WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

La conformité dans l'activité d'assurance. Une question d'intégrité et/ou de bonne gouvernance d'entreprise.


par Lotfi FRIDHI
Ecole supérieure privée d'assurance et de finance - Master Professionnel Management du Risque dans les Assurances et les Institutions financières 2018
  

Disponible en mode multipage

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

 

MINISTERE DE L'ENSEIGNEMENT SUPERIEUR ET DE LA RECHERCHE SCIENTIFIQUE

 

Année Universitaire : 2018-2019

ECOLE SUPERIEURE PRIVEE D'ASSURANCE
ET DE FINANCE

Mémoire de Master Professionnel

Management du Risque dans les Assurances et les Institutions financières

La conformité dans l'activité d'assurance : une question
d'intégrité et/ou de bonne gouvernance d'entreprise ?

Elaboré par :
FRIDHI Lotfi

Sous la direction de

Mr : BEN JEMIA Taoufik

2

Remerciements

3

En tout premier lieu, je remercie le bon Dieu, tout puissant, qui m'a donné la volonté de réintégrer les bancs de la faculté après quinze ans d'abandon.

Je tiens à exprimer toute ma gratitude à monsieur BEN JEMIA Taoufik de m'avoir encadré, orienté, aidé et conseillé.

En guise de reconnaissance, je tiens à témoigner mes sincères remerciements à tout le corps professoral et administratif de l'ESPAF pour les efforts qu'ils ont déployés pour nous créer, moi et mes collègues, les conditions les plus favorables pour la relève de ce challenge.

Enfin, un grand merci pour mes collègues pour leurs chaleureux encouragements, pour les moments émouvants...pour leur amitié.

4

Liste des figures

Figure 1 : La jonction de la loi et de la morale et son impact sur le model

managérial de l'entreprise. 15

Figure 2 : Les catégories et les lignes du contrôle interne 31

Figure 3 : Processus de gestion des risques de non-conformité 33

Figure 4 : Modèle pour l'organisation et le déploiement de la fonction de

contrôle de conformité 42

Figure 5 : Matrice d'évaluation des éléments de maîtrise des risques 57

Figure 6 : Matrice de criticité 58

Figure 7 : Matrice d'évaluation du risque net 59

Liste des tableaux

Tableau 1 : Modèle de référentiel réglementaire 51

Liste des sigles et acronymes

5

+ CGA : Comité Général des Assurances.

+ FATCA : Foreign Account Tax Compliance Act.

+ AEAPP : Autorité européenne des assurances et des pensions professionnelles.

+ GAFI : Groupe d'Actions Financières.

+ CC : conseil de la concurrence.

+ CMF : Conseil du Marché Financier.

+ INPDP : Instance Nationale de Protection des Données Personnelles. + INLUCC : Instance Nationale de Lutte Contre la Corruption.

+ BM : Banque Mondiale.

+ FMI : Fonds Monétaire International.

+ OCDE : Organisation de Coopération et de Développement Économiques.

+ BCT : Banque centrale de Tunisie.

+ RCC : Responsable de contrôle conformité.

+ LAB/FT : Lutte anti blanchiment d'argent et financement du terrorisme. + FTUSA : Fédération tunisienne des sociétés d'assurances.

+ IARDS : Incendie, accidents, risques divers et spéciaux.

Sommaire

6

Remerciements 3

Liste des figures 4

Liste des sigles et acronymes 5

Introduction générale 7

Chapitre 1 : La dimension substantielle de la conformité en assurance 9

Section 1 : La conformité, un socle normatif 9

Paragraphe 1 : La conformité un devoir d'intégrité 10

Paragraphe 2 : La conformité un devoir règlementaire 12

Section 2 : la non-conformité et les instances de contrôle 15

Paragraphe 1: les risques encourus 16

Paragraphe 2 : les instances de contrôle 20

Chapitre 2: La dimension organisationnelle de la conformité en assurance 29

Section 1 : La fonction de conformité, un outil de gouvernance d'entreprise 30

Paragraphe 1 : la fonction de conformité au Coeur du contrôle interne 30

Paragraphe 2 : Configuration et déploiement de la structure de contrôle de conformité 38

Section 2: Les outils de la gestion de la conformité 44

Paragraphe 1 : Le référentiel réglementaire 45

Paragraphe 2 : La cartographie des risques 52

Conclusion générale 61

Bibliographie 62

Table des matières 64

7

Introduction générale

e mérite de la littérature en gestion des risques qui s'est apparu après les scandales financiers qu'a connu le début de de ce troisième millénaire est nous révéler, non seulement l'insuffisance du cadre réglementaire pour un monde des affaires en mutations perpétuelles d'une part et la défaillance de quelques approches managériales classiques et l'apparition d'une approche dite «gestion par les risques1 », d'autre part, mais encore la remonté de la réflexion sur l'éthique des affaires et la déontologie. C'est avec cette littérature que la compréhension des risques et leur gestion ont considérablement évolué et il en résulte que « la dimension « risque » vient enrichir la vision des dirigeants en complément des axes stratégiques et opérationnels et devient un élément de management à part entière ».2

Les prémices de cette prise de conscience ont vu le jour au niveau international dans les réflexions qui ont été menées au sein du comité de Bâle II 3 et parmi les nouveautés qui s'inscrivent dans cette perspective c'est l'appréhension du risque de non-conformité comme étant un risque opérationnel dû soit à une inadéquation ou à une défaillance des dispositifs de contrôle interne de l'organisation soit aux manquements du personnel.

Faisant écho de cette prise de conscience, Solvabilité II 4 a modifié en profondeur le régime existant en imposant des règles qualitatives de bonne gouvernance et de gestion des risques qui touchent à l'organisation même de l'entreprises d'assurance et de réassurances.

Parmi les réformes édictées par ces règles dites prudentielles l'obligation pour les entreprises d'assurance et de réassurance de mettre en place un système de gouvernance incluant la fonction de gestion des risques, la fonction de vérification de la conformité, la fonction d'audit interne et la fonction actuarielle5.

Sur le plan national, la Tunisie ne fait nullement exception de ce que se passe dans le monde et pas trop tard le Comité Général des Assurances a publié la première directive pour l'année 20166 relatif à la définition des règles de bonne gouvernance au sein des entreprises d'assurances et de réassurance.

Une première lecture de cette directive tunisienne fait montrer que le contrôle de la conformité est considéré comme l'un des piliers de la bonne gouvernance et que les entreprises d'assurance et de réassurance sont tenues de créer une fonction conformité chargée principalement de l'identification et l'évaluation du risque de non-conformité.

En définissant ce risque, le comité de Bâle considère comme risque de non-conformité le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière, d'atteinte à la réputation, du fait de manquement de respect des dispositions législatives et réglementaires, des normes et usages professionnels et déontologiques propres à l'activité bancaire.

1 Recommandation n° 1 du GAFI en matière de LAB/FT « Évaluation des risques et application d'une approche fondée sur les risques »

2 IFACI : LES CAHIERS DE LA RECHERCHE. Cartographie des risques

3 Le comité de Bâle sur le contrôle bancaire, est un forum où sont traités de manière régulière (quatre fois par année) les sujets relatifs à la supervision bancaire. Bâle II pour désigner le second accord (juin 2004) après avoir jugé insuffisant le premier accord de 1988.

4 Surnom de la Directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009.

5 Voir le paragraphe 30 du préambule de la Directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l'accès aux activités de l'assurance et de réassurance.

6 Décision n°1/2016 du 13 juillet 2016.

8

Plus pragmatiques, la directive Solvabilité II et la décision n° 1/2016 du CGA ils se sont penchés plus sur la définition du rôle et des objectifs de la conformité. C'est à cette fonction notamment de veiller en premier lieu au respect des prescriptions légales et réglementaires et aux bonnes pratiques en matière d'éthique et de déontologie et en deuxième lieu à l'identification, l'évaluation et à la maîtrise des risques que peut encourir l'entreprise du fait de non-conformité aux normes précitées.

Ainsi définie, comme « caractère de ce qui respecte les normes7 » ou encore « correspondre exactement à la norme, à la règle générale, à l'idéal social dominant.8 » la conformité ne doit pas être réduite à la fameuse règle disant « Nul n'est censé ignorer la loi ». Au contraire lorsqu'il s'agit de la conformité on se trouve au-delà des normes, on est en présence d'une constellation de valeurs.

La conformité est une dynamique qui ne se limite pas aux dispositions législatives et réglementaires, elle va au-delà pour englober en outre et les règles et processus internes d'une part et tous les engagements unilatéralement adoptés par l'entreprise dans un but d'intégrité9 d'une autre part.

C'est avec certitude qu'on peut dire que la conformité est une fonction10 par laquelle l'entreprise soumettre ses actions à une démarche de conformité aux règles de toute nature, externes, internes et d'éthique en vue de se prémunir contre les risques résultants de la violation de ces règles et de moraliser les comportements et les pratiques au sein de l'entreprise.

Ainsi, on peut admettre que le contrôle conformité n'est pas uniquement un contrôle réglementaire mais encore c'est un contrôle d'intégrité qui vise à immuniser l'entreprise contre les risques opérationnels dans le cadre d'une démarche de bonne gouvernance.

Est-il vrai, alors, peut-on de dire que le contrôle conformité est une démarche pour la déclinaison de la morale dans l'activité d'assurance en vue d'une bonne gouvernance ?

Bien que la réponse à cette question semble d'emblée simple et affirmative, elle ne doit pas pour autant négliger la complexité de cette thématique.

La conformité n'est jamais unidimensionnelle, la jonction du réglementaire et du moral fait apparaître une dimension substantielle très riche (Chapitre I) servant de référentiel de bonne conduite en matière de gestion des risques opérationnels.

De plus, et étant encore considérée comme fonction, la conformité présente une dimension organisationnelle évidente (Chapitre II) constituant ainsi un dispositif de bonne gouvernance.

7 Reverso Dictionnaire.

8 Larousse.

9 Le Soft-Law, notion qui désigne: les codes de conduite, chartes éthiques, normes déontologiques, guides de bonnes pratiques et autres formes d'engagement volontaire des entreprises font sans conteste partie du périmètre de la conformité

10 « On entend par fonction la capacité administrative de remplir certaines tâches de gouvernance ». Paragraphe 31 du préambule de la directive solvabilité II.

Chapitre 1 : La dimension substantielle de la conformité en assurance

 

Par nature, l'action conformité revête deux aspects, un aspect objectif qui réside dans le fait pour une entreprise de se soumettre aux exigences d'une loi, d'un texte réglementaire, ou de toute norme émanant d'un organisme doté d'un pouvoir de cet ordre, et dont le non-respect pourrait être sanctionné par une juridiction ou une autorité de régulation, et un aspect subjectif qui reflète l'identité de l'entreprise et qui exprime sa volonté de se doter de sa propre culture en faisant du respect de la norme une valeur en soi.

C'est par référence aux valeurs que se donne l'entreprise et aux obligations morales et sociales qu'elle s'attache à respecter et de la nécessité de porter ces valeurs à son plus haut niveau qu'elle peut se voir intègre.

Dès lors, c'est à la conformité d'apporter une réponse à la question de « comment doit-on faire ? », d'inciter les dirigeants, les administrateurs et les collaborateurs d'une entreprise à observer leur devoir d'intégrité.

S'agissant de la conformité en assurance, il faut rappeler que ce secteur est considéré d'ordre public, l'activité des assureurs est l'une des plus réglementées et contrôlées par les pouvoirs de tutelle, c'est encore un métier basé essentiellement sur la bonne foi et la confiance mutuelle des deux parties, assureur et assuré, ce qui fait qu'en plus des exigences légales et réglementaires et des prescriptions de l'autorité de contrôle, les sociétés d'assurances et de réassurance sont tenues d'une intégrité et d'une déontologie professionnelle relevant exclusivement de la bonne conduite, d'où la richesse substantielle de la conformité, qui est donc règlementaire et morale.

Ainsi, c'est dans l'activité d'assurance que se convergent la loi et la morale et se complètent pour former un socle normatif (Section I), que l'entreprise doit observer, afin de se trouve immuniser contre les répercussions d'un contrôle de mise en conformité (Section II).

Section 1 : La conformité, un socle normatif

9

Considérée comme la fonction par laquelle l'entreprise doit soumettre ses actions à une démarche de conformité aux règles de toute nature, externes, internes et d'éthique en vue de se prémunir contre les risques résultants de la violation de ces règles et de moraliser les comportements et les pratiques au sein de l'entreprise, la démarche de mise en conformité repose sur un socle normatif très diversifié, parmi ses traits les plus attrayants c'est ce chevauchement de l'incitatif et du coercitif. Par ailleurs et au-delà de ses obligations en tant que sujet de droit (Paragraphe 2), l'entreprise doit faire preuve d'intégrité (Paragraphe 1).

10

Paragraphe 1 : La conformité un devoir d'intégrité

Le devoir d'intégrité pour une entreprise doit se vérifier dans le cadre de l'éthique des affaires qui suscite l'organisme à traduire les valeurs en un ensemble de concepts génériques à partager par les parties prenantes et faisant ainsi son propre référentiel.

La réussite de la déclinaison de ces concepts dans l'organisation et le management de l'entreprise est tributaire de la validation et de l'adoption de ce référentiel par la gouvernance de l'entreprise à son niveau le plus élevé et de son sincère engagement de faire de ce référentiel un acte de gouvernance d'entreprise. C'est de cette façon que l'entreprise acquiert son identité dans son environnement et par le respect de ce référentiel qu'elle peut se voir intègre. Dès lors la bonne réputation devient une qualité pour l'entreprise et que derrière cette qualité il y'a satisfaction d'un devoir d'intégrité.

Pour plus de détails et pour mieux identifier les impacts de l'intégrité sur l'image de l'entreprise d'assurance il importe de définir ce devoir (A) avant d'en déterminer la portée (B).

A : Définition du devoir d'intégrité

Donnant une qualification morale ou juridique à des actions et des relations professionnelles, les termes « intégrité » et « conformité » dominent depuis quelques années la terminologie de gouvernance et de management et bien que sur le plan sémantique chacun de ces deux notions renvoie à un champ différent, ils non jamais étaient loin l'un de l'autre, ils se font souvent employés pour désigner le même devoir.

Renvoyant à la notion de la vertu, L'intégrité se définit comme une valeur morale qui sert de référence et guide pour nos choix et nos actions, elle est synonyme surtout d'honorabilité et de probité.

Étroitement liée à l'intégrité, l'honorabilité désigne la qualité d'une personne dont la conduite est conforme à une norme morale socialement admise et reconnue, c'est le caractère de celui qui mérite l'estime et la considération d'autrui. Pas loin de cette définition, à son tour la probité est une qualité morale de droiture, de bonne foi et d'honnêteté qui se manifeste par l'observation rigoureuse des règles morales et des principes de la justice11. C'est sur ces deux piliers, honorabilité et probité, que la bonne réputation de l'entreprise repose.

Bien évidemment, l'adoption de ces valeurs d'honorabilité, d'intégrité, de loyauté, de droiture, de bonne foi et d'honnêteté par l'entreprise d'assurance doit être traduite par leur transformation en mode opératoire et par leur absorption dans son organisation pour qu'elles fassent partie intégrante de son fonctionnement.

La conformité n'est donc pas uniquement le respect de la règlementation en vigueur et des directives internes, mais aussi la garantie d'une conduite intègre et responsable de toutes les parties prenantes de l'entreprise. Pour qu'il soit qualifié efficace un dispositif de gestion de la

11 La toupie "Toupictionnaire"

11

12

conformité doit faire de l'entreprise une entreprise citoyenne dont les décisions entrepreneuriales ne soient prises uniquement sur la base des objectifs économiques, mais en tenant également compte de la responsabilité de l'entreprise envers la société,

B : La portée du devoir d'intégrité

La vérification de ces deux qualités doit se faire à la fois pour l'entreprise et pour les dirigeants et notamment ceux qui détiennent le pouvoir d'engager l'entreprise.

Certes que la vérification de l'honorabilité de l'entreprise passe par la mesure du degré de respect de son environnement12 et surtout les droits des assurés.

Dans un contrat d'adhésion généralement non équilibré, l'assuré en tant que partie faible est digne d'une protection que malheureusement parfois soit elle ne trouve pas fondement dans la réglementation en vigueur, soit il est difficile de porter preuve des manquements commis par l'assureur. Dans ce cas, seules l'intégrité et la déontologie de l'assureur peuvent garantir à l'assuré son droit à une protection précontractuelle13.

C'est d'abord14 par devoir d'intégrité que l'assureur est tenu d'une obligation d'information et de conseil15 .dont l'objet consiste en l'obligation faite à l'assureur de donner à l'assuré toutes les informations (prix, caractéristiques techniques et juridiques du contrat, droits et obligations...) de nature à lui permettre de décider librement et en plein conscience, puis en l'obligation de le conseiller pour l'aider à choisir le service le plus approprié à son besoin.

Encore, ce devoir d'intégrité exige la mise en place d'un dispositif de gestion des réclamations doté des ressources humaines et logistique adéquates, facilement accessible et avec des procédures claires.

Dans une logique de conformité cette structure est appelée à jouer un rôle plus efficace qui consiste dans l'identification des cas récurrents ou les plus graves et mettre en places les mesures correctives suite aux dysfonctionnements et mauvaises pratiques identifiées.

En plus de ce devoir d'honorabilité vis à vis des demandeurs de services, les sociétés d'assurance et de réassurance sont tenues d'une loyauté traduisant leur fidélité à tenir leurs engagements, à obéir aux règles de l'honneur et de la probité et de s'attacher à la bonne foi en menant leurs relations avec les intervenants du marché.

