La conformité dans le secteur de l’assurance santé est un sujet clé depuis quelques années. A la suite de la crise des subprimes aux Etats Unis en 2008, la conformité prend une place de plus en plus prépondérante dans la gouvernance des entreprises du secteur de la banque et des assurances. Cela nécessite d’adapter les organisations et les modes de fonctionnement afin de pouvoir répondre aux exigences des autorités de contrôle. L’implémentation opérationnelle a été progressive et s’est effectuée sous forme de continuum : audit, certification des comptes, contrôle interne, et enfin conformité en tant que telle. La procédure de conformité doit respecter les obligations au titre de 3 principaux sujets : la directive Solvabilité II, la protection de la clientèle (ou droits des consommateurs), et le règlement RGPD.
Mettre en place une procédure de conformit
Le grand principe de base de la conformité, c’est la gestion des risques, ou comment identifier et maîtriser les risques de non conformité. Il est fondamental de prendre en compte cette problématique dans le cadre de la gestion déléguée. Le donneur d’ordre engage sa responsabilité au même titre que si la gestion était réalisée en interne, et doit ainsi s’assurer que le délégataire est à même de répondre à ces exigences de conformité.
En termes de méthodologie, il est nécessaire de s’assurer de :
- Cartographier et analyser les risques encourus
- Prévoir la couverture de ces risques identifiés via des moyens de maîtrise : veille réglementaire, procédures, contrôles informatiques, plans de contrôle, …
- Démontrer la réalité de l’exécution des moyens de maîtrise, à l’aide de preuves tangibles, par exemple : analyse d’impact d’une évolution réglementaire, puis lors de l’intégration de cette évolution dans les systèmes de production, cahier de recette, PV de validation, …
Cette démarche doit être appliquée par le délégataire de gestion afin de démontrer sa maîtrise de l’activité, permettant ainsi à l’assureur de faire un reporting approprié aux autorités.
Respect de la Directive Solvabilité II
Cette directive européenne se base sur 3 piliers : le premier financier, le deuxième sur la maîtrise de l’activité, et le troisième sur la véracité de l’information communiquée.
Il concerne directement la Délégation de Gestion sur son pilier N°2 car il faut être à même de démontrer aux autorités de contrôle que les risques opérationnels sont cartographiés et évalués, et que des dispositifs adéquats sont mis en place pour leurs maîtrises.
Respect de la protection de la clientèle
En termes de protection de la clientèle, le risque principal à couvrir concerne la vente (y compris prospection avant-vente et conseils).
De nombreux contrôles sont réalisés par l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) à ce sujet. La problématique sera de pouvoir démontrer aux autorités que ce qui est vendu est conforme avec le besoin du client.
Un point clé concernant la délégation de gestion : en aucun cas le délégataire ne sera autorisé à renseigner sur des données de vente, et devra donc renvoyer toutes les questions relatives à la vente vers son délégant, porteur de risque ou intermédiaire habilité.
Respect du règlement RGPD
Le Règlement Général sur la Protection des Données est un règlement à venir, qui entrera en application sans transposition nationale à partir du 25/05/2018.
Il concerne la protection des données personnelles, et c’est le grand chantier à mettre en place. Précédemment réalisé sous forme d’autorisation explicite a priori, le traitement des données médico-administratives prendra la forme de contrôles a postériori, ce qui contribuera à créer une insécurité certaine pour les assureurs. Trois sujets principaux seront concernés :
- La cohérence de la récolte d’information au regard de la finalité du traitement
- Les règles d’accès aux informations (habilitations)
- Le délai de conservation des informations (qui devra être raisonnable)
Il est primordial de s’assurer que les partenaires seront en capacité de répondre à ces nouvelles exigences, à la date requise. Une précédente expérience sur la gestion de registre des données (dictionnaire de données, propriétés de celles-ci, dont les règles d’accès) et d’anonymisation des informations est clairement un atout pour préparer l’arrivée de ce nouveau règlement.
Pour avoir plus d’informations sur la délégation de gestion, téléchargez gratuitement notre livre blanc : "Assurance santé : quelle place pour la délégation de gestion" !