ES
Téléchargé parEmilie Scalla
2,645 vues

Les Cahiers de la Banque - Edition 2018

Le document traite des défis auxquels les banques doivent faire face en 2018, notamment la transformation digitale, la conformité réglementaire et la gestion des données. La concurrence accrue des fintechs, les nouvelles régulations, comme le GDPR, et l'importance croissante des regtechs soulignent la nécessité d'adapter les modèles économiques pour améliorer l'efficacité et l'expérience client. Les innovations technologiques, telles que les robo-advisors, émergent comme des solutions prometteuses pour répondre aux attentes des clients tout en réduisant les coûts.

Intégrer la présentation

Téléchargé 19 fois
LES CAHIERS DE LA BANQUE ÉDITION 2018 LES DEFIS DE LA BANQUE DE DEMAIN : ENTRE INNOVATION ET CONFORMITÉ
@SiaPartners Linkedin s i a - p a r t n e r s . c o m
Édito Transformation digitale, mise en conformité, gestion des données, Sia Partners fait le point sur les principaux enjeux de l’année 2018. De la banque d’investissement à la banque privée en passant par les fonctions support, la transformation digitale est aujourd’hui une réalité que les groupes bancaires ne peuvent plus ignorer. La concurrence des fintechs, qui prennent de plus en plus de parts de marché, ne fait qu’accentuer cette tendance. C’est le cas notamment des robo-advisors qui, en proposant un service de gestion automatisée de portefeuille, permettent de conquérir et de fidéliser une clien- tèle friande d’un conseil simple et efficace ainsi que d’une tarification réduite et transparente. Par ailleurs, dans un environnement réglementaire toujours plus dense, les banques sont incitées à faire appels aux services des RegTechs dans un objectif de standardisation de leur processus de conformité et de transparence vis-à-vis du régulateur. Sia Partners revient également sur l’importance de la gestion des données. Connaitre, maitriser et utiliser l’ensemble des données disponibles est devenu un avantage et un atout certain dans un objectif de réduction des couts, d’amé- lioration de l’expérience client et plus généralement de compétitivité. Le Règlement Général sur la Protection des Données (GDPR), entrant en vigueur en mai 2018, vient renforcer les obligations des acteurs bancaires en matière de gestion des données personnelles : 90 millions d’euros en moyenne, c’est le coût estimé par Sia Partners de la mise en conformité GDPR d’un groupe bancaire du CAC40. 3
SOMMAIRE 05 07 09 11 14 16 18 21 24 27 30 32 Enjeux du secteur de la BFI : Conformité et Innovation Le digital, une révolution pour le monde de la banque privée La seconde génération de robo-advisors, un pont entre l’IA et la gestion patrimoniale Est-ce la fin de la carte bancaire ? Le bitcoin et ses impacts financiers : La future devise supranationale ? Une volonté d’harmonisation des pratiques européennes de supervision des institutions financières ICAAP et ILAAP : Quelles attentes de la BCE pour les prochaines années ? De l’importance d’une fonction ALM de second niveau robuste Le recours aux Prestations de Services Essentiels Externalisées pour les banques, une tendance forte du marché ? Chief Data Officer (CDO) vs Data Protection Officer (DPO) : Focus sur les métiers clés de la gestion des données GDPR en banque privée : Revue des principaux enjeux Biométrie : Vers un monde bancaire plus sécurisé ? 4
Enjeux du secteur de la BFI : Conformité et Innovation EMIR, Dodd-Frank, Volcker, MiFID 2, BCBS 239, Bâle IV, IFRS 9… malgré la lourdeur réglementaire qui ne cesse de s’ac- croitre, les Banques de Financement et d’Investissement (BFI) européennes continuent de proposer des services à haute valeur ajoutée à leurs clients. Cependant, elles peinent à augmenter leur rentabilité dans un environnement de taux d’intérêts faibles et de hausse constante des coûts de mise en conformité réglementaire accentués également par les enjeux de gestion et de mise à jour de la qualité des données client dans le cadre des processus KYC1 et de LCB-FT2 . Panorama des principaux enjeux de la BFI Malgré de lourds investissements ces cinq dernières années, les processus actuels, manuels ou automatisés, ne sont plus suffisamment flexibles et/ou efficaces pour répondre aux dynamiques évolutives des besoins réglementaires ainsi qu’au changement rapide des données client auxquelles elles ont actuellement accès. Ainsi, la maîtrise des coûts et la gestion de la qualité de ces données réglementaires dans les outils informatiques existants restent encore un enjeu majeur pour les BFI qui doivent gagner en flexibilité et en réactivité dans ce domaine. 1 Know Your Customer 2 Lutte contre le Blanchiment d’argent et le Financement du Terrorisme Les RegTech, au cœur de l’innovation du secteur de la BFI ? Le développement rapide des innovations technologiques (big data, distributed led- ger technology / blockchain, machine learning, etc.) sur lesquelles se basent les RegTech peut apporter des réponses efficaces à l’ensemble de ces défis à condition de capitaliser sur les projets de rationalisation et d’optimisation des outils informatiques déjà initiés. Considérées de prime abord comme des concurrentes, les RegTech sont nom- breuses à avoir revu leur modèle en se positionnant en tant que fournisseurs de solutions intégrées et adaptées au Panorama des principaux enjeux de la BFI secteur de la BFI, en raison de barrières à l’entrée jugées trop importantes sur le marché européen. Ces nouveaux acteurs, qui ont surtout émergé ces cinq dernières années, proposent des services spécia- lisés et/ou « clés en main » dans les do- maines suivants : production de reporting réglementaires, cyber-sécurité, lutte an- ti-fraude, gestion du risque, etc. Le recours au machine learning (champ d'étude de l’intelligence artificielle qui donne aux ordinateurs la capacité d'ap- prendre sans être explicitement pro- grammés) permettrait également aux BFI d’externaliser ou d’optimiser certaines fonctions telles que le traitement des KYC ou la surveillance des abus de marché Risques politiques (administration US, Brexit) Impacts au niveau du modèle opérationnel Revue de l’agenda réglementaire Perte du passeport européen Coût du risque & des ressources Contraintes de capital & de liquidité RWA Environnement Taux d’intérêts faibles Onboarding client LCB-FT / KYC Changements commerciaux Plateformes électroniques Perte d’intérêts selon les actifs (dérivés de crédit & matières premières) Technologies Distributed ledgers Nouveaux algorithmes Big data General data protection regulation Shadow Banking Innovation Rentabilité • FinTech • RegTech • Technologies • Nouveaux produits • Réduction des coûts • IT/ Automatisation des process • Restructuration • STP Conformité • VOLCKER • EMIR • BCBS 239 • MiFID II • FATCA/CRS Principaux enjeux de la BFI 5
dans le cadre de la réglementation MAD/ MAR 2. Le traitement des enjeux régle- mentaires serait profondément transfor- mé puisqu’elles seraient capables de trai- ter et d’analyser une quantité de données plus importante qu’un être humain avec une marge d’erreur plus faible. Par ailleurs, la livraison de solutions en continu contribuerait également à revoir en profondeur les méthodologies internes de gestion de projet et à limiter le temps de travail en faisant travailler de manière rapprochée les lignes métiers, les fonc- tions supports et les départements IT. Les BFI à l’épreuve d’un contexte politique instable Bien que ces innovations financières soient encore peu implémentées et leur retour sur investissement mal connu à ce jour, elles promettent d’offrir une réponse alternative et une transition stratégique à de nom- breux défis réglementaires et d’organisa- tion permettant notamment aux BFI de ne pas délaisser leur programme de maîtrise de coûts. Il ne faut cependant pas oublier que les BFI basées à Londres évoluent également dans un contexte politique instable, mar- qué par le déclenchement du Brexit suite à la mise en œuvre de l’article 50 du trai- té de Lisbonne par le Royaume-Uni le 29 mars 2017. Elles sont progressivement passées d’une phase d’incertitude à une réalité qui durera deux ans et qui pourra notamment remettre en question certains de leurs plans de transformation en cours ainsi que leurs « business model » (en cas de perte du passeport européen). 6
1 Insee, le patrimoine des ménages début 2015 2 Rapport annuel COR, juin 2016 3 TNS Sofrès, février 2016 Un environnement complexe favorable à la mutation en banque privée Les acteurs de la banque privée sont au- jourd’hui confrontés à trois grandes pro- blématiques : des enjeux économiques, une réglementation accrue et une évolu- tion des attentes des clients. - Les enjeux économiques Dans un contexte de taux bas et avec des clients de plus en plus prudents investis- sant dans des produits moins risqués et donc moins rémunérateurs, les banques privées font face à une réduction de leurs marges impliquant une pression sur les coûts opérationnels. Par ailleurs, la concur- rence est de plus en plus forte, non seule- ment entre les banques privées mais aussi et surtout avec les fintechs dont le nombre a plus que doublé entre 2012 et 2015. - Une réglementation accrue L’entrée en vigueur de nouvelles réglemen- tations telles que MIFID 2 bouleverse le business model des banques privées. La mise en conformité est complexe dans la mesure où elle implique non seulement une modification de la structure de rému- nération des banques (avec la fin des rétro- cessions) mais également des coûts liés à la mise en place de nouveaux systèmes d’information, processus et contrôles. Suite à la crise financière de 2008, les banques privées se sont tenues à l’écart de tout investissement dans des projets digitaux en raison d’une réduction de leurs marges et de leurs revenus. Aujourd’hui, avec la concurrence des fintechs qui prennent de plus en plus de parts de marché, elles n’ont plus d’autre choix que d’amorcer leur virage digital. Quels sont les enjeux auxquels sont confrontées les banques privées et comment le digital peut-il apporter une réponse? - Une évolution des attentes des clients Les clients sont de plus en plus exigeants et n’hésitent plus à diversifier l’allocation de leurs actifs entre plusieurs banques privées afin de réduire leur risque et de maximiser leur rendement. De plus, l’essor des fintechs donnent de nouveaux repères aux clients qui ac- cordent une importance grandissante à l’immédiateté et la simplicité d’utilisation des services. Et contrairement à ce que l’on pourrait penser, l’appétence pour le digital ne se limite pas à une clientèle de jeunes entrepreneurs de la génération Y. Les seniors sont tout aussi demandeurs, à la recherche d’un service à la fois efficace et à forte valeur ajoutée. Enfin, dans un contexte de défiance en- vers les institutions, les clients sont de- mandeurs de transparence et d’objectivité dans le conseil prodigué. Le digital, un moyen d’allier rentabilité et satisfaction client Dans cet environnement complexe, le di- gital est un des éléments de réponse aux enjeux d’accroissement des revenus et d’efficience opérationnelle. Les banques privées peuvent s’allier aux fintechs, et utiliser des outils de robotisation et d’in- telligence artificielle conçus par elles, Le digital, une révolution pour le monde de la banque privée 7
Nombre d’entreprises créées depuis 2009 Plateformes avec assistance d’un conseiller 2 1 1 4 4 5 2009 2012 2013 2014 2015 2016 Source: Tracxn Report – Décembre 2016 3 3 6 4 15 20 36 67 22 2008 2009 2010 2011 2012 2013 2014 2015 2016 Nombre d’entreprises créées depuis 2008 – Plateformes pures afin de conquérir la clientèle privée. Elles peuvent notamment faire du scrapping (récolter de la donnée non structurée) sur les réseaux sociaux, analyser ces données, en déduire la satisfaction des clients et concevoir des services person- nalisés au plus proche de leurs besoins. Par ailleurs, les robo-advisors, proposant un service de gestion automatisée de por- tefeuille, sont un bon moyen de conquérir et de fidéliser une clientèle friande d’un conseil simple et efficace ainsi que d’une tarification réduite et transparente. C’est le cas d’UBS, qui a lancé son robo-advi- sor «UBS SmartWealth » en novembre 2016 (au Royaume-Uni dans un premier temps). Enfin, les banques privées pourraient ga- gner en efficacité opérationnelle en digita- lisant les tâches administratives à faible valeur ajoutée (e-signature, coffre-fort nu- mérique, etc.) et en simplifiant leurs proces- sus. Quant aux banques privées adossées à une banque universelle, elles pourraient capitaliser sur le partage des systèmes d’information avec la banque de détail afin d’optimiser les coûts. En somme, la transformation digitale va faire évoluer le business model des banques privées, en induisant notamment une modi- fication du métier de banquier privé. Son rôle se rapprochera davantage de celui d’un family office, comme un véritable « chef d’orchestre» de la gestion de fortune. 3 Sortie du Royaume-Uni de l’Union Européenne 8
La seconde génération de robo-advisors, un pont entre l’IA et la gestion patrimoniale Les progrès technologiques de l’intelligence artificielle et un meilleur ciblage de la clientèle permettront sans aucun doute l’avènement de ces conseillers financiers artificiels. L’essor des robo-advisors dans le marché de la gestion d’actifs La technologie des robo-advisors apparaît comme prometteuse pour de nombreux professionnels. Pourtant ses débuts, bien qu’encourageants, ne suscitent pas une ad- hésion franche des épargnants, notamment en France où les encours sous gestion sont toujours assez faibles (213 millions de dol- lars) et où l’appétence technologique est moins prégnante, par exemple, qu’en Asie où plus d’un milliard de dollars est sous gestion par des robo-advisors rien qu’à Sin- gapour. Le 27 juin dernier, le Financial Stability Board (FSB) a révélé, dans son étude « Financial stability implications from Fintechs », sa conviction que le phénomène des Robo-ad- visors pourrait avoir un impact positif sur la stabilité financière dans les années à venir. En effet, les frais d’utilisation des robo-ad- visors étant en moyenne 50% plus basse que celle des gestionnaires d’actifs, c’est l’ensemble du marché qui verrait ses prix à la baisse, améliorant son efficience et le rendant plus accessible. La banque Morgan Stanley estime ainsi que les actifs sous ges- tion des robo-advisors se décupleront pour atteindre 1 000 milliards de dollars en 2020. Fort de cette même conviction, et dans le cadre de sa démarche prospective bâtie sur les Use Case, Sia Partners a eu l’occa- sion d’accompagner, en partenariat avec l’école des Ponts Paris Tech, un groupe de quatre étudiants dans la création d’un robo-advisor. L’objectif de ce projet pé- dagogique étant de concevoir un service bancaire intelligent en utilisant la techno- logie robo-advisor et d’appréhender les avancées que celle-ci pourrait connaître au cours des prochaines années. En travaillant sur l’intelligence artificielle et en se fiant aux exigences des épargnants, le projet s’est basé sur une approche cus- tomer centric afin de proposer aux clients des produits financiers liés à la fois à leurs objectifs de rendement/risque mais aus- si aux secteurs d’activités sur lesquels ils souhaitent investir. Tout en choisissant un panel d’actifs à proposer, c’est l’exploita- 9
tion des données fournies par les clients qui permet de leur proposer un porte- feuille personnalisé et unique, répondant à leurs attentes. Si les plateformes robo-advisors sont en plein essor en Europe et surtout aux Etats-Unis, les produits financiers au- jourd’hui proposés ne sont pas encore très diversifiés. Pour répondre à cette problématique, le second objectif de ce POC a été d’élargir le spectre de produits financiers proposé en créant un panel de produits disponibles plus complexes que ceux utilisés actuellement sur le marché des robo-advisors. En travaillant sur les potentiels axes d’opti- misation de la technologie des robo-advi- sors, Sia Partners s’est forgé la conviction que ce nouveau type de plateformes de gestion d’actifs prendra une place signi- ficative dans le paysage financier de de- main grâce à l’émergence d’un nouveau business model. L’intelligence artificielle au service de la clientèle mass affluent Aujourd’hui, les robo-advisors ne gèrent qu’une part infime du montant global de l’épargne, mais leur évolution et l’utilisa- tion de l’intelligence artificielle devrait leur permettre d’accéder à une part de la population jusqu’alors inexploitée, en leur proposant des produits plus complexes et personnalisés. Si les particuliers les plus aisés ont accès à des services de gestion privée, ce n’est pas forcément le cas du segment haut de clientèle dit mass affluent, ayant une capacité d’investissement réelle, mais qui ne peuvent recourir aux services de ges- tionnaires de patrimoine, faute d’atteindre les seuils d’investissements minimaux ou découragés par les frais et commis- sions élevés. C’est pourquoi cette classe de population représente le marché cible pour les robo-advisors dont les frais sont moins élevés et sans barrière à l’entrée. Si le principal avantage des gestionnaires de patrimoine est de proposer une alloca- tion d’actifs sur-mesure, les robo-advisors actuels proposent pour le moment des solutions plus standardisées. Toutefois, l’utilisation de l’intelligence artificielle de- vrait ouvrir la voie à un paramétrage très fin et complètement personnalisé grâce à l’exploitation des données du client. En outre, les robo-advisors ne proposent aujourd’hui que des produits financiers standards (principalement des Exchange Traded Funds ou ETF ), du fait de leurs frais peu élevés. Cependant, une partie de la clientèle souhaiterait avoir accès à une gamme d’actifs plus diversifiés en termes de rendement et de risque. La tendance se dirige cependant, désormais vers la diver- sification et l’augmentation des actifs pro- posés, rendant les robo-advisors encore plus attractifs. 10
Est-ce la fin de la carte bancaire ? Paiement mobile, Selfie Pay, paiement biométrique, monnaie électronique,… nombreuses sont les alternatives au paie- ment par carte bancaire. Alors que la tendance du numérique est lancée, certains prédisent une obsolescence inévitable de la carte bancaire. Qu’en est-il réellement ? Quel est l’avenir de celle-ci ? La carte bancaire entre croissance et innovation L’utilisation de la carte bancaire ne cesse de progresser depuis les années 2000 et enregistre une hausse de 8% en moyenne par an. Elle détient d’ailleurs une place prépondérante dans les paiements : en 2016, elle atteint un record historique d’utilisation, avec 66,5 millions de cartes bancaires en circulation en France et 10,6 milliards de paiements par carte. Elle est aujourd’hui le premier moyen de paiement utilisé en France. Mais les banques traditionnelles ne jouissent plus du monopole qu’elles dé- Utilisation de la carte bancaire en France 0 10 20 30 40 50 60 70 1980 1985 1990 1995 2000 2005 2010 2015 2020 Evolution du nombre de carte bancaire entre 1986-2016 (en million) Répartition des moyens de paiement en volume en France (en 2016) Paiement par carte bancaire Famille de prélèvement VGM Autres virements Chèque LCR/BOR Monnaie électronique 50% 1% 1% 13% 18% 1% 18% Source : Banque de France, 2016 tenaient. De nouveaux acteurs, financiers ou non, proposent eux aussi des cartes de paiement : • les banques en ligne (Boursorama, Fortunéo,…) ; • les banques mobiles (N26, Qonto,…) ; • les Fintech (Lydia,…) ; • les acteurs non bancaires (Edenred, C-Zam,…) Lydia, leader du paiement instantané par application mobile entre particuliers, pro- pose désormais une carte de paiement pour quelques euros par mois. Cet enri- chissement d’offres de la part d’une Fin- tech innovante démontre l’importance et la pérennité de la carte bancaire. Pourquoi la carte de paiement est- elle, après 50 ans, toujours aussi populaire et attrayante même pour les Fintech ? 1. Elle est omniprésente 2. Elle est sécurisée 3. Elle est plébiscitée par l’UE À l’heure où la sécurité de nos données personnelles et financières est au centre des préoccupations des utilisateurs, la 11