S'agissant des dirigeants de l'entreprise, il est certain que les qualités de ces derniers influencent profondément la réputation de l'entreprise, il est donc légitime de voir l'honorabilité comme condition d'accès à la direction d'une société d'assurance ou de réassurance. Cette exigence d'honorabilité et de probité pour les dirigeant de l'entreprise

12 Cette notion désigne les parties prenantes que ce soit interne ou externe de l'entreprise.

13 Une fois le contrat est signé, les droits de l'assuré sont présumés protégés par le contrat et par la loi.

14 C.-à-d. avant qu'il soit un devoir légal, bien qu'il n'ait pas un fondement juridique explicite

15 L'obligation d'information et de conseil ont pour fondement le déséquilibre existant entre les connaissances de chaque contractant lors de la négociation d'un contrat ainsi que lors de son exécution. Ce déséquilibre est en principe présumé en raison de l'inégalité qui apparaît dans les compétences, notamment entre des professionnels et des consommateurs.

d'assurance n'est plus uniquement d'ordre moral mais encore d'ordre légale et règlementaire16.

Généralement la portée de ce devoir ne se limite pas à la protection de la clientèle et le respect de la déontologie du métier et des pratiques de marché elle s'étend plus loin en vue d'assurer la sécurité financière de l'entreprise et garantir la fiabilité de l'information financière.

L'objet de ce devoir d'intégrité, rend crucial pour l'entreprise d'assurance et de réassurance, pour des fins de bonne gouvernance et sous peine d'un risque de mauvaise réputation, d'observer scrupuleusement un ensemble d'obligations trouvant leurs origines dans les bonnes moeurs avant qu'ils soient d'ordre juridique.

La bonne gouvernance exige que les objectifs de l'entreprise d'assurances et de réassurance ne se limitent plus à la maximisation des profits et la réalisation des bénéfices mais élargis à d'autres objectifs d'ordre qualitatif qu'il y a lieu d'adopter et d'en planifier la réalisation. Encore faut-il alors croire à la moralisation de l'action de l'entreprise pour garantir sa pérennité, et considérer que le devoir d'intégrité est étroitement lié au risque d'image. Dès lors l'intégrité n'est jamais une contrainte il s'agit réellement d'une opportunité

Paragraphe 2 : La conformité un devoir règlementaire

Il importe de s'interroger si la vérification de la conformité pour une entreprise d'assurance ou de réassurance se limite-t-elle à l'activité d'assurance et de réassurance c'est-à-dire aux pures opérations d'assurance ou doit-elle être élargie pour l'ensemble des domaines de la gestion pour en faire une approche intégrée pour l'entreprise ?

Avant de donner une réponse traçant les contours de la conformité règlementaire en assurance (B) il y'a lieu de définir ce devoir (A).

A : Définition du devoir règlementaire

Comme nous l'avons vu précédemment, la conformité réglementaire désigne la soumission à une norme juridique, en principe, de caractère impératif, associée d'une sanction socialement organisée en cas de non-respect. Cette norme juridique est élaborée et adoptée par le législateur ou une autorité dotée du pouvoir réglementaire, et les exigences imposées doivent avoir une nature contraignante car ils s'accompagnent d'un système de sanctions pouvant être prononcées par une juridiction ou par une autorité désignée par la norme elle-même.

Et c'est grâce à l'inflation législative qu'a connu le secteur des assurances et de réassurance durant ces dernières années et la complexité de l'environnement règlementaire en générale qu'une prise de conscience du risque de non-conformité règlementaire a eu lieu quant au management des entreprises. Mais pour être plus fidèle en décrivant cet environnement règlementaire et pour mettre en avant cette complexité, il faut noter que les normes auxquelles les sociétés d'assurances et de réassurance sont tenues de se soumettre sont de diverses

16 Voir l'article n° 193 du code des sociétés commerciales, l'article 85 du code des assurances et les dispositions du titre 8 du projet de révision et modification du CA

13

sources, au point qu'on a entendu parler de Soft Law (par opposition à la Hard Law qui désigne la loi sous sa forme traditionnelle) pour désigner un ensemble de textes hétérogènes comme les chartes, les codes de déontologie, les règles de conduites, les recommandations des autorités administratives et politiques ...etc. Il est donc évident que la gestion du risque de non-conformité réglementaire oblige l'entreprise à se doter des outils et des moyens pour identifier et analyser son cadre réglementaire, mais également déterminer le niveau de risque qu'elle est prête à prendre,

Certes la Soft Law joue un rôle très important dans l'incitation des entreprises à se plonger dans une démarche de mise en conformité, il faut admettre que l'observation de la norme juridique par l'entreprise n'est pas automatique même si cette norme est bien identifiée et parfaitement claire, il faut encore bien admettre que la rationalité des décisions prises par les décideurs au sein de l'entreprise se vérifie par le volume des avantages que pourrait tirer l'entreprise et non pas par la conformité à telle ou telle norme

B : Les contours du devoir règlementaire

En se référant à la directive solvabilité II, la conformité constitue pour l'entreprise une démarche intégrée, elle ne porte pas uniquement sur les opérations d'assurances proprement dit mais elle les dépasse pour inclure les règlements communs à toutes les entreprises en leur qualité du sujet de droit

Contrairement à cette optique le droit français, en assimilant la non-conformité au « non-respect de dispositions légales, règlementaires, de normes professionnelles ou déontologiques applicables aux activités de l'organisme d'assurance », semble opté pour la limitation du domaine de la conformité aux activités et opérations d'assurances.

Dans le contexte tunisien, une lecture attentive de l'article 13 du règlement n°1/2016 du comité général des assurances et des articles 218 et 220 du projet de révision et modification du code des assurances fait apparaitre que la conformité est considérée comme l'un des côtés d'un dispositif quadrilatère de contrôle interne.

Considérée comme pilier de contrôle interne, la conformité règlementaire doit manifester une stratégie intégrée par laquelle l'entreprise soumet ses actions à une démarche de conformité aux règles de toute nature, externes, internes et d'éthique en vue de se prémunir contre les risques résultants de la violation de ces règles et de moraliser ses comportements et ses pratiques

Ainsi présentée dans la règlementation tunisienne, la conformité s'étend à un champ très vaste qui porte sur l'ensemble des activités de l'entreprise d'assurance et qui est dotée d'un rôle dynamique dans la bonne gouvernance de l'entreprise.

Toutefois le contenu du dispositif de conformité et le champ d'intervention de la fonction conformité dépendent relativement de l'environnement externe de l'entreprise notamment les zones à risques, de sa taille, de sa sophistication, de sa rigidité structurelle et de sa stratégie. Une cartographie des risques de non- conformité préalablement élaborée permettra de définir le contenu du plan de conformité et mettra en évidence les sujets sensibles sur lesquels va s'articuler la fonction conformité.

A notre sens, hormis les facteurs externe et /ou internes de l'entreprise la conformité règlementaire doit englober les thématiques charnières suivantes :

14

> La protection de la clientèle. (droits de consommateurs ...).

> La conformité des contrats/produits.

> Les pratiques commerciales. (concurrence, publicité...).

> La règlementation relative à l'exercice de l'activité d'assurance. (comptabilité,

gouvernance, contrôle prudentiel, solvabilité...).

> La sécurité financière. (la fraude, le blanchiment de capitaux et le financement du

terrorisme, la conformité fiscale des comptes étrangers (FATCA)...).

> La protection des données à caractère personnel et médical.

> La fiabilité de l'information financière.

> L'éthique et la déontologie. (code de déontologie, chartes...).

Il reste à vérifier pour ce devoir règlementaire sa nature, autrement dit, au nom de ce devoir, les entreprises sont-elles tenues d'une obligation de moyen ou d'une obligation de résultat ? La réponse à cette question semble d'intérêt justement déclaratif d'une double qualification pour un même devoir, bien évidemment les entreprises d'assurance et de réassurance sont tenues parfois de la « due diligence » et parfois de l'atteinte d'un résultat bien définie.

Pour conclure cette première section destinée à mettre en évidence la richesse normative de la conformité, il me semble crucial pour l'entreprise d'une part «d'allier toujours ce que le droit permet avec ce que l'intérêt prescrit, afin que la justice et l'utilité ne se trouvent point divisées» comme il le disait Jean-Jacques Rousseau et d'autre part d'avoir la conscience et la conviction de « ne pas faire par les lois ce que l'on peut faire par les moeurs» Comme disait Charles de Montesquieu. Et pour illustrer l'interaction entre la loi et la morale on peut attester avec Nicolas Machiavel que «De même que les bonnes moeurs, pour se conserver, ont besoin des lois, les lois, pour être observées, ont besoin des bonnes moeurs».

Toutefois, dans un contexte de gouvernance et de gestion de risques, cette interaction entre la loi et la morale reste insignifiante voir même futile si elle ne produit pas un modèle managériale basé sur la notion de la gestion par les risques comme ci-dessous schématisé.

15

Figure 1 : La jonction de la loi et de la morale et son impact sur le model
managérial de l'entreprise.

Section 2 : la non-conformité et les instances de contrôle

Dans le cadre du management des entreprises, l'importance de l'aspect substantiel de la conformité ne doit pas s'arrêter à l'adoption d'un socle normatif allant de la de l'incitation (inciter, coopérer et récompenser) à la coercition (ordonner, sanctionner, contrôler) il faut donc que ce premier aspect soit associé et complété par une forte simulation des risques de non-conformité que peut encourir l'entreprise et donc l'obligation pour les dirigeants de manager par risque. C'est dans une perspective de bonne gouvernance que la non-conformité doit être interprétée comme risque et soit gérée comme tel.

Et c'est dans cette logique que la règlementation tunisienne a abordé la question de la conformité au sein des entreprises d'assurances et de réassurance mais sans donner une définition explicite du risque de non-conformité, Par contre, et en revenant au règlement suscité n°1-2016 du CGA, ou même au projet de révision et modification du code des assurances, il en ressort que les pouvoirs publics se sont d'avantage penchés sur les exigences de bonne gouvernance en faisant de la gestion du risque de non-conformité l'un de ses piliers.

16

Pour définir le risque de non-conformité il est utile de se rapprocher de la définition donnée par l'Autorité Européenne des Assurances et des Pensions Professionnelles (AEAPP17 ) qui considère comme risque de non-conformité «Le risque de sanction judiciaire, administrative ou disciplinaire, d'atteinte à la réputation et de perte financière qu'engendre le non-respect des dispositions légales, réglementaires, de normes professionnelles ou déontologiques applicables aux activités de l'organisme d'assurance »18.

De l'examine de cette définition donnée par AEAPP on peut déduire que le risque de non-conformité est doublent défini, la première définition met en avant les faits générateurs (violation des normes et manquement des devoirs, amplement détaillés dans la première section), la deuxième met en valeur les conséquences de la non-conformité, à savoir, les sanctions et les pertes financières (Paragraphe 1) tout en renvoyant -même implicitement-aux organes dotés des prérogatives pour contrôler et infliger les sanctions les cas échéants (Paragraphe 2).

Paragraphe 1: les risques encourus

Inscrit dans un contexte de contrôle interne et de bonne gouvernance d'entreprise, l'objectif de toute démarche conformité est principalement d'épargner les risques de pertes financières (A), de sanctions (B) et de mauvaise réputation (C) à l'entreprise.

A : Le risque de pertes financières

En entend par perte financière les conséquences pécuniaires qui résultent automatiquement de la non-conformité ou de l'absence de la veille règlementaire au sein de l'entreprise.

Certes, les lacunes organisationnelles au sein de l'entreprise à l'instar de l'absence d'un manuel de procédures claire, de la non définition des processus, de la non définition des responsabilités et des taches, de l'accumulation des pouvoirs et autres insuffisances qui peuvent affecter négativement la qualité des services et par conséquent la productivité de l'entreprise qui se traduit par une perte financière directe.

Pire encore, et si l'entreprise et en plus de la défaillance organisationnelle ne procède pas à une démarche d'éthique basée sur la diffusion d'une culture de prévention de risques notamment celui de non-conformité et l'adoption d'une politique d'intégrité claire, elle risque de rendre favorable des abus de diverses natures comme la fraude interne ou externe, l'abus des bien sociaux, les conflits d'intérêts ... etc. et tout se traduira bien évidemment par la baisse de la rentabilité de l'entreprise.

La perte financière ne trouve pas uniquement sources dans l'inadéquation ou la défaillance des procédures de l'établissement, des dysfonctionnements des systèmes internes et des manquements du personnel mais encore dans l'incapacité pour l'entreprise de bien identifier et interpréter son environnement règlementaire voir anticiper les éventuels changements règlementaires pour pouvoir mener les changements nécessaires avec la due fluidité et le minimum d'incidents dommageables.

17 L'Autorité européenne des assurances et des pensions professionnelles (AEAPP), en anglais European Insurance and Occupational Pensions Authority (EIOPA), est la dénomination qui a remplacé le 24 novembre 2010 le CEIOPS.

18 Document intitulé « CEIOPS' Advice for Level 2 Implimenting Measures on Solvency II: system of governance ».

17

18

B : Le risque de sanctions

Allant de l'incitation à la coercition, la conformité doit garder davantage son caractère contraignant, la notion de la sanction y est inhérente, toutefois cette sanction est de divers aspects. Elle est judiciaire, pénale ou civile, (I) administrative et disciplinaire (II).

I. La sanction judiciaire

La sanction est dite judiciaire lorsqu'elle est prononcée à l'encontre de l'entreprise ou contre ses dirigeants par une juridiction compétente, cette sanction peut être pénale (a) ou civile (b)

a) La sanction pénale

Renvoyant au droit pénal des affaires,19 La sanction pénale désigne l'ensemble des peines prévues par le législateur pour réprimer tout acte ou omission interdit par la loi. Dans ce cadre l'entreprise ou encore les dirigeants peuvent se voir condamnés à des sanctions pénales, généralement pécuniaires sous forme d'amendes, hormis des cas spécifiques d'incarcération des dirigeants. De ce fait l'entreprise risque théoriquement d'être condamnée à payer une somme d'argent fixée par la loi au Trésor Public et prononcée par le tribunal correctionnel à l'occasion de chaque infraction ait été commise

Bien que la définition des textes applicables à l'entreprise d'assurance et de réassurance et le recensement des sanctions prévues ne puissent être parfaits que dans le cadre de la rédaction du référentiel règlementaire néanmoins rien n'empêche de faire avancer quelques exemples dans ce cadre.

> Code des assurances: les dispositions du chapitre (3) du titre 2 intitulé «le contrôle et les sanctions et notamment les articles 88, 89 et 90.

> La loi organique n°2015-26 du 7 août 2015 relative à la lutte contre le terrorisme et la répression du blanchiment d'argent telle que modifiée et complétée par la loi n°2019-9 du 23 janvier 2019 : les dispositions de la Sous-section 2 de la section 2 du chapitre 2 intitulée « Des mécanismes d'investigation des opérations et transactions suspectes » notamment les articles allants du numéro 136 au numéro 140.

> Loi n° 2015-36 du 15 septembre 2015, relative à la réorganisation de la concurrence et des prix. Des sanctions sont prévues surtout en matière de concurrence et pratiques déloyales.

> Loi 92-117 du 07 décembre 1992 relative à la protection du consommateur. Surtout en cas de manquement au devoir d'information et la non-conformité des contrats aux produits/services.

> Loi 98-40 du 02 Juin 1998 relative aux techniques de vente et à la publicité commerciale. Surtout la répression de la publicité mensongère.

> Loi organique n° 2004-63 du 27 juillet 2004, portant sur la protection des données à caractère personnel.

> La loi n° 1994-17 du 14 novembre 1994 portant réorganisation du marché financier.

19 Le droit pénal des affaires est l'ensemble des règles de droit concernant les infractions inhérentes au domaine des affaires, outre des infractions de droit commun, le droit pénal des affaires comprend des lois spéciales comme le droit des sociétés commerciales, le droit de la concurrence, le droit de la consommation, droit boursier...etc.

b) La sanction civile

Ayant un caractère exécutoire, la sanction civile est considérée comme l'effet d'une résolution prise par une autorité judiciaire.

Hormis la déclaration en faillite qui désigne la disparition de l'entreprise, on peut énumérer les sanctions suivantes dont l'effet est significatif non seulement pécuniairement mai encore sur l'image et la réputation de l'entreprise.

? La déchéance: La déchéance d'un droit est le fait de ne plus pouvoir en obtenir la reconnaissance en justice. C'est l'expression de la nonchalance et le non diligence de l'entreprise.

? La résiliation : la résiliation n'est pas uniquement conventionnelle, elle encore judiciaire et sous forme de sanction pour non-respect des engagements contractuels, une fois prononcée cette sanction reflète un manquement au devoir d'intégrité.

? La nullité : La nullité est la sanction de l'invalidité d'un acte juridique, ou d'une procédure due à un vice de forme ou de fond. Si un acte est frappé par la nullité c'est que le management de l'entreprise est mal conseillé et que la fonction conformité a manqué l'une de ses missions.

? Les dommages-intérêts : Les dommages-intérêts constituent la compensation financière que l'entreprise peut payer à titre de dédommagement dont le fondement réside soit dans la responsabilité pénale soit délictuelle ou contractuelle de l'entreprise.

? Les astreintes et l'indemnité de retard :L'astreinte est une condamnation judiciaire afin de forcer l'exécution dans un délai rapide une décision de justice. Les pénalités de retard sont dues à compter de la mise en demeure de payer en cas d'inexécution d'une obligation contractuelle.

Mis à part l'impact financier de l'une ou de l'autre sanction pour l'entreprise, ces deux sanctions une fois prononcées à l'encontre de l'entreprise dévoilent une défaillance des procédures internes et un dysfonctionnement au niveau des mécanismes de contrôle nécessitant une intervention afin de mettre en oeuvre les régularisations adéquates.

II. La sanction administrative et disciplinaire

Exerçant une activité d'intérêt général et relevant donc de l'ordre public, les entreprises d'assurance et de réassurance se trouvent à l'occasion de cette activité sous le contrôle et la supervision des organes administratifs dotés des prérogatives de la puissance publique.

C'est dans le cadre de leurs attributions que les instances de contrôle sont habilitées à infliger des sanctions disciplinaires aux assureurs par la prise de l'une des mesures punitives prévues sur la base d'un contrôle constatant un manquement conformément aux articles 84 et 87 du code des assurances pour le comité général des assurances par exemple.

