RGPD et responsabilité des entreprises

Entré en vigueur en mai 2018, le Règlement Général sur le Protection des Données (RGPD) a pour objectif, à l’échelle européenne, de renforcer le droit des personnes et de responsabiliser les acteurs traitant des données, qu’ils soient directement responsables ou sous-traitants.

En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL), créée en 1978 par la loi Informatique et Libertés, qui se charge de la protection des données personnelles des fichiers et traitements informatiques ou papier, publics ou privés.

Cette nouvelle réglementation responsabilise les entreprises concernant les données personnelles qu’elles détiennent et prévoit des amendes « proportionnées et dissuasives ». Elles peuvent atteindre 4 % de leur chiffre d’affaires en cas de vol ou de compromission (chapitre VIII, article 83 du Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016). Par ailleurs, les entreprises supportent désormais une obligation de notification si une violation des données personnelles survient.

Conséquences financières

Les entreprises sont contraintes de prendre des mesures en matière de protection des données sensibles qu’elles détiennent sur leurs clients, leurs salariés ou encore leurs partenaires commerciaux. Mais au-delà de l’aspect organisationnel qui en découle, l’impact de cette loi pour les entreprises est financier.

Pour mieux en comprendre l’enjeu, prenons l’exemple de l’enseigne Darty. En 2017, la CNIL a relevé une réelle défaillance de sécurité permettant d’accéder librement à l’ensemble des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Au total, 912 938 fiches étaient potentiellement accessibles, avec des noms, prénoms, adresses postales, adresses mail et commandes.

L’enseigne aurait dû remédier à la situation, même en cas de recours à un sous-traitant, puisqu’en sa qualité de « responsable de traitement », Darty avait l’obligation de s’assurer et de vérifier que l’outil développé par son sous-traitant répondait à l’obligation de confidentialité énoncée à l’article 34 de la loi Informatique et Libertés.

A la suite de ces constatations, Darty a écopé début 2018 d’une sanction administrative à hauteur de 100 000 euros pour ne pas avoir suffisamment sécurisé les données de ses clients.
Aujourd’hui, avec l’entrée en vigueur du RGPD, la sanction représenterait 4 millions d’euros minimum, et pourrait atteindre jusqu’à 19 millions d’euros. L’ordre de grandeur est tout à fait différent.

La protection des données à l’aune du risque cyber

Avec cette nouvelle responsabilité, les entreprises ont donc plus qu’intérêt à mettre en place les mesures nécessaires à la protection des données en leur possession, et ainsi se mettre en conformité avec la loi afin d’éviter de lourdes sanctions financières.

Dans un contexte de plus en plus numérique, la gestion sécurisée de ces données est essentielle pour prévenir tout risque de cyberattaque. Ainsi, les entreprises doivent régulièrement évaluer et renforcer leurs systèmes de sécurité pour faire face aux évolutions constantes des menaces cybernétiques.

La protection des données doit être considérée comme une priorité stratégique. Elle garantit non seulement la conformité réglementaire, mais aussi la préservation de la réputation et de la confiance des parties, ainsi que la pérennité financière de l’entreprise.

Estée Lauder : fuite de données internes

Plus de 440 millions de données du Groupe de cosmétique Estée Lauder se sont retrouvées en libre accès, au début de l’année 2020.

Ces données ne concernaient pas les clients de la marque, mais des informations internes à l’entreprise telles que des audits, des rapports, des adresses mails professionnelles, etc. Heureusement, le cyber incident en est resté là. Mais l’attaque aurait pu avoir de graves conséquences indirectes en affectant notamment la réputation du Groupe.

Selon un rapport d’Hiscox Assurances France sur la gestion des cyber risques, publié en décembre 2020, de nombreuses entreprises victimes de cyberattaques ont constaté une perte de confiance auprès de leurs prospects (15 %), de leurs clients (11 %) mais également de leurs partenaires commerciaux (12 %).

Easyjet : hacking sur les données personnelles des clients

En mai 2020, lors du premier confinement lié à la crise sanitaire, la compagnie aérienne britannique Easyjet a subi une attaque informatique.

Contrairement à Estée Lauder, les hackers ont eu cette fois accès aux informations personnelles de 9 millions de clients EasyJet à travers le monde. Ils ont obtenu des adresses électroniques et les détails de voyage, ainsi que les données des cartes de crédit de plus de 2000 passagers.

Easyjet a réussi à faire preuve de réactivité et pu rapidement entrer en contact avec les clients concernés pour les tenir informés des mesures de protection à suivre.

« Depuis que nous avons pris conscience de l’incident, nous avons compris qu’en raison du Covid-19, il y a de fortes craintes sur l’utilisation de données personnelles pour des arnaques en ligne », a déclaré Johan Lundgren, Directeur Général du Groupe.

L’Université de Californie à San Francisco contrainte de verser une rançon

La célèbre Université UCSF située à San Francisco, aux Etats-Unis, a été victime d’un ransomware qui a paralysé l’accès aux données de son réseau informatique, en juin 2020.

Les spécialistes informatiques de l’établissement n’ont pas été en mesure de stopper à temps la propagation du virus dans leurs systèmes d’information, malgré leur réactivité et la déconnexion des ordinateurs. L’Université a finalement dû se résoudre à payer une rançon d’environ un million d’euros.

