B8 Sous-traitance - Publication 08/04/2021

1. Politique de sous-traitance

1.1 Objectifs et périmètre

La politique d’externalisation définit les règles applicables à la sous-traitance, sous la responsabilité du directeur du pilotage de la sous-traitance, lui-même rattaché au secrétaire général. La déclinaison opérationnelle et sa mise en œuvre sont de la responsabilité des directeurs des business units et des directeurs des fonctions Groupe sur leurs périmètres respectifs.

La politique d’externalisation du groupe CNP Assurances est approuvée par le conseil d’administration de CNP Assurances.

La politique d’externalisation du Groupe s’inscrit dans le cadre de la directive Solvabilité 2. Elle respecte les mesures votées par le Parlement européen qui soulignent les exigences relatives à la sous-traitance d’activités :

- Article 38 : l'assureur garantit au superviseur l'accès aux données sur les activités sous-traitées, lui permettant d'exercer une surveillance de ces activités ;

- Article 41 : l’assureur dispose d'une politique de sous-traitance ;

- Article 49 : l’assureur conserve la responsabilité du respect des exigences de la directive lorsqu'il sous-traite une activité.

Elle s’inscrit également dans le cadre du règlement général européen relatif à la protection des données à caractère personnel (RGPD) qui fait peser un certain nombre d’obligations sur les sous-traitants.

L’externalisation²³ est définie comme l’exécution par une tierce partie d’un service ou d’une activité qui fait partie du modèle d’entreprise CNP Assurances, et qui serait, autrement, exécutée par elle. Cette définition inclut :

- la délégation de gestion, laquelle recouvre la gestion de contrats confiée à un tiers ayant d’autres liens importants avec CNP Assurances. C’est le cas d’un partenaire distributeur, d’un apporteur d’affaires, ou d’une personne morale ayant des relations capitalistiques avec CNP Assurances ;

- le fait de confier une activité ou une fonction à une autre entité du groupe CNP Assurances (notamment une filiale) ; - la sélection du risque, pour les contrats qui en comportent, conduisant à la souscription de l’opération d’assurance

au nom ou pour le compte de CNP Assurances.

Cette définition exclut :

- la présentation des opérations d’assurance, à l’exception de la sélection du risque visée ci-dessus ; - la collecte des primes en assurance collective et en assurance de couverture de prêt.

23 Définition conforme au texte « Advice for Level 2 Implementing Measures on Solvency II: System of Governance ».

CNP Assurances SFCR Groupe au 31 décembre 2020

La directive Solvabilité 2 introduit la notion de fonctions ou activités critiques ou importantes²⁴, lesquelles doivent faire l’objet d’une attention particulière en cas de sous-traitance. Pour CNP Assurances, entrent dans le champ d’application de ces fonctions ou activités critiques ou importantes :

- la délégation de l’une des fonctions clés, au sens de la directive Solvabilité 2 : o la fonction de gestion des risques,

o la fonction de vérification de la conformité, o la fonction d'audit interne,

o la fonction actuarielle ;

- l’externalisation d’activités essentielles à la continuité d’activité de CNP Assurances ; sont considérées comme telles les activités dont l’altération ou la dégradation pourrait nuire gravement à la prestation continue d’un niveau de service satisfaisant à l’égard des assurés, souscripteurs et bénéficiaires de contrats et des entreprises

réassurées.

Sur la base des principes directeurs de cette politique de sous-traitance, les filiales du Groupe ont décliné dans leur propre politique les principes, règles de gouvernance et de pilotage en tenant compte de leurs spécificités et dans le respect de la réglementation locale.

Chaque filiale définit ainsi dans sa politique le champ d’application ainsi que la notion d’activités critiques et importantes.

Caixa Seguradora, qui n’est pas soumise à la directive Solvabilité 2, dispose également d’une politique de sous-traitance. Cette politique précise que les activités « importantes » ou « fondamentales » pour l’entreprise ne peuvent pas être externalisées.

1.2 Les comités

1.2.1 Le comité d’engagement de la sous-traitance (CEST)

Au niveau de CNP Assurances, le comité d’engagement de la sous-traitance est animé par le directeur du pilotage de la sous-traitance.