Il ressort de ces deux articles que des sanctions disciplinaires proportionnées à la gravité du manquement commis sont énumérées à titre exhaustif et ils s'étalent de l'avertissement au retrait définitif de l'agrément.

19

C'est ainsi que l'article 87 du code des assurances prévoie « Les entreprises d'assurances

soumises à agrément sont passibles, en cas de manquement aux obligations mises à leurs

charge en vertu des dispositions du présent Code, des sanctions ou mesures suivantes20:

« 1) Sanctions ou mesures prises par le comité général des assurances

- l'avertissement,

- le blâme,

- la mise sous surveillance pour l'exécution d'un plan de redressement,

Ces sanctions ou mesures sont portées à la connaissance du conseil d'administration de

l'entreprise concernée.

2) Sanctions et mesures prises par le ministre des finances sur avis du Comité

- le retrait de l'agrément conformément aux dispositions de l'article 51 du présent code.

- le transfert d'office en exécution des dispositions de l'article 63 du présent code.

Le ministre des finances sur proposition du comité peut décider le transfert d'office partiel ou

total du portefeuille de contrats de la société à une autre entreprise agréée».

Allant jusqu'à menacer l'entreprise dans son existence, le risque de sanction administrative ou

disciplinaire est un risque signifiant surtout en présence d'une pluralité d'organes de contrôle,

sa prévention constitue donc un enjeu majeur pour la fonction conformité.

C : Le risque d'image ou de réputation

Définie comme l'opinion ou l'évaluation sociale du public envers une personne ou une entité, la réputation est considérée comme un capital intangible, immatériel qui se construit dans la durée et qui reflète l'ensemble des opinions et évaluations, favorables ou défavorables, exprimées sur l'entreprise par le public.

Elle est encore un actif social stratégique pour l'entreprise, source de création de valeur et un élément clé qui contribue à la création d'un avantage compétitif pour l'entreprise.

Une bonne réputation permet la fidélisation de la clientèle, de favoriser l'accès aux marchés, d'attirer les compétences et les investisseurs et de conditionner les relations avec les instances de régulation.

Le risque de réputation et d'image correspond ainsi à l'impact d'un évènement impliquant l'organisme d'assurance sur la perception par les consommateurs avérés ou potentiels, par les investisseurs, les organes de contrôle...etc. de cet organisme.

Cet évènement peut être la publication d'une sanction quelle que soit sa nature, d'informations négatives, médiatisation d'un scandale, intensification des réclamations clients ...etc.

Difficile à estimer, le risque d'image ou de réputation doit se trouver au coeur du dispositif de conformité car les effets à moyen et long terme peuvent être extrêmement préjudiciables, voire critiques, pour l'entreprise surtout sous l'influence des nouvelles technologies de l'information et de la communication. En effet de nos jours, la réputation est devenue e-réputation et tout se joue sur les réseaux sociaux d'où la facilité de rendre publique une

20 L'article 87 du code des assurances.

20

opinion négative et de faire circuler une rumeur fondée ou non. Il est crucial pour le top management de faire de l'image de l'entreprise et de sa réputation l'une de ses priorités non pas seulement au travers la démarche conformité mais encore par un travail de communication capable de gérer des crises

En conclusion, il ressort que la gestion du risque de non-conformité constitue une tâche évidente pour les entreprises d'assurances et de réassurance. Celles dont le bilan de conformité est insatisfaisant peuvent subir des pertes financières colossales, voir leur réputation irrémédiablement entachée et même perdre leur agrément ou licence d'exploitation. À l'inverse, une gestion efficace de la conformité peut apporter à une société des avantages comparatifs et l'aider à mieux relever des défis entrepreneuriaux. Les entreprises ont par conséquent un intérêt majeur à pratiquer une véritable culture de l'intégrité et donc une gestion poussée et efficace de la conformité.

Paragraphe 2 : les instances de contrôle

Admettre un champ large pour la conformité dans le secteur des assurances et lui reconnaitre un périmètre dépassant les contours de l'activité assurantielle c'est reconnaitre aussi à des instances de divers domaines leur droit de soumettre les entreprises d'assurances et de réassurance à leur contrôle.

Toutefois, ces instances administratives dotées des prérogatives de la puissance publique, ne bénéficient pas toutes des mêmes outils pour l'exercice de leurs fonctions, certaines ont le pouvoir d'infliger des sanctions (A) d'autres n'ont que le pouvoir d'enquêter et de saisine (B).

A : Les instances dotées du pouvoir de sanction

Il s'agit principalement de deux instances, le Comité Général des Assurances (CGA) (I) et le Conseil de la Concurrence (CC) (II).

I. Le comité général des assurances (CGA)

Avant de détailler l'étendue des pouvoirs du CGA (a), il paraît nécessaire de le présenté au préalable (b)

a) Présentation du CGA.

Créé par la loi n° 2008-8 du 13 février 200821, modifiant et complétant le code des assurances, le CGA est doté de la personnalité morale et de l'autonomie financière. Son organisation interne reflète une séparation rigoureuse des taches entre les quatre organes qui le composent, à savoir le président du comité, le collège, la commission de discipline, et les services techniques et administratifs.

En sa qualité d'autorité de tutelle et de contrôle du secteur des assurances, le CGA « veille à la protection des droits des assurés et des bénéficiaires des contrats d'assurance et à la solidité de l'assise financière des entreprises d'assurance et des entreprises de réassurance et leur

21 Loi n° 2008-8 du 13 février 2008, modifiant et complétant le code des assurances qui stipule dans son article premier « Il est inséré au code des assurances promulgué par la loi n° 92-24 du 9 mars 1992, un sixième titre intitulé "Le Comité Général des Assurances " et comportant les articles 177 à 200 suivants »

21

capacité à honorer leurs engagements »22 et est chargé principalement de missions suivantes23 :

> Le contrôle des entreprises d'assurances, des entreprises de réassurance et des professions liées au secteur des assurances et du suivi de leurs activités,

> L'étude des questions d'ordre législatif, réglementaire et organisationnel se rapportant aux opérations d'assurance et de réassurance, aux entreprises d'assurance et aux entreprises de réassurance que lui soumet le ministre des finances et de l'élaboration des projets de textes y afférents sur sa demande,

> L'étude des questions d'ordre technique et économique se rapportant au développement du secteur des assurances et à son organisation et la présentation de propositions à cet effet au ministre des finances,

> Et en général, d'étudier et d'émettre son avis sur toute autre question relevant de ses attributions.

b) Les pouvoirs du CGA

En sa qualité d'autorité de tutelle et de contrôle du secteur des assurances, le CGA est habilité à prendre des mesures punitives (2) à l'encontre des organismes d'assurances et de réassurance une fois les investigations et les enquêtes (1) ont révélé des manquements de leurs parts.

1. Le pouvoir d'enquêter

Le CGA est habilité techniquement et juridiquement24 de mener des enquêtes dans le cadre des prérogatives qui lui sont attribuées par la loi. Il peut effectuer des contrôles sur pièces ou sur place au sein des organismes assujettis à son tutelle afin de s'assurer de leur conformité aux dispositions législatives et règlementaires en vigueur.

Généralement le contrôle peut porter sur des questions relevant de :

> la protection des droits des assurés et des bénéficiaires des contrats d'assurance.

> la solidité de l'assise financière des entreprises d'assurance et de réassurance et leur capacité à honorer leurs engagements (la solvabilité).

> Des pratiques commerciales dans le domaine des assurances.

> Le fonctionnement et la bonne gouvernance surtout en matière de désignation de l'actuaire et des commissaires aux comptes et nomination des premiers responsables chargés de l'audit interne, de la gestion des risques, de l'actuariat et de la conformité .

Les missions de contrôle sont effectuées par des contrôleurs d'assurances accrédités ayant au moins le grade d'inspecteur et munis de cartes professionnelles prouvant leurs identités. Les infractions constatées doivent faire l'objet d'un procès-verbal signé de deux contrôleurs au minimum et comportant le cachet du service dont relèvent les agents verbalisateurs pour qu'ils soient valides25.

22 L'article n° 178 du code des assurances.

23 L'article n° 179 du code des assurances

24 L'article n° 82 du code des assurances.

25 L'article n° 83 du code des assurances.

22

2. Le pouvoir de sanction

Ce pouvoir trouve son fondement juridique dans l'article 87 du code des assurances et témoigne par conséquent des attributions judiciaires du CGA.

En effet, la commission de discipline du CGA dispose d'un pouvoir de sanction disciplinaire, gradué en fonction de la gravité du manquement faisant déjà l'objet d'un procès-verbal dûment établi par l'organe de contrôle et de constatations des manquements et elle statue sur les cas encourant l'une des sanctions exhaustivement énumérées dans l'article 87 du code des assurances. Les décisions doivent être prises à la majorité des voix et elles sont exécutoires dès leur émission.

Reste à noter que l'hétérogénéité des compétences représentées dans la commission de discipline26 ne suffit pas à elle seule de garantir la justice de ses décisions sachant que le code des assurances n'a pas prévue des procédures pour attaquer les décisions disciplinaires du CGA par n'importe quel moyen ou voie.

II. Le conseil de la concurrence (CC)

« Protection de la clientèle » et « pratiques commerciales », constituent deux termes largement employés par les autorités de contrôle afin de désigner un ensemble de règles favorables aux clients dans leurs relations avec les professionnels et régissant la production, la commercialisation et la consommation des services. Ces règles visent à mieux informer le client et créent à la charge des professionnels de nouvelles obligations.

Pour assurer l'efficacité de ces règles on a vu créer le conseil de la concurrence (a) avec des attributions très larges (b) afin de faire bénéficier aux clients la protection nécessaire.

a) Présentation du conseil de la concurrence

Créé par loi n° 2015-36 du 15 septembre 2015, relative à la réorganisation de la concurrence et des prix et substituant à la commission de la concurrence créée par l'ancienne loi n° 199164 du 29 juillet 1991 relative à la concurrence et aux prix, le Conseil de la concurrence est une autorité administrative indépendante ayant une double attribution, consultative et juridictionnelle.

Loin de son rôle consultatif qui paraît sans intérêt pour notre sujet, on peut confirmer qu'avec une composition à majorité de magistrats27 que se dévoile par excellence la fonction contentieuse de ce conseil de la concurrence.

Quant à ses missions, le conseil de la concurrence est chargé de surveiller et de sanctionner les pratiques anticoncurrentielles et de protéger les consommateurs en matière des prix28 . Et comme tout acteur économique, les organismes d'assurances et de réassurance se trouvent concernés de près par l'attribution juridictionnelle du conseil de la concurrence soit pour

26 Article 191 du code des assurances « La commission de discipline se compose des membres du collège suivants : - le juge de troisième degré : président, - le conseiller au tribunal administratif : membre,

- le représentant du ministère des finances : membre, - l'un des membres choisis en raison de leur compétence et de leur expérience en matière d'assurance : membre, et du délégué général de l'Association Professionnelle des Entreprises d'Assurance ou de son représentant légal parmi les employés de ladite association ».

27 Voir l'article n° 13 de la loi n° 2015-36 du 15 septembre 2015, relative à la réorganisation de la concurrence et des prix.

28 Dans ce cas seules les organismes et groupements de consommateur légalement établis peuvent saisir le conseil de la concurrence.

23

demander sa protection contre des pratiques anticoncurrentielles soit pour se défendre suite à une requête déposée à leur encontre.

b) L'attribution juridictionnelle du conseil de la concurrence

Non habilité à accomplir des tâches d'enquête et d'investigation, le conseil de la concurrence tend à être une juridiction administrative spécialisée qui peut être saisi par le ministre du commerce, les entreprises, les organisations professionnelles ou syndicales, les organisations ou groupements de consommateurs, la chambre de commerce et d'industrie et les collectivités locales29, il est habilité à juger les pratiques anticoncurrentielles, se prononce sur les requêtes afférentes aux abus de position dominante et aux prix abusivement bas...etc. Le Conseil peut également s'autosaisir d'office des pratiques anticoncurrentielles sur un marché, il peut prononcer des amendes pécuniaires. C'est dans cette perspective que l'article 27 de la loi du 15 septembre 2015 prévoit que « Le conseil de la concurrence peut, le cas échéant :

- adresser des injonctions aux opérateurs concernés pour mettre fin aux pratiques anticoncurrentielles dans un délai déterminé, ou leur imposer des conditions particulières dans l'exercice de leur activité,

- prononcer la fermeture provisoire de ou des établissements incriminés, pour une période n'excédant pas trois mois,

- transmettre le dossier au parquet en vue d'engager les poursuites pénales ».

Par ailleurs, l'article 43 reconnait au conseil de la concurrence le pouvoir d'infliger des sanctions pécuniaires dans les cas prévus par la loi et ce nonobstant les sanctions prononcées par les tribunaux.30

B : Les instances non dotées du pouvoir de sanction

Opérant dans un environnement de plus en plus complexe et sous l'empire d'un arsenal juridique très diversifié, les sociétés d'assurances et de réassurance peuvent se trouver sous la supervision de plusieurs instances de régulation.

Bien qu'elles soient dépourvues du pouvoir de sanction et ne sont dotées que du pouvoir d'enquête et de la saisine, ces instances peuvent agir sur le comportement de ces sociétés afin d'assurer le respect des lois et des bonnes pratiques notamment en matière de l'information financière pour le Conseil du Marché Financier (CMF) (I), en matière de protection des données personnelles pour l'Instance Nationale de Protection des Données Personnelles (INPDP) (II) en matière de lutte contre la corruption pour l'Instance Nationale de Lutte Contre la Corruption (INLUCC) (III)

I. Le conseil du marché financier (CMF)

Considérées par la loi comme des sociétés faisant appel public à l'épargne, les sociétés d'assurances et de réassurances sont soumises au contrôle du CMF au sens de la loi n° 94-117 du 14 Novembre 1994 portant réorganisation du marché financier. De ce fait, il importe de présenter cette autorité de supervision appelée conseil du marché financier (a) avant de détailler les attributions dont il est doté (b).

29 Voir l'article n° 15 de la loi n° 2015-36 du 15 septembre 2015.

30 Voir l'article n° 43 de la loi n° 2015-36 du 15 septembre 2015.

a)

24

Présentation du CMF

Le CMF a été créé par la loi N° 94-117 du 14 Novembre 1994 portant réorganisation du marché financier. C'est une autorité publique, indépendante, qui dispose de la personnalité morale et de l'autonomie financière. Il a comme missions principalement :

> la protection de l'épargne investie en valeurs mobilières.

> l'organisation des marchés et leur bon fonctionnement conformément à la règlementation applicable.

> Assurer aux investisseurs leur droit à une information financière fiable.

> Contrôler et statuer sur les manquements à la réglementation et saisir la juridiction pénale le cas échéant.

> Emission des règlements régissant les marchés et les divers intervenants relevant de son autorité

b) Les attributions du CMF

Il est à noter que le pouvoir d'infliger les sanctions dont il dispose le CMF exclut de son étendue les émetteurs de titres31, dès lors les entreprises d'assurances et de réassurance en leurs qualités de sociétés faisant appel public à l'épargne ne sont soumises qu'au contrôle relatif à l'information financière. Mais rien n'empêche cette autorité publique de saisir la juridiction compétente.

Disposant des départements techniques dans son organisation, le CMF est habilité à mener des missions de contrôle et d'investigation relevant juridiquement de ses attributions, à ce titre, il peut procéder à :

> L'étude et le contrôle des documents d'un point de vue juridique et financier et détecter les irrégularités.

> La vérification du bien-fondé des irrégularités constatées et émettre les recommandations nécessaires.

> La correction des irrégularités en demandant aux sociétés concernées de procéder à des publications rectificatives.

> Contrôler les franchissements des seuils de participation.

> La vérification de l'exactitude de tout type d'information financière reliée aux sociétés faisant appel public à l'épargne.

> A la vérification du respect des délais réglementaires de communication et de publication de l'information financière.

Les activités de contrôle et d'enquête du CMF ne se limitent pas à des tâches d'extrapolation comme détaillé, en outre, des actions peuvent être engagées par cette autorité pour prévenir, constater ou réprimer les infractions. Ainsi le CMF peut procéder à des contrôles et investigations sur pièces et sur place auprès de toute personne concernée32 , engager des plaintes33 , saisir les pièces et les documents, et convoquer, interroger et auditionner les personnes concernées34 .

31 L'article n° 41 de la loi n° 1994-117 du 14 novembre 1994 relative à la réorganisation du marché financier.

32 L'article n° 36 de la loi n° 1994-117 du 14 novembre 1994 relative à la réorganisation du marché financier.

33 L'article n° 34 de la loi n° 1994-117 du 14 novembre 1994 relative à la réorganisation du marché financier.

34 L'article n° 37 de la loi n° 1994-117 du 14 novembre 1994 relative à la réorganisation du marché financier.

25

II. L'instance nationale de protection des données personnelles (INPDP)

La souscription et la gestion de certains produits d'assurances nécessitent de recueillir un grand nombre de données à caractère personnel35, voir même, sensibles36, de nature financières et patrimoniales pour les contrats d'épargne, de nature médicales pour les contrats de prévoyance... etc. De ce fait, les entreprises d'assurances et de réassurance ne doivent pas sous-estimer le risque de contrôle (b) de l'INPDP (a).

a) Présentation de l'INPDP

Créée par la loi organique n° 2004-63 du 27 juillet 2004, relative à la protection des données à caractère personnel, l'Instance Nationale de Protection des Données Personnelles jouit de la personnalité morale et de l'autonomie financière.

Au sens de l'article 76 de ladite loi, l'INPDP est chargée principalement des missions suivantes:

> Accorder les autorisations et recevoir les déclarations pour la mise en oeuvre du traitement des données à caractère personnel.

> Recevoir les plaintes portées dans le cadre de la compétence qui lui est attribuée par la loi.

> Déterminer les garanties indispensables et les mesures appropriées pour la protection des données à caractère personnel.