Ce cas est malheureusement loin d’être isolé. En France, 18 % des entreprises déclarent avoir payé une rançon à la suite d’une cyberattaque, en 2019.

CMA CGM : deux cyberattaques la même année

Coup sur coup, en l’espace de six mois seulement, la compagnie de transport maritime CMA CGM a subi deux cyberattaques dont l’une, en septembre 2020, liée à l’intrusion d’un logiciel malveillant. Celle-ci visait les serveurs périphériques du Groupe. Une rançon a été exigée.

Immédiatement alertés par la faille, les services de la compagnie ont suspendu tous les accès externes afin d’éviter la propagation du virus informatique.

Ce cas montre qu’une attaque peut donc toucher deux fois la même entreprise à quelques mois d’intervalle. Pourtant, un tiers des entreprises seulement déclarent effectuer une évaluation régulière de la sécurité à la suite d’une cyberattaque, et seules 26 % adoptent de nouvelles exigences en matière de cyber protection.

SolarWinds victime d’une cyberattaque mondiale

L’éditeur américain de logiciels professionnels, SolarWinds, a subi une lourde cyberattaque en décembre 2020. La mise à jour de son logiciel Orion, destiné à la surveillance réseau et informatique, contenait un cheval de Troie.

Près de 18 000 clients sont devenus victimes de cette attaque en installant la mise à jour compromise.
Aux Etats-Unis, l’intrusion a donné accès aux systèmes de plus de 250 administrations, ministères (dont le Pentagone et la NNSA, qui gère l’arsenal nucléaire du pays) et grandes entreprises (Intel, Cisco, Nvidia ou encore Microsoft). Et cela s’est étendu à d’autres pays au Moyen-Orient, en Asie et en Europe.

Compte-tenu de l’ampleur du phénomène, qualifié de « cyberattaque historique », certains assureurs cyber ont refusé de garantir les entreprises utilisatrices du logiciel Orion, ou du moins ont conditionné la mise en place de la garantie.

Qu’est-ce qu’une cyberattaque ?

Une cyberattaque est un acte malveillant qui vise les systèmes d’information ou les entreprises qui utilisent la technologie et les réseaux, dans le but de voler des données ou de modifier, voire détruire, un système.

Ce type d’incident informatique peut avoir de graves conséquences sur la protection des données à caractère personnel ou sur la survie économique de la société victime d’une cyberattaque. Pour donner un ordre d’idée, une cyberattaque coûte en moyenne 1,3 million d’euros à une entreprise, et entraîne une interruption d’activité de 15 jours.

Parmi toutes les formes de cyberattaques qui existent, les rançongiciels, ou ransomwares, sont particulièrement développés. Il s’agit de logiciels malveillants qui prennent en otage des données personnelles en bloquant, par exemple, l’accès à un appareil ou à des fichiers, et exigent le paiement d’une rançon pour en déverrouiller l’accès. En 2020, plus de 1000 entreprises ont constaté des fuites de données provoquées par un rançongiciel.

Risque accru depuis la pandémie

En pleine expansion partout dans le monde, la cyber malveillance a particulièrement profité de la crise liée à la Covid-19, accentuant ainsi les impacts en matière de cybersécurité.

La pandémie a en effet éprouvé les systèmes informatiques des entreprises, notamment avec la mise en place massive du télétravail. Les cybercriminels ont su tirer profit de la vulnérabilité de tous ces télétravailleurs contraints de travailler à distance pendant les confinements. D’ailleurs, d’après l’entreprise Acronis (solution de sauvegarde de données), les cyberattaques ont surtout visé les télétravailleurs et les fournisseurs de services gérés en 2021.

Et comme le télétravail s’est largement démocratisé depuis la pandémie, le phénomène se poursuit. Certaines recherches suggèrent que le travail à distance est devenu la source de 20 % des incidents de cybersécurité et que les rançongiciels sont en augmentation.

Danger pour toutes les entreprises

Le risque cyber est constant pour les grandes entreprises, qui sont régulièrement victimes de cyberattaques. En 2020, on estimait que près d’un tiers des multinationales (31 %) étaient visées par un cybercriminel au moins une fois par jour. Elles sont des cibles privilégiées et représentent 40 % des cyber extorsions en 2023.

Mais contrairement à ce que l’on pourrait croire, les cybercriminels ne visent pas uniquement les grands groupes. Toutes les entreprises, quelle que soit leur taille, sont concernées. La preuve : 48 % des entreprises touchées par des cyberattaques en 2023 étaient des PME. Une part qui augmente, puisqu’en 2022 elles ne représentaient « que » 40 % des attaques (source : Security Navigator 2024 d’Orange Cyberdéfense).

Que vous soyez une TPE, une PME ou une entreprise de plus grande taille, nous sommes donc tous concernés par le risque cyber. Heureusement, des bonnes pratiques permettent de limiter les dégâts, et Servyr peut vous accompagner pour protéger votre activité.

La conformité, une condition essentielle

Un grand nombre d’entreprises françaises travaillent à l’international. En 2018, d’après l’Insee, il existait 45 500 filiales d’entreprises françaises implantées à l’étranger, réparties dans 190 pays. Au total, ce sont environ 4900 groupes français, hors secteur bancaire, qui sont implantés en-dehors de l’Hexagone (source : Insee 2017).