carte bancaire représente un des moyens de paiement les plus sécurisés. Elle ins- pire d’ailleurs un sentiment de sécurité. D’après l’Observatoire de la Sécurité des Cartes de Paiement (OSCP), ce sentiment se justifie notamment à travers des taux de fraude historiquement bas (0,037% en 2016) pour les paiements par carte réalisés en France. Depuis la 3ème an- née consécutive, ces taux sont en baisse, soulignant un effort entrepris afin de sécu- riser les transactions par carte. Le sans- contact, quant à lui, est tout aussi sûr comme le démontre la faiblesse du taux de fraude en 2016 (0,020%). L’Union Européenne, quant à elle, a démon- tré une volonté de favoriser les moyens de paiement rapides et accessibles. Depuis l’application du règlement européen du 9 juin 2015, elle plafonne les commissions d’interchange de paiement (CIP) à 0,3% de la valeur de la transaction pour les cartes de crédit, et à 0,2% pour les cartes de dé- bit. Ces frais d’interchange sont réglés entre banques : la banque du commer- çant verse une commission à la banque Les innovations de la carte bancaire du porteur de la carte bancaire. La baisse des CIP entraîne une diminution des coûts pour les paiements par carte bancaire pour le commerçant. L’acceptation des cartes de paiement pour les petits mon- tants est donc ainsi favorisée. Deux nouvelles mesures permettent éga- lement d’encourager les paiements par carte bancaire : le paiement sans contact (ou NFC) et les terminaux de paiement électronique (TPE) innovants. Depuis le 1er janvier 2016, les TPE nouvellement installés chez un commerçant sont équi- pés de la fonction sans contact. Cette fonction encourage les paiements par carte bancaire notamment parce qu’ils de- viennent plus rapides et plus pratiques. De plus, des TPE innovants (ou mPOS), tels que Square ou Izettle, permettent d’ac- cepter le paiement par carte bancaire sur n’importe quel dispositif (téléphone por- table, tablette,…). Les petits commerçants ou les artisans itinérants qui, jusqu’alors, acceptaient seulement les paiements en monnaie, peuvent maintenant se tourner vers les paiements par carte bancaire. Banque Innovation Date de lancement Explication Cryptodynamique 2016 Changement toutes les heures du cryptogramme (code à 3 chiffres au dos de la carte) afin de lutter contre la fraude sur des paiements en ligne Paschi Combo: 4 cartes en 1 2012 4 fonctions : une carte de débit (Maestro), une carte de crédit (MasterCard), ainsi que des fonctionnalités de paiement sans contact (PayPass) et de paiement en ligne (sans saisie de numéro en ligne) Carte bancaire interactive 2012 Carte bancaire munie d'un écran LCD de taille réduite, d'un clavier à 10 chiffre et de boutons de validation, de correction et de on-off. L’écran permet de générer un OTP (one time password, ou mot de passe à usage unique), utilisé ensuite pour valider un paiement en ligne. Citevia: Paiement et transport 2012 Intégration de deux applications : Bancaire (elle fonctionne comme une carte de paiement, avec ou sans contact) et Transport (elle permet au porteur le chargement de titres émis par le réseau de transport bus et tramway Citura de Reims Métropole) « Fid et moi » : Paiement et fidélité 2014 Solution CLO (« Card Linked Offers ») qui vise à améliorer la fidélisation client en intégrant les cartes de fidélité à la carte de paiement. Lors d’un achat, les promotions et points sont immédiatement appliqués au panier du client. 12
Pourtant, la disparition de la carte semble inévitable Deux types d’alternatives à la carte ban- caire fleurissent de plus en plus : celles qui font de l’ombre au support et celles qui remplacent l’essence même de la carte. Dans le premier cas, les alternatives uti- lisent la puce de la carte et/ou les codes d’identification mais pas le support même de la carte. Par exemple, pour réaliser un paiement par objets connectés, la puce de la carte va être ajoutée au « device » (montre, porte-clés,…). La carte bancaire peut aussi être enregistrée sur des applica- tions pour tous paiements mobiles (Paylib), instantanés (Lydia, Visa Direct) ou en ligne (Paypal). Dans le deuxième cas, les nouveaux moyens de paiement remplacent à la fois le support et la nature de la carte bancaire. Par exemple, le virement instantané, ou Ins- tant Payment (IP), a été initialement propo- sé en novembre 2017 par une poignée de banques sur la zone SEPA, et sera plus cer- tainement généralisé sur 2018. Il permettra de faire passer la durée d’un virement in- Les alternatives de la nature et du support de la carte bancaire terbancaire de 24h-48h à 10 secondes en France et à 5 secondes en Belgique. L’IP a le potentiel de révolutionner les ha- bitudes de paiement en proposant aux consommateurs un nouveau moyen de paiement en temps réel similaire à la carte, mais en connectant directement le compte bancaire du client à celui du commerçant. Son appropriation par le grand public semble inévitable et ce pour deux raisons principales. La première étant que la tech- nologie nécessaire existe déjà sous la forme du peer-to-peer ou du m-paiement, et la seconde que la démocratisation du mobile comme moyen de paiement est bel et bien amorcée (avec l’utilisation d’un moyen simple : le numéro de téléphone permettant de payer en temps réel). Ainsi l’IP peut s’imposer comme l’alterna- tive au paiement par carte et se révéler être une solution bien plus économe pour l’utilisateur. Néanmoins, il suscite des in- quiétudes quant à la capacité des banques commerciales à absorber une baisse des commissions liées à la carte. Sachant qu’en 2015, la part des commissions to- tales (bancassurance, moyens de paie- ments, ressources à taux réglementés,…) dans le PNB de l’activité de banque de dé- tail en France approchait les 40 % (une par- tie importante provenant des activités mo- nétiques), les acteurs de la place se doivent de faire évoluer leur modèle de revenus. Sur le plan réglementaire, la directive des services de paiement (DSP2) permettra l’initiation d’un ordre de paiement directe- ment à partir des comptes du payeur déte- nus auprès d’un Prestataire de Services de Paiement (PSP). L’heure de gloire de la carte bancaire est-elle vraiment révolue ? Avec la montée d’alternatives de moyens de paiement, la réglementation DSP2 et l’Instant Payment, toutes les conditions sont réunies pour que l’usage de la carte diminue. En revanche, à court et moyen terme, l’es- sence même de la carte n’est pas amenée à s’éteindre et a encore du chemin à par- courir. Les alternatives, et en particulier le paiement mobile, vont se généraliser sur le marché dans les années à venir. Elles vont se baser sur la nature de la carte pour continuer d’exister. Son numéro de code, pour les paiements mobiles et en ligne, et sa puce matérielle, utilisable sur d’autres dispositifs, représentent deux fortes démonstrations de la pérennisation de l’essence de la carte. La Fintech califor- nienne Marqeta illustre parfaitement cette tendance avec son service de création de cartes bancaires virtuelles spécifiquement pour les applications mobiles de paiement. Pour faire écho aux trois objectifs prin- cipaux de la stratégie nationale sur les moyens de paiement, les acteurs existants et nouveaux devront répondre aux attentes des utilisateurs, renforcer la sécurité des moyens de paiement et toujours plus inno- ver. Innover, en proposant par exemple une application qui centraliserait et recenserait tous les sites et applications où la carte est enregistrée afin de faciliter l’expérience client. Anticiper, notamment les transitions aux autres supports de paiement en déve- loppant de nouvelles offres liées à ceux-ci. Prédire et prévoir de nouvelles alternatives, en approfondissant le paiement via l’IP ou par numéro de téléphone.Virement instantané Monnaie électronique Paiement biométrique Alternatives à la nature de la carte bancaire Alternatives au support de la carte bancaire Paiement mobile Paiempar wearables Paiempar E-commerce Seflie Pay Paiement instantané Paiement par abonnement Carte bancaire 13
Le bitcoin et ses impacts financiers : La future devise supranationale ? Le paiement par bitcoin, première crypto-monnaie, se démocratise. D'où provient la confiance placée dans une devise ni émise ni garantie par un état ? Première crypto-monnaie aussi connue que méconnue Sur les huit dernières années, tout le monde a entendu parler de bitcoins, peu ont véritablement compris leur méca- nisme. Pourtant le volume d’échange reconnu relatif aux crypto-monnaies in- dique que la popularité de ces monnaies est croissante. En l’état, il serait légitime de s’interroger : comment une série de chiffres et de nombres peut-elle avoir la moindre valeur d’échange ? Quand on échange un lingot d’or avec un tiers, ce tiers est certain que ce lingot n’a pas été créé ex nihilo, ni qu’il va être dé- pensé deux fois par le même acheteur, puisqu’il y a un échange physique du lin- got. A l’inverse, échanger un code digital ne peut pas reposer sur ce mécanisme, puisque ce code peut être créé sans ef- fort, dupliqué et envoyé à différents ven- deurs au même instant. Le problème pourrait être résolu par la tenue d’un re- gistre central des comptes. Cependant, rien n’empêche que celui-ci ne soit falsifié par la banque ou que les frais de tenue de compte demandés ne soient importants. Avec le bitcoin, la technologie blockchain se substitue au certificateur intermédiaire habituel. Chaque échange d’un bitcoin ajoute un bloc d’information, codé et au- thentifié, si bien que l’infalsifiabilité de la monnaie est assurée par les utilisateurs de tout le système (pour aller plus loin sur l’aspect technique, voir Blockchain tech- nology). 14
Le bitcoin, un vecteur de confiance ? Une seconde question survient alors : pour- quoi faire confiance à une monnaie dépour- vue de cadre juridique ? Le bitcoin n’est pas reconnu comme devise officielle dans de nombreux pays et peut donc y être refusé en tant que monnaie d’échange. De plus, si la valeur d’une monnaie est soutenue par la balance commerciale d’un pays, ainsi que par la politique monétaire d’une banque cen- trale, la valeur d’un bitcoin n’a d’autre valeur que celle de l’offre et de la demande. Les réserves d’or détenues par les banques centrales, ainsi que la confiance des mar- chés en la volonté de la Réserve fédérale des États-Unis de maintenir des taux ac- commodants, régulent le cours du dollar. Par définition, le bitcoin ne peut pas béné- ficier d’organismes régulateurs : tout le pro- gramme d’inflation/déflation du bitcoin est inscrit au sein du bloc 0, dans la structure même de la crypto-monnaie. Si une poli- tique monétaire peut parfois s’avérer im- prévisible, un algorithme ne peut pas l’être. Programmé pour ne jamais excéder plus de 21 millions de bitcoins en circulation, l’offre s’accroit à un rythme décroissant. Cette croissance logarithmique a pour but d’en- courager la fidélité des premiers utilisateurs, et de reproduire la vitesse d’extraction des métaux précieux. Ce n’est pas par hasard que le terme « mining » désigne aussi bien la pratique d’extraction de l’or, que le procédé de création et de sécurisation des bitcoins. Le paiement par bictoin, une alternative aux moyens de paiements traditionnels ? La valeur intrinsèque du bitcoin tient dans la confiance des investisseurs à long- terme dans les perspectives de sa techno- logie sous-jacente. Le paiement par BTC (Bitcoin) s’avère peu coûteux, rapide, authentifié et sécurisé. De plus, toute manipulation humaine est ex- clue : ni utilisation intensive de la planche à billet, ni collecte potentielle d’informa- tions privées. Cependant, pour le moment, il est difficile d’envisager le bitcoin de la même manière qu’une devise ordinaire. La principale caractéristique d’une de- vise est d’être stable, afin de minimiser le risque de change d’un investisseur. Or le cours du bitcoin est très volatile : en mai 2017, la valeur du bitcoin a varié de plus de 25% en deux jours, tandis que le cours Euro / Dollar a fluctué d’environ 3% sur le mois entier. Cette volatilité s’explique par de nombreuses raisons : • Une difficulté à évaluer correctement la valeur intrinsèque de la devise sans base monétaire disponible • L’éclatement de différents scandales po- litiques (notamment, récemment, l’inter- diction de la Chine de négocier du bitcoin sur son sol) • Les inquiétudes élevées sur l’infalsifiabili- té réelle de la technologie Cependant, cette volatilité diminue chaque année, si bien qu’il serait légitime de se demander si le bitcoin ne pourra pas être considéré comme une devise à part entière lorsque, une fois un consensus sur son potentiel atteint, sa valeur se stabili- sera (tout comme se stabilise toute tech- nologie très médiatisée lorsqu’elle atteint son plateau de productivité dans un cycle dit Hype). Une autre cause qui freinerait son adop- tion serait la limite maximale d’opérations possibles par seconde sur ce réseau blockchain : fin avril 2017, environ 3 à 4 transactions par seconde pouvaient être gérées simultanément, tandis qu’en com- paraison Visa peut en traiter jusqu’à 1667. L’adoption du consensus Segwit fin août pourrait permettre d’augmenter la capa- cité de traitement de chaque transaction. Mais la technologie est peut-être encore trop immature aujourd’hui pour être vé- ritablement considérée autrement que comme une classe d’actifs dont la princi- pale vocation est davantage spéculative que monétaire. 15
Une volonté d’harmonisation des pratiques européennes de supervision des institutions financières Poursuivant sa volonté d’harmoniser l’environnement réglementaire des banques à un niveau européen, l’EBA a publié le 21 Novembre 2017 son troisième rapport annuel sur la convergence des pratiques de supervision à travers l’UE. Au programme de ce rapport : examen sur la cohérence de l’application du SREP , de l’ICAAP , de P2R et de P2G , résultats observés par l’EBA depuis la dernière publication, et zooms sur les moyens mis en œuvre par l’EBA afin de faire conver- ger les pratiques de supervision. Une nette progression vers une convergence des lignes directives du SREP et de la mise en œuvre des recommandations EBA Afin d’harmoniser les réglementations bancaires à un niveau européen, la conver- gence des pratiques de supervision est né- cessaire pour des raisons de concurrence équitable, de supervision plus efficace des institutions financières présentes dans plusieurs pays de l’UE, et d’identification des meilleures pratiques de supervision. Depuis la dernière publication de l’EBA sur le sujet, une progression dans la mise en œuvre des recommandations et observa- tions formulées par l'EBA lors des visites bilatérales de convergence de 2016 a été observée, notamment en termes de mise en œuvre des lignes directrices du SREP. En effet, ces lignes directrices fournissent un point de référence pour évaluer la convergence des pratiques de supervi- sion, étant donné qu’elles fournissent une base solide à toutes les autorités compé- tentes pour élaborer leurs propres métho- dologies et pratiques d'évaluation. Des difficultés persistantes, freins à une progression vers une convergence des pratiques européennes de supervision Le rapport met toutefois en exergue un certain nombre de difficultés persistantes dans la convergence des pratiques de supervision, notamment dans la détermi- nation des exigences de fonds propres supplémentaires spécifiques aux établis- sements. En particulier, le rapport observe 6 Processus de contrôle et d'évaluation prudentielle (Supervisory Review and Evaluation Process) 7 Processus interne d'évaluation de l'adéquation des fonds propres (Internal Capital Adequacy Assessment process) 8 Exigences au titre du pilier 2 (Pillar II Requirements) 9 Recommandation du pilier 2 (Pillar II Guidance) différentes approches dans l'utilisation des résultats du processus interne d'éva- luation de l'adéquation des fonds propres des banques (ICAAP), une disparité entre les taxonomies de risque et des diffé- rences dans l’interprétation de la mise en place de P2R. De plus, le rapport note l'utilisation généralisée du cadre des « gui- dances » du Pilier 2 (P2G), mais une expé- rience limitée dans ce domaine rend l'ana- lyse de la première vague d'application de la P2G difficile. 16
Néanmoins, ces freins sont à nuancer dans la mesure où il y a toujours un délai dans les résultats et dans la définition des exigences en termes de pilier 2 (notam- ment dans la mise en place de la roadmap P2R). En effet, les autorités compétentes attendent les résultats définitifs des né- gociations politiques avant d'ajuster leurs méthodologies et pratiques de supervi- sion. Actions de l’EBA afin de renforcer la convergence des méthodes de supervision Outre le travail de convergence par des « guidances », recommandations ou ob- servations sur les sujets P2R, P2G, ICAAP et SREP, l’EBA met en place un certain nombre d’actions lui permettant de fa- ciliter la convergence des méthodes de supervision. L'EBA a ainsi continué d'enri- chir ses outils de suivi et d'évaluation de la convergence, notamment en multipliant les visites de convergence bilatérales qui ont été introduites en 2016. Cela a permis d’avoir des retours sur la politique EBA des processus de développement. A cela s’ajoutent les QA de l’EBA qui permettent d’établir des pratiques de surveillance co- hérentes, efficaces et efficientes. On note qu’il existe d’autres outils tels que les exa- mens pour les pairs ou les auto-évalua- tions dont les sujets évalués permettent d'effectuer des études approfondies. De plus, l’EBA souhaite améliorer le fonc- tionnement des « collèges des contrô- leurs » qui ont été créés afin de renforcer la coopération entre les autorités de surveil- lance, tant au niveau de l'UE qu'au niveau mondial. L’EBA a ainsi réalisé son évalua- tion annuelle des collèges des contrôleurs en 2016 et a conclu que, globalement, le niveau et la qualité des missions ain- si que la profondeur de discussion dans les collèges des contrôleurs s'étaient en- core améliorés par rapport à 2015. Dans presque tous les collèges étroitement sur- veillés, un dialogue entre le superviseur et les autorités compétentes concernées a été organisé pour convenir des exigences en matière de capital et de liquidité. Afin de mieux évaluer le degré de convergence du fonctionnement des collèges, l'EBA a également introduit en 2016, pour la pre- mière fois, des questionnaires d'auto-éva- luation permettant de recueillir des infor- mations sur l'activité des collèges. Enfin, l'EBA intensifie ses activités de formation des autorités de surveillance en élargissant davantage son offre rési- dentielle et en investissant dans des ins- tallations de formation en ligne qui per- mettront aux superviseurs hiérarchiques d'avoir une plus grande portée. On note ainsi qu’en 2016, l'EBA a organisé 18 for- mations sectorielles pour les autorités compétentes, une manifestation inter- sectorielle organisée conjointement avec l'EIOPA et quatre événements en ligne. L’harmonisation des pratiques de super- vision, et surtout leur reconnaissance se- lon le cadre fixé par l’EBA, constitueront certainement des facteurs d’accélération au niveau européen compte-tenu des contraintes déjà fortes sur les niveaux de fonds propres des banques par ailleurs. Les années suivant les résultats défini- tifs des exigences en termes de pilier 2 et des négociations politiques avant d'ajus- ter leurs méthodologies et pratiques de supervision seront donc déterminantes, même s’il y a fort à parier que cette har- monisation restera progressive et s’inscri- ra dans une optique de long-terme. 17