> Accéder aux données à caractère personnel faisant l'objet d'un traitement afin de procéder à leur vérification, et collecter les renseignements indispensables à l'exécution de ses missions.

> Donner son avis sur tout sujet en relation avec les données personnelles.

> Elaborer des règles de conduite relatives au traitement des données à caractère personnel.

> Participer aux activités de recherche, de formation et d'étude en rapport avec la protection des données à caractère personnel.

b) Les pouvoirs de l'INPDP

Non dotée du pouvoir d'infliger des sanctions, l'INPDP est une autorité de contrôle par excellence et elle est en mesure d'exercer ce contrôle soit au préalable soit à posteriori.

Le contrôle préalable consiste principalement en l'octroi des autorisations en matière de L'utilisation des moyens de vidéo-surveillance37 et la réception des déclarations en matière de collecte et de traitement des données à moins que la loi n'exige explicitement l'obtention d'une autorisation préalable38.

35 On entend par données à caractère personnel toutes les informations quelle que soit leur origine ou leur forme et qui permettent directement ou indirectement à identifier une personne physique ou la rendent identifiable à l'exception des informations liées à la vie publique ou considérées comme telles par la loi.

36 Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques, des données biométriques, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique...

37 Voir l'article 69 de la loi organique n°2004-63 du 27 juillet 2004.

38 Voir les articles 7 et 8 de la loi organique n° 2004-63 du 27 juillet 2004.

26

Le contrôle postérieur consiste en le droit donné à cette instance de mener des enquêtes. Dans ce cadre et au sens de l'article 77 de la loi n° 2004-63 que « L'instance peut procéder aux investigations requises en recueillant les déclarations de toute personne dont l'audition est jugée utile et en ordonnant de procéder à des constatations dans les locaux et lieux où a eu lieu le traitement à l'exception des locaux d'habitation ».

Pour des fins de transparence et d'équité l'INPDP peut se faire assister, dans le cadre de ses missions, par les agents assermentés pour effectuer des recherches et des expertises spécifiques, ou par des experts judiciaires, ou par toute autre personne jugeant utile sa participation sans pouvoir lui opposer le secret professionnel.

Les pouvoirs de l'instance ne se limitent pas à recevoir les déclarations et donner les autorisations ou faire les investigations qu'elle juge utiles, mais elle peut saisir la justice, voir même elle est tenue « d'informer le procureur de la république territorialement compétent de toutes les infractions dont elle a eu connaissance dans le cadre de son travail »39.

III. L'Instance Nationale de Lutte Contre la Corruption (INLUCC) Les entreprises d'assurances et de réassurance constituent une scène favorable pour les criminels à col blanc, et un terrain fertile pour la criminalité financière comme le blanchiment d'argent, les conflits d'intérêts, les commissions frauduleuses, les cadeaux illicites, les extorsions ou détournements de fonds, les abus de pouvoir, le népotisme et le favoritisme, encore le contournement délibéré des règles internes, contractuelles et des lois, visant à obtenir un avantage matériel ou moral indu...etc. Dès lors ils sont concernés par les activités de l'INLUCC (a) et sont tenus de se soumettre à son contrôle (b) le cas échéant.

a) Présentation de l'INLUCC

Par son article 12, le décret-loi cadre n° 2011-120 du 14 novembre 2011, relatif à la lutte contre la corruption, a créé « une instance publique indépendante dénommée instance nationale de lutte contre la corruption dotée de la personnalité morale et de l'autonomie administrative et financière ».Elle se présente comme la garante de la mise en oeuvre d'une politique nationale de lutte contre la corruption basée sur les axes suivants40 :

> Développer les efforts fournis pour la prévention de la corruption et sa détection.

> Garantir la poursuite des auteurs de la corruption et leur répression.

> Soutenir les efforts internationaux de lutte contre la corruption.

> limiter l'incidence de la corruption et veiller à la restitution du produit des

infractions.

C'est dans le cadre de cette politique nationale de lutte contre la corruption que l'INLUCC est chargée de :

> « Proposer des politiques de lutte contre la corruption et le suivi de son exécution en collaboration avec les parties concernées.

> Emettre des directives générales sur la prévention de la corruption et prévoir les

moyens adéquats de sa détection, en collaboration avec les parties concernées.

> dévoiler les foyers de la corruption dans les secteurs public et privé.

39 L'article 77 de la loi organique n° 2004-63.

40 L'article n° 1 du décret-loi cadre n° 2011-120 du 14 novembre 2011, relatif à la lutte contre la corruption.

27

? recevoir des plaintes et dénonciations, procéder à l'instruction et la transmission des

infractions de corruption aux autorités compétentes y compris la justice »41.

b) Les pouvoirs de l'INLUCC

Selon l'article 18 du décret-loi cadre n°2011-120, l'INLUCC est composée d'un président, d'un conseil, d'un organe de prévention et d'investigation et d'un secrétariat général.

Pour notre sujet, il importe de nous arrêter sur la facette spécifique de l'organe de prévention et d'investigation pour mettre la lumière sur son rôle dans le dévoilement du crime financier.

Au sens de l'article 31 dudit décret-loi, cet organe est doté du pouvoir « d'enquêtes et d'investigation et il est habilité à enquêter sur les infractions de corruption. Dans ce cadre, il est chargé de la collecte des informations, documents et témoignages permettant l'investigation sur la suspicion de commission d'infractions de corruption par toute personne physique ou morale, publique ou privée, organisation, association ou instance qu'elle que soit sa nature et la vérification des informations et des documents collectés et de leur authenticité, et ce, avant leur transmission aux pouvoirs judicaires compétents afin de poursuivre leurs auteurs ».

« L'instance peut procéder à des actes de perquisitions et de saisie de documents et biens dans tous les locaux professionnels et privés qu'elle juge nécessaire de perquisitionner, et ce sans autre procédure. Les procès-verbaux et les rapports rédigés par l'organe de prévention et d'investigation lors de l'accomplissement des travaux d'investigation sur les infractions de corruption font foi jusqu'à inscription de faux ».

Afin de réussir ses missions d'investigations et de réquisitions, l'article 35 dudit décret-loi stipule que « toute personne physique ou morale est tenue de fournir au président de l'instance tous les documents dont il dispose ou déclarations sur tout ce qui a été porté à sa connaissance ou il a vécu ou il a pu obtenir comme informations et données entrant dans le cadre des attributions de la commission ».

A la fin de ce premier chapitre on peut légitimement confirmer que la conformité, avant d'être une fonction imposée par la règlementation en vigueur, est par essence une culture qui consiste pour l'entreprise, d'une part, à adopter des valeurs propres à elle formulées en concepts génériques (intégrité, probité, droiture, incorruptibilité, etc.), d'autre part à une maitrise parfaite de son environnement juridique pour en servir de base pour le développement de ses propres politiques ou stratégies et l'élaboration et la mise en place des règles de conduite pour l'ensemble des collaborateurs.

C'est en vertu de cette culture que l'entreprise d'assurance ou de réassurance se trouve à l'abri d'un ensemble de sanctions de diverses rigueurs, mais plus encore, c'est par cette culture que l'entreprise peut acquérir le statut de « l'entreprise citoyenne » et jouer ainsi un rôle déterminant dans la relève des défis liées à l'intérêt général comme la lutte contre le blanchiment d'argent et le financement de terrorisme, la prévention et la lutte contre la corruption, etc.

41 L'article n°13 du décret-loi cadre n° 2011-120 du 14 novembre 2011, relatif à la lutte contre la corruption.

28

L'entreprise d'assurance ou de réassurance est appelée à adhérer à la démarche collaborative mise en place par le gouvernement dans de divers domaines. C'est par cette adhésion et par sa vive collaboration avec des instances ne disposant pas de pouvoir de contrôle42 sur son activité que l'entreprise témoigne encore une fois sa conformité.

42 En matière de LAB et FT, les entreprises d'assurances et de réassurance sont appelées par exemple à collaborer quotidiennement avec la Commission Tunisienne des Analyses Financières (CTAF) sans être soumise à son contrôle.

29

Chapitre 2: La dimension organisationnelle de la conformité en assurance

C'est sous l'influence de deux facteurs qu'on a vu s'accroitre l'intérêt aux questions relatives aux problématiques liées à la transparence de l'information financière et à la gouvernance d'entreprise d'une façon générale. Il s'agit, d'une part, de l'immensité des révélations faites poste-révolution sur les dossiers de malversations et de corruption, et d'autre part de l'impulsion des organismes internationaux comme la Banque Mondiale (BM), le Fonds Monétaire International (FMI), l'Organisation de Coopération et de Développement Économiques (OCDE).

Ainsi, s'est renforcée la prise de conscience des autorités de tutelle quant à la question de gestion et du contrôle des entreprises d'assurances ou de réassurance, et c'est dans cette perspective qu'une décision a été rendue publique par le CGA le 13 juillet 2016 sous le n°1 relative à la définition des règles de bonne gouvernance des entreprises d'assurances ou de réassurance et que des travaux de révision du code des assurances sont engagées, marquées spécialement par l'insertion d'un titre huit relatif à la gouvernance desdites entreprises

Une lecture attentive de ce projet de révision du code des assurances ou de ladite décision du CGA à la lumière d'autres textes relatifs au domaine des affaires à l'instar de la loi n° 200596 du 18 octobre 2005 relative au renforcement de la sécurité des relations financières, loi n° 2007-69 du 27 décembre 2007, relative à l'initiative économique, la loi n° 2009-16 du 16/03/2009, modifiant et complétant le code des sociétés commerciales et la circulaire de la Banque Centrale de Tunisie (BCT) aux établissements de crédit n° 2011-06, en date du 20 mai 2011, nous révèle la nécessité, voir, l'obligation de mise en place d'un système de gouvernance43 incluant nécessairement la fonction de gestion des risques, la fonction d'audit interne, la fonction actuarielle et la fonction de vérification de la conformité.

L'idée pour les autorités de contrôle est de diffuser la culture de bonne gouvernance et d'inciter, à cette fin, les entreprises d'assurances ou de réassurance à mettre en place un dispositif de contrôle interne faisant obligatoirement partie intégrante de leurs structures organisationnelles et que la fonction de vérification de la conformité soit l'un des piliers sur lesquels repose ce dispositif (section I).

Certes, l'implémentation de la fonction de conformité et le déploiement de ses outils au sein de la structure organisationnelle de l'entreprise sont d'une importance capitale, mais en terme de bonne gouvernance cette fonction est appelée à concilier la conformité et l'excellence opérationnelle (section II) pour pouvoir créer de la valeur et garantir la pérennité de l'entreprise.

43 Dans son article 4, la décision n°1 -2016 du Comité Général des Assurances a rendu obligatoire la création d'un ensemble de fonctions au sein des structures organisationnelles des sociétés d'assurances ou de réassurance. A son tour l'article 241 nouveau du projet de révision du code des assurances oblige lesdites compagnies de faire de la conformité, de l'audit interne, de la gestion des risques et de l'actuariat des fonctions intégrantes dans leurs structures organisationnelles.

30

Section 1 : La fonction de conformité, un outil de gouvernance d'entreprise

« La gouvernance consiste à mettre en oeuvre tous les moyens pour qu'un organisme puisse réaliser les fins pour lesquelles il a été créé, et ce de façon transparente, efficiente et respectueuse des attentes de ses parties prenantes. La gouvernance est donc faite de règles d'imputabilité et de principes de fonctionnement mis en place par le conseil d'administration pour en arrêter les orientations stratégiques, assurer la supervision de la direction et favoriser l'émergence de valeurs de probité et d'excellence au sein de l'organisation44.45»

Au sens de l'article 218 du projet de révision du code des assurances, la gouvernance désigne un système d'organisation constitué par un ensemble de structures, méthodes et procédures de gestion et de contrôle mises en oeuvre au sein de l'entreprise d'assurances ou de réassurance en vue d'assurer une conduite transparente, ordonnée et efficace de ses activités conformément à la règlementation en vigueur et au principe d'imputabilité.

Au sens de la directive Solvabilité II « Les entreprises d'assurance et de réassurance disposent d'un système de contrôle interne efficace. Ce système comprend au minimum des procédures administratives et comptables, un cadre de contrôle interne, des dispositions appropriées en matière d'information à tous les niveaux de l'entreprise et une fonction de vérification de la conformité». Il ressort de ces deux textes que la fonction de contrôle de conformité est l'un des piliers du contrôle interne pour les entreprises d'assurances ou de réassurance (Paragraphe I).

Dans la pratique et compte tenu de sa qualité de ligne de défense, cette structure nécessite une organisation spécifique (Paragraphe II) à fin de lui garantir l'efficacité et faciliter ses interactions avec les autres structures.

Paragraphe 1 : la fonction de conformité au Coeur du contrôle interne

La notion de gestion est en tant que telle un concept d'organisation, d'où la création d'une fonction pour la gestion du risque de non-conformité qui illustre la mise en oeuvre de cette notion.

Certes, créer une fonction c'est mettre en place des procédures adéquates pour structurer, communiquer, ordonner et piloter des ressources afin d'atteindre un objectif.

Ainsi la gestion de la conformité dans les entreprises d'assurances ou de réassurance est une fonction qui doit jouir d'une structure autonome dans le dispositif global de la gouvernance de l'entreprise et de « la capacité administrative de remplir certaines tâches de gouvernance46 ».

La création de cette fonction de conformité est désormais obligatoire selon les dispositions de la décision n°1 -2016 du CGA et de l'article 241 du projet de révision du code des assurances, elle se trouve aujourd'hui au coeur du contrôle interne et constitue une deuxième ligne de défense (A).

44 Gouvernance : https://fr.wikipedia.org/wiki/Gouvernance#Gouvernance_de_l'entreprise.

45 YVAN ALLAIRE : président du conseil d'administration de l'Institut sur la gouvernance d'organisations privées et publiques (IGOPP) et président du Global Council on The Role of Business, Forum économique mondial, « forum de Davos »

46 Directive 2009/138/ce du parlement européen et du conseil du 25 novembre 2009

31

Pour les entreprises d'assurances ou de réassurance, la création de cette fonction ne doit pas faire un objectif en soi, il faut penser à conjuguer un ensemble de facteurs pour faire réussir la fonction de conformité (B)

A : la fonction de conformité, une deuxième ligne de défense

Adopter une approche systématique et proactive pour la gestion des risques (identifier, évaluer, maîtriser et contrôler) nécessite la définition des relations entre les unités opérationnelles et les fonctions de contrôle au sein des entreprises d'assurances ou de réassurance et la fondation d'un modèle de gestion qui s'articule autour de trois lignes de défense.

Une première ligne formée par les unités opérationnelles, et à laquelle revient principalement l'identification des risques par l'application stricte des procédures.

Une deuxième ligne de défense comprenant la fonction de gestion de risque, la fonction actuarielle et la fonction de contrôle de conformité qui sont chargées de s'assurer de l'efficacité des opérations d'identification des risques et en assurer l'évaluation, la maîtrise et le contrôle.

La troisième ligne est constituée de l'audit interne qui a pour mission principale la veille à l'efficacité du système de contrôle interne de l'entreprise.

Ce modèle de trois lignes de défense recouvre deux catégories de contrôle, un contrôle permanent assuré par les deux premières lignes dont le contrôle conformité constitue un sous-ensemble et un contrôle périodique assuré par la troisième ligne.

Figure 2 : Les catégories et les lignes du contrôle interne

32

Certes, la multiplicité des lignes de défense et des fonctions de contrôle d'une part et la diversité des catégories de contrôle au sein des organismes d'assurances ou de réassurance nous amènent à faire le point sur la spécificité du contrôle de conformité, notamment son processus (I) et son périmètre (II)

I. Le processus du contrôle de conformité

Pour définir le processus du contrôle de conformité, on entend beaucoup parler du « cycle vertueux de la conformité ». Il s'agit réellement d'un ensemble d'étapes successives formant un cycle répétitif.

Bien que ces étapes sont au nombre de huit, rien n'empêche de les reclasser sous quatre activités corrélées.

a) L'identification

A ce niveau du processus, et dans une première étape, la fonction de contrôle de la conformité procède à un travail de veille règlementaire qui consiste au recensement des obligations règlementaires et déontologique qui sont lui imposées et à la prospection de tout éventuel changement règlementaire. Dans une deuxième étape, la fonction de contrôle de la conformité doit mettre à jour la cartographie des risques de non-conformité à la lumière des nouvelles obligations recensées après avoir analyser leurs impacts sur l'entreprise.

b) L'évaluation

Lors de ce deuxième niveau du processus et en une première étape, la fonction de contrôle conformité procède à la formalisation d'un plan de mise en conformité et à la mobilisation des moyens nécessaires à cette fin à la lumière des risques identifiés et en fonction de la gravité de chaque risque. La deuxième étape de ce deuxième niveau du processus et réservée à la formalisation des nouvelles procédures et leur mise en place au niveau de la première ligne de défense, c'est-à-dire au niveau des unités opérationnelles et ce en exécution du plan de mise en conformité préalablement établi.

c) Le contrôle ou la surveillance

À ce niveau du processus, seuls les risques qui rentrent dans la sphère de l'acceptation par l'entreprise doivent faire l'objet de ce contrôle, par conséquent, la fonction de contrôle de la conformité est tenu, en une première étape, de définir les mesures adéquates et de les mettre en oeuvre en vue soit d'éliminer les risques soit de limiter ou mitiger leurs impacts. La deuxième étape à ce niveau est une étape de suivi régulier et elle consiste à faire les ajustements nécessaires et à gérer les alertes et les incidents avec la due vigilance.

d) Le pilotage et le reporting

Le dernier niveau du processus couvre à son tour deux étapes, la première consiste dans le pilotage du dispositif de contrôle de la conformité. A ce fait un ensemble d'indicateurs clés47 d'ordre quantitatif et qualitatif doivent être dégagés sous forme de ratios et de notations. La deuxième étape pour ce niveau et la dernière pour le processus dans son ensemble consiste dans la gestion de la

47 Il s'agit par exemple des ratios suivants : le taux de réalisation des contrôles (ratio, contrôles réalisés / contrôles planifiés). Ou encore taux d'efficacité (ratio, risques maitrisés / risques cartographiés)...etc.