Pour tous ces acteurs, exercer une activité à l’étranger nécessite de mettre en place des garanties pour couvrir les risques auxquels ils sont exposés localement.

Certes, il existe de nombreux contrats d’assurance qui couvrent toutes les entités d’un groupe, qu’elles soient en France ou à l’étranger, sans polices locales. C’est typiquement le cas des contrats d’assurance D&O, aussi appelés contrats d’assurance responsabilités des dirigeants.

Dans certains pays, les polices étrangères ne sont pas autorisées : le « non-admis » n’est pas admis. En effet, 90 % des pays du monde exigent des polices locales, dont 99,9 % des pays qui ont un intérêt industriel (source : HMN & Partners).

Il est donc impossible, en cas de sinistre, de verser une indemnité localement. Dans ce cas, le sinistre est réglé directement auprès du souscripteur en France, selon la « Financial Interest Clause » (la FINC).

Mais cette solution reste risquée et incomplète, pour trois principales raisons. D’abord, parce qu’elle ne permet pas de prendre en charge les frais de représentation juridiques locaux ni l’indemnisation du dirigeant local directement. Et puis, car les parties prenantes locales (filiale, courtier et assureur) s’exposent à des risques de sanctions financières. Enfin, le transfert de l’indemnité perçue par la maison-mère à sa filiale étrangère peut être perçu comme un salaire et faire l’objet d’importantes taxes.

Les acteurs de la conformité

Afin de veiller à la conformité des programmes d’assurance internationaux, plusieurs acteurs jouent un rôle à leur échelle, et les uns avec les autres.

Le courtier

Lors du placement d’un programme international, indépendamment de la ligne d’assurance, le courtier réalise un travail préparatoire prépondérant pour la bonne mise en œuvre du futur programme. Ce travail est mené en cinq étapes.

N°1 : En premier lieu, le courtier référence les pays d’implantation du client et identifie la typologie des activités exercées. Il peut s’agir par exemple de production, de stockage, d’administratif, de facturation, de boîte postale, etc.

N°2 : Dans un deuxième temps, le courtier vérifie la nécessité ou non de placer une police locale, en fonction de la législation locale. En se posant notamment une question prioritaire : le non-admis est-il autorisé ?

N°3 : Le courtier cartographie ensuite la présence géographique des partenaires du réseau, en particulier dans les pays ou une police locale est nécessaire.

N°4 : Puis, il analyse les compétences des partenaires locaux afin de s’assurer qu’ils disposent des expertises requises et qu’ils ont la capacité d’accompagner le client local.

N°5 : Dernière étape, enfin, le courtier met en place un accord bilatéral avec un courtier local en cas d’absence du réseau dans un des pays d’implantation.

Le réseau

Pour fonctionner efficacement en réseau, s’appuyer sur un relais local est fondamental. Ce relais, c’est le courtier local.

Deux missions spécifiques incombent au courtier local. La première : informer Servyr sur les obligations réglementaires locales (assurances ou garanties obligatoires, autorisation du non-admis, etc.) et sur les pratiques du marché. La seconde : représenter localement Servyr et l’assister lors du processus de mise en place du programme d’assurance.

Les compagnies d’assurance

Lors de l’étude de marché, le courtier doit s’assurer que les compagnies d’assurance avec qui il pense placer le programme international disposent d’une licence pour opérer dans les pays d’implantation du client.

L’assureur peut avoir son propre réseau, ou s’appuyer sur une compagnie d’assurance partenaire agréée localement, qui pratiquera pour lui du « fronting ».

Le coordinateur

Le coordinateur international est la pierre angulaire du bon fonctionnement de ce processus multipartite. Il doit veiller à une émission correcte des polices ainsi qu’à leur conformité.

A titre d’exemple, certains pays sont « cash before cover ». Autrement dit, pas de paiement de prime, pas de garantie. Le coordinateur doit donc s’assurer du paiement de la prime avant la prise d’effet des garanties.

L’accompagnement de Servyr

Vous souhaitez mettre en place un programme d’assurance international conforme aux lois en vigueur dans les pays concernés ? Servyr peut vous aider.

En effet, nous disposons d’une équipe dédiée qui travaille sur la mise en place de programmes internationaux sur l’ensemble des lignes d’assurance, en plaçant la conformité au cœur de ses préoccupations.

Avec nos réseaux, nous sommes en mesure d’accompagner nos clients dans plus de 120 pays à travers le monde, et de suivre de près l’évolution de la législation locale sur les assurances.

Des assurances obligatoires

Avant toute chose, il faut savoir qu’en tant que professionnel qui exerce une activité au Royaume-Uni (Angleterre, Ecosse, Pays de Galles et Irlande du Nord) et souhaite s’assurer, il existe des assurances obligatoires selon l’activité exercée.

La responsabilité civile

Parmi les assurances obligatoires au Royaume-Uni, il y a d’abord l’assurance responsabilité civile. Cette assurance est en effet nécessaire pour tous les conducteurs automobiles ainsi que pour les employeurs de façon générale.

Plus spécifiquement, certaines activités exigent une assurance responsabilité civile. C’est le cas pour :

• les essais cliniques,
• les opérateurs d’installations nucléaires,
• les opérateurs de lignes ferroviaires (ou garantie financière),
• les transporteurs aériens et spatiaux,
• les transporteurs de déchets (ou garantie financière),
• les propriétaires de bateaux par rapport à la pollution engendrée (ou garantie financière).

