques, ce qui n’est pas toujours aisé puisqu’il peut en être assez éloigné (en particulier lorsque les données client ne sont pas enregistrées dans ses propres SI).
Le deuxième enjeu auquel l’assureur est confronté n’est pas moindre. Il lui incombe en effet de veiller à clarifier les rôles et responsabilités respectifs de l’assureur et du tiers introducteur ou prestaire externe au regard des obligations LCB-FT, notamment dans les conventions. Si une partie de la réponse à cette question est déjà fournie par la réglementation (par exemple, le tiers introducteur doit identifier et vérifier l’identité des clients), il n’en reste pas moins que la répartition et les modalités de mises en œuvre de certaines obligations doivent être définies. Ainsi en est-il par exemple pour :
Un troisième enjeu existe spécifiquement pour les tierces introductions dans le cadre desquelles, rappelons-le, le tiers introducteur est censé appliquer ses propres procédures LCB-FT. Construisant son dispositif LCB-FT autour de sa propre approche par les risques, le tiers introducteur peut avoir défini une classification des risques et/ou des mesures de vigilance qui diffèrent de celles de l’assureur. Par exemple, le tiers introducteur peut considérer comme « non-risquée » du point de vue LCB-FT une relation d’affaires que l’assureur considérera au contraire comme « risquée ». Il peut aussi arriver que le tiers introducteur ne recueille pas de pièces justificatives lors de la distribution de certains produits alors que l’assureur a prévu dans ses procédures le recueil systématique de telles pièces. En allant plus loin, il est encore possible d’évoquer le cas de la distribution de produits d’un assureur vie par un assureur non-vie dont les procédures LCB-FT ne sont généralement pas adaptées à ces produits, et les collaborateurs non formés aux risques qui leur sont inhérents. Il est donc nécessaire pour l’assureur de bien s’accorder a priori avec son tiers introducteur et de clarifier ses attentes (c’est-à-dire préciser les éléments, informations et documentations, qu’il est impératif de recueillir, ainsi que les modalités de leur transmission à l’assureur). A défaut, il pourrait être contraint de mettre lui-même en œuvre des diligences dont aurait opportunément pu se charger le tiers introducteur.
Un quatrième enjeu est cette fois spécifique aux prestations externalisées LCB-FT pour lesquelles il est attendu du prestataire qu’il applique les procédures LCB-FT de l’assureur. Il appartient donc à l’assureur de veiller à communiquer au prestataire, en amont de la réalisation de la prestation, les règles LCB-FT à appliquer. L’assureur devra s’assurer que les règles communiquées sont cohérentes et compréhensibles pour le prestataire et ses équipes. La bonne exécution « au nom et pour le compte » de l’assureur en dépend. Les règles communiquées se doivent d’être l’exact reflet des normes internes de l’assureur, il convient donc également de procéder à une communication des règles LCB-FT actualisées dès lors qu’elles sont mises à jour par l’assureur. Rappelons enfin que si le prestataire externe est également assujetti à la LCB-FT, l’assureur doit tenir compte de son dispositif LCB-FT. Il faut conjuguer les règles LCB-FT de l’assureur avec celles du prestataire de manière à ce que tous deux soient en conformité avec la réglementation et avec leurs procédures internes respectives.
Le dernier enjeux que nous considèrerons ici est peut-être le plus important. En effet, comme la Commission des sanctions de l’ACPR a pu le rappeler récemment², les entités assujetties doivent mettre en place des mesures de contrôle interne suffisantes sur les prestations externalisées. Ces mesures doivent permettre de contrôler que l’assureur respecte, par l’intermédiaire du prestataire externe, ses obligations en matière de LCB-FT et de respect des mesures de gel des avoirs, un défaut du prestataire externe n’exonérant en aucun cas l’assureur de ses obligations. Les mesures de contrôle interne visant les prestations externalisées LCB-FT doivent s’inscrire dans le dispositif global de contrôle interne de l’assureur, tel qu’il résulte de la mise en œuvre des obligations issues de « Solvabilité 23 » (y compris celles relatives aux sous-traitants importants ou critiques). Il convient également que ces mesures de contrôle soient construites en cohérence avec les autres processus de maîtrise des risques de l’assureur qui sont concernés : gestion des externalisations, audit interne, gestion des données personnelles, vérification de la conformité… Cet enjeu vaut d’ailleurs tout autant pour les tierces introductions qui doivent elles-aussi être couvertes par des mesures de contrôle adéquates4.
Afin d’être en mesure de faire face aux nombreux enjeux qui gouvernent le recours à des tiers pour l’exécution d’obligations LCB-FT, les assureurs peuvent structurer leur approche autour de quatre chantiers complémentaires.
Nous conclurons en rappelant que la sanction de la Commission des sanctions de l’ACPR visant l’établissement de crédit BMW finance (cf. supra) illustre bien les nouvelles attentes du régulateur. Dans le cadre d’une externalisation du traitement des alertes relatives aux personnes politiquement exposée et au gel des avoirs, la Commission a en effet retenu plusieurs motifs pour fonder son dixième grief « sur l’insuffisance des contrôles internes portant sur la prestation externalisée » :
Du côté de l’Assurance, la tendance est la même comme l’a montré la récente sanction de la Commission des sanctions visant Abeille Vie6 (ex-Aviva). Le contrôle sur place avait en effet permis de relever qu’Abeille Vie n’avait diligenté aucun contrôle permanent des activités de LCB-FT externalisées auprès du GIE AFER au cours des deux années précédant le contrôle et la Commission n’a pas manqué de retenir un grief face au constat de cette carence.
Concernés par ces jurisprudences, les assureurs doivent en tenir compte pour mettre à niveau leurs dispositifs de contrôle interne et, plus globalement, de gestion des tiers. Il ne fait nul doute qu’au cours des prochaines années, la surveillance de l’ACPR sur le sujet sera renforcée. D’ailleurs, avec la refonte du QLB (questionnaire lutte anti-blanchiment), cela a déjà commencé7.