La notation pour juger les aspects qualitatifs du dispositif de contrôle a l'instar du degré d'implication des relais dans le processus...etc.

33

relation avec les organes de supervision en interne et les instances de contrôle en externe. Lors de cette phase, la fonction de contrôle de la conformité joue un rôle d'aide à la prise de décision par la fourniture de l'information et le rôle de correspondant par l'émission des comptes rendus les cas échéants.

Figure 3 : Processus de gestion des risques de non-conformité

II. Le périmètre du contrôle permanent de la conformité

Le contrôle de la conformité est en tant que tel un sous-ensemble du contrôle interne permanent, il s'agit de deux fonctions très proches mais chacune d'entre eux a son propre périmètre.

Les contours du périmètre de contrôle de conformité se clarifient à la lumière du programme de contrôle préalablement défini. Mis à part son objet48, ce programme doit obligatoirement définir en premier lieu les contrôles qui seront effectués par les lignes métiers, en second lieu le contrôle sur les contrôles ou encore la supervision de la fonction de contrôle de conformité en sa qualité de deuxième ligne et en fin les contrôles à réaliser d'emblée par la fonction de contrôle de conformité. Essentiellement le périmètre du contrôle de conformité doit couvrir au moins les missions suivantes :

> L'identification et la définition d'une politique de prévention des risques de non-conformité.

> Informer et conseiller les unités opérationnelles et les organes dirigeants des exigences de l'environnement règlementaire dans lequel opère l'entreprise.

> Superviser le dispositif de conformité et juger sa pertinence en regard des objectifs de performance de l'entreprise.

> L'aide à la mise en oeuvre des garde-fous de contrôle au sein des processus de toutes les structures de l'entreprise.

> L'évaluation de l'efficacité des contrôles et de l'engagement des opérationnels dans leur réalisation.

> Assister le management opérationnel pour pouvoir opérer en bonne conduite et en conformité avec les aspects stratégiques, juridiques, réglementaires prédéfinis.

Généralement les missions de contrôle permanent relevant du périmètre du contrôle de la conformité doivent viser deux objectifs :

D'une part, contrôler la bonne implémentation des dispositifs déployés au sein des structures métiers de l'entreprise, ainsi et par conséquent, toute défaillance des missions de contrôle implique une mauvaise conception du programme de contrôle préalablement défini par la fonction conformité ou son incomplétude.

D'autre part, il s'agit de s'assurer de la bonne réalisation des contrôles par la première ligne de défense. Ainsi par exemple pour les contrôles effectués aux fins de lutte contre le blanchiment d'argent et le financement du terrorisme, l'identification et la vérification de l'identité des personnes lors d'une nouvelle souscription doivent se faire au niveau de la première ligne de défense et la deuxième ligne, notamment la fonction conformité n'intervient que pour s'assurer que ce contrôle a effectivement été réalisé.

B : Les facteurs clés pour le succès de la fonction conformité

La réussite de la fonction de la conformité dépend de la coordination d'un ensemble de facteurs, il s'agit principalement de l'engagement non conditionné du top management (I), de l'allocation rationnelle des ressources (II) et la mise en place par l'entreprise d'un modèle organisationnel étanche (plus de détails dans le paragraphe 2 ci-après)

34

48 Le périmètre thématique

I. L'engagement non conditionné du top management

La conformité est l'affaire de tous, mais la mise en conformité d'une entreprise d'assurances ou de réassurance en matière de lutte contre le blanchiment d'argent et le financement du terrorisme ou en matière de protection des droits du consommateur ou n'importe quelle autre thématique est l'affaire du top management de l'entreprise, il s'agit d'une stratégie d'entreprise nécessitant la volonté et l'engagement pour la conduite du changement.

Cet engagement est loin d'être réduit à une note de la direction générale, bien qu'elle soit obligatoire, cette note ce n'est que le coup d'envoi pour le lancement d'une démarche de quatre étapes :

? La première étape consiste à la définition de la stratégie et la délimitation de la démarche. Lors de cette étape le top management de l'entreprise doit identifier les axes porteurs de changement à l'instar du plan de formation, la formalisation du manuel de procédures, définition et automatisation des processus...etc.

Le cadrage de la démarche consiste dans l'obligation pour le top management de prioriser les enjeux, de fixer les échéances...etc.

Généralement à l'issue de cette phase une feuille de route formalisant un plan d'action pour le déploiement des changements envisagées doit voir le jour.

? La deuxième étape consiste dans la définition des outils et les supports pour mener les changements que nécessite la mise en conformité. Lors de cette étape, le top management doit réussir sa stratégie de communication. A cette fin des choix doivent être faits, il s'agit du choix des supports soit de communication interne (réunions, notes d'information...) soit de formation et de sensibilisation (e-learning, présentielle ...). Encore, le choix doit porter sur le contenu substantiel et pédagogique de la formation.

? La troisième étape est réservée au déploiement de la démarche. Cette étape est considérée la plus critique du fait d'une éventuelle résistance au changement que peut manifester l'ensemble de personnel. En raison de cette criticité, le top management de l'entreprise peut se faire assister par des experts pour le déploiement du changement qui doit être progressif et non brutal et l'aider à développer l'argumentation pour expliquer le pourquoi des choses. Lors de cette étape le top management doit accompagner le changement et le mener.

? La quatrième étape consiste à faire le suivi des résultats de la démarche, à tirer les enseignements du vécu et apporter les corrections nécessaires le cas échéant. A ce niveau de la démarche, le top management doit valoriser les succès réalisés et les déclarer pour lancer la dynamique du changement.

Il est intéressant de noter que la mise en conformité de l'entreprise ne peut réussir sans le parrainage des instances de gouvernance opérationnelle et institutionnelle, d'ailleurs leurs rôles ne se limitent pas à la conception de la stratégie, elles sont responsables de sa mise en oeuvre.

35

Dans ce cadre, il est intéressant de rappeler les deux principes suivants :

36

> Au sens de l'article 5 de la décision n°1-2016 du CGA et de l'article n° 229 du projet de révision du code des assurances, le conseil d'administration est chargé de définir la politique de conformité, par proposition de la direction générale, et de superviser la gestion du risque de non-conformité. Il doit, en premier lieu, approuver la politique de conformité (y compris le document qui crée la fonction, la feuille de route pour la démarche de mise en conformité...), en deuxième lieu, il doit évaluer périodiquement (au moins une fois par année) la qualité du dispositif global de gestion du risque de non-conformité.

> Au sens de l'article 7 de la décision n°1-2016 du CGA et des articles 225 et 226 du projet de révision du code des assurances, la direction générale est responsable de la gestion du risque de non-conformité. Elle a la charge de la mise en place et du déploiement de la fonction conformité conformément aux directives de la politique de conformité, de formaliser et de communiquer la politique de conformité, de veiller à son respect, de rendre des comptes au conseil d'administration sur la gestion du risque de non-conformité.

D'après ces deux principes, l'engagement du top management de l'entreprise d'assurances ou de réassurance n'est pas uniquement moral, il est encore juridique, il est soumis au contrôle des instances de régulation.

II. L'allocation rationnelle des ressources

Ayant la qualité d'une « capacité administrative de remplir certaines tâches de gouvernance49 », la fonction conformité ne peut réussir ses missions que par la mobilisation d'un ensemble de ressources humaines (a) et matérielles notamment un système d'information (b).

a) Les bonnes compétences

Le métier de conformité nécessite de multiples compétences : une bonne connaissance de l'environnement réglementaire de l'entreprise et une veille réglementaire et juridique permanente, une approche transversale du métier de l'assurance ou de réassurance, une bonne maîtrise de la cartographie des risques et des outils de contrôle permanents, ainsi que la capacité d'analyse et de contrôle réglementaire.

L'équipe dédiée à la fonction conformité doit être capable de:

> évaluer les enjeux liés à l'activité et aux risques au sein de l'entreprise,

> planifier les missions de conformité, de contrôle et de gestion des risques,

> comprendre le système global de contrôle et les caractéristiques essentielles de ses composantes (contrôle périodique et contrôle permanent, filière conformité et filière risque),

> concevoir et réaliser des missions de contrôle (recueil d'informations, vérifications de conformité, mesures d'écart, recommandations d'amélioration, contrôle des processus...),

> établir, conformément aux attentes, l'ensemble des états et rédiger des rapports concernant la conformité à l'attention des organes de gouvernance de l'entreprise et des instances de régulation le cas échéant.

49 Directive 2009/138/ce du parlement européen et du conseil du 25 novembre 2009

37

L'expertise juridique, l'expertise en matière de l'organisation et de maitrise des processus et l'expertise en matière de contrôle et gestion des risques sont plus que cruciales pour le succès de la fonction conformité.

b) Le système d'information

Par définition, le système d'information est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et véhiculer l'information, c'est un système qui dégage des informations de certaines qualités permettant une prise de décision plus pertinente.

Comme toute fonction, le succès de la conformité dépend largement de la qualité de l'information dégagée par ce système, ainsi, la maîtrise des risques de non-conformité nécessite une connaissance parfaite et à jour des clients, de même, le suivi des opérations de contrôle et l'évaluation des résultats nécessitent l'accès à de nombreuses informations et le recours à des outils de visualisation des données.

Dans la même perspective, on peut préciser que l'animation de la filière conformité

(Plus de détails dans le paragraphe 2 ci-après) nécessite le déploiement d'un outil (logiciel) pour faciliter la communication entre les différentes parties agissantes sur le processus de gestion du risque de non-conformité.

Cet outil ne doit pas être limité à la mission de reporting, il doit fournir d'autres fonctionnalités comme

> la capacité de l'analyse de données pour mesurer l'exposition aux risques, mieux orienter

les efforts et les missions de contrôle...etc.

> la capacité de visualiser les données et les informations pour assurer un pilotage et un

reporting efficaces,

> la capacité de générer des alertes et des blocages, le cas échéant, dans les outils des

opérationnels,

> la capacité de définir les risques, les rattacher à des processus et les évaluer,

> la capacité de définir et formaliser les contrôles de premier et de deuxième niveau et les

rattacher à des processus et à des risques,

> la capacité de définir et formaliser les plans d'actions et suivre leur exécution,

> la capacité de recenser de nouveaux risques et mettre à jour la cartographie des risques.

Toutefois, il est a rappelé que l'efficacité de l'outil de gestion de risque de non-conformité ne dépend pas de la diversité des fonctions qu'il fournit, il dépend de la qualité des données recueillies et stoker dans le système d'information de l'entreprise. Pour atteindre cette efficacité, les entreprises d'assurances et de réassurance doivent formaliser une politique de qualité des données et mettre en place une stratégie de gouvernance en la matière.

38

Paragraphe 2 : Configuration et déploiement de la structure de contrôle de conformité

L'obligation pour les entreprises d'assurances et de réassurance de créer une fonction pour le contrôle de conformité ne les « empêche pas de décider librement de la façon d'organiser cette fonction en pratique50 », et « ne devrait pas conduire à des exigences trop lourdes, car il faudrait tenir compte de la nature, de l'ampleur et de la complexité des opérations de l'entreprise. Toutefois ce caractère obligatoire ne doit pas éclipser l'aspect nécessaire de la fonction de contrôle de la conformité et ne doit pas traduire uniquement la soumission des entreprises d'assurances ou de réassurance à une règle de droit, mais encore leur volonté de faire de cette fonction un outil de gouvernance (par la définition d'un nouveau processus de prise de décision) et une source de création de valeurs.

Il n'y a pas donc de recette standard pour la configuration de cette fonction ou pour son positionnement dans l'organigramme de l'entreprise. Néanmoins, toute proposition d'un modèle doit observer quelques exigences règlementaires au sens des deux textes référentiels en Tunisie51.

A ce titre, les entreprises sont appelées d'une part à observer, sous contrôle du CGA, la compétence et l'honorabilité pour la nomination du responsable de la fonction de contrôle de conformité, d'autre part à veiller à la non cumulation des fonctions pour ce responsable et en fin à garantir son indépendance par rapport aux lignes métiers.

À ces trois impératifs règlementaires, on peut ajouter un quatrième principe relatif à la capacité d'action.

Dans la pratique, les entreprises bénéficient d'une grande marge pour concevoir leur propre modèle. Et l'adéquation d'un modèle organisationnel (B) au profil de l'entreprise et son efficacité dépendent largement de l'observation d'un ensemble de principes et objectifs organisationnels (A) qui représentent finalement des facteurs clés pour la réussite d'une éventuelle structuration pour la fonction de contrôle conformité.

A : Les principes et les objectifs organisationnels

La création d'une fonction conformité doit faire l`objet d'un document formalisant sa mise en place au sein de l'entreprise, il s'agit d'un acte fondateur, détaillant entre autres les questions relatives à l'indépendance de la fonction, à la nature de ses relations avec les entités ou fonctions de l'entreprise, à son emplacement, à son niveau hiérarchique, à ses attributions...etc. Ce document constitutif doit ensuite être communiqué à l'ensemble du personnel.

Dans ce cadre on peut évoquer deux principes fondamentaux celui de l'autonomie (I) de la structure du contrôle de conformité et celui de la synergie (II) entre les entités.

I. L'autonomie de la fonction de conformité

Généralement l'organisation d'une entreprise doit faire apparaitre trois macro-processus : le processus métier, processus pilotage et celui de support. Tenant compte des exigences de l'efficacité, la question qui se pose, est où est-ce que l'on doit affecter la fonction de contrôle conformité ?

50 La directive solvabilité II paragraphe 31.

51 La décision n° 1-2016 du CGA et le projet de révision du code des assurances.

39

40

Le principe de l'indépendance des lignes de défense par rapport aux lignes métier fait exclure le processus métier. Reste alors à vérifier s'il s'agit d'une fonction de support ou d'une fonction de pilotage.

Sachant que le processus de pilotage est un processus d'analyse et de décision52 et que le processus de support est un processus destiné à supporter et à accompagner l'activité principale de l'entreprise et à contribuer au bon déroulement des autres processus, on peut confirmer d'abord que le processus de contrôle de conformité est un processus transversal, ensuite que cette fonction revête un double aspect, elle est à la fois organe de support et organe de pilotage.

Ayant ainsi un caractère hybride, la fonction conformité doit être placée dans le dispositif global de la gouvernance de l'entreprise au sens de l'article 222 du projet de révision du code des assurances et de la directive solvabilité 253. De ce fait, cette fonction exige la séparation hiérarchique et organisationnelle d'avec des fonctions génératrices de risques.

Encore, faut souligner que pour des fins de reporting, cette fonction nécessite un accès direct (le cas échéant par l'intermédiaire du comité des risques) au conseil d'administration54.

Dans la même perspective et en vue de consolider l'autonomie de la fonction conformité, l'article 229 du projet de révision du code des assurances stipule que le conseil d'administration est garant de son indépendance.

Outre les attributs de l'indépendance par rapport au management opérationnel, de la séparation hiérarchique et organisationnelle et de la relation privilégiée avec le conseil d'administration, l'autonomie de la fonction conformité demeure incomplète.

D'autres prérequis semblent indispensables pour l'autonomie de cette fonction, il est à noter dans ce cadre que cette fonction nécessite :

? un niveau hiérarchique suffisamment élevé exprimant ses attributions et le pouvoir dont elle dispose.

? la mise à disposition d'un ensemble d'outils et des moyens techniques appropriés (seront détaillés ultérieurement).

? Une équipe dotée de bonnes compétences et d'un bon niveau de technicité. L'expertise juridique, l'expertise en matière de l'organisation et de maitrise des processus et l'expertise en matière de contrôle et gestion des risques sont plus que cruciales pour l'autonomie de la fonction conformité

II. Promotion de la synergie

Par définition, la synergie désigne l'action coordonnée de plusieurs organes pour la réalisation d'un objectif partagé. La leçon tirée pour notre sujet consiste pour l'entreprise dans l'obligation de bien placer cette fonction et de bien définir ses relations avec les différentes unités ou fonctions

52 Jl est alimenté par l'ensemble des informations remontées par les autres processus. A partir de ces flux de données, il permet de réaliser une analyse fine dont pourront être tirées des directives destinées aux autres processus.

53Paragraphe (30) stipule « Le système de gouvernance inclut la fonction de gestion des risques, la fonction de vérification de la conformité, la fonction d'audit interne et la fonction actuarielle ».

54 L'article 13 de la décision n°1-2016 du CGA

constituantes de son organigramme. Pratiquement pour créer de la synergie il faut d'une part la définition stricte du périmètre d'intervention de chaque fonction et d'autre part la formalisation des procédures organisant les interactions entre les différentes parties prenantes.

C'est dans ce cadre qu'on doit rappeler que l'objectif globale de la mise en conformité de l'entreprise est l'affaire de toutes les parties prenantes en interne et que la fonction conformité n'a pas vocation à rassembler en son sein toutes les expertises nécessaires pour la réalisation de ses missions, et pour atteindre ses objectifs elle est appelée à nouer des partenariats avec de différentes structures.

Ainsi, la direction juridique doit interagir et collaborer quotidiennement avec la fonction conformité pour le recensement, l'analyse et l'interprétation des textes réglementaires applicables et pour l'anticipation de tout éventuel changement dans l'environnement réglementaire. Ce travail de veille réglementaire doit aboutir à la diffusion d'une culture juridique partagée par tout le personnel de l'entreprise.

Dans le même esprit la fonction de gestion des risques est considérée comme partenaire par excellence pour la fonction conformité, c'est en collaboration que ces deux fonction procèdent à la définition de la méthodologie pour cartographier et piloter les risques. Au-delà de la collaboration, la fonction conformité est appelée à alimenter le tableau de bord de suivi des risques et à rapporter auprès de la fonction de gestion des risques les cas échéants.