ICAAP et ILAAP : Quelles attentes de la BCE pour les prochaines années ? En janvier 2016, la BCE avait publié ses attentes concernant l’ICAAP (Internal Capital Adequacy Assessment Process) et l’ILAAP (Internal Liquidity Adequacy Assessment Process), en précisant, structurant et normalisant les informations à communiquer par les établissements bancaires. En 2017, le superviseur bancaire va plus loin et vise une harmonisa- tion accrue et un enrichissement des approches des établissements bancaires concernés au regard de leurs processus ICAAP et ILAAP. A cet effet, la BCE a publié au premier trimestre 2017 son projet pluriannuel visant à élaborer des guides complets relatifs à ces processus. Les orientations induites auront un impact sur les banques, contraintes d’adapter certains de leurs processus. Contexte de l’ILAAP et de l’ICAAP et définition de leur processus d’évaluation Le 19 décembre 2014, l’Autorité Bancaire Européenne (ABE) a publié la version dé- finitive des directives détaillant les procé- dures méthodologiques communes de- vant s’appliquer aux autorités nationales dans le cadre du « Supervisory Review and Evaluation Process » (SREP). Ces directives, entrées en vigueur au 1er jan- Workflow simplifié d’évaluation de l’adéquation du niveau de liquidité et d’appréciation de l’ILAAP vier 2016, s’appliquent à l’ensemble des autorités bancaires nationales de l’Union Européenne en charge de la supervision des établissements de crédits. Pour mémoire, ces directives ont pour ob- jectif la mise en place d’un cadre européen pour la surveillance des risques associés aux modèles d’activité et à la gouvernance des banques, ainsi qu‘à leurs niveaux de capitaux propres et leur gestion de la li- quidité. Dans le cadre du SREP, l’ILAAP se concentre sur la gestion de la liquidité dont le processus d’évaluation s’articule comme suit : A Quant à l’ICAAP, il porte sur l’évaluation de l’adéquation des fonds propres par risques et son processus d’évaluation s’articule comme suit : Axe Risk Appetite liquidité Stress testing Besoins de liquidité Indicateurs de suivi de la liquidité (gaps de liquidité, LCR, … ) Evaluation (scoring) du niveau de risque de liquidité, tenant compte notamment de: • L’importance systémique de l’établissement • Des niveaux de buffer de liquidité Définition d’un horizon de survie de l’établissement tenant compte notamment de son importance systémique Indicateurs stressés (gaps stressés) Liquidity Shortfalls (besoins de financements) Evaluation de la qualité du buffer en condition de stress Réévaluation du niveau de buffer post stress Mesures de supervision Evaluation de l’ILAAP et des objectifs internes pour la liquidité 18
Publication de la BCE en 2017 et orientations des guides relatifs à l’ICAAP et l’ILAAP La BCE a constaté la nécessité d’améliora- tions dans plusieurs domaines de gestion des risques des établissements bancaires européens. Partant de ce constat et afin de renforcer les processus existants af- férents à l’ICAAP et l’ILAAP, le conseil de surveillance prudentielle de la BCE a lan- cé un projet pluriannuel visant à élaborer deux guides complets (un relatif à l’ICAAP et un autre afférent à l’ILAAP) destinés aux établissements bancaires. Bien que les deux guides soient suscep- tibles de différer sensiblement, ils n’en restent pas moins convergents dans la mesure où l’ICAAP et l’ILAAP constituent des processus fortement interconnectés. A travers ces guides, le superviseur définit sept principes structurants devant per- mettre aux établissements d’orienter leurs processus afférents à l’ICAAP et l’ILAAP. Workflow d’évaluation de l’adéquation des fonds propres par risque et d’appréciation de l’ICAAP Evaluation des risques Stress testing Besoins d’adéquation des fonds propres par risques Dispositif quantitatif : déterminer le capital interne au travers d’une approche incrémentale de l’ICAAP par rapport au Pilier 1 Dispositif qualitatif : effectuer une revue critique en s’appuyant sur le dispositif de maîtrise des risques et de contrôle permanent Indicateurs de suivi des risques (EVE, VaR, PD, LGD, EAD, … ) Conforter l’analyse par la réalisation de stress tests coordonnés sur tous les risques (crédit, marché, taux, liquidité, opérationnel, … ) Evaluation de la qualité des fonds propres en condition de stress Couverture des risques non pris en compte dans le pilier I Diversification des risques : optimisation des fonds propres Mesures de supervision Evaluation de l’ICAAP et des objectifs internes pour l’adéquation des fonds propres 19
Les sept orientations concernant l'ICAAP et l'ILAAP données par la BCE en 2017 On note que ces guides constituent avant tout des recommandations. L’ICAAP et l’ILAAP étant en effet des processus in- ternes, il appartient à chaque établisse- ment bancaire de les mettre en œuvre de manière proportionnée (cf. principe 6, aus- si appelé « principe de proportionnalité »). Autrement dit, les processus doivent être en ligne avec la taille, le modèle d’activité, la complexité, les risques encourus et an- ticipations de marchés de l’établissement. Principaux enjeux des guides liés à l’ICAAP et l’ILAAP pour les établissements bancaires Par ailleurs, ces guides ont introduit plu- sieurs nouveautés significatives depuis la dernière publication de la BCE sur le su- jet, telles que l’évaluation suivant les deux approches normative et économique (cf. principe 3) et la demande d’une perspec- tive à court terme d’un an assortie d’une perspective à long terme d’au moins trois ans (cf. principe 2). De manière plus générale, la BCE insiste fortement sur l’augmentation de la fré- quence d’évaluation de différents points et sur la nécessité d’une réalisation trimes- trielle des rapports liés à l’ICAAP et l’ILAAP (voire mensuelle pour certaines banques). La BCE pointe également la nécessité d’un inventaire des risques encourus une fois par an a minima (cf. principe 4). Ces nouvelles demandes constituent un véritable challenge pour les établisse- ments bancaires qui devront mettre en place ou amender de façon non négli- geable leurs processus afin de répondre aux demandes induites par les guides d’ici deux ans. En résumé, le nouveau projet pluriannuel visant à obtenir la convergence euro- péenne des cadres nationaux des établis- sements bancaires (sujet actuellement au cœur de l’ensemble des mesures de l’ABE), ainsi qu’un renfort de la viabilité de ces derniers, les obligeront à redéfinir leurs processus et à effectuer des chan- gements techniques, en particulier au sein de fonctions ou départements prota- gonistes des processus ICAAP et ILAAP. Cette volonté de la BCE s’inscrit dans le renfort continu du SREP et de son plan méthodologique. La supervision BCE attend ainsi des re- tours des établissements, qui, additionnés à l’expérience qui sera acquise en 2017 au regard du SREP, permettra de revoir les guides pour l’année suivante. Principe 1 Les conseils d'administration et les comités de risques sont notamment responsables de l’ICAAP et l’ILAAP. Les organes de gestion et direction sont responsables de l’ICAAP et l’ILAAP Principe 2 Les processus doivent être alignés sur « l'appétit » pour le risque collectif et doivent tenir compte non seulement dela situation actuelle, mais aussi dela situation à horizon supérieur à trois ans. L’ICAAP et l’ILAAP font partie intégrante du cadre de gestion de l’établissement Principe 3 La viabilité de l’établissement peut être sécurisée par la réalisation d’évaluations à court terme et à moyen terme. Deux approches doivent êtreenvisagées : • La perspective normative, qui est basée sur la capacité de répondre aux exigences de supervision. Pour le capital, cela comprend des ratios clés tels que le ratio CET 1, le ratio Tier 1 et le ratio de levier. Pour la liquidité, cela comprend leLCR. La vision normativedoit tenir comptedela position à court terme, mais aussi de la position à plus detrois ans. • La perspective économique repose sur la situation économique. En tant que telle, l’approche doit tenir comptedela vaste gamme de risques possibles qu'un actionnairepotentiel peut avoir. L’ICAAP et l’ILAAP visent à préserver en permanence la viabilité de l’établissement Principe 5 Les établissements sont censés définir leur capital interne selon l’approche économique et cette définition doit êtreconformeà la quantification des risques. Le capital interne est de haute qualité et clairement défini Principe 6 L'approche de chaque banque vis-à-vis de l'ICAAP et de l'ILAAP doit convenir à son propre modèle d'entreprise et à son aptitudeaux risques. Les hypothèses et les quantifications des risques appliquées à l’ICAAP et l’ILAAP sont proportionnées, cohérentes et entièrement validées Principe 7 Des stress tests internes doivent être effectués, au moins une fois par an, en fonction d'un examen approfondi des vulnérabilités potentielles. Des stress tests doivent s’organiser de manière régulière Principe 4 Les institutions doivent envisager toutes menaces potentielles à leurs situations de capital ou de liquidité, selon leur modèled'entreprise. Tous les risques significatifs sont identifiés et pris en compte dans l’ICAAP et l’ILAAP 20
De l’importance d’une fonction ALM de second niveau robuste Dans le cadre de leur gestion actif passif et des risques financiers afférents (risque de taux, liquidité, change…), les établissements financiers sont tenus de démontrer l’existence de contrôles de second niveau complets, robustes, régu- liers et rigoureusement documentés. Cette exigence est d’autant plus prégnante depuis l’entrée en vigueur de l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'ACPR . Les contrôles de second niveau ont vo- cation à vérifier, de façon indépendante – cette fonction étant souvent dévolue aux directions des risques –, la pertinence et la qualité des stratégies, modèles, orga- nisations, processus et systèmes mis en place pour la filière ALM de premier ni- veau. Ces-derniers concourent en effet à la production et à la consolidation des dif- férentes mesures de risque et in fine à la prise de décisions de gestion de l’établis- sement (ex : passage d’opérations de cou- verture, opérations de refinancement…). Le contrôle de second niveau vise donc à couvrir l’exhaustivité des activités du pre- mier niveau et implique ainsi une analyse indépendante de la production des indi- cateurs de risque et des contrôles de pre- mier niveau afférents ainsi qu’une partici- pation active dans la définition des limites. Dès lors, la mise en place d’une fonction ALM de second niveau peut être – et doit être – considérée comme un levier d’op- timisation des pratiques de mesure et de pilotage du niveau 1. Notre vision d’une fonction ALM de second niveau robuste La robustesse d’une telle fonction repose sur les 3 piliers ci-dessous. En effet, (1) l’ALM de second niveau doit permettre la prévision des risques à venir via la mise en place d’une approche risque appropriée et proportionnée, se basant sur : • la définition au niveau de l’établissement de son appétence au risque et les para- mètres afférents, • ldes limites et un profil de risque cohé- rents avec la stratégie de l’institution fi- nancière. De plus, l’ALM de second niveau doit as- surer l’efficacité des mécanismes en place évaluant les risques via la réalisation de contrôles sur : • les guidelines règles, • les modèles quantitatifs et méthodolo- gies appliquées, • les indicateurs de risques, • le niveau et le respect des limites, • le processus d’alerte, et • les actions de suivi. Ensuite, (2) l’ALM de second niveau doit réaliser le suivi, indépendant et actif, des indicateurs de risques (consolidés) pertinents et des limites afin de s’assu- rer qu’elles sont respectées (ou que leur dépassement est temporairement ac- ceptable et justifié) et qu’elles sont cohé- rentes avec le cadre d’appétence pour le risque prédéfini. Enfin, (3) le contrôle de second niveau doit régulièrement établir des rapports à l’attention des comités et des acteurs ex- ternes sur la qualité de l’encadrement des risques et analyser l’évolution des postes du bilan et des indicateurs de risques. Il doit également démontrer la bonne couverture et gestion de l’exposition aux différents facteurs de risques, notam- ment lorsque les limites ou l’appétence au risque préétablis risquent de ne plus Insertion dans le cadre d’appétit au risque, approche élargie des contrôles à réaliser Mise en place de contrôles indépendants, robustes et réguliers Mise en place de rapports et de processus de remontée des alertes fiables Anticipation et validation Consequence management Monitoring 1 2 3 21
être respectés. Il lui incombe également, lorsque cela s’avère nécessaire, de remon- ter les alertes au management de l’établis- sement – en ligne avec les procédures en place. Notre vision des grandes familles de contrôles ALM et leur déclinai- son opérationnelle Fort d’une expertise pointue des exi- gences réglementaires autour du contrôle de second niveau et d’une connaissance fine et éprouvée des problématiques de pilotage des risques de taux, de liquidité et de change, Sia Partners a identifié une ap- proche générale basée sur les meilleures pratiques. Ces contrôles peuvent s’articu- ler de la manière suivante : Validation de l’assiette de calcul des indicateurs Afin de permettre un calcul adéquat des différentes métriques ALM, il convient de s’assurer que l’outil reçoit effectivement l’ensemble du bilan et du hors-bilan à chaque arrêté et est capable de traiter convenablement les opérations associées. Différentes mailles d’analyse sont alors possibles pour évaluer la qualité des montants restitués dans les outils. Contrôles de versioning dans le paramétrage des outils Lors du traitement des données permettant les calculs et restitutions d’in- dicateurs, un certain nombre de conversions sont effectuées, depuis les formats de base de données, à l’outil de calcul, en passant souvent par un format commun. Ces transformations induisent l’utilisation de tables / mappings / grilles d’affectation qu’il convient de contrôler à chaque pro- duction. Validation des échéancements La plupart des indicateurs ALM communément suivis en pilotage ou a des fins réglementaires (gaps, sensibilités, ratios…) sont tributaires de l’écoule- ment dans le temps des produits de l’établissement. Il est alors essentiel, afin d’obtenir des chiffres valables, de s’assurer de la bonne exécution des règles de projection du bilan et du hors-bilan. Validation des indicateurs Une fois les différents indicateurs produits par les outils, il convient de pouvoir les analyser finement, afin d’être effectivement en mesure de va- lider les chiffres générés. En particulier, une validation partagée et indé- pendante par la finance et par les risques est une pratique saine et qu’il convient d’adopter. Encadrement Les décisions de gestion prises à l’issue des comités ALM sont guidées par une comparaison des métriques produites aux limites associées. Un premier regard mené en parallèle par la finance et par les risques, per- mettant de constater le respect des limites, et d’identifier les éventuels facteurs de dépassement, est crucial pour éclairer ces décisions. Processus de production et de diffusion Dans l’optique d’assurer une présentation / soumission des reportings ALM dans les meilleurs délais, le processus de production doit comporter des jalons clairement identifiés. Le respect de ces jalons, sans perte de qualité dans la donnée produite, est alors un point clé qu’il convient de suivre et de contrôler. 22
Descriptif du contrôle Points d’attention Zone de risque concernée Niveau du contrôle Acteur Responsable Consulté Informé Détaille le contrôle réalisé Précise les enjeux et objectifs du contrôles Indique le type de risque couvert par le contrôle Précise le niveau auquel est effectué le contrôle : 1 = contrôle réalisé par la Finance 2 = contrôle réalisé par les Risques 1 2 = contrôle réalisé parallèlement par Finance et Risques Indique l’équipe en charge de la réalisation du contrôle Indique l’équipe responsable de la bonne réalisation du contrôle (exemple : valider le contrôle effectué par « l’Acteur ») Répertorie les équipes dont une contribution peut être attendue pour la bonne réalisation des contrôles Equipes nécessitant de recevoir de l’information relative aux contrôles sans toutefois contribuer à son exécution Par ailleurs, pour les différents contrôles s’insérant dans les différents regroupe- ments ci-dessus, il sera indispensable a minima de normer les éléments suivants : (cf. ci-dessus) À partir de cette première vision globale permettant d’identifier les bonnes pra- tiques à transposer à chaque environne- ment spécifique, les chantiers de mise en place ou d’optimisation de la fonction ALM de second niveau peuvent s’organi- ser afin : • d’identifier les contrôles pertinents ain- si que leur déclinaison opérationnelle et leur documentation adéquate, • de définir le bon niveau de gouvernance des différentes fonctions de niveau 1 et 2, • de participer à la définition du cadre d’ap- pétence au risque de l’établissement. D’une contrainte réglementaire à de possibles leviers d’optimisation de la fonction ALM Si la mise en place d’une fonction de se- cond niveau peut être vue comme relevant d’abord d’une contrainte réglementaire, cette fonction de second niveau doit être pensée comme un levier d’optimisation des pratiques de mesure et de pilotage de l’ALM niveau 1. Par son expertise, son organisation, ses processus et ses outils, la fonction de se- cond niveau doit être à même de contrôler finement et de challenger l’activité de la fonction ALM de premier niveau. En effet, le niveau 2 doit être en capacité de mettre en place des couches de contrôles autour des différents aspects préalablement balayés ci-dessus – mais également de l’alignement du dispositif de contrôles sur les différentes exigences réglementaires (Bâle, EBA, SREP,…) afférentes à la gestion des risques de taux, liquidité et change. Ainsi, par son rôle et les enjeux de ses fonctions, l’ALM de second niveau doit participer activement aux chantiers de définition de l’appétence au risque et à la gestion des interactions entre les diffé- rentes mesures de risques afin de piloter et optimiser la fonction ALM dans sa glo- balité. 23
