Responsable conformité externe cabinet courtage assurance DDA ACPR : un courtier peut-il désigner un prestataire non salarié ?

La question de la désignation d’un responsable conformité externe dans un cabinet de courtage en assurance au titre de la DDA est devenue centrale pour les structures de petite et moyenne taille. Face au renforcement des exigences de l’ACPR en matière de gouvernance interne, de nombreux courtiers se demandent s’ils peuvent confier cette fonction critique à un prestataire indépendant plutôt qu’à un salarié du cabinet. La réponse n’est ni un oui catégorique ni un non absolu : elle dépend du cadre réglementaire applicable, de la taille de la structure et des modalités concrètes de mise en œuvre. Cet article analyse en profondeur les conditions, les limites et les bonnes pratiques pour externaliser la fonction de responsable de la conformité DDA tout en respectant les attentes du régulateur.

Le cadre réglementaire de la fonction de conformité pour les intermédiaires en assurance

Les fondements : Directive DDA et Code des assurances

La Directive sur la Distribution d’Assurance (DDA) 2016/97/UE impose aux distributeurs d’assurance de mettre en place des dispositifs de gouvernance proportionnés à la nature, à l’ampleur et à la complexité de leurs activités. L’article 10 de la directive, transposé en droit français, exige que les intermédiaires disposent de procédures organisationnelles et administratives efficaces pour prévenir les conflits d’intérêts et garantir la conformité de la distribution. Le Code des assurances, notamment dans ses articles L. 511-1 et suivants, détaille les obligations des intermédiaires immatriculés à l’ORIAS en matière de capacité professionnelle, d’honorabilité et de gouvernance. Si les textes ne prescrivent pas explicitement la création d’un poste de « responsable de la conformité » pour les courtiers, l’ACPR attend néanmoins que chaque structure puisse identifier clairement la personne ou la fonction chargée de veiller au respect des obligations DDA.

La position de l’ACPR sur la gouvernance des intermédiaires

L’ACPR a précisé ses attentes à travers plusieurs recommandations et rapports de contrôle. Pour les organismes d’assurance soumis à Solvabilité II, la fonction de conformité fait partie des quatre fonctions-clés obligatoires. Pour les intermédiaires, la situation est différente : il n’existe pas d’obligation légale de désigner formellement un « responsable de la conformité » au sens de Solvabilité II. Toutefois, l’ACPR considère que tout intermédiaire, quelle que soit sa taille, doit pouvoir démontrer qu’il a mis en place un dispositif de contrôle interne adapté. Ce dispositif doit couvrir la conformité des procédures de distribution, le respect du devoir de conseil, la gestion des réclamations, la lutte anti-blanchiment et la formation continue DDA. En pratique, lors des contrôles sur place ou sur pièces, l’ACPR vérifie systématiquement l’existence d’une gouvernance documentée, y compris l’identification de la personne responsable de la conformité.

L’externalisation de la fonction de responsable conformité DDA : ce que permet le droit

Le principe de proportionnalité comme fondement de l’externalisation

Le droit français et la directive DDA consacrent un principe de proportionnalité qui constitue le socle juridique permettant l’externalisation de la fonction de conformité. Un cabinet de courtage employant deux ou trois collaborateurs n’a ni les mêmes moyens ni les mêmes besoins qu’un courtier grossiste distribuant des programmes complexes. Ce principe autorise les petites structures à adapter leur dispositif de gouvernance à leur réalité opérationnelle. L’externalisation de tout ou partie de la fonction de conformité à un prestataire externe non salarié est donc juridiquement possible, à condition que certaines garanties soient respectées. Cette possibilité est d’ailleurs cohérente avec la pratique répandue de l’externalisation d’autres fonctions critiques (comptabilité, commissariat aux comptes, DPO externe au titre du RGPD).