Chargée du contrôle périodique, la fonction d'audit interne se trouve à son tour étroitement liée avec la fonction de contrôle de conformité, cette relation consiste notamment dans un échange fréquent. A ce titre, les deux fonctions sont tenues de coordonner leurs programmes de contrôle et d'échanger les données relatives à des sujets d'intérêt commun et les résultats des missions de contrôle le cas échéant. Cette relation peut aller jusqu'à l'exécution des missions de contrôle approfondi par la fonction d'audit interne pour le compte de la fonction de contrôle de conformité.

De ce que précède, on peut qualifier la relation de la fonction conformité avec les autres fonctions clés de relation de coordination et de collaboration, mais la question se pose encore pour ses relations avec les structures métier, sachant que c'est au niveau de ces lignes que la conformité se vérifie.

De prime abord, et compte tenu de la stratification des lignes de défense dans l'entreprise, il est légitime de qualifier cette relation de relation de complémentarité.

Aujourd'hui et face à l'ampleur des enjeux réglementaire et déontologique, la fonction conformité n'est pas l'acteur unique sur le processus de gestion des risques de non-conformité. Supporter et superviser les lignes métier en matière de conformité implique pour cette fonction la nécessité d'impliquer les lignes métier et leur reconnaître un rôle vital sur ce processus.

Structurellement, des relais à cette fonction doivent être logés au sein des lignes métier pour assurer la vérification du déroulement et de l'exécution des missions de contrôle par les opérationnels conformément aux procédures et de collecter les incidents.

41

Assurant ainsi l'une des étapes du processus de gestion des risques de non-conformité, les directions métier en leur qualité de première ligne de défense participent à la maitrise des risques qu'ils génèrent.

B : Modèle organisationnel : Toile d'araignée

Considérée auparavant comme l'affaire d'une fonction spécialisée, le contrôle conformité s'est progressivement évolué pour constituer la pierre angulaire dans l'organisation de l'entreprise et se présente désormais comme l'un des facteurs clés de réussite de la stratégie opérationnelle.

Proposer un modèle organisationnel dépend, comme déjà évoqué, largement du profil de l'entreprise, d'un ensemble de principes et des objectifs à atteindre. La littérature en la matière parle souvent de la filière conformité pour schématiser sa présence sur tous les processus de l'entreprise et mettre en avant les acteurs qui oeuvrent pour le compte de la conformité et qui sont répartis dans les différentes structures métier.

A notre sens, et compte tenu de l'aspect transversal de la fonction conformité, de la diversité des relations nouées avec de différentes directions et de la richesse de son périmètre thématique, on peut comparer le modèle organisationnel de la structure de la fonction conformité à la « toile d'araignée ».

Des liens fonctionnels dans toutes les directions (horizontale et verticale) et avec de divers objets (conseil, partenariat, accompagnement, assistance, complémentarité...), comme illustré dans le schéma ci-après.

42

Figure 4 : Modèle pour l'organisation et le déploiement de la fonction de contrôle de conformité

Ainsi nous estimons que notre modèle doit réunir deux composantes : une direction de conformité (I) et des correspondants ou des relais (II)

I. La direction de contrôle conformité

Compte tenu des enjeux et de l'ampleur des missions de la direction de la conformité, celle-ci doit loger en son sein, et sous la direction d'un responsable de contrôle conformité (RCC), une équipe hétérogène.

Hiérarchiquement liée à la direction générale, la personne en charge de la fonction conformité (RCC) doit faire preuve d'un niveau de compétences managériales très haut, d'une technicité considérable et d'une honorabilité reconnue dans l'entreprise et surtout auprès des instances de régulation.

Principalement le RCC doit :

> Avoir une vision transversale métier et la capacité à animer pour pouvoir piloter le dispositif de contrôle de conformité.

> Maîtriser l'environnement réglementaire et avoir des connaissances métier pour pouvoir définir le périmètre normatif applicable à l'entreprise.

> Avoir une vision basée sur les risques pour pouvoir contrôler et évaluer l'adéquation et l'efficacité du dispositif de contrôle de conformité.

> Avoir le sens analytique et la capacité de conviction pour assurer un rôle de conseil auprès de la direction générale et du Conseil d'Administration.

> Participer ainsi au processus décisionnel et stratégique de l'entreprise d'assurances ou de réassurance.

Le RCC doit se faire assister par une équipe dédiée spécialement au contrôle de conformité et lui est lié hiérarchiquement. Cette équipe comprend un ensemble d'experts de divers domaines. Le choix de ces experts est fonction des thématiques de la conformité notamment la sécurité financière, la protection de la clientèle, la protection des données personnelles et l'éthique et la déontologie.

Ces experts sont appelés à animer le dispositif de la conformité selon les spécificités de chacune des thématiques en question et de communiquer avec les membres de la filière de contrôle de conformité

II. Les correspondants (les relais)

En sa qualité de deuxième ligne de défense, la fonction de contrôle conformité doit avoir des relais au sein de de la première ligne de défense (les directions métier et les fonctions support autres que les fonctions partenaires). Ces relais assurent pratiquement la déclinaison des procédures et la concrétisation de la politique interne de gestion des risques de non-conformité.

L'existence de ces correspondants sur le processus de gestion des risques de non-conformité nous amène à soulever les observations suivantes :

43

> Les relais gardent leur rattachement hiérarchique aux responsables des directions métiers au sein des quelles sont logés mais fonctionnellement ils se trouvent également liés aux experts de la direction de contrôle conformité.

44

45

? La formalisation des procédures, l'automatisation des processus et la définition stricte des statuts de ces correspondants semblent indispensables pour éviter les éventuels conflits de compétences ou les cas d'incompatibilité qui peuvent naître du double rattachement.

? Les relais doivent être positionnés en fonction des zones et de la gravité des risques. C'est-à-dire, il faut définir préalablement les parties du processus les plus vulnérables aux risques et les activités qui génèrent les risques les plus élevés pour pouvoir affecter au mieux les compétences.

En résumé, bien que nous estimions que la conformité en assurances est l'affaire de toutes les parties prenantes en interne, nous tenons à rappeler que la gestion des risques de non-conformité est l'affaire de quelques acteurs et que l'organisation de la structure en charge de la conformité doit permettre la couverture de la structure globale de l'entreprise. La conformité c'est la toile d'araignée.

Section 2: Les outils de la gestion de la conformité

Souvent perçues comme des barrières au développement commercial, les enjeux de la conformité doivent faire l'objet d'une gestion étudiée et planifiée pour pouvoir concilier conformité et l'excellence opérationnelle.

Une gestion étudiée désigne pour l'entreprise d'assurances le choix d'une approche parmi trois possibles :

? L'approche réactive qui implique l'intervention pour la mise en conformité après un contrôle sur place de l'autorité de supervision. Cette approche peut coûter cher dans la mesure où l'entreprise se trouve dans l'obligation de réaliser des travaux dans l'urgence, de mobiliser des ressources massives surtout en faisant appel à des prestataires externes.

? L'approche active qui signifie une gestion au quotidien, l'entreprise ne procède pas à un travail d'anticipation, elle traite les enjeux de la conformité dès la promulgation d'une nouvelle règlementation. l'adoption de cette approche peut aboutir à des résultats précipités du fait des dates limites serrées édictées souvent par les nouvelles réglementations.

? L'approche proactive qui implique le maintien de l'entreprise en état d'alerte, elle nécessite une maîtrise parfaite de l'environnement réglementaire dans lequel opère l'entreprise d'assurances, une ouverture sur le développement de l'activité d'assurance dans le monde et une veille réglementaire très active.

A notre sens, cette approche proactive se révèle la moins coûteuse et la plus efficace et doit être appliquée par la fonction conformité.

L'approche proactive repose sur l'identification prospective des nouvelles réglementations et permet par conséquent à l'entreprise d'assurances ou de réassurance de se préparer à la mise en conformité, de planifier les actions nécessaires pour la conduite des changements, de choisir rationnellement les ressources à mobiliser...etc.

Par ailleurs et outre la question de l'approche la plus appropriée pour la mise en conformité, l'idée de la gestion de la conformité nous amène à évoquer la question du plan de conformité, qu'est-ce qu'un plan de conformité ? À quoi sert un plan de conformité ? Qui prépare le plan de conformité ?...

Techniquement, le plan de la conformité c'est le document qui illustre les axes de la stratégie de conformité comme conçue par le top management opérationnelle de l'entreprise. La préparation de ce plan nécessite au préalable un mappage pour les zones d'exposition aux risques et une identification et hiérarchisation des risques de non-conformité. Il vise à définir les thèmes de la conformité qui devront être traités en priorité.

En pratique, nous estimons que la stratégie peut couvrir une période de trois ans, tandis que le plan de conformité doit être annuel, ainsi il est possible d'apporter les ajustements nécessaires le cas échéant.

Le plan annuel de conformité doit être consolidé par un plan d'action propre à chaque thème détaillant surtout les mesures de traitement des risques lui inhérents. Dans ce cadre l'entreprise est appelé à entreprendre les mesures suivantes :

? L'évitement, pour les risques qui n'entrent pas dans l'appétence aux risques par le biais d'un procédé que l'entreprise juge utile.

? La réduction de l'impact ou de l'occurrence du risque par la mise en place d'un ensemble de mesures limitant l'une ou des deux dites dimensions, tout en gardant permanents le contrôle et la surveillance.

? Le transfert du risque par l'externalisation ou par la souscription d'une assurance.

? L'acceptation pour les risques qui entrent dans le seuil d'appétence aux risques par l'entreprise.

Logiquement, le plan d'action doit mettre l'accent principalement sur deux axes : les mesures de réduction des risques à travers le renforcement du dispositif du contrôle soit pour limité leur survenance soit pour en mitiger l'impact et les supports de communication et de formation et les contenus pédagogique lui inhérents.

Une fois le choix d'une approche de gestion est fait et les plans de la mise en conformité sont préparés, la fonction de la conformité doit disposer au moins de deux outils pour assurer une gestion efficace, il s'agit du référentiel réglementaire (paragraphe 1) et la cartographie des risques (paragraphe 2).

Paragraphe 1 : Le référentiel réglementaire

Considéré d'ordre public, le secteur des assurances est parmi les activités les plus réglementées, raison pour laquelle les sociétés d'assurances ou de réassurance doivent avoir une vision holistique de leur environnement réglementaire, cette vision doit aller au-delà du recensement de l'existant pour anticiper les éventuels changements pour pouvoir préparer au mieux les plans de mise en conformité.

Ainsi on peut confirmer que la veille réglementaire est la pierre angulaire pour toute démarche de mise en conformité, d'où la nécessité de mettre la lumière en premier lieu sur la constitution du référentiel réglementaire (A) pour pouvoir élaborer un exemple en matière de lutte anti blanchiment d'argent et financement du terrorisme (LAB/FT) (B) en deuxième lieu.

A : La constitution d'un référentiel réglementaire

Le référentiel réglementaire est en tant que tel un document récapitulatif, comprenant essentiellement un recensement des textes juridiques et réglementaires applicables (I), les interprétations à vulgariser pour servir de culture à partager par l'ensemble du personnel (II) , les sanctions et risques encourus en cas de manquements (III) et les meilleurs pratiques ou des recommandations (VI).

I. Identification du cadre réglementaire

Maîtriser l'environnement réglementaire est une condition incontournable pour lancer une démarche de mise en conformité. Pour un secteur très réglementé et dans un monde de plus en plus ouvert, les entreprises d'assurances ou de réassurances sont appelées à se soumettre non seulement à un cadre légal national mais encore à des textes de lois transnationaux comme par exemple la loi américaine sur la conformité fiscale des comptes étrangers de 2010 connue sous l'acronyme FATCA55.

L'identification des textes applicables doit s'étendre aux différentes sources de législation possible (notes et procédures internes, décisions et directives des instances de régulation, arrêts et décrets ministériels, les lois nationales, des textes émanant des instances internationales ou encore des gouvernements mais à vocation internationale...). Une fois les textes sont recensés, la fonction conformité doit les classer par thèmes et selon un ordre décroissant en fonction de leurs forces.

Dans ce cadre, il est important pour le RCC de se rappeler que « nul n'est censé ignorer la loi » et qu'une veille réglementaire pertinente constitue la pierre angulaire pour la démarche de la mise en conformité, il est nécessaire de connaitre nos obligations pour pouvoir les respecter.

De plus, il faut rappeler qu'une gestion proactive de la conformité rend crucial pour le RCC d'opter pour une veille prospective, par conséquent il faut :

? Aller chercher l'information juridique là où elle peut exister (même auprès des sources informelles).

? Etre actif et ouvert sur les associations professionnelles (FTUSA56, corps des experts en assurances, corps des intermédiaires en assurances, les lobbyistes...).

? Identifier les pratiques de l'entreprise qui n'ont pas encore fait l'objet d'une règlementation et les traiter à la lumière des bonnes pratiques et des expériences comparées.

55 La loi FATCA (Foreign Account Tax Compliance Act) est une loi visant à s'assurer que les personnes soumises à l'impôt selon le régime fiscal américain déclarent les revenus perçus sur les avoirs financiers qu'elles détiennent en dehors des Etats-Unis dans le but de détecter et lutter contre la fraude fiscale.

La Tunisie a signé le 30 Novembre 2014 un accord de principe intergouvernemental et a opté pour le modèle 1 selon lequel les institutions financières tunisiennes doivent rapporter auprès de l'autorité de la tutelle qui a le pouvoir de représentation avec son homologue américaine.

Cet accord de principe a été concrétisé par un traité signé entre la Tunisie et les Etats Unis d'Amérique le 13 mai 2019 afin de mettre en oeuvre la loi FATCA.

46

56 FTUSA : la fédération tunisienne des sociétés d'assurances.

II.

47

La vulgarisation de l'information et La simplification des exigences réglementaires

La vulgarisation réglementaire consiste en deux tâches élémentaires, à savoir :

? L'interprétation des textes juridiques et règlementaires : Il s'agit pour la fonction de contrôle conformité de reformuler les textes réglementaires avec un langage plus intelligible pour qu'ils soient appréhendés par une population non juriste.

En interprétant les textes, le RCC doit faire prévaloir l'esprit sur le texte mais sans aller à distordre le sens et l'étendue des exigences réglementaires, c'est une identification simplifiée des obligations réglementaires de l'entreprise.

Pour assurer la pertinence des interprétations, le RCC doit se faire assister par la direction juridique et par des experts métier le cas échéant.

? La diffusion de l'information juridique et réglementaire : Après avoir reformulé l'information réglementaire et la simplifier, le RCC doit procéder à sa diffusion auprès de l'ensemble du personnel de l'entreprise.

Le référentiel réglementaire est un outil de travail qui doit être à la portée de tout le personnel et c'est par le biais de ce document et son contenu que la fonction conformité assiste le top management de l'entreprise dans la conduite de changement.

Le but de la vulgarisation c'est donc d'identifier les obligations à respecter, de les proposer dans un document simplifié et d'inciter les gens à se référer à ce document pour s'autocontrôler sous peine de sanctions ou de risques. La vulgarisation vise à traduire les textes réglementaires en obligations opérationnelles, de ce fait, le référentiel réglementaire peut servir de référence pour la rédaction des notes de direction et les procédures.

III. Définition des sanctions encourus

Parmi les axes d'une démarche pour la conduite de changement c'est d'agir sur la culture partagée par l'ensemble du personnel et pousser vers son harmonisation avec la stratégie globale de l'entreprise.

Pour une démarche de mise en conformité, le référentiel réglementaire est considéré comme l'outil le plus pertinent pour gérer les changements culturels, par conséquent ce document doit favoriser la culture de risque par la définition des risques de non-conformité et les sanctions encourues.

Dans la pratique, la fonction conformité doit identifier les sanctions prévues par les réglementations intégrant le périmètre de la veille réglementaire et évaluer les risques encourus en cas de non-conformité (risque d'image, risque de perte financière, risque de sanctions), puis elle propose pour diffusion un sommaire bien organisé (par thème, par nature de risque, par gravité...etc.) et facile à consulter par le personnel de l'entreprise.

VI. Les recommandations

En plus du recensement des éléments du cadre réglementaire, de l'identification des exigences et des obligations, de la définition des sanctions et risques encourus et leurs vulgarisations, le référentiel réglementaire peut comprendre une rubrique pour l'identification des bonnes pratiques de la place. Cette rubrique doit traduire l'ouverture de l'entreprise sur son environnement et sa diligence en matière de respect de la clientèle.

Les bonnes pratiques détectées peuvent faire d'une part l'objet de notes de synthèse à diffuser en interne sous forme de recommandations et d'autre part l'objet d'un échange avec les intervenants sur le marché de l'assurance pour engager des actions de lobbying.

Il convient de rappeler que le référentiel réglementaire en sa qualité de document pour la veille réglementaire est auditable et que son efficacité doit être régulièrement contrôlée.

B : Simulation d'un référentiel en matière de LAB/FT57

Bien qu'il n'y'a pas un modèle type pour la constitution d'un référentiel réglementaire, il est nécessaire que ce document doit comprendre au moins les éléments précédemment évoqués. Nous proposons, ci-après, un modèle tout en précisant que le choix est limité au thème de la lutte contre le terrorisme et la répression du blanchiment d'argent.

48

57 Lutte anti blanchiment d'argent et financement du terrorisme.

EXIGENCES ET OBLIGATIONS

RISQUES ENCOURUES

SOURCES

FONDEMENTS ET OBJET

DESCRIPTIF

JUDICIAIRE

SANCTIONS: TYPES ET FONDEMENTS

DISCIPLINAIRE

RISQUE D'IMAGE

-La loi organique n° 2015-26 du 07-08-2015 telle que modifiée et complétée par la loi organique n° 2019-9 du 2301-2019 et les textes applicatifs notamment

-Le décret gouvernemental n° 54-2019 du 21-01-2019. -L'arrêté du ministre des finances du 0103-2016.

-Le règlement du CGA n°1- 2018 du 02-03-2018.

Le devoir de tenir et de conserver les documents comptables et les justificatifs des opérations financières

-L'article 103 nouveau de la loi n° 2015-26.