La responsabilité civile professionnelle

Certaines activités et certaines professions requièrent, en revanche, une assurance responsabilité civile professionnelle au Royaume-Uni. Les voici :

• les avocats,
• les intermédiaires en assurances,
• les convoyeurs de fonds,
• les ostéopathes,
• les chiropracteurs,
• les professionnels de santé privés,
• les gestionnaires de sinistres.

Pour tous ces professionnels exerçant leur activité au Royaume-Uni, une assurance responsabilité civile professionnelle est obligatoire.

Institutions financières

Petite particularité : les dirigeants et les employés des institutions financières de type « credit union » doivent par ailleurs souscrire une assurance « fraude », pour se prémunir contre ces risques.

A savoir

Au Royaume-Uni, les polices non-admises sont autorisées, à l’initiative de l’assuré, et sous réserve de l’acceptation par l’assureur. En revanche, il n’y a pas de reconduction tacite et les tarifs ne sont pas statutaires. Un courtier local n’est pas exigé, il n’y a pas non plus d’obligation de collecter la prime localement.

Les assurances professionnelles en détail

Lorsqu’une entreprise française veut s’implanter au Royaume-Uni, il est indispensable de connaître les spécificités des différents programmes d’assurance, obligatoires et non-obligatoires, dans le pays. Petit récapitulatif.

Assurance construction

La couverture tous risques chantiers comporte des garanties très étendues qui peuvent couvrir de nombreux types de dommages. Par exemple, l’assurance construction permet de couvrir le coût de rectification des défauts de conception et de fabrication.

A savoir : la responsabilité civile décennale n’existe pas au Royaume-Uni. Il existe néanmoins des garanties couvrant les dommages matériels sur la structure des locaux durant 10 ans, appelée « latent defects ».

Assurance automobile

Concernant l’assurance auto, obligatoire au Royaume-Uni, retenons plusieurs caractéristiques. A commencer par la limite standard fixée à 20 millions de livres sterling pour les dommages matériels. Par ailleurs, la prime doit obligatoirement être émise en livres sterling (GBP).

A noter : la responsabilité civile automobile est obligatoire, comme évoqué plus haut, et elle ne permet pas le non-admis. Autrement dit, l’assurance choisie doit émaner d’une police locale d’assurance, ou d’un assureur qui dispose de l’agrément adéquat pour effectuer des opérations d’assurance dans le pays.

Assurances dommages

Les assurances dommages protègent contre différents dommages qui pourraient être causés sur des biens, lors d’un sinistre ou d’un accident. Il en existe diverses formules, selon la typologie de risques à couvrir.

Catastrophes naturelles

L’assurance dommages catastrophes naturelles est incluse dans toutes les polices proposées aux particuliers et la plupart des polices pour les professionnels et les entreprises. Elle offre une couverture lorsque survient un événement comme un tremblement de terre ou un incendie suite à un tremblement de terre, une tempête ou une inondation. Dans ces deux derniers cas, la franchise standard est fixée à 1000 livres sterling.

Bon à savoir : les garanties sont intégrées dans le taux de prime.

Attention, la liste des catastrophes naturelles couvertes par les polices dommages n’est pas exhaustive, les polices étant rédigées sur une base de « tous risques ».

Pertes d’exploitation

Un professionnel peut également choisir de se prémunir contre les risques de pertes d’exploitation. Dans ce cas, il faut savoir qu’au Royaume-Uni, la garantie doit être souscrite en Stand-Alone, et qu’elle est automatiquement incluse dans les polices multirisques.

Vol, vandalisme et mouvements populaires

Autre typologie de risques couverts par une assurance dommages : le vol, le vandalisme et les dommages causés par les mouvements populaires. Si une entreprise souscrit à ce type d’assurance au Royaume-Uni, plusieurs particularités sont à connaître.

D’abord, les remboursements au titre de la garantie mouvements populaires sont limités aux sommes recouvrées par les autorités de Police.

Et puis, bon à savoir : la couverture des grèves, émeutes et mouvements populaires est actuellement accordée gratuitement car la plupart des sinistres sont remboursés par un fonds gouvernemental.

Accidents du travail

Au Royaume-Uni comme en France, la gestion des accidents de travail est à la fois publique et privée. En effet, les indemnisations proviennent de la NHS (Sécurité Sociale britannique) et des assurances responsabilité civile employeurs qui sont, pour rappel, obligatoires.

Assurances de responsabilité

En ce qui concerne les assurances de responsabilité, il faut savoir que le contrat responsabilité civile est souscrit sur une base fait dommageable. Voici quelques spécificités liées aux assurances de Responsabilité au Royaume-Uni.

Responsabilité civile produit

Fortement recommandée, la responsabilité civile produit est un indispensable de tout professionnel exerçant au Royaume-Uni. Et pour cause, les textes de lois britanniques étant stricts, les entreprises s’exonèrent difficilement de leur responsabilité lorsque leurs produits causent des dommages.

Attention, toutefois, du changement est à prévoir depuis le Brexit. On attend en effet de pouvoir mesurer l’impact de la sortie de l’Union Européenne sur les textes encadrant la responsabilité civile produit, basés sur des directives européennes. Le nouveau gouvernement a l’intention d’évaluer les textes de lois qui étaient une retranscription des textes européens, pour les modifier le cas échéant.