Le recours aux Prestations de Services Essentiels Externalisées pour les banques, une tendance forte du marché ? Malgré des prévisions de croissance à la hausse pour les mois et années à venir, la conjoncture économique française demeure mitigée pour les banques, qui voient leurs marges réduites dans un contexte de taux d’intérêt toujours très bas. Elles souffrent également d’obligations réglementaires plus fortes et de l’accroissement de la pression concurrentielle avec l’émergence de nouveaux acteurs (banques en ligne, FinTechs…). Enfin, des marchés globalement tumultueux et des événements géopolitiques comme le Brexit renforcent les incertitudes qui pèsent sur les banques. Tous ces éléments rendent plus incertains les revenus des banques traditionnelles, qui doivent trouver de nouveaux leviers de croissance et offrir de nouveaux services pour consolider leurs marges. Les Prestations de Services Essentiels Externalisées Dans ce contexte, le recours aux Presta- tions de Services Essentiels Externalisées (ou PSEE) apparaît comme un levier de croissance et de rationalisation des coûts. Cette notion a été introduite par le CRBF dans son Règlement n°97-02 du 21 février 1997 : « Activités externalisées : les activi- tés pour lesquelles l'entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisatio de prestations de services ou d'autres tâches opération- nelles essentielles ou importantes ». En septembre 2009, la Fédération Ban- caire Française a publié une liste indi- cative de PSEE dans son document « Externalisation : Contrôle des activités ex- ternalisées à des prestataires communs ». Cette liste est une interprétation du CRBF 97-02. Les activités elles-mêmes soumises au CRBF 97-02 : opérations de banques, services de paiements, services d’investissement Les activités connexes aux opérations et services ci-dessus, qui ne sont pas pour autant soumises au CRBF 97-02 Les prestations de services participant à l’exécution des opérations ou services mentionnés ci-dessus Les autres activités qui pourrait avoir un impact significatif sur les activités mentionnées ci-dessus PSEE Version révisée du CRBF n°97-02 du 05/05/2010 qui définit les PSEE (article 4-r) 24
Enjeux liés aux Prestations de Services Essentiels Externalisées Depuis plusieurs années, l’externalisation et en particulier l’externalisation métier ou BPO (Business Process Outsourcing) est ainsi devenue un élément central pour les banques. Un BPO complet réduit les coûts et les risques tout en améliorant la quali- té et la souplesse du service, permettant ainsi à l’établissement de se concentrer davantage sur son métier de base : le dé- veloppement commercial de son activité bancaire. Les avantages à recourir à de telles prestations de services semblent en effet multiples. D’une part, cela permet d’amortir des SI de plus en plus onéreux et de mieux maî- triser les coûts des fonctions support et du back office, dont l’allègement est fon- damental pour une industrialisation réus- sie du secteur bancaire. D’autre part, cela permet de faire appel aux meilleurs spé- cialistes sans avoir à se doter de ce type de compétences en interne, et donc d’être plus flexible face aux variations d’activité et plus souple dans la mise en œuvre de la prestation. Enfin, un des effets positifs de l’externalisation métier est qu’elle permet une démultiplication des services ban- caires avec des offres avantageuses et modulaires pour les clients, sans compter que le taux de Straight-Through-Proces- sing s’en trouve amélioré. Liste indicative de PSEE • Asset management : gestion de portefeuille pour compte de tiers, placement, souscription, achat, gestion, garde et vente de valeurs mobilières et de tout produit financier • Automates bancaires, DAB, GAB : alimentation et maintenance uniquement (logiciels d’automate) • Autres transports de valeur (autres que de fonds) • Back-office • Cartes bancaires : fabrication/personnalisation, acheminement • Centre d’opposition sur moyens de paiement • Chéquiers : fabrication/personnalisation, acheminement • Conseil et assistance en matière de gestion de patrimoine (produits d’épargne bancaire et produits d’épargne financière) • Conseil et assistance en matière de gestion financière, ingénierie • Conservation des titres : conservation et administration d’instruments financiers • Editique : les prestations d’éditique sont visées s’il s’agit d’édition de relevés clients • Emetteur de monnaie électronique • Gestion de la caisse centrale • Gestion des devises : opérations de change • Gestion relation clients : sont visés les « call centers » • Hébergeurs de systèmes informatiques : seulement dans le cas où les systèmes informatiques hébergés sont le support d’une prestation de service essentielle • Infogérance et exploitation informatique : seulement dans le cas où la prestation porte sur des infrastructures techniques qui seraient le support d’une prestation de service essentielle • Location de coffres forts • Opérations de location simple de biens immobiliers dans le cadre du crédit-bail • Plateformes « e-business » • Porte-monnaie électronique (système ou marque) • Prestations de banque à distance • Prestations liées au Plan de Continuité d’Activité : centres de repli, sauvegarde informatique • Recouvrement de créances • Stockage et archivage : seulement dans le cas où les archives ont un caractère essentiel, contractuel et/ou obligatoire et que leur perte expose l’établissement à un risque financier ou d’image • Terminaux de paiement par cartes (maintenance uniquement) • TMA (tierce maintenance applicative) : seulement dans le cas où la prestation porte sur des applications supportant directement une activité essentielle • Traitement comptable pour compte propre et reportings réglementaires • Traitement des chèques • Transport de fonds : transport de fonds lourds, alternatifs, comptage d’espèces Source : Forum des compétences / Solucom Néanmoins, le recours à des PSEE s’accompagne aussi de contraintes et de risques opérationnels à prendre en compte pour conserver une capacité de pilotage efficace de ses activités. En effet, une sécurité insuffisante des systèmes d’information, une défaillance des proces- sus, ou une déperdition des contrôles sont autant de situations à envisager lors de la mise en place des contrats de prestations de services. A cet égard, le règlement CRBF 97-02 spécifie précisément que les fonctions déléguées et exécutées par le sous-traitant doivent demeurer sous le contrôle de l’entreprise délégante et res- pecter les principes définis par cette der- nière. Il s’agit donc pour les banques de mettre en place des Service Level Agree- ments de façon systématique, incluant des clauses d’audit spécifiques telles que la reproduction du dispositif de contrôle interne au niveau du sous-traitant et un 25
droit de suite du régulateur. Ce dispositif de contrôle « permanent et périodique » (tel que défini par le régulateur) peut s’ap- puyer sur plusieurs normes de qualité au niveau du prestataire : rapport SAS 70, normes ISO, standards COSO ou COBIT... Enfin, dans les articles 313-56 et de 313- 72 à 313-75 de son Règlement (Livre III. PRESTATAIRES, Chapitre III. Règles d’ob- servation), l’AMF a introduit l’obligation de mise en œuvre d’un plan de continuité d’activité (PCA) pour les prestataires de services opérationnels « essentiels ou im- portants pour la fourniture d’un service ou l’exercice d’activités ». Ces contraintes opérationnelles et régle- mentaires expliquent en partie pourquoi malgré l’essor important du recours à l’outsourcing, celui-ci reste circonscrit à des domaines très spécifiques et claire- ment identifiés comme les fonctions sup- ports, le back-office ou les services liés aux technologies de l’information. Ainsi et pour exemple, près de 80 % des banques ont accès à des services tels que l’infogé- rance, mais aucune d’entre elles ne sous- crit à un service informatique global. La majorité des établissements demeurent en effet opposés à l’externalisation d’acti- vités stratégiques. De même, l’externalisa- tion d’activités du cœur de métier bancaire demeure quasi-exclusivement réservée à des filiales spécialisées (intra-groupe). Cela permet aux banques à la fois de s’affranchir de risques supplémentaires mais aussi d’éviter de créer de nouvelles sources de concurrence via des transferts de compétences très spécifiques. Ainsi, celles-ci tendent à préférer des groupe- ments de moyens (intra-groupes ou par- tagés avec d’autres banques) ainsi que des entités domestiques non-financières, plutôt que des prestataires externes po- tentiellement concurrents. Stratégies d’externalisation des activités Lorsqu’il s’agit d’étudier l’opportunité d’ex- ternaliser certaines activités au sein de la banque, il convient d’adopter une stratégie d’analyse et de prise de décision de type Make or Buy, afin d’atteindre un « point d’équilibre » économique et stratégique, situé à mi-chemin entre le « tout interne » (Make) et le « tout externe » (Buy). Plu- sieurs critères entrent en jeu et sont liés aux avantages apportés par chacune des deux options : alors que la stratégie Make valorise les compétences développées en interne et permet une plus grande stabilité sur le long terme, la stratégie Buy permet quant à elle de mieux maîtriser ses bud- gets tout en étant plus souple et en faisant appel aux meilleurs spécialistes dispo- nibles sur le marché. Il s’agit également de mesurer les risques associés à ces deux stratégies, plus élevés pour la stratégie Buy – impliquant aussi une plus grande rentabilité. Par ailleurs, il convient aussi de rappeler que l’externalisation peut en- traîner le transfert de certains risques à l’entreprise proposant le service. Plusieurs facteurs sont déterminants dans la prise de décision d’externaliser un processus. Tout d’abord, il faut s’in- terroger sur la qualité de ce processus en interne et son rôle dans la compétiti- vité de la banque. Connaître parfaitement les besoins de son entreprise permet de mieux maîtriser les capacités des fournis- seurs et de satisfaire au mieux son mar- ché client. Ensuite, il convient d’évaluer la maturité de ce processus par rapport aux technologies et savoir-faire disponibles sur le marché. Une analyse concurrentielle doit également être réalisée afin de situer le processus vis-à-vis des pratiques des autres établissements. Enfin, pour mettre en œuvre la décision si une stratégie Buy est actée, la définition claire d’un plan d’action permet de piloter et contrôler au mieux et dès le départ son processus externalisé. Ce plan d’action devra également inclure la possibilité d’une réintégration future du processus mais surtout d’une solution de back-up en cas de dysfonctionnement. 26
Chief Data Officer (CDO) vs Data Protection Officer (DPO) : Focus sur les métiers clés de la gestion des données Les entreprises sont aujourd'hui confrontées à un usage massif des données clients, notamment grâce aux évolutions technologiques telles que le Big data et les objets connectés. Ces éléments, associés à une pression réglementaire croissante (BCBS239, GDPR…), font des métiers de la gestion des données une pierre angulaire des organisations. Le rôle du Chief Data Officer (CDO) « Chief Data Officer » est l’un de ces métiers nouvellement créés pour répondre aux défis du Big Data, et sur lequel s’appuie notam- ment la règlementation BCBS 239 au sein des banques. Le CDO devient un acteur de premier plan, dont la principale mission est de s’assurer que les décisions prises capita- lisent sur les données disponibles. Il exploite l'ensemble des technologies à sa disposi- tion (digitales, numériques, mobiles) afin de recueillir des données d’origine internes ou externes, privées ou publiques. Le rôle du Chief Data Officer est capital pour l'amélioration du cycle de vie des données : de la création ou collecte à la fiabilisation, stockage, mise à disposition et réutilisation des données. Les sujets majeurs sur lesquels un CDO a une responsabilité de premier plan sont : • Gouvernance – Compte tenu des ré- glementations en constante évolution concernant la gestion et le stockage des données entre les différents marchés. • Exploitation – L’utilisation des données étant essentielle pour la croissance, le CDO arme les responsables d’outils né- cessaires permettant d’accéder instan- tanément à des données précises et à jour. • Sécurité – Les violations récentes dans lesquelles de nombreux comptes ont été compromis font de la cybersécurité une priorité. Le CDO doit s’assurer de l’effica- cité des protections mises en place. Principales caractéristiques du CDO Le rôle du Data Protection Officer (DPO) La fonction de Data Protection Officer (DPO) émerge sous l’impulsion du Règle- ment Général sur la Protection des Don- nées (RGPD ou GDPR en anglais pour « General Data Protection Regulation »). L’émergence de ce métier introduit une nouvelle culture de la donnée basée sur l’éthique, constituant un véritable levier de performance. D'ici le 25 mai 2018, les entreprises et les administrations utilisant des données à caractère personnel de citoyens européens, bien que non établis dans l’Union Européenne, devront recourir aux services d'un Data Protection Officer. Son rôle est très polyvalent, ce qui l'amène à travailler avec un grand nombre de dé- partements. En plus des connaissances Principales caractéristiques du DPO Poste pouvant couvrir des aspects différents en fonction des contextes Rattaché au département Risques dans le cadre de BCBS 239 Exploite et développe le patrimoine informationnel Fiabilise, protège et est garant de la qualité des données Responsable de la stratégie de gestion des données et de la gouvernance Place les données au centre des préoccupations des responsables Rôle indépendant bénéficiant d’un soutien inter fonctionnel des métiers concernés Assure la sécurité et la confidentialité des données personnelles Tient le registre complet des activités de traitement de données menées (rendu publique sur demande) Pilote et fait adopter une culture éthique des données Permet de gérer la conformité des données et réduire les risques de sanction Suivi des évolutions technologiques (profilage, big data) pour anticiper les crises 27
en informatique et en cyber sécurité, il est tenu de posséder une importante culture juridique. Ses principales missions sont : • Conformité – Il est responsable de la gestion de la conformité au sein de l’or- ganisation : il s’assure que les exigences sont respectées lors de l’utilisation des données personnelles à des fins com- merciales et internes. • Coopération avec les régulateurs – Le DPO est le point de contact entre l’en- treprise et l'autorité de réglementation européenne, qu’il doit alerter en cas de non-conformité. Il endosse ainsi les rôles de policier interne et informateur auprès des régulateurs. • Communication – Il doit éduquer l'entre- prise et former les employés impliqués dans le traitement des données aux nou- velles exigences réglementaires. De plus, il interagit avec les personnes concer- nées pour les informer sur l'utilisation de leurs données, leurs droits à l'effacement et les mesures mises en place par l'entre- prise pour les protéger. Cependant, GDPR n’est pas seulement la responsabilité du DPO. La mise en confor- mité est un sujet organisationnel nécessi- tant le soutien de l’ensemble des parties prenantes de l'écosystème des données personnelles, et particulièrement celui du CDO. Comparatif entre BCBS 239 et la Réglementation Générale des Données Personnelles Protecteur des Données Personnelles / Data Protection Officer (DPO) Directeur des Données / Chief Data Officer (CDO) Sélection de principesclés • Gouvernance dédiée et nomination de DPO • Privacy by design et Privacy by default • Sécurisation des SI et obligation de transparence envers les clients / employés • Mise en place d’une gouvernance des données et amélioration de l’infrastructure IT • Amélioration des capacités d’agrégations de données et de reporting Réglementation Associée Réglementati on Générale des Données Personnelles BCBS 239 Date de mise en conformité 25/05/2018 01/06/2016 Organisations concernées Entreprises utilisant les données personnelles de citoyens européens (même si non établies dans l’UE) Banques Sanctions / Risques de la réglementation En fonction du degré de non- conformité: • Maximum entre 20M€ et 4% du CA • Maximum entre 10M€ et 2% du CA • Avertissement à risque réputationnel Lourdes recommandations de la Banque Centrale Européenne si les 14 principes ne sont pas implémentés 28
Est-il alors pertinent de distinguer le DPO du CDO ? Les deux métiers se rejoignent dans la mesure où ils traitent de la protection et de la valorisation des données prises dans leur ensemble en qualité d’actif im- matériel. Plusieurs schémas opérationnels peuvent être mis en œuvre : D’une part, dans certaines organisations, il est envisagé de faire émerger une véri- table filière autour des métiers du data management. Le DPO, différencié du CDO, serait alors intégré dans la première ligne de défense, ce qui lui permettrait d’animer la gestion des données au sein des métiers, et de garantir le respect des exigences éthiques et sécuritaires. à titre d’exemple, au lieu de détenir des données personnelles indéfiniment ou d'utiliser des données recueillies dans une ligne de mé- tier pour en informer une autre, son rôle est de s'assurer que les informations mi- nimales nécessaires pour compléter une transaction sont collectées et conservées. Les CDO quant à eux ont pour objectif d’exploiter au mieux les données et de les rendre accessibles au niveau décisionnel. Un certain nombre de recommandations du DPO seront contraires aux objectifs du CDO, et il semble compliqué d'éviter un tel conflit d'intérêts. Ce scénario impliquerait la nécessité de prévoir une deuxième ligne de défense idoine. La création d’une filière data exige donc un certain degré de maturité. Un second modèle organisationnel consisterait à fusionner ces deux postes et impliquerait que le DPO se trouve dans la deuxième ligne de défense, à l’instar du CDO. Les données concernées par la ré- glementation GDPR étant différentes des données risques, ce scénario nécessite- rait toutefois de mettre en place un dispo- sitif de première ligne de défense complet. Enfin, il est également envisageable de désigner un DPO externe. Il permettrait d’éviter les éventuels conflits d’intérêts tout en bénéficiant d’une relation contrac- tuelle libre. Cependant, il requiert un temps d’adaptation aux rouages de l’orga- nisation, contrairement au DPO interne qui dispose d’une connaissance approfondie de l’entreprise et des interlocuteurs à sol- liciter. A ce stade, ce scénario n’est pas privilégié dans les organisations de taille importante telles que les banques traitant des données sensibles. En conclusion, les données étant de plus en plus nombreuses et précieuses, leur protection est d’autant plus importante et les lois les concernant se resserrent. Le dispositif de gestion des données re- présente un enjeu à la fois business et conformité / juridique, dont l’implémen- tation sera spécifique à chaque organisa- tion. C’est dans ce contexte que les CDO et DPO occuperont des fonctions à res- ponsabilité croissante dans les banques traitant des données sensibles à grande échelle, pour atteindre les objectifs de per- formance, gestion des risques et confor- mité aux exigences réglementaires. 29