Le devoir de geler les avoirs en exécution des décisions de la CNLCT

-L'article 121 de la loi n° 2015-26.

Le devoir de coopération avec la CTAF

-L'article 124 et 127 de la loi n° 2015-26.

Le devoir du respect du secret professionnel et de la confidentialité

-L'article 126 de la loi n° 2015-26.

le devoir de reporting pour les opérations nécessitant une vigilance renforcée

-L'article 100 et l'article 113 de la loi n° 2015-26.

- La tenue d'un livre-journal faisant état des recettes et des dépenses.

- La tenue d'un inventaire des recettes réalisées en espèces qui sont en rapport avec l'étranger en précisant les sources, les montants et les justificatifs avec l'obligation d'en aviser le BCT.

- L'établissement d'un bilan annuel. - La conservation, sur un support matériel ou électronique, des documents comptables pour une période de dix ans au moins.

- Prendre les mesures nécessaires pour concrétiser la décision de gel des avoirs prise par la CNLCT et lui fournir les informations nécessaires pour l'exécution de sa décision.

-Les résultats des travaux et des examens effectués dans le cadre de l'application des mesures de vigilance renforcée doivent faire l'objet d'un rapport écrit mis obligatoirement à la disposition des autorités de contrôle et des commissaires aux comptes

- La société est tenue de communiquer à la CTAF les renseignements et les documents nécessaires pour enquêter efficacement les opérations objet des déclarations

- Les personnes qui en vertu de leurs fonctions, ayant accès aux dossiers objet des déclarations sont tenues du: * respect du secret professionnel, * non abus des renseignements dont ils ont eu connaissance.

et ce même après cessation de leurs fonctions.

* abstention d'aviser les personnes concernées des déclarations faites à leur encontre.

-L'article 140 de la loi n° 2015-26 prévoit

* l'emprisonnement pour une période allant de six mois à trois ans et * une amende de cinq mille dinars à dix mille dinars.

Et ce à l'encontre des dirigeants, des représentants, des agents, et des associés de la personne morale dont la responsabilité personnelle est établie pour avoir ne pas respecter ou observer les devoirs édictés par les articles:

-1/ 100 et 113.

-2/ 103 nouveau.

-3/ 121.

-4/ 124 et 127.

-5/ 126.

de la loi organique n° 2015-26

-L'article 116 de la loi n°2015-26 renvoie implicitement à l'article 87 du code des assurances pour l'application des sanctions disciplinaires par les autorités de contrôles.

49

THEME : LUTTE CONTRE LE TERRORISME ET LA REPRESSION DU BLANCHIMENT D'ARGENT

Le devoir de vigilance

-L'article 105 nouveau de la loi n° 2015-26.

le devoir de lever le gel des avoirs en exécution de la décision de la CNLCT

-L'article 108 nouveau, 109, 110, 112, et 126 de la loi n° 2015-26.

-La société est tenue d'un devoir de vigilance générale sur toutes ses opérations et transactions relevant de son activité.

-La vigilance doit être renforcée lorsque la transaction implique une PEP, une personne provenant d'un territoire blacklisté par le GAFI, une OBNL ou encore en cas de non présence physique de la personne concernée.

-Cette vigilance consiste en

-1/ un contrôle formel des pièces et des justificatifs visant à s'assurer de l'identité des personnes (physique ou morale) concernées et se renseigner de leurs qualités (souscripteur, assuré ou bénéficiaire) et des relations qui les relient en cas de pluralité.

-2/ l'identification du bénéficiaire effectif selon la démarche graduelle suivante:

* est considéré bénéficiaire effectif en premier lieu le(s) personne(s) détenant 20% soit du capital social soit des droits de vote dans les AG.

* en deuxième lieu le(s) personne(s) ayant le pouvoir de contrôle sur les organes de direction et de gestion de l'entité.

* en troisième lieu la personne liée occupant la poste du dirigeant principal de l'entité.

-3/ La détection des opérations inhabituelles (ayant un caractère complexe ou un objet économiquement non justifié ou non légitime ou impliquant une somme d'argent élevée) et/ ou soupçonnées (suspicion de blanchiment d'argent ou de financement du terrorisme).

-4/ la veille à la mise à jour des données relatives à l'identité des clients et à l'examen permanent de la concordance des opérations effectuées avec les données initialement fournies.

-5/ la mise en place d'un dispositif pour la détection et la gestion des risques et soumettre le démarrage ou la poursuite des relations d'affaires avec les PEP à l'autorisation préalable du dirigeant principal

- La levée du gel immédiatement après l'approbation de la demande ou l'acceptation du recours exercé par quiconque concerné par une décision de gel.

-Risque juridique: une action en dommage peut être engagée à l'encontre de la société en cas de retard significatif de lever du gel et ce sur la base des dispositions du droit commun relatives à la responsabilité délictuelle

-L'article 140 de la loi n° 2015-26 prévoit *L'emprisonnement pour une période allant de trois mois à deux ans et *une amende de mille à cinq mille dinars.

Et ce à l'encontre des dirigeants, des représentants, des agents, et des associés de la personne morale dont la responsabilité personnelle est établie pour avoir ne pas respecter les mesures de vigilances particulières aux opérations aux valeurs sensiblement élevées.

*Une amende de cinq fois le montant susmentionné contre la personne morale.

-L'article 116 de la loi n°2015-26 renvoie implicitement à l'article 87 du code des assurances pour l'application des sanctions disciplinaires par les autorités de contrôle.

50

-L'article 140 de la loi

n°2015-26.

Le devoir de vigilance particulière pour les opérations ayant une valeur supérieure ou égale à dix mille dinars

-L'article n° 108 nouveau de la loi n°2015-26. Le devoir de renoncer aux relations d'affaires nettement suspectes.

-L'article n° 125 de la loi n° 2015-26.

Le devoir de déclaration auprès de la CTAF

-Une vigilance particulière doit être accordée aux opérations que soient habituelles ou occasionnelles dont la contrepartie est supérieure ou égale à dix mille dinars selon l'arrêté du ministre des finances du 01-03-2016. -Ce seuil est réduit à trois mille dinars pour la prime unique et à mille dinars pour la prime périodique d'une assurance vie.

-L'abstention de nouer ou de

poursuivre une relation d'affaires en cas de données non suffisantes ou si elles ne sont pas suffisamment claires ou non véridiques

-La société doit faire, sans délai et par écrit, une déclaration auprès de la CTAF sur les opérations soupçonnées de faire lien avec:

*des fonds provenant d'actes criminels, *le financement de terrorisme.

Cette déclaration doit porter sur les opérations non entamées (tentatives) et sur les opérations réalisées si des nouvelles données viennent renforcer la suspicion

-L'article 136 de la loi n° 2015-26.

Le manquement

intentionnel au devoir de déclaration est puni d'une amende égale à la moitié du montant objet de la déclaration

51

Tableau 1 : Modèle de référentiel réglementaire

Paragraphe 2 : La cartographie des risques

Dans son article 13, la décision n°1-2016 du CGA prévoit qu'en plus du contrôle du respect des dispositions législatives et réglementaires et des exigences déontologiques et professionnelles afférentes à l'exercice de l'activité d'assurance, la fonction conformité est appelée également à identifier et évaluer le risque de non-conformité. Pour ce faire, le RCC doit formaliser et maintenir à jour une cartographie des risques de non-conformité.

Par définition, la cartographie de risques est une démarche qui consiste à identifier, évaluer, hiérarchiser et gérer les risques inhérents aux activités de l'entreprise, c'est un élément clé pour la gestion des risques de non-conformité. Elle constitue un outil qui permet à la fonction de conformité d'avoir une vision dynamique des foyers d'exposition aux risques et d'agir en temps réel sur les incidents générateurs de risques pour en atténuer soit l'impact soit la fréquence, compte tenu de l'appétence au risque de l'entreprise.

En sa qualité d'outil de gestion, la cartographie des risques permet d'appréhender l'ensemble des facteurs susceptibles d'affecter les activités et leur performance et d'investiguer de façon approfondie l'ensemble des processus managériaux, support et opérationnels que les activités exigent de mettre en oeuvre afin de définir les actions nécessaires pour se prémunir au maximum des risques. Il s'agit d'un levier indispensable au pilotage des risques et constitue le socle de la stratégie de gestion des risques.

L'élaboration de la cartographie des risques de non-conformité relève parmi les prérogatives de la fonction conformité, mais la complexité de cette mission nécessite l'adhésion de multiples parties prenantes en interne, notamment le comité d'audit et le comité de risques au niveau du conseil d'administration, la direction générale, le comité de direction...etc.

Sur le plan méthodologique, l'élaboration de la cartographie des risques (B) doit prendre en considération un ensemble d'éléments méthodologiques (A) pour lui assurer la pertinence et la fiabilité.

A : Préconisations méthodologique

Pour qu'elle soit pertinente, la cartographie des risques doit présenter certaines caractéristiques (I) qui dépendent largement de l'approche adoptée (II).

I. Caractéristiques de la cartographie des risques a) Cartographie exhaustive et précise

Pour établir la cartographie des risques, le RCC doit répertorier préalablement les différents processus (métier, managérial et support) mis en oeuvre par l'entreprise dans le cadre de son activité afin de rendre plus facile le recensement des risques inhérentes, un tel procédé nécessite l'implication de l'ensemble des acteurs concernés notamment les dirigeants et les experts métier.

52

Il est à noter dans ce cadre que la recherche de l'exhaustivité à l'occasion de l'élaboration de la cartographie ne doit pas affecter le travail de recensement, certains de ces risques s'avérant au final non significatifs.

b) La granularité de la cartographie

Renvoyant au niveau de détail que peut retenir l'entreprise pour construire la cartographie des risques, la granularité est essentielle dans la mesure où la finesse du détail rend l'identification des risques plus importante et permet de calibrer la démarche aux moyens déployés et au planning mis en place.

Pour une société d'assurances, cinq niveaux de granularité peuvent être définis :

? Métier : assurance Auto, IARDS58, Vie...

? Famille ou domaine IARDS : Incendie, assistance en voyage... ? Processus : souscription, sinistres...

? Opération : règlement de sinistre, recours inter-compagnies... ? Tâche élémentaire : nomination d'un expert...

c) Cartographie formalisée et accessible

La cartographie des risques est un document structuré, comprenant une présentation synthétique des informations relatives aux risques de non-conformité que peut encourir l'entreprise d'assurances ou de réassurance. Ce document peut être organisé selon les niveaux de granularité retenus par l'entreprise, une telle organisation fait de la cartographie une présentation arborescente des risques.

Bien que ce document soit à la base un outil de management, rien n'empêche de le présenté à l'ensemble du personnel pour des fins de sensibilisation et de conduite de changement, la cartographie des risques est un support pour la diffusion de la culture de risques dans l'entreprise.

d) Cartographie évolutive

Compte tenu de l'évolution de l'entreprise et de sa réactivité avec les changements soit interne (nouveau processus, évolution du modèle économique, restructuration ...) soit externe (changement du cadre réglementaire, mutations économique profondes...). Il est indispensable de faire vivre la cartographie des risques en l'actualisant régulièrement, une évaluation annuelle rend cet outil plus opérant. En tout état de cause, la cartographie des risques doit être mise à jour en fonction de l'évolution de l'organisation de l'entreprise, de l'évolution de son activité et des mutations qui surgirent dans son environnement. La fiabilité de la cartographie des risques de non-conformité se mesure par sa capacité à refléter l'évolution de l'entreprise.

II. Le choix d'une approche

En plus des préconisations méthodologiques citées plus haut, l'élaboration d'une cartographie de risques nécessite le choix d'une méthode parmi plusieurs possibles. Dans ce cadre, nous allons passer en revue l'approche Top Down (a) et l'approche Bottom up (b). Mais pour des raisons relatives à la pertinence de la cartographie et sa fiabilité, nous proposons de combiner (c) ces deux approches.

53

58 Incendie, accidents, risques divers et spéciaux.

a) L'approche Top Down

Utilisée souvent lors d'une démarche de recensement par thématique, l'approche descendante consiste à faire détecter et identifier les risques par les dirigeants effectifs de l'entreprise, elle se base sur un inventaire des risques formulé soit à partir de l'historique des incidents rencontrés soit des rapports d'audit interne et d'inspection ou des reporting du contrôle permanent. Selon cette approche, le risque est appréhendé dans une vision générale puis il est soumis à une analyse d'experts.

Bien qu'elle présente l'avantage d'impliquer vivement les dirigeants de l'entreprise, l'approche Top Down peut se trouver en difficulté pour établir le rattachement des risques aux processus et pour remplir la double condition de l'exhaustivité et de la granularité de la cartographie des risques.

b) L'approche Bottom Up

Cette approche reconnait aux opérationnels un rôle crucial dans l'identification des risques, il s'agit de faire la remontée des risques de leurs foyers vers les personnes en charge de l'élaboration de la cartographie. Pour se faire, cette approche nécessite la tenue intensive des réunions de groupes de travail et des comités de réflexion, cette approche dite ascendante, nécessite comme point de départ le recensement des processus.

L'approche Bottom Up permet, d'une part, l'analyse systématique et concomitante des risques et des éléments déployés par l'entreprise pour les maîtriser et d'autre part l'implication satisfaisante des opérationnels et favorise significativement l'exhaustivité et la granularité de la cartographie des risques. Cette approche parait plus adéquate pour l'élaboration d'une cartographie générale des risques inhérents à l'activité de l'entreprise

c) L'approche combinée

Ce passage en revue nous a révélé que ces deux approches ne s'opposent pas, elles sont complémentaires. La vision globale de l'approche Top Down facilite l'identification des actions à entreprendre selon l'approche Bottom Up et définie ce qui remonte en priorité. L'approche Bottom Up permet de combler les lacunes de la vision globale de l'approche Top Down et de décliner ensuite cette vision dans tous les niveaux des processus de l'entreprise.

Ces deux approches peuvent être menées soit successivement, soit simultanément, et la conduite concomitante nous donne une nouvelle approche dite combinée.

Cette approche consiste dans la conciliation des deux méthodes précédentes et de les faire cohabiter lors de l'élaboration de la cartographies des risques.

La mise en oeuvre de cette méthode permet de :

? définir le niveau de granularité opportune pour l'entreprise en conciliant la vision globale des risques que procède l'approche Top Down et la redondance59 qui caractérise l'approche Bottom Up.

54

59 La recherche du niveau le plus fin de la granularité.

55

56

? Construire la cartographie qui reflète la stratégie de l'entreprise en matière de gestion de risque et qui exprime son appétence au risque. Pour cette fin, il faut considérer la vision globale des dirigeants comme une référence pour déterminer l'étendue de l'exhaustivité de la cartographie.

? Faire vivre au mieux la cartographie des risque et la maintenir à jour dans la mesure où, d'un côté, l'approche Top Down permet aux dirigeants d'intervenir le cas échéant sur la base des de l'inventaire des incidents rencontrés soit des rapports d'audit interne et d'inspection ou de reporting du contrôle permanent et d'un autre côté, l'approche Bottom Up permet une maîtrise parfaite des processus et les risques y rattachés.

B : L'élaboration de la cartographie des risques

Sachant que l'élaboration de la cartographie des risques est une démarche qui se compose d'un ensemble d'étapes, nous estimons qu'un passage obligé ou non par toutes ces étapes n'est pas un objectif en soi. Toutefois, la cartographie des risques, de par sa nature de document descriptif, doit ressortir les risques (I) et les éléments de maîtrise (II) pour pouvoir donner par la suite une cotation objective (III).

I. Identification des risques

Généralement les entreprises d'assurances ou de réassurance sont exposées à quatre grandes familles de risques : les risques financiers, les risques d'assurances, les risques opérationnels et les risques stratégiques, de réputation et environnementaux. S'agissant des risques de non-conformité, il est à préciser qu'il s'agit principalement d'un sous-ensemble des risques opérationnels.

Considérée comme la première étape, l'identification des risques cherche à définir les risques « brut »60 c'est-à-dire les risques intrinsèques ou inhérents aux processus indépendamment des mesures de mitigation et de contrôle mis en place. Et pour être efficace, l'identification des risques nécessite deux prérequis, à savoir, le référentiel des processus61 et le référentiel réglementaire.

Pour son objet, l'identification des risques consiste à recenser l'ensemble des risques de non-conformité inhérents à différentes activités de l'entreprise, définir leurs foyers et localiser les points de vulnérabilité de l'entreprise.

Dans la pratique, il s'agit de dresser une liste de tous les risques de non-conformité aux quels l'entreprise fait ou peut faire face. L'architecture de cette liste doit révéler un nombre de niveaux pouvant aller à cinq ou même à six, avec chaque niveau exprime la déclinaison du niveau précédent. L'ensemble de ces niveaux reflète le niveau de la granularité retenu par l'entreprise.

Le premier niveau ce n'est que la famille des risques opérationnels, il est donc commun à toutes les entreprises, tandis que les autres niveaux expriment en quelque sorte les spécificités de chaque entreprise.

60 Par opposition à la notion du risque « Net » qui correspond au niveau du risque après avoir être traité en mettant en place les mesures d'atténuation et de contrôle adéquates.

61 (Processus métiers, processus supports et processus managériaux).

Après avoir listé les risques d'une manière arborescente, il est nécessaire de les qualifier62 et de détailler leurs causes et conséquences63, puis enfin, les rattacher aux processus pour pouvoir déployer au mieux les éléments de maîtrise.

L'ensemble des risques recensés doivent faire l'objet d'une évaluation en mesurant le niveau de leur criticité en terme d'impact (perte éventuelle en unités de valeur) et le niveau de leur criticité en terme de fréquence (l'occurrence possible en une année) (moyen, élevé et certain)

II. Evaluation des éléments de maîtrise de risques

La deuxième phase de la démarche de l'élaboration de la cartographie des risques consiste à identifier les composants du dispositif de contrôle interne dans son globalité et évaluer les éléments dédiés aux risques de non-conformité afin de déterminer les risques nets ou résiduels.