Les conditions cumulatives pour une externalisation conforme

Pour qu’un courtier en assurance puisse valablement désigner un responsable de la conformité externe, plusieurs conditions doivent être réunies simultanément. Le non-respect de l’une d’entre elles expose le cabinet à un risque de sanction disciplinaire lors d’un contrôle ACPR. Voici les exigences essentielles :

• Convention d’externalisation écrite et détaillée : un contrat de prestation doit formaliser précisément le périmètre de la mission (contrôle permanent, contrôle périodique, veille réglementaire, plan de mise en conformité), les modalités d’intervention, la fréquence des audits, les livrables attendus et les conditions de reporting au dirigeant.
• Compétence avérée du prestataire : le responsable conformité externe doit justifier d’une expertise reconnue en distribution d’assurance, en réglementation DDA et en contrôle interne. L’ACPR attend que cette personne maîtrise le cadre IAS, les obligations ORIAS, la gestion des réclamations, la POG (Product Oversight and Governance) et la LCB-FT.
• Indépendance et absence de conflit d’intérêts : le prestataire ne doit pas être simultanément impliqué dans les opérations de distribution qu’il est censé contrôler. Un consultant qui rédige les fiches de conseil et audite ensuite leur conformité présente un conflit d’intérêts rédhibitoire.
• Accès effectif aux données et documents : le responsable externe doit pouvoir accéder sans restriction aux dossiers clients, aux registres des réclamations, aux conventions de distribution, aux attestations de formation DDA et à tout document nécessaire à l’exercice de sa mission. Comme l’a montré l’analyse sur le refus de transmission du registre des réclamations lors d’un contrôle ACPR, la rétention d’information est lourdement sanctionnée.
• Responsabilité ultime conservée par le dirigeant : l’externalisation ne transfère jamais la responsabilité finale. Le dirigeant du cabinet demeure personnellement responsable de la conformité globale de sa structure. L’ACPR rappelle systématiquement que la délégation d’une mission opérationnelle ne vaut pas délégation de responsabilité réglementaire.
• Continuité et disponibilité : le prestataire doit être joignable et mobilisable dans des délais raisonnables, notamment en cas de contrôle inopiné de l’ACPR ou de réclamation grave d’un client.

Limites et risques de l’externalisation du responsable conformité DDA

Les réserves exprimées par l’ACPR dans sa doctrine de contrôle

Si l’ACPR n’interdit pas l’externalisation de la fonction de conformité, elle l’encadre avec une vigilance accrue. Les rapports annuels de contrôle des intermédiaires révèlent que les structures ayant externalisé cette fonction sans rigueur suffisante sont régulièrement sanctionnées. Les griefs les plus fréquents portent sur l’absence de convention écrite, l’intervention trop sporadique du prestataire (une visite annuelle ne suffit pas), le manque de traçabilité des actions correctives préconisées et l’impossibilité de démontrer un contrôle effectif et permanent. L’ACPR distingue nettement un contrôle de conformité « de papier » — constitué de modèles génériques non adaptés au cabinet — d’un dispositif réellement opérationnel. Un courtier qui produit un rapport de conformité standardisé acheté à un prestataire sans personnalisation aucune s’expose à un constat de carence.

Le piège de la déresponsabilisation du dirigeant

Le risque principal de l’externalisation réside dans la tentation pour le dirigeant de considérer que la conformité est « gérée » par un tiers et de s’en désintéresser. Or, la responsabilité civile personnelle du dirigeant d’un cabinet de courtage en cas de manquement DDA reste pleine et entière, même lorsqu’un prestataire externe a été mandaté. En cas de contrôle, l’ACPR interrogera le dirigeant sur sa connaissance effective des dispositifs en place, sa compréhension des risques identifiés et les décisions prises en réponse aux recommandations du responsable conformité. Un dirigeant incapable de répondre à ces questions révèle une gouvernance défaillante, indépendamment de la qualité du prestataire.

Les activités qui ne peuvent pas être externalisées

Certaines décisions liées à la conformité relèvent par nature de la direction du cabinet et ne peuvent être déléguées à un tiers externe. Il s’agit notamment de la validation finale de la politique de distribution, de la décision de commercialiser ou retirer un produit du portefeuille, de la réponse aux injonctions de l’ACPR et de la signature des déclarations à TRACFIN. Le responsable conformité externe peut préparer, analyser, recommander, mais la décision appartient au dirigeant. Cette distinction est fondamentale et doit figurer clairement dans la convention d’externalisation.