Il est composé :

- du secrétaire général ;

- du directeur des risques Groupe ;

- du directeur de l’expérience client et des systèmes d’information ; - du directeur des ressources humaines ;

24 Définition issues de la directive 2009/138/CE « Solvabilité 2 » de l’Ordonnance n°2015-378 du 2 avril 2015 et du Décret n°

2015-513 du 7 mai 2015 et des recommandations de l'Autorité européenne des assurances et des pensions professionnelles (EIOPA).

CNP Assurances SFCR Groupe au 31 décembre 2020

77 - du directeur du pilotage et de la performance ;

- et selon les sujets à étudier, du directeur de la business unit ou de la fonction Groupe concernée.

Le CEST analyse le dossier d’engagement de sous-traitance, vérifie la conformité du projet au regard des règles et de la politique de sous-traitance et émet un avis sur le projet.

Les filiales mettent en place un processus de sélection afin de vérifier les compétences et la solidité financière des sous-traitants, de contractualisation et de suivi de ses sous-traitants afin de s’assurer en permanence de la qualité de la prestation rendue. Ce processus est propre à chaque filiale et répond au principe de proportionnalité.

1.2.2 Le comité de qualification de la sous-traitance (CQST)

Au niveau de CNP Assurances, il est animé par le directeur du pilotage de la sous-traitance. Il est composé : - du responsable des risques opérationnels et du contrôle interne de la direction des risques Groupe ;

- du responsable du département droit des affaires de la direction juridique Groupe ; - du directeur de la conformité ;

- du data protection officer (DPO) ;

- du responsable du service du management des crises et de la continuité d’activité ; - du responsable de la sécurité des systèmes d’information (RSSI) ;

- et selon les sujets à étudier de la business unit ou de la fonction Groupe concernée.

Après analyse du dossier de qualification de la sous-traitance réalisé par la business unit ou fonction Groupe, le CQST se positionne sur la criticité de la prestation (critique ou importante, sensible, normale).

1.2.3 Le comité de pilotage de la sous-traitance (CPST)

Au niveau de CNP Assurances, il est animé par le directeur du pilotage de la sous-traitance. Il est composé : - du secrétaire général ;

- du directeur des risques Groupe ; - du directeur des ressources humaines ; - du directeur du pilotage et de la performance ;

- et selon les sujets à étudier de la business unit ou de la fonction Groupe concernée.

Un CPST annuel est prévu par business unit, par fonction Groupe ou par prestataire qui intervient de façon transverse dans l’entreprise.

Le CPST a pour objet de superviser l’ensemble des activités sous-traitées sur le périmètre étudié et leurs perspectives d’évolution.

CNP Assurances SFCR Groupe au 31 décembre 2020

1.2.4 Le comité des risques opérationnels et du contrôle interne (CROCI) Cf. section B5 pour les détails relatifs à ce comité.

Ce comité suit notamment les risques liés à la sous-traitance et veille à l’évolution de la couverture du risque de sous-traitance.

2. Activités critiques ou importantes sous-traitées

Le groupe CNP Assurances a cartographié les activités sous-traitées et identifié celles considérées comme étant critiques et importantes.

Le groupe CNP Assurances sous-traite, dans une proportion variable selon les entités, certaines activités critiques ou importantes au sens de la directive Solvabilité 2 dans les domaines suivants :

- gestion des contrats et de la relation client ; - gestion des actifs ;

- gestion des systèmes d’information.

3. Accords intra-groupe de sous-traitance significative

En termes d’accords significatifs de sous-traitance intra-groupe et au-delà des accords de sous-traitance mentionnés dans la cartographie plus haut, il est à noter une convention liant CNP Assurances à CNP technologie de l’information et au groupement partenariat administratifs qui sont deux GIE intervenant respectivement sur la gestion des systèmes d’informations et la gestion d’opérations d'assurance (prévoyance, dépendance et emprunteur). CNP Assurances est membre de ces deux GIE.

de risque

CNP Assurances SFCR Groupe au 31 décembre 2020

Dans le document Publication 08/04/2021 SFCR 2020 Groupe CNP Assurances Télécharger en .PDF (4,1 MB) (Page 75-80)