La conformité dans le secteur de l’assurance santé est un sujet clé depuis quelques années. A la suite de la crise des subprimes aux Etats Unis en 2008, la conformité prend une place de plus en plus prépondérante dans la gouvernance des entreprises du secteur de la banque et des assurances. Cela nécessite d’adapter les organisations et les modes de fonctionnement afin de pouvoir répondre aux exigences des autorités de contrôle. L’implémentation opérationnelle a été progressive et s’est effectuée sous forme de continuum : audit, certification des comptes, contrôle interne, et enfin conformité en tant que telle. La procédure de conformité doit respecter les obligations au titre de 3 principaux sujets : la directive Solvabilité II, la protection de la clientèle (ou droits des consommateurs), et le règlement RGPD.
Le grand principe de base de la conformité, c’est la gestion des risques, ou comment identifier et maîtriser les risques de non conformité. Il est fondamental de prendre en compte cette problématique dans le cadre de la gestion déléguée. Le donneur d’ordre engage sa responsabilité au même titre que si la gestion était réalisée en interne, et doit ainsi s’assurer que le délégataire est à même de répondre à ces exigences de conformité.
En termes de méthodologie, il est nécessaire de s’assurer de :
Cette démarche doit être appliquée par le délégataire de gestion afin de démontrer sa maîtrise de l’activité, permettant ainsi à l’assureur de faire un reporting approprié aux autorités.
Cette directive européenne se base sur 3 piliers : le premier financier, le deuxième sur la maîtrise de l’activité, et le troisième sur la véracité de l’information communiquée.
Il concerne directement la Délégation de Gestion sur son pilier N°2 car il faut être à même de démontrer aux autorités de contrôle que les risques opérationnels sont cartographiés et évalués, et que des dispositifs adéquats sont mis en place pour leurs maîtrises.
En termes de protection de la clientèle, le risque principal à couvrir concerne la vente (y compris prospection avant-vente et conseils).
De nombreux contrôles sont réalisés par l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) à ce sujet. La problématique sera de pouvoir démontrer aux autorités que ce qui est vendu est conforme avec le besoin du client.
Un point clé concernant la délégation de gestion : en aucun cas le délégataire ne sera autorisé à renseigner sur des données de vente, et devra donc renvoyer toutes les questions relatives à la vente vers son délégant, porteur de risque ou intermédiaire habilité.
Le Règlement Général sur la Protection des Données est un règlement à venir, qui entrera en application sans transposition nationale à partir du 25/05/2018.
Il concerne la protection des données personnelles, et c’est le grand chantier à mettre en place. Précédemment réalisé sous forme d’autorisation explicite a priori, le traitement des données médico-administratives prendra la forme de contrôles a postériori, ce qui contribuera à créer une insécurité certaine pour les assureurs. Trois sujets principaux seront concernés :
Il est primordial de s’assurer que les partenaires seront en capacité de répondre à ces nouvelles exigences, à la date requise. Une précédente expérience sur la gestion de registre des données (dictionnaire de données, propriétés de celles-ci, dont les règles d’accès) et d’anonymisation des informations est clairement un atout pour préparer l’arrivée de ce nouveau règlement.
Pour avoir plus d’informations sur la délégation de gestion, téléchargez gratuitement notre livre blanc : "Assurance santé : quelle place pour la délégation de gestion" !