Responsabilité civile employeur, faute inexcusable

Comme évoqué plus haut, la responsabilité civile employeur fait partie des assurances obligatoires au Royaume-Uni. Plusieurs spécificités entourent cette assurance.
D’abord, toute entreprise doit pouvoir fournir son attestation responsabilité civile employeur à ses employés, en format papier et électronique, et il est obligatoire de la conserver pendant 40 ans.

La couverture minimum de la responsabilité civile employeur au Royaume-Uni est de 5 millions de livres sterling, et la couverture standard est de 10 millions de livres sterling.

Dernier point marquant : il est couramment inclus une sous-limite couvrant la responsabilité de l’employeur vis-à-vis de ses salariés expatriés, qui est généralement de 5 millions de livres sterling.

Responsabilité civile professionnelle

Les mutuelles spécifiques à certains secteurs peuvent proposer une responsabilité civile professionnelle. C’est le cas par exemple de la National Farmers Union Mutual Insurance Company, pour les fermes et certaines activités liées à la production agro-alimentaire.

Responsabilité civile environnement

Comme la responsabilité civile produit, la responsabilité civile environnement est vivement conseillée. Elle vient en effet compléter la garantie « pollution soudaine et accidentelle » proposée par les polices responsabilités civiles habituelles et ainsi offrir une meilleure couverture des risques environnementaux.

Il faut dire que la réglementation en la matière est plutôt stricte, conformément aux directives européennes, et basée sur la responsabilité sans faute selon le principe du « pollueur-payeur ».

Là encore, nous attendons d’avoir plus de recul depuis la sortie de l’UE pour évaluer plus précisément l’impact sur les textes encadrant la responsabilité civile environnement. D’autant plus que le Royaume-Uni a l’objectif d’atteindre zéro émission de gaz à effet de serre d’ici 2050.

Quels changements depuis le Brexit ?

Les impacts de la sortie de l’UE sur les assurances au Royaume-Uni sont multiples, et certains restent encore méconnus.

Néanmoins, nous rencontrons déjà un changement majeur pour le monde de l’assurance post-Brexit : désormais, tout intermédiaire en assurance souhaitant travailler en libre prestation de service avec le Royaume-Uni doit préalablement recevoir l’autorisation de la Financial Conduct Authority (FCA).

Notre valeur ajoutée

Servyr vous accompagne dans l’analyse de vos risques, la mise en place et la gestion de vos programmes d’assurance internationaux. Que vous optiez pour un programme global intégré et/ou une coordination des polices locales, nous vous proposerons la meilleure solution, celle qui répondra le mieux à vos besoins spécifiques.

Nos atouts ? Nous plaçons l’humain au cœur de nos attentions. Grâce à un actionnariat familial et 100 % indépendant, Servyr se positionne à contre-courant des pratiques actuelles et mise sur le long terme, en privilégiant toujours l’intérêt de ses clients.

Notre accompagnement est personnalisé et de proximité. Parce que nous sommes une entreprise à taille humaine qui s’adapte à nos clients, nous faisons preuve de l’agilité nécessaire à la conception de solutions innovantes, pertinentes et sur-mesure. Et pour encore plus d’agilité et de proximité avec nos clients, nous nourrissons des ambitions fortes en matière de digitalisation, et développons des outils de reporting ultra-performants.

A l’international, nous bénéficions d’une réelle expertise. D’abord grâce aux réseaux internationaux avec lesquels nous travaillons comme Howden, Wing (plus de 200 bureaux dans 60 pays), USI, GTCA et GreCo. Et puis avec une équipe dédiée de spécialistes pour accompagner les clients internationaux et les entreprises multinationales.

Avec une présence dans plus de 120 pays, nous proposons des solutions adaptées sur l’ensemble de vos risques, et sommes capables d’apporter un service local à vos filiales, en répondant aux problématiques liées à chaque territoire.

Démarche structurée et sécurisée

Pour y parvenir, Servyr met en place une démarche structurée et sécurisée afin de vous garantir des risques sous contrôle, des garanties homogènes, un accompagnement par des partenaires locaux compétents ainsi qu’un budget et une couverture optimisés.

Dans le détail, nous sécurisons chacune des étapes indispensables à la maîtrise de vos risques à l’international via :

• un audit et une due diligence des polices d’assurance,
• une ingénierie des programmes internationaux,
• une gestion des sinistres en France et à l’étranger,
• une maîtrise des coûts des polices et des services,
• une coordination des polices en France et à l’étranger,
• un reporting global et uniforme à la maison-mère.

Vous souhaitez vous développer à l’international et cherchez des solutions d’assurance en local ou en central qui répondent aux besoins spécifiques de votre organisation ? Contactez-nous.

Gestion en local

Avantages

Beaucoup d’opérateurs choisissent de gérer les sinistres localement, pour différentes raisons. La principale étant que la gestion en local permet d’appliquer le droit local, en particulier en responsabilité civile. Cela simplifie donc grandement les choses, en général.

C’est particulièrement vrai pour tout ce qui concerne la gestion des sinistres simples. L’assuré master n’a plus qu’à, ensuite, faire jouer la clause DIC/DIL de la police mère, si nécessaire. La situation est en revanche plus compliquée lorsqu’il est question de gérer un sinistre complexe. Mais, là encore, la gestion en local est possible.