GDPR en banque privée : revue des principaux enjeux 90 millions d’euros en moyenne. C’est le coût estimé par Sia Partners de la mise en conformité GDPR d’un groupe ban- caire du CAC40. Cependant, toutes les activités de ces groupes bancaires ne sont pas impactées de la même manière. Alors que certaines activités en B2B sont relativement épargnées, n’ayant pas de personnes physiques comme clients directs, d’autres doivent se remettre en question en profondeur pour se mettre en conformité. Parmi elles, la banque de détail naturellement, mais aussi la banque privée. Eneffet,au-delàdesproblématiquesGDPR communes à toutes les organisations, le secteur de la banque privée est l’activité bancaire manipulant de la donnée personnelle par excellence. Dans l’optique d’un service sur-mesure, fondé sur une connaissance approfondie du client, de sa situation personnelle et de ses besoins, la banque privée est amenée à collecter et traiter une quantité de données particulièrement importante, dont certaines pouvant être particulièrement sensibles. Si le règlement est pris très au sérieux par les banques privées, dont les budgets de mise en conformité vont de 3 à 15 millions d’euros selon les typologies d’établissements, rares sont les acteurs qui seront prêts en mai 2018, avec des plans d’actions courant dans bien des cas jusqu’en 2019, voire au-delà. Revue des principaux enjeux. Typologies de données collectées et traitées par les banques privées Un enjeu réputationnel vital : quelle sécurisation des données ? Objectifs d’investissement, projets pour l’avenir, problèmes de santé ou situations de handicap, événements familiaux (ma- riage, naissance ou même double vie), tout peut être pertinent pour l’apport d’un service parfaitement personnalisé. Cer- taines de ces typologies de données sont hautement sensibles, et doivent donc faire l’objet d’une protection adaptée. Pour ce faire, les dispositifs de cybersé- curité et bonnes pratiques en termes de confidentialité doivent être mis à niveau afin de limiter au maximum la possibilité de fuite de données. Si les fuites de don- nées depuis l’extérieur par le biais de cy- ber-attaques sont très remarquées et mé- diatisées, il ne faut pas sous-estimer les risques associés aux fuites de données en interne, qu’elles soient intentionnelles ou le fruit de la négligence. Données non-struc- turées disséminées dans des fichiers, répertoires partagés aux droits d’accès mal configurés, utilisation excessive des e-mails pour transmettre des données, ou encore durées de rétention des données non connues ou respectées, ce sont au- tant de failles organisationnelles ou tech- niques qui mettent en danger l’intégrité et la confidentialité des données person- nelles détenues par la banque privée. Si ces risques ne sont pas nouveaux, l’entrée en application de GDPR les rend d’autant plus pressants. En effet, le règle- ment introduit l’obligation de notifier les autorités compétentes d’une fuite de don- nées au plus tard 72 heures après en avoir pris connaissance, et les clients affectés doivent également être informés. De plus, toutes ces manipulations de données constituent des traitements qui doivent être documentés dans un registre tenu à disposition des autorités. Sans parler des pénalités financières rédhibitoires (jusqu’à 4% du chiffre d’affaires mondial consoli- dé), les dégâts d’images encourus en cas de non-conformité sont considérables. Pour un métier dont l’un des maîtres-mots est celui de la confidentialité, les risques réputationnels sont énormes. Données d’identité Données sur l’état de santé Données de gestion financière et patrimoniale Données sur la situation professionnelleDonnées sur la situation familiale Clients 30
Un enjeu marketing et commercial : la fin de la vente croisée comme le- vier de développement ? GDPR pose également un enjeu commer- cial et marketing de taille. En effet, dans bien des cas, l'acquisition de nouveaux clients se fait par le biais d'autres métiers de la banque. La banque de détail identifie des profils prometteurs (avoirs significa- tifs, professions à hauts revenus, mou- vements créditeurs importants) à recom- mander à la banque privée, souvent par le biais d’outils CRM partagés. De même pour les chefs d'entreprises sur la clien- tèle professionnelle. La banque de finan- cement et d'investissement peut, elle, être amenée à référer les clients ayant utilisé leurs services pour acquérir ou céder une entreprise. Ces partages impliquent des flux de données, et donc des traitements. Or le règlement encadre strictement ce type d’activités, en renforçant notamment le consentement à obtenir de la personne concernée avant toute activité de traite- ment de ses données personnelles. Ce consentement se doit d’être spécifique, libre, univoque et informé : pas question donc de dissimuler une clause obscure dans un contrat ou dans les conditions générales d’utilisation. La difficulté pour les banques privées est donc de définir précisément leurs trai- tements de données et d’en identifier la base légale. Quand le consentement du client ou prospect est requis, il s’agit de mettre au point une stratégie de collecte qui assure une adhésion optimale. Sans cela, c’est un axe majeur de développe- ment commercial qui se trouve bridé, en particulier dans les banques privées ap- partenant à des groupes bancaires univer- sels pour lesquelles la vente croisée est un vivier majeur d’acquisition de nouveaux clients. Plus généralement, la banque ne pourra pas faire l’impasse sur une totale transparence au sujet des traitements de données opérés dans le cadre du suivi relationnel et commercial du client. Agré- gation d’actifs d’un client multi-bancarisé, diagnostic de portefeuille, allocation d’ac- tifs, ce sont autant de services faisant in- tervenir les données personnelles du client, qui a le droit de savoir comment et dans quel but ces informations sont traitées. Un enjeu culturel dans la conduite des projets : quel impact sur la digitalisation de la banque privée ? Le troisième enjeu a trait à l’effort de digita- lisation mené par l’ensemble des banques privées du marché. En effet, le règlement introduit les notions de protection des données personnelles « par défaut », et « dès la conception ». Qu’il s’agisse du déve- loppement d’une nouvelle application de suivi des comptes ou encore d’un service de robo-advisory collectant des données personnelles pour proposer un profil de risque client ou une allocation cible, tous les projets digitaux peuvent potentielle- ment être impactés par GDPR. La banque privée devra donc choisir pré- cautionneusement les outils digitaux dont elle souhaite se doter, en tenant compte de ces contraintes. De plus, la conduite et l’implémentation de ces projets ne sera possible que si le délégué à la protection des données (PDP ou DPO en anglais) est associé dès la conception du projet, avec sa double fonction de conseil (réa- lisation de Privacy Impact Assessments sur les traitements à risque, contribution aux spécifications fonctionnelles) et de contrôle (assurer la conformité a poste- riori du service ou du produit). Enfin, plus généralement, il s’agit d’insuffler dans les équipes projets une véritable culture de la protection des données personnelles. GDPR : juste une contrainte règle- mentaire de plus ? Au vu de ces enjeux, certains acteurs peuvent être tentés de voir GDPR comme une simple contrainte règlementaire de plus, dans une période où l’agenda de mise en conformité est déjà particulière- ment dense. Cependant, derrière le coût élevé de la mise en conformité, l’enjeu est celui de la confiance des clients - confiance dans le fait que le client est seul maître des usages qui sont faits de ses données personnelles, et que sa vie pri- vée sera respectée. A ce titre, le règlement constitue surtout une opportunité pour les banques privées de renforcer leur image de professionnels de confiance à qui le client peut non seulement confier sa for- tune, mais aussi sa vie privée. 31
Biométrie : vers un monde bancaire plus sécurisé ? Les solutions biométriques se développent de plus en plus, à l’instar des lecteurs d’empreintes digitales, scanners de la rétine et autres outils de reconnaissance faciale ou vocale, technologies rendues accessibles par l’essor des smart- phones. Mais quelle place occupent-elles réellement dans le parcours client, et pour quelle typologie de client ? Qu’est- ce que l’authentification forte ? Quelles sont les perspectives réglementaires et technologiques pour leur application au traitement des opérations « sensibles » ? Sia Partners revient sur ce sujet fondamental et dynamique visant à sécuriser les opérations bancaires des particuliers aux entreprises tout en fluidifiant le parcours utilisateur. Intégration et sécurisation du parcours client grâce aux solutions biométriques Face au besoin croissant de sécurisa- tion des transactions bancaires (DSP2, eIDAS…), les banques et FinTechs pro- posent des solutions innovantes basées sur la biométrie, technologie permettant de reconnaître un individu en se basant sur ses caractéristiques physiques et comportementales qui sont uniques. Panorama des principales initiatives bancaires utilisant la biométrie Il convient de distinguer deux étapes es- sentielles dans le parcours utilisateur qui requièrent des niveaux différents de sécu- risation : l’authentification et la validation. Illustrons ce propos avec un exemple : la fonctionnalité de Touch ID a été large- ment adoptée comme une solution per- mettant à l’utilisateur de s’authentifier via une application mobile pour consulter son compte. Cependant, un deuxième moyen de sécurité lui sera demandé s’il veut passer un ordre ou ajouter un tiers. Pour ces opérations dites sensibles, les clients doivent avoir recours à des combinaisons de solutions, dites à plusieurs facteurs. On parle d’authentification forte dès lors que deux moyens de sécurité sont utilisés  : typiquement la Touch ID et une opération non biométrique (mot de passe ou autre). Les progrès technologiques en cours permettent de proposer des solutions de sécurité forte basées sur la biométrie. Par exemple, Barclays a développé un Etude Sia Partners ACTEURS BANCAIRES AUTHENTIFICATION VALIDATION AUTHENTIFICATION VALIDATION AUTHENTIFICATION VALIDATION AUTHENTIFICATION VALIDATION AUTHENTIFICATION VALIDATION (Paiement en magasin) (Retrait DAB) (Selfie pour paiement) (Paiement en ligne) (Paiement en ligne) EMPREINTE DIGITALE IRIS RECONNAISSANCE FACIALE RECONNAISSANCE VOCALE EMPREINTE VEINEUSE 32
Panorama des FinTechs biométriques système de reconnaissance d’empreinte veineuse (plus sécurisée que l’empreinte digitale car quasiment impossible à du- pliquer) permettant également de valider des transactions, payer ou souscrire à des offres. Ces solutions doivent donc pouvoir s’adapter à différents moments du par- cours selon la sensibilité de l’opération et le type de client (particulier, professionnel, entreprise), tout en fluidifiant les process et les expériences utilisateurs. Les défis d’une réglementation mouvante sur les paiements Le marché des solutions biométriques est potentiellement énorme. L’entreprise amé- ricaine Opus Research estime qu’en 2020, 600 millions de clients utiliseront la re- connaissance vocale : à relier à la récente autorisation de la CNIL (Commission Na- tionale de l'Informatique et des Libertés) pour l’utilisation de cette technologie dans les banques françaises. En effet, une auto- risation de la CNIL, organisme chargé de la protection de la vie privée en France, est nécessaire avant d’expérimenter un nou- veau dispositif biométrique. Etude Sia Partners FINTECHS TECHNOLOGIES RECONNAISSANCE FACIALE RECONNAISSANCE VOCALE EMPREINTE VEINEUSE (Naked payment) (Bague) (Multibiométrique) 33
DSP2 et eIDAS en particulier viennent apporter de la sécurité aux clients mais représentent autant de défis pour les institutions de la place. Le règlement eI- DAS, entré en vigueur en 2016, établit un socle commun pour les interactions élec- troniques sécurisées entre les citoyens, les entreprises et les autorités publiques en Europe. eIDAS vient mettre à jour une directive de 1999, ajoutant une supervi- sion nationale et prenant en compte les nouvelles technologies notamment en harmonisant les signatures électroniques, flexibilisant et favorisant la transparence des transactions électroniques au niveau européen. En parallèle, les débats sur la Directive révisée sur les Services de Paiements (DSP2) sont toujours ouverts concernant les interfaces d’interaction clients/banques et la mise à disposition des données personnelles à des acteurs tiers avec l’introduction de normes tech- niques de réglementation, la généralisa- tion de l’authentification forte et l’enca- drement du web-scraping (extraction de données). Bien que les évolutions réglementaires soient nombreuses et mettent parfois en opposition des intérêts divergents cela reflète également les opportunités, le dy- namisme, l’émulation existant dans le sec- teur, et pousse les banques à davantage innover en interne ou via des partenariats avec de nouveaux acteurs. Contraignant, ce cadre peut également consacrer un nouveau paradigme bancaire dans lequel les réseaux et les moyens des acteurs historiques sont mis à disposition des acteurs innovants, créant ainsi un terreau fertile à l’innovation biométrique. Les spécialistes de la biométrie Revenons à présent sur une sélection d’acteurs et les solutions innovantes qu’ils proposent. OT-Morpho, le spécialiste français des technologies de l'identification et de la sécurité numérique propose un ensemble de technologies de pointe, à l’instar d’une carte bleue à empreinte digitale et fournit des solutions biométriques allant des lec- teurs d’empreintes veineuses à des outils de reconnaissance faciale. Nuance, de son côté, s’impose comme le leader dans les technologies de re- connaissance vocale, l’entreprise a no- tamment équipé la plupart des grandes banques anglo-saxonnes. Son logiciel permet de différencier un enregistrement d’un original ou encore de détecter une voix enrhumée grâce aux récents progrès des algorithmes qui sont désormais ca- pables d’étudier 1 000 caractéristiques de la voix contre 100 auparavant. Atos, leader dans les services numériques et spécialiste de la sécurité, se positionne également sur la biométrie. L’entreprise française a notamment développé des logiciels de reconnaissance faciale auto- matique installés à la frontière franco-es- pagnole afin d’identifier les véhicules et leurs occupants mais également un bracelet biométrique qui se base sur la 34
fréquence cardiaque pour compléter ses solutions d’identification. Le bracelet crée un réseau transmettant les identifiants et codes secrets aux applications de manière sécurisée. Les prochaines technologies pourraient même fonctionner sans aucun appareil. C’est ce qui a été proposé avec le naked payment, qui, en échange d’un enregis- trement préalable dans une base de don- nées, permet au consommateur de payer dans les magasins équipés, simplement avec son doigt. « Le diable réside dans les détails » : c’est bien là ce qui assure la survie de ces FinTechs. En effet, même si aucune technologie n’est inviolable, les progrès passés et à venir dans la qualité des ins- truments de mesure biométrique (amé- lioration de la résolution de x4 à x10 dans un futur proche), assurent l’amélioration constante du niveau de sécurité et donc de la confiance perçue et accordée par les potentiels clients. Les partenariats inter-industries liés à la biométrie, facilitateurs de l’expérience utilisateur L’avenir pourrait venir de la mise en com- mun des ressources et de la définition d’une plateforme commune à l’ensemble des acteurs du marché. C’est ce qui a été proposé en Belgique, où BNP Paribas For- tis, ING, Belfius et KBC ont créé un parte- nariat avec des acteurs des télécommuni- cations mobiles comme Proximus, Base/ Telenet et Orange. Le but est de dévelop- per une unique application pour accéder à ses données bancaires et mobiles. La force du système repose sur une authen- tification à trois facteurs : téléphone, carte SIM et code. La solution est séduisante puisqu’elle fluidifie l’expérience et la mobi- lité client, simplifie la gestion des données pour tous et permet d’orienter tous les vecteurs d’innovation et de disruption sur une seule cible, profitable à tous. La bio- métrie pourrait tout à fait s’insérer dans une initiative de la sorte en remplacement d’un des facteurs. 35
Notes
Notes
Abou Dabi PO Box 54605 West Tower #605 Abu Dhabi Mall - UAE T. +971 4 443 1613 Amsterdam Barbara Strozzilaan 101 1083 HN Amsterdam - Netherlands T. +31 20 240 22 05 Bruxelles Av Henri Jasparlaan, 128 1060 Brussels - Belgium T. +32 2 213 82 85 Casablanca 14, avenue Mers Sultan 20500 Casablanca - Morocco T. +212 522 49 24 80 Charlotte 401 N. Tryon Street, 10th Floor Charlotte, NC 28202 - USA T. +1 646 496 0160 Doha PO Box 27774 Doha Tornado Tower #2238 West Bay - Qatar T. +974 4429 2524 Dubai PO Box 502665 Shatha Tower office #2115 Dubai Media City Dubai - UAE T. +971 4 443 1613 Hong Kong 23/F, The Southland Building, 48 Connaught Road Central Central - Hong Kong T. +852 2157 2717 Houston 4306 Yoakum Boulevard Suite 350 Houston TX 77066 T. +1 832 248 1041 Londres 2nd Floor, 4 Eastcheap London EC3M 1AE - United Kingdom T. +44 20 7933 9333 Luxembourg 7 rue Robert Stumper L-2557 Luxembourg T. +352 28 85 87 1 Lyon 3 rue du Président Carnot 69002 Lyon - France T. +33 1 42 77 76 17 Milan Via Gioberti 8 20123 Milano - Italy T. +39 02 89 09 39 45 Montréal 2000 McGill College, Suite 600, Montreal QC H3A 3H3 - Canada T. +1 514 926-2626 New York 40 Rector Street, Suite 1111 New York, NY 10006 - USA T. +1 646 496 0160 Paris 12 rue Magellan 75008 Paris - France T. +33 1 42 77 76 17 Riyad PO Box 502665 Shatha Tower office #2115 Dubai Media City Dubai - UAE T. +971 4 443 1613 Rome Via Quattro Fontane 116 00184 Roma - Italy T. +39 06 48 28 506 Singapour 137 Market Street #10-02 Grace Global Raffles Singapore 048943 T. +65 6635 3433 Tokyo Level 20 Marunouchi Trust Tower-Main 1-8-3 Marunouchi, Chiyoda-ku Tokyo 100-0005 Japan T. +81 3 5288 5101 VOS CONTACTS Leader des sociétés de conseil français indépendantes et pionnier du Consulting 4.0, Sia Partners a été cofondé en 1999 par Matthieu Courtecuisse. Sia Partners compte plus de 1 000 consultants dont 35% basés hors de France pour un chiffre d’affaires de 155 millions d’euros dans le cadre de son exercice fiscal se terminant au 30 Juin 2017. Le Groupe est présent dans 15 pays, les Etats-Unis représentant le deuxième marché. Fidèle à son approche innovante, Sia Partners explore les possibilités offertes par l’Intelligence Artificielle, investit dans la data science et développe des consulting bots. Sia Partners est une partnership mondiale détenue à 100% par ses dirigeants. Thomas ROCAFULL Partner Banking Tel : + 33 6 26 11 22 34 Thomas.rocafull@sia-partners.com Jean-Frédéric CHARDON Associate Partner Banking Tel : + 33 6 73 60 24 13 Jean-frederic.chardon@sia-partners.com Yves GREGOIRE Associate Partner Banking Tel : + 33 6 14 33 10 99 Yves.gregoire@sia-partners.com Suivez nous sur LinkedIn et Twitter @SiaPartnersPour plus d’informations, visitez : www.sia-partners.com À PROPOS DE SIA PARTNERS