Comparaison : responsable conformité interne vs externe selon la catégorie IAS

L’opportunité de recourir à un responsable conformité externe dépend aussi de la catégorie d’immatriculation ORIAS et de la taille du cabinet. Le tableau suivant synthétise les spécificités selon les catégories IAS 1, IAS 2 et IAS 3 :

Bonnes pratiques pour réussir l’externalisation de la conformité DDA

Les cabinets de courtage qui externalisent avec succès leur fonction de conformité partagent plusieurs caractéristiques communes. Ils ont formalisé une convention d’externalisation précise, révisée annuellement. Ils organisent des réunions trimestrielles de suivi avec le prestataire, dont les comptes rendus sont archivés. Le dirigeant participe activement à ces réunions et signe les plans d’action. Les collaborateurs du cabinet sont formés et sensibilisés aux enjeux de conformité, ce qui suppose le respect rigoureux de l’obligation de formation continue DDA de 15 heures par an. À ce titre, les cabinets qui souhaitent s’assurer que l’ensemble de leurs équipes disposent des compétences réglementaires requises peuvent s’appuyer sur des programmes de formation DDA 15 heures spécifiquement conçus pour les collaborateurs salariés de cabinet de courtage.

Il est également recommandé de faire réaliser un audit initial approfondi avant de confier la mission au prestataire. Cet audit permet d’établir une cartographie des risques de non-conformité propres au cabinet (devoir de conseil, gestion des réclamations, obligations POG, LCB-FT, archivage des documents contractuels). Le prestataire doit ensuite proposer un plan de remédiation priorisé et un calendrier de mise en conformité. Enfin, il est essentiel que le prestataire externe dispose d’une assurance de responsabilité civile professionnelle couvrant sa mission de conseil en conformité réglementaire.

Questions fréquentes

Un courtier en assurance est-il obligé d’avoir un responsable de la conformité DDA ?

En droit français, il n’existe pas d’obligation légale explicite pour un courtier immatriculé ORIAS de désigner formellement un « responsable de la conformité » au sens de Solvabilité II. Toutefois, l’ACPR exige de tout intermédiaire qu’il dispose d’un dispositif de contrôle interne proportionné à son activité. En pratique, cela implique qu’une personne identifiée — qu’elle soit le dirigeant lui-même, un salarié ou un prestataire externe — soit chargée de veiller au respect des obligations DDA. Les cabinets qui ne peuvent pas identifier cette personne s’exposent à un constat de carence lors d’un contrôle ACPR.

Quel est le profil idéal d’un responsable conformité externe pour un cabinet de courtage ?

Le responsable conformité externe idéal pour un cabinet de courtage en assurance est un professionnel disposant d’une expertise combinée en réglementation de la distribution d’assurance (DDA, Code des assurances), en contrôle interne et en gouvernance des intermédiaires. Il doit maîtriser les obligations ORIAS, les exigences ACPR en matière de devoir de conseil, de gestion des réclamations et de LCB-FT. Une expérience préalable en compliance au sein d’un organisme d’assurance ou d’un cabinet de courtage constitue un atout déterminant. Le site academieconformite.fr recommande de vérifier systématiquement les références et l’assurance RC professionnelle du prestataire avant toute contractualisation.

L’ACPR peut-elle sanctionner un courtier ayant externalisé sa conformité à un prestataire défaillant ?

Oui. L’ACPR sanctionne le courtier, pas le prestataire externe. Le principe fondamental est que l’externalisation d’une fonction ne transfère jamais la responsabilité réglementaire. Si le prestataire externe a fourni un dispositif de conformité insuffisant, inadapté ou fictif, c’est le courtier qui sera mis en cause devant la Commission des sanctions de l’ACPR. Les sanctions peuvent aller de l’avertissement au blâme avec sanction pécuniaire, voire au retrait d’immatriculation ORIAS dans les cas les plus graves. Le dirigeant ne peut pas invoquer la faute du prestataire comme cause exonératoire.

Combien coûte un responsable conformité externe pour un cabinet de courtage en assurance ?

Le coût d’un responsable conformité externe varie considérablement selon le périmètre de la mission, la taille du cabinet et la complexité de son activité. Pour un petit cabinet de courtage généraliste (1 à 5 collaborateurs), il faut compter entre 3 000 et 8 000 euros par an pour une mission incluant un audit annuel, la rédaction et mise à jour des procédures, un plan de contrôle permanent et deux à quatre réunions de suivi. Pour les cabinets distribuant des produits d’investissement fondés sur l’assurance (IBIP), le coût est plus élevé en raison des exigences renforcées. Ce budget reste souvent inférieur au coût d’un salarié dédié à mi-temps, ce qui explique la popularité croissante de cette solution auprès des structures identifiées sur academieconformite.fr comme les plus demandeuses de formations de mise en conformité.