Risques

Attention, cependant : la gestion en local des sinistres n’est pas sans danger. Il est indispensable de garder à l’esprit que le fait de régler tout ou partie d’un sinistre localement sans agrément est considéré comme une opération de type « non admis », dont les conséquences financières peuvent être importantes, à la fois pour l’assureur comme pour l’assuré (voir à ce sujet notre article « L’assurance à l’international : des spécificités par pays »). Il convient donc d’être particulièrement vigilant sur ce point.

Versement de l’indemnité

Que le sinistre soit géré en local ou non, la principale problématique que rencontrent les opérateurs lorsqu’un tel incident survient à l’international, c’est : comment faire parvenir l’indemnité à l’assuré local, dès lors qu’elle n’est pas entièrement versée au titre de la police locale ? La réponse varie selon le type de programme mis en place.

Programme intégré

Si le groupe a opté pour un programme intégré, deux possibilités. La première : on passe par la police locale. La déclaration et la gestion du sinistre se font localement, le règlement se fait en complément de la garantie locale, il s’agit d’un règlement local effectué par le correspondant local de l’assureur.

La deuxième : on oublie la police locale. La déclaration du sinistre se fait sur la police master, le règlement se fait au premier euro, pas l’assureur master à l’assuré master.

Bon à savoir : dans tous les cas, il est possible d’appliquer la DIC/DIL/FINC en complément de la garantie locale.

Programme coordonné

En revanche, si le groupe a choisi de mettre en place un programme coordonné, alors, une seule solution possible pour le versement de l’indemnité : il faut passer par la police standalone.
La déclaration du sinistre se fait localement. Le règlement, local, est effectué par l’assureur local, au premier euro (sous réserve de franchises prévues au contrat).

A noter que si une clause DIC/DIL a été négociée, il est également possible de régler le complément par la police chapeau.

Communication

Parce qu’il est censé répondre aux besoins et problématiques d’un groupe, le programme d’assurance doit être conçu de sorte de s’adapter en permanence aux évolutions de l’entreprise dans son ensemble, maison-mère et filiales.

Il est donc primordial de définir de quelle façon chaque changement majeur doit être intégré au programme d’assurance, afin de limiter au maximum les risques de défaut de garanties. Ces changements sont multiformes. Ce peuvent être l’ajout ou la suppression d’une nouvelle filiale, une nouvelle implantation géographique ou encore le déploiement d’une nouvelle activité.

Et pour mener à bien la mise en place de ce pré-requis, la communication, à la fois interne et externe, est essentielle.

Des points pluri-annuels, impliquant l’ensemble des intervenants, devront donc être programmés afin de passer en revue tous les sujets qui pourraient impacter le périmètre du programme d’assurance.

Boîte à outils

Autre indispensable pour gérer un programme d’assurance à l’international : l’utilisation d’outils adaptés et complets. Et pour faciliter les process, il est recommandé de constituer dès la mise en place dudit programme une boîte à outils dans laquelle aller piocher la bonne ressource correspondant au besoin à un instant T.

Élaborée avec minutie et pertinence, cette boîte à outils sera une aide précieuse en matière de gestion du programme d’assurance international. Ne négligez donc pas cette étape.

Sinistres simples et sinistres complexes

Pour gérer efficacement un programme d’assurance international, il est également conseillé de scinder les sinistres en deux grandes catégories : les sinistres simples et les sinistres complexes.

La plupart des opérateurs internationaux travaillent en effet ainsi, selon la complexité des sinistres.

Les sinistres simples, d’un côté, sont gérés et réglés localement. L’assuré master fait ensuite jouer la clause DIC/DIL de la police mère si besoin. On entend par « sinistres simples » des incidents relativement fréquents et sans gravité particulière.

Les sinistres complexes, de l’autre côté, sont généralement pilotés par l’assureur master qui, in fine, portera le risque via la réassurance de la police locale. La gestion peut néanmoins rester locale. En effet, la gestion centralisée des sinistres complexes n’est pas une obligation. En revanche, la gestion des sinistres complexes est souvent plus délicate que celles des sinistres simples, car les sinistres complexes englobent généralement des enjeux humains et financiers importants, pouvant parfois même mettre en péril l’image et la pérennité du groupe.

Etat des lieux

Un certain nombre d’étapes préalables sont nécessaires avant de mettre en place un programme d’assurance international dans de bonnes conditions. En effet, un tel dispositif ne peut réussir sans une démarche préparatoire permettant de réunir un certain nombre de facteurs qui sont autant de pré-requis. Et avant de se lancer, il faut commencer par dresser un état des lieux.

Le but : déterminer les principaux enjeux et points de blocage à prendre en compte lors de la structuration et de la mise en place des solutions retenues. Pour cela, il convient de se poser les bonnes questions :

• Quelles sont les expositions et les risques identifiés en France et à l’international ?
• Les solutions locales mises en place répondent-elles à l’ensemble des risques auxquels vous êtes exposé ?
• Quelles sont les contraintes législatives ou réglementaires locales à respecter ?
• Quelle est la politique de l’entreprise en matière d’assurance (curseur de transfert des risques, niveaux de rétention) ?
• Quel(s) degré(s) d’autonomie souhaité(s) pour les filiales ?
• Quels sont les moyens de communication à disposition ?
• Qui sont les pilotes et relais de la politique assurance au sein des filiales (rôle de la direction générale, responsable interne au niveau du groupe) ?
• Sur quels prestataires s’appuyer : conseil et assureurs ?