Contenu connexe

PDF
L'intelligence artificielle et la gestion de patrimoine
parEmilie Scalla
 
PDF
Big Data et données externes dans les modèles de tarification - Journées IARD...
parStéphane Chappellier
 
PDF
Conférence "Blockchain & Cryptomonnaies" avec la BANQUE DE FRANCE par Kryptos...
parKRYPTOSPHEREtothemoo
 
PDF
La Blockchain Bancaire Résumée
parHasnae Chami
 
PDF
« Gouvernance de l’Intelligence Artificielle » Intelligence Artificielle Que...
pareraser Juan José Calderón
 
PPT
Transformation digitale : les défis de la distribution bancaire
parsab2i
 
PPTX
Déjeuner-débat EIM360 | De la dématérialisation de la facture à la transforma...
parSOLLAN FRANCE
 
PDF
La Data Science au service du Secteur Financier
parEmilie Scalla
 
L'intelligence artificielle et la gestion de patrimoine
parEmilie Scalla
 
Big Data et données externes dans les modèles de tarification - Journées IARD...
parStéphane Chappellier
 
Conférence "Blockchain & Cryptomonnaies" avec la BANQUE DE FRANCE par Kryptos...
parKRYPTOSPHEREtothemoo
 
La Blockchain Bancaire Résumée
parHasnae Chami
 
« Gouvernance de l’Intelligence Artificielle » Intelligence Artificielle Que...
pareraser Juan José Calderón
 
Transformation digitale : les défis de la distribution bancaire
parsab2i
 
Déjeuner-débat EIM360 | De la dématérialisation de la facture à la transforma...
parSOLLAN FRANCE
 
La Data Science au service du Secteur Financier
parEmilie Scalla
 

Tendances

PDF
La FinTech, l'innovation numérique au service du secteur financier.
parBruno A. Bonechi
 
PDF
Le Big Data dans la Banque et l'Assurance
parAMNIS Consulting
 
PDF
Assurance & Big Data
parInsurance_Marketing
 
PDF
Offre Manufacturing : Produire dans un environnement connecté
parCapgemini
 
PDF
ISDay 2018 - Atelier Sage 100cloud
parInforsud Diffusion
 
PPTX
Présentation en ligne | De la dématérialisation des factures à la digitalisat...
parSollan France
 
PDF
Steria rapport-bi ma-vfr-2013
parYann SESE
 
PDF
Solvency II : l’occasion de normaliser les reporting entre Sociétés de Gestio...
parAlban Jarry
 
PDF
Tarification : les modélisations de risques innovantes pour pérenniser la per...
parStéphane Chappellier
 
PDF
Transformation Banque v1.2 (Colombus Consulting)
parFrancois Marchessaux
 
PPT
2010.11.26 - Avancée du SaaS dans le Secteur Banque Finance - Vi Lang - IBM -...
parClub Alliances
 
PDF
L'analyse de rachat du cœur de métier de Yahoo par Verizon
parJimmy Huang
 
PDF
Brochure Finovation 2014
parinovenaltenor_1
 
PDF
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
parWavestone
 
PDF
L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...
parOmarMOUMINI
 
PDF
Fintech demain comment travailler ensemble
parOCTO Technology Suisse
 
PPTX
Banques et assurances
parjulia aubert
 
PDF
Capgemini and sogeti services
parAurélie Sondag
 
La FinTech, l'innovation numérique au service du secteur financier.
parBruno A. Bonechi
 
Le Big Data dans la Banque et l'Assurance
parAMNIS Consulting
 
Assurance & Big Data
parInsurance_Marketing
 
Offre Manufacturing : Produire dans un environnement connecté
parCapgemini
 
ISDay 2018 - Atelier Sage 100cloud
parInforsud Diffusion
 
Présentation en ligne | De la dématérialisation des factures à la digitalisat...
parSollan France
 
Steria rapport-bi ma-vfr-2013
parYann SESE
 
Solvency II : l’occasion de normaliser les reporting entre Sociétés de Gestio...
parAlban Jarry
 
Tarification : les modélisations de risques innovantes pour pérenniser la per...
parStéphane Chappellier
 
Transformation Banque v1.2 (Colombus Consulting)
parFrancois Marchessaux
 
2010.11.26 - Avancée du SaaS dans le Secteur Banque Finance - Vi Lang - IBM -...
parClub Alliances
 
L'analyse de rachat du cœur de métier de Yahoo par Verizon
parJimmy Huang
 
Brochure Finovation 2014
parinovenaltenor_1
 
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
parWavestone
 
L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...
parOmarMOUMINI
 
Fintech demain comment travailler ensemble
parOCTO Technology Suisse
 
Banques et assurances
parjulia aubert
 
Capgemini and sogeti services
parAurélie Sondag
 

Similaire à Les Cahiers de la Banque - Edition 2018

PDF
VSD Paris 2018: Vertical Use Case - Banking, Finance, Insurance
parVeritas Technologies LLC
 
PDF
Innovations bancaires 2015 - Professional Handbook - Publinews - 01.01.2015
parEric LEGER
 
PDF
Think tank data IA Talks - April 2019 I Nouamne Cherkaoui - Mick Levy - Arnau...
parNouamane Cherkaoui
 
PDF
Eric Van Houtte Résumé et Conclusion de thèse du MBA MCI
parEric VAN HOUTTE
 
PDF
lect. _Etude_competences_metiers_2025_synthese.pdf
parServiceInformatiqueM
 
PDF
Livre blanc-ia-et-technologies-quantiques-finance-innovation
parassmaaainani
 
PDF
Les enjeux de la fintech en Afrique tournent autour de son potentiel
partdiouf
 
PDF
Histoire d'une transition numérique : Société Générale
parfrançoise Mercadal-Delasalles
 
PDF
Conférence - Les mercredis de la finance - Octobre 2014
parmwaresearch
 
PPTX
De la peur des comportements millenials à l'erreur stratégique bancaire
parLaurence Dupré
 
PPTX
De la peur des comportements millenials à l'erreur stratégique bancaire
parLaurence Dupré
 
PPTX
20170318_club_banque_ia_bloackchain_0.pptx
parulrichdjofang
 
PDF
Magellan Partners - Valoriser l’expérience client et augmenter la rentabilité...
parMagellan Consulting
 
PDF
ASG - Maitriser ses donnees dans le cadre reglementaire - Data forum MICROPO...
parMicropole Group
 
PDF
Lutte contre la criminialité financière: Quelles évolutions pour les outils?
parArrow Institute
 
PDF
Digitalisation des parcours client : client first !
parWavestone
 
PPT
De Bâle II à Bâle III : cette nouvel réglementation implique-t-elle un change...
parArrow Institute
 
PDF
Altime Associates Newsletter Finances Mars 2012
parAltime Associates
 
PDF
Evolution des risques opérationnels, plongée dans un nouvel environnement!
parArrow Institute
 
PDF
les banques privées dans la transition digitale
parPhilippe Loiseau
 
VSD Paris 2018: Vertical Use Case - Banking, Finance, Insurance
parVeritas Technologies LLC
 
Innovations bancaires 2015 - Professional Handbook - Publinews - 01.01.2015
parEric LEGER
 
Think tank data IA Talks - April 2019 I Nouamne Cherkaoui - Mick Levy - Arnau...
parNouamane Cherkaoui
 
Eric Van Houtte Résumé et Conclusion de thèse du MBA MCI
parEric VAN HOUTTE
 
lect. _Etude_competences_metiers_2025_synthese.pdf
parServiceInformatiqueM
 
Livre blanc-ia-et-technologies-quantiques-finance-innovation
parassmaaainani
 
Les enjeux de la fintech en Afrique tournent autour de son potentiel
partdiouf
 
Histoire d'une transition numérique : Société Générale
parfrançoise Mercadal-Delasalles
 
Conférence - Les mercredis de la finance - Octobre 2014
parmwaresearch
 
De la peur des comportements millenials à l'erreur stratégique bancaire
parLaurence Dupré
 
De la peur des comportements millenials à l'erreur stratégique bancaire
parLaurence Dupré
 
20170318_club_banque_ia_bloackchain_0.pptx
parulrichdjofang
 
Magellan Partners - Valoriser l’expérience client et augmenter la rentabilité...
parMagellan Consulting
 
ASG - Maitriser ses donnees dans le cadre reglementaire - Data forum MICROPO...
parMicropole Group
 
Lutte contre la criminialité financière: Quelles évolutions pour les outils?
parArrow Institute
 
Digitalisation des parcours client : client first !
parWavestone
 
De Bâle II à Bâle III : cette nouvel réglementation implique-t-elle un change...
parArrow Institute
 
Altime Associates Newsletter Finances Mars 2012
parAltime Associates
 
Evolution des risques opérationnels, plongée dans un nouvel environnement!
parArrow Institute
 
les banques privées dans la transition digitale
parPhilippe Loiseau
 

Plus de Emilie Scalla

PDF
L’observation des offres éditeurs révèle la transformation du métier des Asse...
parEmilie Scalla
 
PDF
L'Agefi Hebdo - Loi Pacte : une aubaine pour les gestionnaires d'actifs français
parEmilie Scalla
 
PDF
Coup de froid sur les bonus dans les banques françaises - Sia Partners cité d...
parEmilie Scalla
 
PDF
Pourquoi Apple joue sa carte dans les paiements ? Sia Partners cité dans Trends
parEmilie Scalla
 
PDF
Les banques françaises touchées par un nombre croissant de démissions - Sia ...
parEmilie Scalla
 
PDF
L'Agefi Hebdo - Le KYC en banque d'investissement passera par la Blockchain
parEmilie Scalla
 
PDF
Infographic - Green Finance
parEmilie Scalla
 
PDF
Les Echos - La remontée des taux mettra du temps à soulager les banques europ...
parEmilie Scalla
 
PDF
Infographie - Stress Tests EBA - Ce qu'il faut retenir de l'exercice 2018
parEmilie Scalla
 
PDF
Infographie - Les indicateurs de suivi du risque de taux d’intérêt dans le Ba...
parEmilie Scalla
 
PDF
L'épargne des français : un potentiel dormant difficile à adresser
parEmilie Scalla
 
PDF
Panorama Stress Test EBA – Enjeux et Impacts de l’exercice 2018
parEmilie Scalla
 
PDF
Infographic - European Regtech
parEmilie Scalla
 
PDF
Evolution des réseaux d'agences bancaires
parEmilie Scalla
 
PDF
Infographie - Banque privée
parEmilie Scalla
 
PDF
Cryptocurrencies - What's next?
parEmilie Scalla
 
PDF
En route vers Bâle 4 : le risque opérationnel (acte 1)
parEmilie Scalla
 
PDF
PSD2 - The second Payment Services Directive
parEmilie Scalla
 
PDF
2018 - Décryptage méthodologie d'évaluation G-SIBs
parEmilie Scalla
 
PDF
GDPR
parEmilie Scalla
 
L’observation des offres éditeurs révèle la transformation du métier des Asse...
parEmilie Scalla
 
L'Agefi Hebdo - Loi Pacte : une aubaine pour les gestionnaires d'actifs français
parEmilie Scalla
 
Coup de froid sur les bonus dans les banques françaises - Sia Partners cité d...
parEmilie Scalla
 
Pourquoi Apple joue sa carte dans les paiements ? Sia Partners cité dans Trends
parEmilie Scalla
 
Les banques françaises touchées par un nombre croissant de démissions - Sia ...
parEmilie Scalla
 
L'Agefi Hebdo - Le KYC en banque d'investissement passera par la Blockchain
parEmilie Scalla
 
Infographic - Green Finance
parEmilie Scalla
 
Les Echos - La remontée des taux mettra du temps à soulager les banques europ...
parEmilie Scalla
 
Infographie - Stress Tests EBA - Ce qu'il faut retenir de l'exercice 2018
parEmilie Scalla
 
Infographie - Les indicateurs de suivi du risque de taux d’intérêt dans le Ba...
parEmilie Scalla
 
L'épargne des français : un potentiel dormant difficile à adresser
parEmilie Scalla
 
