Conservation des documents de (ré)assurance dans un datacenter ou un cloud : l’autorisation préalable de la Banque nationale ou de la FSMA est nécessaire

Arrêté royal portant approbation du règlement de l'Autorité des services et marchés financiers du 30 juin 2020 relatif au lieu de conservation des documents d'assurance

De plus en plus d’entreprises d’assurance et d’entreprises de réassurance optent pour un environnement « paper-poor » et conservent les documents relatifs à leurs activités dans des datacenters ou des clouds. En vertu de la loi Solvabilité II du 13 mars 2016 et de la loi du 4 avril 2014 relative aux assurances, elles doivent obtenir l’autorisation préalable de la Banque nationale de Belgique ou de la FSMA pour la « conservation de documents en un autre lieu ». Deux tout nouveaux règlements précisent aujourd’hui quelles sont les modalités et les conditions de cette autorisation :
  • le « Règlement de la Banque nationale de Belgique relatif au lieu de conservation des documents d’assurance ou de réassurance » du 12 mai 2020 et
  • le « Règlement de l’Autorité des services et marchés financiers relatif au lieu de conservation des documents d’assurance » du 30 juin 2020.
Les deux règlements font la distinction entre une procédure d’autorisation rapide et simplifiée pour les entreprises qui satisfont à certains critères bien déterminés et une procédure d’autorisation classique, un peu plus longue, pour les autres cas.

Obligation de conservation des documents de (ré)assurance

La loi Solvabilité II du 13 mars 2016 prévoit que les entreprises de (ré)assurance doivent conserver tous les documents qui se rapportent à leurs activités dans leur siège social ou un autre lieu qui a préalablement été autorisé par la Banque nationale de Belgique (en concertation avec la FSMA). La loi du 4 avril 2014 relative aux assurances va encore un peu plus loin et oblige les assureurs belges à toujours conserver les documents dans leur siège principal. Les assureurs étrangers doivent conserver les informations dans le siège belge de leurs succursales ou dans un autre lieu préalablement autorisé par la Banque nationale et la FSMA.

Il arrive de plus en plus fréquemment que les entreprises choisissent de conserver leurs documents dans des datacenters ou des supports IT sécurisés similaires, tels que des « clouds ». Rien ne les y empêche, mais ces lieux de conservation numériques doivent également avoir été préalablement autorisés. Tant la BNB que la FSMA ont désormais établi un règlement général d’autorisation qui distingue, d’une part, une procédure simplifiée dans le cadre de laquelle elles doivent se prononcer dans les huit semaines et une procédure classique dans le cadre de laquelle elles doivent se prononcer dans les trois mois.

Les règlements concernent « les originaux des contrats (polices et avenants), les courriers envoyés aux preneurs d’assurance et les rapports prudentiels requis par la loi.

Procédure d’autorisation simplifiée

De manière générale, les entreprises doivent satisfaire aux critères suivants pour pouvoir prétendre à la procédure simplifiée :
  • l’entreprise a en permanence accès aux documents qui sont stockés dans le datacenter ou le cloud ;
  • l’entreprise est en mesure de répondre dans les deux jours, de manière complète et adéquate, aux demandes d’accès formulées par la Banque, la FSMA ou les autorités judiciaires belges ;
  • l’entreprise garde le contrôle des conséquences importantes sur son profil de risque, y compris si celles-ci dépendent de décisions prises par le prestataire de services concernant le datacenter ou le cloud. Dans le cas de telles modifications importantes, l’entreprise doit avoir la possibilité de mettre fin au contrat et de transférer les documents vers un autre système de conservation si l’entreprise n’accepte pas les modifications ;
  • le datacenter ou le cloud doit garantir que les documents stockés restent intangibles, intacts et disponibles, que le RGPD et les règles de confidentialité sont respectés et qu’il sera répondu aux attentes prudentielles de la Banque en matière de sécurité informatique et de continuité.
Si la conservation des documents est confiée à un tiers, une convention est conclue entre les deux parties pour régler leurs droits et obligations et fixer les modalités de la conservation.

Autorisation simplifiée en cas de conservation sur papier

Les entreprises qui souhaitent conserver (tout ou partie de) leurs documents sur papier doivent remplir d’autres conditions pour entrer en ligne de compte pour la procédure d’autorisation simplifiée :
  • les documents relatifs au même portefeuille d’activités doivent être conservés au même endroit ;
  • le(s) lieu(x) de conservation doi(ven)t être accessible(s) à la Banque, à la FSMA et aux autorités judiciaires et respecter les mesures de protection contre le feu qui visent à garantir l’intégrité des documents ;
  • si tous les documents ne sont pas conservés sur des supports IT, le(s) lieu(x) de conservation doi(ven)t se situer en Belgique ;
  • l’entreprise doit contrôler périodiquement les mesures de sécurité et de continuité.

En cas de sous-traitance, une convention doit être conclue entre les deux parties pour régler la conservation des documents et les droits et obligations qui s’y rapportent.

Procédure d’autorisation classique

La procédure d’autorisation classique est appliquée dans tous les cas où la procédure simplifiée n’est pas possible, par exemple lorsque les documents sont conservés sur support électronique ou sur papier dans un pays tiers situé en dehors de l’Espace économique européen.

La demande d’autorisation est accompagnée dans ce cas d’un dossier très détaillé contenant, entre autres, une description du périmètre du système de conservation en projet, les raisons pour lesquelles l’entreprise estime qu’il est préférable de conserver les documents dans un lieu autre que son siège social, une description des mécanismes permettant que l’entreprise ait en permanence accès aux documents stockés et que ces documents soient accessibles à la BNB, à la FSMA et aux autorités judiciaires, etc.

Arrêtés d’approbation

Les deux règlements ont été approuvés par des arrêtés royaux du 31 juillet 2020 qui sont entrés en vigueur le 21 septembre 2020.

Laure Lemmens
Wolters Kluwer
  57