Mise en place

Une fois cet état des lieux réalisé, vous pouvez passer à l’étape suivante, celle de la mise en place d’un programme d’assurance.

Il faut l’envisager comme un projet qu’il faudra mener étape par étape. La constitution d’un rétroplanning à ce stade est fortement recommandée, afin de respecter les différentes deadlines imposées, notamment en matière de résiliation des contrats d’assurance en place et de prise d’effet des garanties. A ce titre, une attention toute particulière devra être portée aux pays appliquant le « cash before cover », où les garanties ne peuvent être effectives qu’après paiement de la prime d’assurance.

La communication et l’accompagnement sont la clé dans la réussite de la mise en place et l’administration d’un programme d’assurance international.

Communiquer

C’est en effet l’une des composantes de la réussite d’un tel programme. Communiquer clairement et rapidement auprès des filiales du groupe afin de les convaincre ou de les rassurer est essentiel.

En effet, nous constatons couramment certaines formes de « résistance » des filiales, qui ressentent cette initiative comme une remise en cause de leur autonomie ou un facteur d’insécurité quant à l’étendue de leurs couvertures.

Identifier les interlocuteurs

Autre facteur de réussite : l’identification des interlocuteurs internes et externes, qui vous aideront à respecter un schéma de communication simple, afin d’augmenter l’efficience du process de mise en place du programme.

Ces interlocuteurs, qui sont-ils ?

La maison-mère, d’abord. C’est elle qui définit la politique d’assurance pour le groupe, décide de la mise en place des assurances pour le groupe et informe les filiales. C’est elle qui signe également les polices master, règle les primes France et DIC/DIL, déclare les sinistres et est informée des sinistres à l’étranger.

La filiale locale, ensuite. Elle reçoit les instructions de sa maison-mère, définit ses besoins en matière de couvertures locales, signe les polices locales et règle les primes correspondantes. C’est aussi elle qui déclare les sinistres locaux et en informe sa maison-mère.

Autre interlocuteur : le courtier maître. Il identifie et analyse les risques, négocie et met en place les garanties des programmes, donne des instructions à ses correspondants pour la mise en place des polices locales, coordonne l’ensemble du programme, émet les primes France et DIC/DIL, gère les sinistres en France et coordonne ceux à l’étranger.

Le courtier maître donne par ailleurs des instructions à son homologue en local. De son côté, le courtier local veille à la mise en place des polices locales et leur adéquation par rapport aux programmes. Il identifie et analyse également les besoins locaux avec la filiale, émet les primes locales, gère les sinistres locaux et rapporte au courtier maître.

Les courtiers interagissent avec les assureurs. L’assureur maître, d’abord. C’est lui qui tarifie les risques, émet les polices programmes, donne les instructions à l’assureur local, coordonne, avec l’assureur local, l’émission de polices locales, perçoit les primes France et DIC/DIL, coordonne les sinistres à l’étranger et tient informé le courtier maître.

De son côté, l’assureur local reçoit les instructions de l’assureur émetteur. Il émet les polices locales en adéquation avec les programmes, perçoit les primes locales, gère les sinistres locaux et informe l’assureur émetteur ainsi que le courtier local.

Structurer la démarche

Dernière étape essentielle à la mise en place d’un programme d’assurance à l’international : se doter d’outils adéquats qui aideront à structurer la démarche. Il est en effet recommandé de constituer une bibliothèque d’outils supports, dans laquelle les interlocuteurs internes, que ce soit au niveau de la maison-mère ou des filiales, et les interlocuteurs externes (intermédiaires ou assureurs) pourront piocher. Et ainsi fédérer l’ensemble des parties prenantes autour de ce projet.

Dans cette bibliothèque d’outils supports, on peut trouver tout d’abord des supports de communications. Comme par exemple un guideline d’assurance. A destination des différents correspondants internes, ce guideline comprend la présentation de la politique d’assurance du groupe, la synthèse des polices d’assurance du programme, les procédures à respecter et la liste des correspondants internes. On peut aussi trouver les fiches pays, qui résument les spécificités applicables dans chaque pays. Pour plus de simplicité, on peut les classer par thème (réglementation, obligation d’assurance, spécificités) et par points sensibles (risques naturels, politiques, humains). Enfin, autre support de communication pertinent à glisser dans cette bibliothèque d’outils supports : les fiches process. Celles-ci détaillent les procédures à suivre pour répondre aux questions les plus fréquentes (déclaration de sinistres, PCA, etc.).

Dans cette bibliothèque, l’entreprise peut aussi joindre des outils de reporting, et notamment des tableaux de consolidation. Ces derniers pourront ainsi aider à suivre les budgets d’assurances locales et master, en mentionnant les clés de répartition retenues, mais aussi les capitaux déclarés.

Elle peut également joindre des outils de suivi, comme des rapports de visites internes ou externes, un tableau de suivi de prévention ou encore un suivi du paiement des primes.

Enjeux prioritaires

Avant toute chose, face aux multitudes de solutions disponibles, les entreprises doivent arbitrer entre l’utilité ou l’inutilité d’un programme international d’assurance.