Panorama Stress Test EBA – Enjeux et Impacts de l’exercice 2018
parEmilie Scalla
 
Infographic - European Regtech
parEmilie Scalla
 
Evolution des réseaux d'agences bancaires
parEmilie Scalla
 
Infographie - Banque privée
parEmilie Scalla
 
Cryptocurrencies - What's next?
parEmilie Scalla
 
En route vers Bâle 4 : le risque opérationnel (acte 1)
parEmilie Scalla
 
PSD2 - The second Payment Services Directive
parEmilie Scalla
 
2018 - Décryptage méthodologie d'évaluation G-SIBs
parEmilie Scalla
 
GDPR
parEmilie Scalla
 

Les Cahiers de la Banque - Edition 2018

  • 1.
    LES CAHIERS DE LABANQUE ÉDITION 2018 LES DEFIS DE LA BANQUE DE DEMAIN : ENTRE INNOVATION ET CONFORMITÉ
  • 2.
    @SiaPartners Linkedin s i a- p a r t n e r s . c o m
  • 3.
    Édito Transformation digitale,mise en conformité, gestion des données, Sia Partners fait le point sur les principaux enjeux de l’année 2018. De la banque d’investissement à la banque privée en passant par les fonctions support, la transformation digitale est aujourd’hui une réalité que les groupes bancaires ne peuvent plus ignorer. La concurrence des fintechs, qui prennent de plus en plus de parts de marché, ne fait qu’accentuer cette tendance. C’est le cas notamment des robo-advisors qui, en proposant un service de gestion automatisée de portefeuille, permettent de conquérir et de fidéliser une clien- tèle friande d’un conseil simple et efficace ainsi que d’une tarification réduite et transparente. Par ailleurs, dans un environnement réglementaire toujours plus dense, les banques sont incitées à faire appels aux services des RegTechs dans un objectif de standardisation de leur processus de conformité et de transparence vis-à-vis du régulateur. Sia Partners revient également sur l’importance de la gestion des données. Connaitre, maitriser et utiliser l’ensemble des données disponibles est devenu un avantage et un atout certain dans un objectif de réduction des couts, d’amé- lioration de l’expérience client et plus généralement de compétitivité. Le Règlement Général sur la Protection des Données (GDPR), entrant en vigueur en mai 2018, vient renforcer les obligations des acteurs bancaires en matière de gestion des données personnelles : 90 millions d’euros en moyenne, c’est le coût estimé par Sia Partners de la mise en conformité GDPR d’un groupe bancaire du CAC40. 3
  • 4.
    SOMMAIRE 05 07 09 11 14 16 18 21 24 27 30 32 Enjeux du secteurde la BFI : Conformité et Innovation Le digital, une révolution pour le monde de la banque privée La seconde génération de robo-advisors, un pont entre l’IA et la gestion patrimoniale Est-ce la fin de la carte bancaire ? Le bitcoin et ses impacts financiers : La future devise supranationale ? Une volonté d’harmonisation des pratiques européennes de supervision des institutions financières ICAAP et ILAAP : Quelles attentes de la BCE pour les prochaines années ? De l’importance d’une fonction ALM de second niveau robuste Le recours aux Prestations de Services Essentiels Externalisées pour les banques, une tendance forte du marché ? Chief Data Officer (CDO) vs Data Protection Officer (DPO) : Focus sur les métiers clés de la gestion des données GDPR en banque privée : Revue des principaux enjeux Biométrie : Vers un monde bancaire plus sécurisé ? 4
  • 5.
    Enjeux du secteurde la BFI : Conformité et Innovation EMIR, Dodd-Frank, Volcker, MiFID 2, BCBS 239, Bâle IV, IFRS 9… malgré la lourdeur réglementaire qui ne cesse de s’ac- croitre, les Banques de Financement et d’Investissement (BFI) européennes continuent de proposer des services à haute valeur ajoutée à leurs clients. Cependant, elles peinent à augmenter leur rentabilité dans un environnement de taux d’intérêts faibles et de hausse constante des coûts de mise en conformité réglementaire accentués également par les enjeux de gestion et de mise à jour de la qualité des données client dans le cadre des processus KYC1 et de LCB-FT2 . Panorama des principaux enjeux de la BFI Malgré de lourds investissements ces cinq dernières années, les processus actuels, manuels ou automatisés, ne sont plus suffisamment flexibles et/ou efficaces pour répondre aux dynamiques évolutives des besoins réglementaires ainsi qu’au changement rapide des données client auxquelles elles ont actuellement accès. Ainsi, la maîtrise des coûts et la gestion de la qualité de ces données réglementaires dans les outils informatiques existants restent encore un enjeu majeur pour les BFI qui doivent gagner en flexibilité et en réactivité dans ce domaine. 1 Know Your Customer 2 Lutte contre le Blanchiment d’argent et le Financement du Terrorisme Les RegTech, au cœur de l’innovation du secteur de la BFI ? Le développement rapide des innovations technologiques (big data, distributed led- ger technology / blockchain, machine learning, etc.) sur lesquelles se basent les RegTech peut apporter des réponses efficaces à l’ensemble de ces défis à condition de capitaliser sur les projets de rationalisation et d’optimisation des outils informatiques déjà initiés. Considérées de prime abord comme des concurrentes, les RegTech sont nom- breuses à avoir revu leur modèle en se positionnant en tant que fournisseurs de solutions intégrées et adaptées au Panorama des principaux enjeux de la BFI secteur de la BFI, en raison de barrières à l’entrée jugées trop importantes sur le marché européen. Ces nouveaux acteurs, qui ont surtout émergé ces cinq dernières années, proposent des services spécia- lisés et/ou « clés en main » dans les do- maines suivants : production de reporting réglementaires, cyber-sécurité, lutte an- ti-fraude, gestion du risque, etc. Le recours au machine learning (champ d'étude de l’intelligence artificielle qui donne aux ordinateurs la capacité d'ap- prendre sans être explicitement pro- grammés) permettrait également aux BFI d’externaliser ou d’optimiser certaines fonctions telles que le traitement des KYC ou la surveillance des abus de marché Risques politiques (administration US, Brexit) Impacts au niveau du modèle opérationnel Revue de l’agenda réglementaire Perte du passeport européen Coût du risque & des ressources Contraintes de capital & de liquidité RWA Environnement Taux d’intérêts faibles Onboarding client LCB-FT / KYC Changements commerciaux Plateformes électroniques Perte d’intérêts selon les actifs (dérivés de crédit & matières premières) Technologies Distributed ledgers Nouveaux algorithmes Big data General data protection regulation Shadow Banking Innovation Rentabilité • FinTech • RegTech • Technologies • Nouveaux produits • Réduction des coûts • IT/ Automatisation des process • Restructuration • STP Conformité • VOLCKER • EMIR • BCBS 239 • MiFID II • FATCA/CRS Principaux enjeux de la BFI 5
  • 6.
    dans le cadrede la réglementation MAD/ MAR 2. Le traitement des enjeux régle- mentaires serait profondément transfor- mé puisqu’elles seraient capables de trai- ter et d’analyser une quantité de données plus importante qu’un être humain avec une marge d’erreur plus faible. Par ailleurs, la livraison de solutions en continu contribuerait également à revoir en profondeur les méthodologies internes de gestion de projet et à limiter le temps de travail en faisant travailler de manière rapprochée les lignes métiers, les fonc- tions supports et les départements IT. Les BFI à l’épreuve d’un contexte politique instable Bien que ces innovations financières soient encore peu implémentées et leur retour sur investissement mal connu à ce jour, elles promettent d’offrir une réponse alternative et une transition stratégique à de nom- breux défis réglementaires et d’organisa- tion permettant notamment aux BFI de ne pas délaisser leur programme de maîtrise de coûts. Il ne faut cependant pas oublier que les BFI basées à Londres évoluent également dans un contexte politique instable, mar- qué par le déclenchement du Brexit suite à la mise en œuvre de l’article 50 du trai- té de Lisbonne par le Royaume-Uni le 29 mars 2017. Elles sont progressivement passées d’une phase d’incertitude à une réalité qui durera deux ans et qui pourra notamment remettre en question certains de leurs plans de transformation en cours ainsi que leurs « business model » (en cas de perte du passeport européen). 6
  • 7.
    1 Insee, le patrimoinedes ménages début 2015 2 Rapport annuel COR, juin 2016 3 TNS Sofrès, février 2016 Un environnement complexe favorable à la mutation en banque privée Les acteurs de la banque privée sont au- jourd’hui confrontés à trois grandes pro- blématiques : des enjeux économiques, une réglementation accrue et une évolu- tion des attentes des clients. - Les enjeux économiques Dans un contexte de taux bas et avec des clients de plus en plus prudents investis- sant dans des produits moins risqués et donc moins rémunérateurs, les banques privées font face à une réduction de leurs marges impliquant une pression sur les coûts opérationnels. Par ailleurs, la concur- rence est de plus en plus forte, non seule- ment entre les banques privées mais aussi et surtout avec les fintechs dont le nombre a plus que doublé entre 2012 et 2015. - Une réglementation accrue L’entrée en vigueur de nouvelles réglemen- tations telles que MIFID 2 bouleverse le business model des banques privées. La mise en conformité est complexe dans la mesure où elle implique non seulement une modification de la structure de rému- nération des banques (avec la fin des rétro- cessions) mais également des coûts liés à la mise en place de nouveaux systèmes d’information, processus et contrôles. Suite à la crise financière de 2008, les banques privées se sont tenues à l’écart de tout investissement dans des projets digitaux en raison d’une réduction de leurs marges et de leurs revenus. Aujourd’hui, avec la concurrence des fintechs qui prennent de plus en plus de parts de marché, elles n’ont plus d’autre choix que d’amorcer leur virage digital. Quels sont les enjeux auxquels sont confrontées les banques privées et comment le digital peut-il apporter une réponse? - Une évolution des attentes des clients Les clients sont de plus en plus exigeants et n’hésitent plus à diversifier l’allocation de leurs actifs entre plusieurs banques privées afin de réduire leur risque et de maximiser leur rendement. De plus, l’essor des fintechs donnent de nouveaux repères aux clients qui ac- cordent une importance grandissante à l’immédiateté et la simplicité d’utilisation des services. Et contrairement à ce que l’on pourrait penser, l’appétence pour le digital ne se limite pas à une clientèle de jeunes entrepreneurs de la génération Y. Les seniors sont tout aussi demandeurs, à la recherche d’un service à la fois efficace et à forte valeur ajoutée. Enfin, dans un contexte de défiance en- vers les institutions, les clients sont de- mandeurs de transparence et d’objectivité dans le conseil prodigué. Le digital, un moyen d’allier rentabilité et satisfaction client Dans cet environnement complexe, le di- gital est un des éléments de réponse aux enjeux d’accroissement des revenus et d’efficience opérationnelle. Les banques privées peuvent s’allier aux fintechs, et utiliser des outils de robotisation et d’in- telligence artificielle conçus par elles, Le digital, une révolution pour le monde de la banque privée 7
  • 8.
    Nombre d’entreprises crééesdepuis 2009 Plateformes avec assistance d’un conseiller 2 1 1 4 4 5 2009 2012 2013 2014 2015 2016 Source: Tracxn Report – Décembre 2016 3 3 6 4 15 20 36 67 22 2008 2009 2010 2011 2012 2013 2014 2015 2016 Nombre d’entreprises créées depuis 2008 – Plateformes pures afin de conquérir la clientèle privée. Elles peuvent notamment faire du scrapping (récolter de la donnée non structurée) sur les réseaux sociaux, analyser ces données, en déduire la satisfaction des clients et concevoir des services person- nalisés au plus proche de leurs besoins. Par ailleurs, les robo-advisors, proposant un service de gestion automatisée de por- tefeuille, sont un bon moyen de conquérir et de fidéliser une clientèle friande d’un conseil simple et efficace ainsi que d’une tarification réduite et transparente. C’est le cas d’UBS, qui a lancé son robo-advi- sor «UBS SmartWealth » en novembre 2016 (au Royaume-Uni dans un premier temps). Enfin, les banques privées pourraient ga- gner en efficacité opérationnelle en digita- lisant les tâches administratives à faible valeur ajoutée (e-signature, coffre-fort nu- mérique, etc.) et en simplifiant leurs proces- sus. Quant aux banques privées adossées à une banque universelle, elles pourraient capitaliser sur le partage des systèmes d’information avec la banque de détail afin d’optimiser les coûts. En somme, la transformation digitale va faire évoluer le business model des banques privées, en induisant notamment une modi- fication du métier de banquier privé. Son rôle se rapprochera davantage de celui d’un family office, comme un véritable « chef d’orchestre» de la gestion de fortune. 3 Sortie du Royaume-Uni de l’Union Européenne 8
  • 9.
    La seconde génération derobo-advisors, un pont entre l’IA et la gestion patrimoniale Les progrès technologiques de l’intelligence artificielle et un meilleur ciblage de la clientèle permettront sans aucun doute l’avènement de ces conseillers financiers artificiels. L’essor des robo-advisors dans le marché de la gestion d’actifs La technologie des robo-advisors apparaît comme prometteuse pour de nombreux professionnels. Pourtant ses débuts, bien qu’encourageants, ne suscitent pas une ad- hésion franche des épargnants, notamment en France où les encours sous gestion sont toujours assez faibles (213 millions de dol- lars) et où l’appétence technologique est moins prégnante, par exemple, qu’en Asie où plus d’un milliard de dollars est sous gestion par des robo-advisors rien qu’à Sin- gapour. Le 27 juin dernier, le Financial Stability Board (FSB) a révélé, dans son étude « Financial stability implications from Fintechs », sa conviction que le phénomène des Robo-ad- visors pourrait avoir un impact positif sur la stabilité financière dans les années à venir. En effet, les frais d’utilisation des robo-ad- visors étant en moyenne 50% plus basse que celle des gestionnaires d’actifs, c’est l’ensemble du marché qui verrait ses prix à la baisse, améliorant son efficience et le rendant plus accessible. La banque Morgan Stanley estime ainsi que les actifs sous ges- tion des robo-advisors se décupleront pour atteindre 1 000 milliards de dollars en 2020. Fort de cette même conviction, et dans le cadre de sa démarche prospective bâtie sur les Use Case, Sia Partners a eu l’occa- sion d’accompagner, en partenariat avec l’école des Ponts Paris Tech, un groupe de quatre étudiants dans la création d’un robo-advisor. L’objectif de ce projet pé- dagogique étant de concevoir un service bancaire intelligent en utilisant la techno- logie robo-advisor et d’appréhender les avancées que celle-ci pourrait connaître au cours des prochaines années. En travaillant sur l’intelligence artificielle et en se fiant aux exigences des épargnants, le projet s’est basé sur une approche cus- tomer centric afin de proposer aux clients des produits financiers liés à la fois à leurs objectifs de rendement/risque mais aus- si aux secteurs d’activités sur lesquels ils souhaitent investir. Tout en choisissant un panel d’actifs à proposer, c’est l’exploita- 9
  • 10.
    tion des donnéesfournies par les clients qui permet de leur proposer un porte- feuille personnalisé et unique, répondant à leurs attentes. Si les plateformes robo-advisors sont en plein essor en Europe et surtout aux Etats-Unis, les produits financiers au- jourd’hui proposés ne sont pas encore très diversifiés. Pour répondre à cette problématique, le second objectif de ce POC a été d’élargir le spectre de produits financiers proposé en créant un panel de produits disponibles plus complexes que ceux utilisés actuellement sur le marché des robo-advisors. En travaillant sur les potentiels axes d’opti- misation de la technologie des robo-advi- sors, Sia Partners s’est forgé la conviction que ce nouveau type de plateformes de gestion d’actifs prendra une place signi- ficative dans le paysage financier de de- main grâce à l’émergence d’un nouveau business model. L’intelligence artificielle au service de la clientèle mass affluent Aujourd’hui, les robo-advisors ne gèrent qu’une part infime du montant global de l’épargne, mais leur évolution et l’utilisa- tion de l’intelligence artificielle devrait leur permettre d’accéder à une part de la population jusqu’alors inexploitée, en leur proposant des produits plus complexes et personnalisés. Si les particuliers les plus aisés ont accès à des services de gestion privée, ce n’est pas forcément le cas du segment haut de clientèle dit mass affluent, ayant une capacité d’investissement réelle, mais qui ne peuvent recourir aux services de ges- tionnaires de patrimoine, faute d’atteindre les seuils d’investissements minimaux ou découragés par les frais et commis- sions élevés. C’est pourquoi cette classe de population représente le marché cible pour les robo-advisors dont les frais sont moins élevés et sans barrière à l’entrée. Si le principal avantage des gestionnaires de patrimoine est de proposer une alloca- tion d’actifs sur-mesure, les robo-advisors actuels proposent pour le moment des solutions plus standardisées. Toutefois, l’utilisation de l’intelligence artificielle de- vrait ouvrir la voie à un paramétrage très fin et complètement personnalisé grâce à l’exploitation des données du client. En outre, les robo-advisors ne proposent aujourd’hui que des produits financiers standards (principalement des Exchange Traded Funds ou ETF ), du fait de leurs frais peu élevés. Cependant, une partie de la clientèle souhaiterait avoir accès à une gamme d’actifs plus diversifiés en termes de rendement et de risque. La tendance se dirige cependant, désormais vers la diver- sification et l’augmentation des actifs pro- posés, rendant les robo-advisors encore plus attractifs. 10
  • 11.
    Est-ce la finde la carte bancaire ? Paiement mobile, Selfie Pay, paiement biométrique, monnaie électronique,… nombreuses sont les alternatives au paie- ment par carte bancaire. Alors que la tendance du numérique est lancée, certains prédisent une obsolescence inévitable de la carte bancaire. Qu’en est-il réellement ? Quel est l’avenir de celle-ci ? La carte bancaire entre croissance et innovation L’utilisation de la carte bancaire ne cesse de progresser depuis les années 2000 et enregistre une hausse de 8% en moyenne par an. Elle détient d’ailleurs une place prépondérante dans les paiements : en 2016, elle atteint un record historique d’utilisation, avec 66,5 millions de cartes bancaires en circulation en France et 10,6 milliards de paiements par carte. Elle est aujourd’hui le premier moyen de paiement utilisé en France. Mais les banques traditionnelles ne jouissent plus du monopole qu’elles dé- Utilisation de la carte bancaire en France 0 10 20 30 40 50 60 70 1980 1985 1990 1995 2000 2005 2010 2015 2020 Evolution du nombre de carte bancaire entre 1986-2016 (en million) Répartition des moyens de paiement en volume en France (en 2016) Paiement par carte bancaire Famille de prélèvement VGM Autres virements Chèque LCR/BOR Monnaie électronique 50% 1% 1% 13% 18% 1% 18% Source : Banque de France, 2016 tenaient. De nouveaux acteurs, financiers ou non, proposent eux aussi des cartes de paiement : • les banques en ligne (Boursorama, Fortunéo,…) ; • les banques mobiles (N26, Qonto,…) ; • les Fintech (Lydia,…) ; • les acteurs non bancaires (Edenred, C-Zam,…) Lydia, leader du paiement instantané par application mobile entre particuliers, pro- pose désormais une carte de paiement pour quelques euros par mois. Cet enri- chissement d’offres de la part d’une Fin- tech innovante démontre l’importance et la pérennité de la carte bancaire. Pourquoi la carte de paiement est- elle, après 50 ans, toujours aussi populaire et attrayante même pour les Fintech ? 1. Elle est omniprésente 2. Elle est sécurisée 3. Elle est plébiscitée par l’UE À l’heure où la sécurité de nos données personnelles et financières est au centre des préoccupations des utilisateurs, la 11