En fait, le dispositif de maîtrise des risques regroupe plusieurs éléments qui visent à réduire l'exposition aux risques et qui sont soit de nature préventive agissant sur les causes pour réduire la probabilité d'occurrence soit de nature curative agissant sur les conséquences pour réduire l'impact.

Parmi les éléments composants du dispositif de maîtrise de risque on peut citer : > Le manuel de procédures, méthodes, normes et règles de gestion.

> Les structures de contrôle permanent de premier et de deuxième niveau.

> Les outils de pilotage et de reporting comme les indicateurs de risques, les tableaux de bord...

> Audit interne et externe.

> Habilitation, qualification et formation des ressources humaines. > L'organigramme, fiche de poste.

Dans la pratique la rigidité/flexibilité du dispositif de maîtrise de risques reflète l'appétence pour le risque (généralement formulée quantitativement et qualitativement) comme elle est définie par les organes de gouvernance et de direction.

Le rôle des éléments de maîtrise se manifeste pratiquement dans la gestion quotidienne de l'entreprise64 et consiste dans l'encadrement de la prise de risque en fixant les seuils de tolérance

Une fois listés dans un document référentiel, les éléments de maîtrise doivent faire l'objet d'une évaluation rigoureuse, il faut interroger le dispositif de contrôle mis en place et vérifier s'il est formalisé65 ? S'il est supervisé66 ? S'il est pertinent67 ? S'il est efficace68 ?

62 Attribuer à chaque risque une nomenclature adéquate.

63 Définir les causes et déterminer les conséquences ça va servir de base pour quantifier la fréquence et l'impact et construire les matrices inhérentes.

64Exemple : La politique de souscription définie les produits autorisés à la vente, ou les conditions de souscriptions acceptables, ou les engagements maximaux.

57

Bien que le dispositif de contrôle doit être formalisé, supervisé, pertinent et efficace, il est à noter que seules l'efficacité et la pertinence sont considérées comme échelles pour l'évaluation de sa performance.

L'évaluation du dispositif de contrôle et les éléments qu'ils le composent et au coeur de l'élaboration de la cartographie des risque dans la mesure où elle permet le profilage des risques nets.

Figure 5 : Matrice d'évaluation des éléments de maîtrise des risques

65 La formalisation consiste à élaborer un plan de contrôle détaillant l'objet de contrôle et son étendue ainsi que son niveau, sa périodicité et les personnes en charge.

66 La supervision désigne la nomination d'un responsable pour assurer l'exécution et la continuité du contrôle et par conséquent la fiabilité des résultats à remonter.

67 La pertinence réside dans l'application stricte des directives du plan de contrôle d'une part et dans la mobilisation des moyens adéquats pour l'exercice du contrôle d'autre part, la pertinence renvoie à l'adéquation du contrôle par rapport son objet.

68 L'efficacité désigne la capacité du dispositif de contrôle à détecter les incidents, à filtrer les risques et rejeter ceux qui dépassent les seuils de tolérance acceptés par l'entreprise, l'efficacité renvoie à la bonne application du contrôle.

58

III. La cotation des risques

Au départ, l'évaluation des risques consiste en une analyse qualitative dont l'objet est d'identifier et de décrire les trois facteurs suivant : les causes des risques, le dispositif de maîtrise et les conséquences.

Comme expliqué plus haut, en entend par cause, l'élément générateur direct de l'évènement nuisible et par dispositif de maîtrise, l'ensemble des éléments (procédures, systèmes, indicateurs de suivi et autres) mis en place afin de réduire l'occurrence de l'évènement de risque et de limiter les impacts en cas d'occurrence.

La conséquence est un effet consécutif à l'occurrence de l'évènement générateur de risque. Elle peut être définie quantitativement ou qualitativement.

Une fois ces trois facteurs sont bien identifiés et analysés, des échelles d'évaluation doivent être établies et mises en place pour pouvoir concevoir par la suite les matrices relatives à :

? La criticité : les deux paramètres de la criticité sont la fréquence et la gravité des risques. D'habitude chaque paramètre se manifeste sur quatre à cinq niveaux comme illustrée dans la matrice suivante :

Figure 6 : Matrice de criticité

59

? L'évaluation des risques bruts : Il s'agit de hiérarchiser les risques et de les classer dans des catégories selon les degrés de leur criticité (voir la matrice de criticité)

? La performance du dispositif de contrôle et les éléments de maîtrise de risques afférents : c'est-à-dire la capacité du dispositif à contrôler et à maîtriser les risques (voir la matrice d'évaluation des éléments de maîtrise)

? L'évaluation des risques nets : il s'agit mesurer les risques résiduels ou les risques persistants après mise en oeuvre des éléments de maîtrise, cette évaluation consiste dans la combinaison de la performance du dispositif de maîtrise et le risque brut.

Figure 7 : Matrice d'évaluation du risque net

Bien que ces matrices visent au final à quantifier l'impact des risques sur l'activité de l'entreprise et à évaluer la perte financière qui en résulte, il importe de souligner que la cotation des risques d'image semble difficile voire même impossible, c'est un risque non quantifiable notamment pour le paramètre « impact ». Face à cette limite, nous qualifions d'indispensable l'enrichissement de la cartographie en signalant chaque risque présentant en plus de l'impact financier un risque de réputation.

Relevant de la démarche de gestion des risques, la cartographie des risques est un outil indispensable pour mener au mieux la gouvernance de l'entreprise d'assurances. Elle permet d'une part le partage d'un même référentiel de risques afin d'unifier la perception des risques et leur évaluation par l'ensemble du personnel et d'autre part l'amélioration du reporting et de la communication en donnant la possibilité de visualiser en temps réel des risques. En tant que

60

telle, la cartographie des risques est un outil de mise en conformité qui peut agir positivement sur la perception de l'image de l'entreprise par l'ensemble des parties prenantes. Son intérêt est loin d'être un simple recensement et évaluation d'un ensemble d'évènements préjudiciables, son rôle de levier de performance doit être appréhendé et confirmé dans la prise des décisions stratégiques et dans la gestion quotidienne des activités de l'entreprise.

En conclusion de ce chapitre nous tenons à rappeler que la conformité est définie comme l'ensemble des processus qui permettent d'assurer le respect des normes applicables à l'entreprise par ses parties prenantes, mais aussi des valeurs et d'un esprit éthique insufflé par les dirigeants. C'est aussi, et surtout, une action proactive qui vise à organiser les procédures et les moyens nécessaires au respect de la réglementation par l'entreprise d'assurances ou de réassurance. Elle est donc un sujet multidimensionnel.

Ce sujet soulève ainsi de nombreuses interrogations chez les dirigeants. Comment les nouvelles obligations vont-elles impacter les entreprises dans leur organisation, leur gouvernance et leur business model ? Comment faire de la compliance un outil de performance économique et de compétitivité ? Quels rôles le responsable conformité et son équipe vont-ils endosser pour accompagner cette évolution et comment doivent-ils s'y préparer ? Comment concilier transparence et secret des affaires ?

Au plan business et opérationnel, c'est en effet, la conformité est un outil incomparable en matière d'organisation et de développement interne et externe de l'entreprise, qui assure la cohésion des parties prenantes autour de valeurs communes. On estime qu'arriver à démontrer l'efficacité du dispositif de conformité est un véritable avantage compétitif.

On pense que la question est de savoir comment être conforme demain, comment établir un plan d'action efficace et se questionner à nouveau sur la façon d'organiser sa conformité. les bons plans de conformité contribuent à préserver une image positive de l'entreprise, facteur de confiance pour les clients et les fournisseurs et gage de bon fonctionnement et de bonne gouvernance pour les actionnaires, tout en limitant les risques auxquels l'entreprise peut être exposée.

61

Conclusion générale

Dans une note de synthèse publiée en octobre 2012, l'Institut Français des Administrateurs (IFA) préconise les dirigeants effectifs des entreprises à « définir les valeurs communes et les principes d'action devant gouverner la conduite des activités et le comportement des collaborateurs et de s'assurer de leur mise en oeuvre »

Bien que cette préconisation illustre une forte conscience pour les dirigeants du rôle prépondérant de l'éthique et de la déontologie pour diffuser une culture d'entreprise, elle parait de l'autre côté insuffisante pour convaincre ces dirigeants de satisfaire les exigences règlementaires, d'où l'accroissement du rôle des instances de régulation dans la démarche de la mise en conformité pour les entreprises.

La gouvernance d'entreprise nécessite la mise en place d'un dispositif de pilotage intégré incluant en plus de la dimension opérationnelle et la dimension stratégique une troisième relative aux risques.

Aujourd'hui, l'appréhension de l'environnement, la maîtrise du cadre règlementaire et normatif et la construction d'une cartographie exhaustive des risques de non-conformité avérés et potentiels avec un niveau de granularité compatible avec l'appétence aux risques de l'entreprise semblent des prérequis indispensables pour le fonctionnement du dispositif de pilotage

Renvoyant à l'engagement à l'intégrité et au respect des prescriptions légales et des bonnes règles de conduite, la conformité est souvent perçue comme une entrave sur la voie de réalisation du chiffre d'affaire. En fait la conformité, et de par sa nature de dispositif de contrôle, peut ne pas permettre la célérité des transactions et affecte négativement le chiffre d'affaire.

A notre sens, la présomption de la solidité de cette perception, ne peut pas dénier le rôle que joue la conformité pour l'atteinte des objectifs commerciaux pour l'entreprise. Contrairement à cette optique, la conformité est un pilier de bonne gouvernance et un levier de performance. L'implémentation de la fonction conformité et la veille à sa bonne organisation ne peuvent que consolider la bonne gouvernance de l'entreprise, la maîtrise de l'ensemble des risques de non-conformité et le soin de l'image de l'entreprise ne peuvent que renforcer sa performance.

Bibliographie

62

+ Code des assurances.

+ Code des sociétés commerciales.

+ La loi organique n°2015-26 du 7 août 2015 relative à la lutte contre le terrorisme et la

répression du blanchiment d'argent telle que modifiée et complétée par la loi n°2019-9

du 23 janvier 2019.

+ Loi n° 2015-36 du 15 septembre 2015, relative à la réorganisation de la concurrence et

des prix.

+ Loi 92-117 du 07 décembre 1992 relative à la protection du consommateur.

+ Loi 98-40 du 02 Juin 1998 relative aux techniques de vente et à la publicité

commerciale.

+ Loi organique n° 2004-63 du 27 juillet 2004, portant sur la protection des données à

caractère personnel.

+ La loi n° 1994-17 du 14 novembre 1994 portant réorganisation du marché financier.

+ Loi n° 2005-96 du 18 octobre 2005 relative au renforcement de la sécurité des

relations financières.

+ le décret-loi cadre n° 2011-120 du 14 novembre 2011, relatif à la lutte contre la

corruption.

+ Le décret gouvernemental n° 54-2019 du 21-01-2019, portant fixation des méthodes et

des critères d'identification du bénéficiaire effectif.

+ L'arrêté du ministre des finances du 01-03-2016, portant fixation des montants prévus

aux articles 100, 107, 108, 114 et 140 de loi n° 2015-26 du 7 août 2015, relative à la

lutte contre le terrorisme et la répression du blanchiment d'argent.

+ Le règlement du CGA n°1- 2018 du 02-03-2018, relatif à la lutte contre le terrorisme

et de la prolifération et la répression du blanchiment dans le secteur des assurances

+ Projet de révision et modification du code des assurances.

+ Règlement n°1- 2016 du CGA du 13 juillet 2016 relatif à l'assurance vie et la

capitalisation.

+ la Directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009

« solvabilité II »

+ Recommandation n° 1 du GAFI en matière de LAB/FT « Évaluation des risques et

application d'une approche fondée sur les risques ».

+ La conformité et la gestion prudentielle dans une compagnie d'assurance : Démarche

d'implémentation dans le contexte tunisien : Radhouane BEN AMARA. Diplôme de

master professionnel

+ Conformité pourquoi et comment : revue horizons bancaires. HORIZONS

BANCAIRES-NUMÉRO 329- MAI 2006 REVUE EDITEE PAR CREDIT

AGRICOLES.

+ IFACI : LES CAHIERS DE LA RECHERCHE. Cartographie des risques. (c) IFACI -

Paris - décembre 2013 ISBN : 978-2-915042-53-5 - ISSN : 1778-7327.

+ AEAPP : CEIOPS' Advice for Level 2 Implimenting Measures on Solvency II: system

of governance. (former Consultation Paper 33) October 2009.

+ https://fr.wikipedia.org/wiki/Gouvernance#Gouvernance de l'entreprise.

+ file:///C:/Users/USER/Desktop/LA%20CONFORMITE/conformité.pdf.

63

+ Le cercle d'éthique des affaires : RÉFÉRENTIEL PROFESSIONNEL : ÉTHIQUE & CONFORMITÉ.

+ SUR LE CONTROLE INTERNE DANS UNE ENTREPRISE D'ASSURANCE : Jean-Louis BELLANDO. Version révisée le 6 avril 2004.

+ Les métiers de la conformité dans la banque : Stéphane Sébéloué & Camille Zanvit.

LES ETUDES DE L'OBSERVATOIRE : ETUDE METIER. OCTOBRE 2015. + VEILLES, PROCESSUS ET METHODOLOGIE : DAMIEN DEROUET ET

FABIEN LEPOIVRE. NEVAOCONSEIL stratège en entreprise : 2001-2005

+ YVAN ALLAIRE : Forum économique mondial, « forum de Davos ». 21 JUIN 2013. + The compliance function in banks. Une lecture du document consultatif publié par le

Comité de Bâle HAL. Marc Lenglet : HAL Id: halshs 00349044. 26 février 2009 :

archives ouvertes.

+ Reverso Dictionnaire.

+ Larousse.

+ La toupie : Toupictionnaire

64

Table des matières

Remerciements 3

Liste des figures 4

Liste des sigles et acronymes 5

Introduction générale 7

Chapitre 1 : La dimension substantielle de la conformité en assurance 9

Section 1 : La conformité, un socle normatif 9

Paragraphe 1 : La conformité un devoir d'intégrité 10

A : Définition du devoir d'intégrité 10

B : La portée du devoir d'intégrité 11

Paragraphe 2 : La conformité un devoir règlementaire 12

A : Définition du devoir règlementaire 12

B : Les contours du devoir règlementaire 13

Section 2 : la non-conformité et les instances de contrôle 15

Paragraphe 1: les risques encourus 16

A : Le risque de pertes financières 16

B : Le risque de sanctions 17

I. La sanction judiciaire 17

a) La sanction pénale 17

b) La sanction civile 18

II. La sanction administrative et disciplinaire 18

C : Le risque d'image ou de réputation 19

Paragraphe 2 : les instances de contrôle 20

A : Les instances dotées du pouvoir de sanction 20

I. Le comité général des assurances (CGA) 20

a) Présentation du CGA. 20

b) Les pouvoirs du CGA 21

1. Le pouvoir d'enquêter 21

2. Le pouvoir de sanction 22

II. Le conseil de la concurrence (CC) 22

a) Présentation du conseil de la concurrence 22

b) L'attribution juridictionnelle du conseil de la concurrence 23

B : Les instances non dotées du pouvoir de sanction 23

65

I. Le conseil du marché financier (CMF) 23

a) Présentation du CMF 24

b) Les attributions du CMF 24

II. L'instance nationale de protection des données personnelles (INPDP) 25

a) Présentation de l'INPDP 25

b) Les pouvoirs de l'INPDP 25

III. L'Instance Nationale de Lutte Contre la Corruption (INLUCC) 26

a) Présentation de l'INLUCC 26

b) Les pouvoirs de l'INLUCC 27

Chapitre 2: La dimension organisationnelle de la conformité en assurance 29

Section 1 : La fonction de conformité, un outil de gouvernance d'entreprise 30

Paragraphe 1 : la fonction de conformité au Coeur du contrôle interne 30

A : la fonction de conformité, une deuxième ligne de défense 31

I. Le processus du contrôle de conformité 32

a) L'identification 32

b) L'évaluation 32

c) Le contrôle ou la surveillance 32

d) Le pilotage et le reporting 32

II. Le périmètre du contrôle permanent de la conformité 34

B : Les facteurs clés pour le succès de la fonction conformité 34

I. L'engagement non conditionné du top management 35

II. L'allocation rationnelle des ressources 36

a) Les bonnes compétences 36

b) Le système d'information 37

Paragraphe 2 : Configuration et déploiement de la structure de contrôle de conformité 38

A : Les principes et les objectifs organisationnels 38

I. L'autonomie de la fonction de conformité 38

II. Promotion de la synergie 39

B : Modèle organisationnel : Toile d'araignée 41

Figure 4 : Modèle pour l'organisation et le déploiement de la fonction de contrôle de

conformité 42

I. La direction de contrôle conformité 43

II. Les correspondants (les relais) 43

Section 2: Les outils de la gestion de la conformité 44

Paragraphe 1 : Le référentiel réglementaire 45

A : La constitution d'un référentiel réglementaire 46

I. Identification du cadre réglementaire 46

II. La vulgarisation de l'information et La simplification des exigences réglementaires 47

66

III. Définition des sanctions encourus 47

VI. Les recommandations 48

B : Simulation d'un référentiel en matière de LAB/FT 48

Paragraphe 2 : La cartographie des risques 52

A : Préconisations méthodologique 52

I. Caractéristiques de la cartographie des risques 52

a) Cartographie exhaustive et précise 52

b) La granularité de la cartographie 53

c) Cartographie formalisée et accessible 53

d) Cartographie évolutive 53

II. Le choix d'une approche 53

a) L'approche Top Down 54

b) L'approche Bottom Up 54

c) L'approche combinée 54

B : L'élaboration de la cartographie des risques 55

I. Identification des risques 55

II. Evaluation des éléments de maîtrise de risques 56

III. La cotation des risques 58

Conclusion générale 61

Bibliographie 62

Table des matières 64

67






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Il faut répondre au mal par la rectitude, au bien par le bien."   Confucius