La décision de mettre en place un tel programme et la nature dudit programme finalement sélectionné dépendent de chaque entreprise, mais également de la capacité d’accompagnement de ces entreprises par son intermédiaire ou son assureur.

Les programmes doivent être adaptés à la culture de l’entreprise, mais aussi à son implantation géographique. Ils peuvent aussi varier selon le poids exercé par la maison-mère sur ses filiales.

Pour choisir la solution idéale qui répondra aux problématiques particulières de chaque entreprise, l’AMRAE conseille de considérer avec attention quatre enjeux :

• la préservation des intérêts du groupe,
• le besoin d’accès à des marchés spécifiques,
• la simplification du transfert des risques,
• la maîtrise de la communication.

Préservation des intérêts du groupe

En ce qui concerne cet enjeu en particulier, il est ici question de différentes thématiques réunies sous l’appellation « intérêts du groupe ». Il peut s’agir en effet de sécurisation financière, d’intérêts économiques, de respect des valeurs éthiques et de la conformité réglementaire.

Trois grandes questions aideront à connaître le positionnement de l’entreprise par rapport à cet enjeu :

• Un sinistre majeur survenant au sein d’une des filiales peut-il affecter la pérennité du groupe ?
• Pensez-vous pouvoir réaliser des économies d’échelle via la mutualisation des primes, risques et sinistres ?
• Envisagez-vous le déploiement d’une politique homogène au sein de l’ensemble de vos filiales : respect des valeurs éthiques et compliance ?

Besoin d’accès à des marchés spécifiques

Autre enjeu prioritaire identifié par l’AMRAE : le besoin d’accès à des marchés spécifiques. Dans ce cas, l’entreprise doit à nouveau se poser trois grandes questions :

• Rencontrez-vous des difficultés en matière de capacités d’assurances (montants) ?
• Avez-vous besoin de garanties spécifiques qui n’existent pas dans certains pays d’implantation de vos filiales ?
• Pensez-vous qu’il soit nécessaire d’homogénéiser les garanties au sein de l’ensemble des entités du groupe ?

Simplification du transfert des risques

Troisième grand enjeu qui permet de nourrir la réflexion quant à l’utilité ou non d’un programme international d’assurance : la simplification du transfert des risques. Petite spécificité par rapport aux autres enjeux questionnés ici, il faut s’interroger à la fois du point de vue de la maison-mère et de celui des filiales.

Ainsi, la maison-mère doit se poser quatre questions principales :

• Souhaitez-vous mettre en place un seul et unique texte, rédigé dans la langue et régi par la loi du pays de la maison-mère ?
• Souhaitez-vous mettre en place une seule prime globale afin de faciliter le suivi et de réduire les délais de règlement ?
• Avez-vous besoin de mettre en place des assiettes de primes homogènes et en liaison avec les critères développés au sein du groupe (superficie, chiffre d’affaires, etc.) ?

Souhaitez-vous mettre en place une seule et même politique de prévention des risques ?

• Concernant les filiales, une question prédomine :
• Pensez-vous que la mise à disposition d’un interlocuteur spécialisé et compétent, ayant une vue globale et locale du programme d’assurance (servicing broker) soit un atout ?

Maîtrise de la communication

Dernier enjeu prioritaire identifié par l’AMRAE : la maîtrise de la communication, aussi bien interne qu’externe. Sur ce sujet, l’entreprise doit répondre aux questions suivantes :

• Une communication homogène et cohérente auprès de l’ensemble des entités du groupe vous semble-t-elle nécessaire ?
• Attachez-vous une importance à la standardisation des documents (attestations d’assurance, base documentaire pour les appels d’offres, etc.) ?
• Pensez-vous qu’une information généralisée très basique dans le groupe afin de stimuler une culture du risque puisse être une valeur ajoutée pour votre groupe ?
• Est-ce un atout de disposer de formations spécialisées pour le management ou d’autres fonctions parties prenantes de la gestion des risques ?

Prêt pour un programme d’assurance international ?

Peu de « oui »

Si vous avez répondu « oui » à moins d’un tiers de ces questions, alors la mise en place d’un programme dit « intégré » est vraisemblablement prématurée.

Ce qui ne signifie pas pour autant que les enjeux relevés ne sont pas essentiels pour votre entreprise. Seulement, ils nécessitent un accompagnement particulier, notamment en matière de conseils.

Des solutions plus simples, adaptées à votre situation et vos besoins, peuvent être mises en place.

La moyenne

En revanche, si vous avez répondu « oui » à la moitié des questions environ, alors vous êtes à mi-chemin de votre réflexion concernant la mise en place d’un programme d’assurance international.

Un programme d’assurance intégré pourrait répondre à la plupart de vos besoins essentiels et prioritaires. Il faudra cependant rester attentif au degré de maturité de l’ensemble des parties prenantes de votre groupe (direction, filiales).

Vos choix en matière d’assureur, réseaux et intermédiaires, seront déterminants pour la réussite de votre projet.

Une majorité de « oui »

Si vous avez répondu « oui » à la plupart des questions, c’est que vos besoins en matière de centralisation et de simplification sont importants, et nécessitent une analyse approfondie de la nature du programme à mettre en place.

Votre maturité à ce sujet est évidente, ce qui vous permettra de vous orienter plus librement vers un programme d’assurance intégré. Des montages plus complexes peuvent également être envisagés.