  • 12.
    carte bancaire représenteun des moyens de paiement les plus sécurisés. Elle ins- pire d’ailleurs un sentiment de sécurité. D’après l’Observatoire de la Sécurité des Cartes de Paiement (OSCP), ce sentiment se justifie notamment à travers des taux de fraude historiquement bas (0,037% en 2016) pour les paiements par carte réalisés en France. Depuis la 3ème an- née consécutive, ces taux sont en baisse, soulignant un effort entrepris afin de sécu- riser les transactions par carte. Le sans- contact, quant à lui, est tout aussi sûr comme le démontre la faiblesse du taux de fraude en 2016 (0,020%). L’Union Européenne, quant à elle, a démon- tré une volonté de favoriser les moyens de paiement rapides et accessibles. Depuis l’application du règlement européen du 9 juin 2015, elle plafonne les commissions d’interchange de paiement (CIP) à 0,3% de la valeur de la transaction pour les cartes de crédit, et à 0,2% pour les cartes de dé- bit. Ces frais d’interchange sont réglés entre banques : la banque du commer- çant verse une commission à la banque Les innovations de la carte bancaire du porteur de la carte bancaire. La baisse des CIP entraîne une diminution des coûts pour les paiements par carte bancaire pour le commerçant. L’acceptation des cartes de paiement pour les petits mon- tants est donc ainsi favorisée. Deux nouvelles mesures permettent éga- lement d’encourager les paiements par carte bancaire : le paiement sans contact (ou NFC) et les terminaux de paiement électronique (TPE) innovants. Depuis le 1er janvier 2016, les TPE nouvellement installés chez un commerçant sont équi- pés de la fonction sans contact. Cette fonction encourage les paiements par carte bancaire notamment parce qu’ils de- viennent plus rapides et plus pratiques. De plus, des TPE innovants (ou mPOS), tels que Square ou Izettle, permettent d’ac- cepter le paiement par carte bancaire sur n’importe quel dispositif (téléphone por- table, tablette,…). Les petits commerçants ou les artisans itinérants qui, jusqu’alors, acceptaient seulement les paiements en monnaie, peuvent maintenant se tourner vers les paiements par carte bancaire. Banque Innovation Date de lancement Explication Cryptodynamique 2016 Changement toutes les heures du cryptogramme (code à 3 chiffres au dos de la carte) afin de lutter contre la fraude sur des paiements en ligne Paschi Combo: 4 cartes en 1 2012 4 fonctions : une carte de débit (Maestro), une carte de crédit (MasterCard), ainsi que des fonctionnalités de paiement sans contact (PayPass) et de paiement en ligne (sans saisie de numéro en ligne) Carte bancaire interactive 2012 Carte bancaire munie d'un écran LCD de taille réduite, d'un clavier à 10 chiffre et de boutons de validation, de correction et de on-off. L’écran permet de générer un OTP (one time password, ou mot de passe à usage unique), utilisé ensuite pour valider un paiement en ligne. Citevia: Paiement et transport 2012 Intégration de deux applications : Bancaire (elle fonctionne comme une carte de paiement, avec ou sans contact) et Transport (elle permet au porteur le chargement de titres émis par le réseau de transport bus et tramway Citura de Reims Métropole) « Fid et moi » : Paiement et fidélité 2014 Solution CLO (« Card Linked Offers ») qui vise à améliorer la fidélisation client en intégrant les cartes de fidélité à la carte de paiement. Lors d’un achat, les promotions et points sont immédiatement appliqués au panier du client. 12
  • 13.
    Pourtant, la disparitionde la carte semble inévitable Deux types d’alternatives à la carte ban- caire fleurissent de plus en plus : celles qui font de l’ombre au support et celles qui remplacent l’essence même de la carte. Dans le premier cas, les alternatives uti- lisent la puce de la carte et/ou les codes d’identification mais pas le support même de la carte. Par exemple, pour réaliser un paiement par objets connectés, la puce de la carte va être ajoutée au « device » (montre, porte-clés,…). La carte bancaire peut aussi être enregistrée sur des applica- tions pour tous paiements mobiles (Paylib), instantanés (Lydia, Visa Direct) ou en ligne (Paypal). Dans le deuxième cas, les nouveaux moyens de paiement remplacent à la fois le support et la nature de la carte bancaire. Par exemple, le virement instantané, ou Ins- tant Payment (IP), a été initialement propo- sé en novembre 2017 par une poignée de banques sur la zone SEPA, et sera plus cer- tainement généralisé sur 2018. Il permettra de faire passer la durée d’un virement in- Les alternatives de la nature et du support de la carte bancaire terbancaire de 24h-48h à 10 secondes en France et à 5 secondes en Belgique. L’IP a le potentiel de révolutionner les ha- bitudes de paiement en proposant aux consommateurs un nouveau moyen de paiement en temps réel similaire à la carte, mais en connectant directement le compte bancaire du client à celui du commerçant. Son appropriation par le grand public semble inévitable et ce pour deux raisons principales. La première étant que la tech- nologie nécessaire existe déjà sous la forme du peer-to-peer ou du m-paiement, et la seconde que la démocratisation du mobile comme moyen de paiement est bel et bien amorcée (avec l’utilisation d’un moyen simple : le numéro de téléphone permettant de payer en temps réel). Ainsi l’IP peut s’imposer comme l’alterna- tive au paiement par carte et se révéler être une solution bien plus économe pour l’utilisateur. Néanmoins, il suscite des in- quiétudes quant à la capacité des banques commerciales à absorber une baisse des commissions liées à la carte. Sachant qu’en 2015, la part des commissions to- tales (bancassurance, moyens de paie- ments, ressources à taux réglementés,…) dans le PNB de l’activité de banque de dé- tail en France approchait les 40 % (une par- tie importante provenant des activités mo- nétiques), les acteurs de la place se doivent de faire évoluer leur modèle de revenus. Sur le plan réglementaire, la directive des services de paiement (DSP2) permettra l’initiation d’un ordre de paiement directe- ment à partir des comptes du payeur déte- nus auprès d’un Prestataire de Services de Paiement (PSP). L’heure de gloire de la carte bancaire est-elle vraiment révolue ? Avec la montée d’alternatives de moyens de paiement, la réglementation DSP2 et l’Instant Payment, toutes les conditions sont réunies pour que l’usage de la carte diminue. En revanche, à court et moyen terme, l’es- sence même de la carte n’est pas amenée à s’éteindre et a encore du chemin à par- courir. Les alternatives, et en particulier le paiement mobile, vont se généraliser sur le marché dans les années à venir. Elles vont se baser sur la nature de la carte pour continuer d’exister. Son numéro de code, pour les paiements mobiles et en ligne, et sa puce matérielle, utilisable sur d’autres dispositifs, représentent deux fortes démonstrations de la pérennisation de l’essence de la carte. La Fintech califor- nienne Marqeta illustre parfaitement cette tendance avec son service de création de cartes bancaires virtuelles spécifiquement pour les applications mobiles de paiement. Pour faire écho aux trois objectifs prin- cipaux de la stratégie nationale sur les moyens de paiement, les acteurs existants et nouveaux devront répondre aux attentes des utilisateurs, renforcer la sécurité des moyens de paiement et toujours plus inno- ver. Innover, en proposant par exemple une application qui centraliserait et recenserait tous les sites et applications où la carte est enregistrée afin de faciliter l’expérience client. Anticiper, notamment les transitions aux autres supports de paiement en déve- loppant de nouvelles offres liées à ceux-ci. Prédire et prévoir de nouvelles alternatives, en approfondissant le paiement via l’IP ou par numéro de téléphone.Virement instantané Monnaie électronique Paiement biométrique Alternatives à la nature de la carte bancaire Alternatives au support de la carte bancaire Paiement mobile Paiempar wearables Paiempar E-commerce Seflie Pay Paiement instantané Paiement par abonnement Carte bancaire 13
  • 14.
    Le bitcoin etses impacts financiers : La future devise supranationale ? Le paiement par bitcoin, première crypto-monnaie, se démocratise. D'où provient la confiance placée dans une devise ni émise ni garantie par un état ? Première crypto-monnaie aussi connue que méconnue Sur les huit dernières années, tout le monde a entendu parler de bitcoins, peu ont véritablement compris leur méca- nisme. Pourtant le volume d’échange reconnu relatif aux crypto-monnaies in- dique que la popularité de ces monnaies est croissante. En l’état, il serait légitime de s’interroger : comment une série de chiffres et de nombres peut-elle avoir la moindre valeur d’échange ? Quand on échange un lingot d’or avec un tiers, ce tiers est certain que ce lingot n’a pas été créé ex nihilo, ni qu’il va être dé- pensé deux fois par le même acheteur, puisqu’il y a un échange physique du lin- got. A l’inverse, échanger un code digital ne peut pas reposer sur ce mécanisme, puisque ce code peut être créé sans ef- fort, dupliqué et envoyé à différents ven- deurs au même instant. Le problème pourrait être résolu par la tenue d’un re- gistre central des comptes. Cependant, rien n’empêche que celui-ci ne soit falsifié par la banque ou que les frais de tenue de compte demandés ne soient importants. Avec le bitcoin, la technologie blockchain se substitue au certificateur intermédiaire habituel. Chaque échange d’un bitcoin ajoute un bloc d’information, codé et au- thentifié, si bien que l’infalsifiabilité de la monnaie est assurée par les utilisateurs de tout le système (pour aller plus loin sur l’aspect technique, voir Blockchain tech- nology). 14
  • 15.
    Le bitcoin, unvecteur de confiance ? Une seconde question survient alors : pour- quoi faire confiance à une monnaie dépour- vue de cadre juridique ? Le bitcoin n’est pas reconnu comme devise officielle dans de nombreux pays et peut donc y être refusé en tant que monnaie d’échange. De plus, si la valeur d’une monnaie est soutenue par la balance commerciale d’un pays, ainsi que par la politique monétaire d’une banque cen- trale, la valeur d’un bitcoin n’a d’autre valeur que celle de l’offre et de la demande. Les réserves d’or détenues par les banques centrales, ainsi que la confiance des mar- chés en la volonté de la Réserve fédérale des États-Unis de maintenir des taux ac- commodants, régulent le cours du dollar. Par définition, le bitcoin ne peut pas béné- ficier d’organismes régulateurs : tout le pro- gramme d’inflation/déflation du bitcoin est inscrit au sein du bloc 0, dans la structure même de la crypto-monnaie. Si une poli- tique monétaire peut parfois s’avérer im- prévisible, un algorithme ne peut pas l’être. Programmé pour ne jamais excéder plus de 21 millions de bitcoins en circulation, l’offre s’accroit à un rythme décroissant. Cette croissance logarithmique a pour but d’en- courager la fidélité des premiers utilisateurs, et de reproduire la vitesse d’extraction des métaux précieux. Ce n’est pas par hasard que le terme « mining » désigne aussi bien la pratique d’extraction de l’or, que le procédé de création et de sécurisation des bitcoins. Le paiement par bictoin, une alternative aux moyens de paiements traditionnels ? La valeur intrinsèque du bitcoin tient dans la confiance des investisseurs à long- terme dans les perspectives de sa techno- logie sous-jacente. Le paiement par BTC (Bitcoin) s’avère peu coûteux, rapide, authentifié et sécurisé. De plus, toute manipulation humaine est ex- clue : ni utilisation intensive de la planche à billet, ni collecte potentielle d’informa- tions privées. Cependant, pour le moment, il est difficile d’envisager le bitcoin de la même manière qu’une devise ordinaire. La principale caractéristique d’une de- vise est d’être stable, afin de minimiser le risque de change d’un investisseur. Or le cours du bitcoin est très volatile : en mai 2017, la valeur du bitcoin a varié de plus de 25% en deux jours, tandis que le cours Euro / Dollar a fluctué d’environ 3% sur le mois entier. Cette volatilité s’explique par de nombreuses raisons : • Une difficulté à évaluer correctement la valeur intrinsèque de la devise sans base monétaire disponible • L’éclatement de différents scandales po- litiques (notamment, récemment, l’inter- diction de la Chine de négocier du bitcoin sur son sol) • Les inquiétudes élevées sur l’infalsifiabili- té réelle de la technologie Cependant, cette volatilité diminue chaque année, si bien qu’il serait légitime de se demander si le bitcoin ne pourra pas être considéré comme une devise à part entière lorsque, une fois un consensus sur son potentiel atteint, sa valeur se stabili- sera (tout comme se stabilise toute tech- nologie très médiatisée lorsqu’elle atteint son plateau de productivité dans un cycle dit Hype). Une autre cause qui freinerait son adop- tion serait la limite maximale d’opérations possibles par seconde sur ce réseau blockchain : fin avril 2017, environ 3 à 4 transactions par seconde pouvaient être gérées simultanément, tandis qu’en com- paraison Visa peut en traiter jusqu’à 1667. L’adoption du consensus Segwit fin août pourrait permettre d’augmenter la capa- cité de traitement de chaque transaction. Mais la technologie est peut-être encore trop immature aujourd’hui pour être vé- ritablement considérée autrement que comme une classe d’actifs dont la princi- pale vocation est davantage spéculative que monétaire. 15
  • 16.
    Une volonté d’harmonisation despratiques européennes de supervision des institutions financières Poursuivant sa volonté d’harmoniser l’environnement réglementaire des banques à un niveau européen, l’EBA a publié le 21 Novembre 2017 son troisième rapport annuel sur la convergence des pratiques de supervision à travers l’UE. Au programme de ce rapport : examen sur la cohérence de l’application du SREP , de l’ICAAP , de P2R et de P2G , résultats observés par l’EBA depuis la dernière publication, et zooms sur les moyens mis en œuvre par l’EBA afin de faire conver- ger les pratiques de supervision. Une nette progression vers une convergence des lignes directives du SREP et de la mise en œuvre des recommandations EBA Afin d’harmoniser les réglementations bancaires à un niveau européen, la conver- gence des pratiques de supervision est né- cessaire pour des raisons de concurrence équitable, de supervision plus efficace des institutions financières présentes dans plusieurs pays de l’UE, et d’identification des meilleures pratiques de supervision. Depuis la dernière publication de l’EBA sur le sujet, une progression dans la mise en œuvre des recommandations et observa- tions formulées par l'EBA lors des visites bilatérales de convergence de 2016 a été observée, notamment en termes de mise en œuvre des lignes directrices du SREP. En effet, ces lignes directrices fournissent un point de référence pour évaluer la convergence des pratiques de supervi- sion, étant donné qu’elles fournissent une base solide à toutes les autorités compé- tentes pour élaborer leurs propres métho- dologies et pratiques d'évaluation. Des difficultés persistantes, freins à une progression vers une convergence des pratiques européennes de supervision Le rapport met toutefois en exergue un certain nombre de difficultés persistantes dans la convergence des pratiques de supervision, notamment dans la détermi- nation des exigences de fonds propres supplémentaires spécifiques aux établis- sements. En particulier, le rapport observe 6 Processus de contrôle et d'évaluation prudentielle (Supervisory Review and Evaluation Process) 7 Processus interne d'évaluation de l'adéquation des fonds propres (Internal Capital Adequacy Assessment process) 8 Exigences au titre du pilier 2 (Pillar II Requirements) 9 Recommandation du pilier 2 (Pillar II Guidance) différentes approches dans l'utilisation des résultats du processus interne d'éva- luation de l'adéquation des fonds propres des banques (ICAAP), une disparité entre les taxonomies de risque et des diffé- rences dans l’interprétation de la mise en place de P2R. De plus, le rapport note l'utilisation généralisée du cadre des « gui- dances » du Pilier 2 (P2G), mais une expé- rience limitée dans ce domaine rend l'ana- lyse de la première vague d'application de la P2G difficile. 16
  • 17.
    Néanmoins, ces freinssont à nuancer dans la mesure où il y a toujours un délai dans les résultats et dans la définition des exigences en termes de pilier 2 (notam- ment dans la mise en place de la roadmap P2R). En effet, les autorités compétentes attendent les résultats définitifs des né- gociations politiques avant d'ajuster leurs méthodologies et pratiques de supervi- sion. Actions de l’EBA afin de renforcer la convergence des méthodes de supervision Outre le travail de convergence par des « guidances », recommandations ou ob- servations sur les sujets P2R, P2G, ICAAP et SREP, l’EBA met en place un certain nombre d’actions lui permettant de fa- ciliter la convergence des méthodes de supervision. L'EBA a ainsi continué d'enri- chir ses outils de suivi et d'évaluation de la convergence, notamment en multipliant les visites de convergence bilatérales qui ont été introduites en 2016. Cela a permis d’avoir des retours sur la politique EBA des processus de développement. A cela s’ajoutent les QA de l’EBA qui permettent d’établir des pratiques de surveillance co- hérentes, efficaces et efficientes. On note qu’il existe d’autres outils tels que les exa- mens pour les pairs ou les auto-évalua- tions dont les sujets évalués permettent d'effectuer des études approfondies. De plus, l’EBA souhaite améliorer le fonc- tionnement des « collèges des contrô- leurs » qui ont été créés afin de renforcer la coopération entre les autorités de surveil- lance, tant au niveau de l'UE qu'au niveau mondial. L’EBA a ainsi réalisé son évalua- tion annuelle des collèges des contrôleurs en 2016 et a conclu que, globalement, le niveau et la qualité des missions ain- si que la profondeur de discussion dans les collèges des contrôleurs s'étaient en- core améliorés par rapport à 2015. Dans presque tous les collèges étroitement sur- veillés, un dialogue entre le superviseur et les autorités compétentes concernées a été organisé pour convenir des exigences en matière de capital et de liquidité. Afin de mieux évaluer le degré de convergence du fonctionnement des collèges, l'EBA a également introduit en 2016, pour la pre- mière fois, des questionnaires d'auto-éva- luation permettant de recueillir des infor- mations sur l'activité des collèges. Enfin, l'EBA intensifie ses activités de formation des autorités de surveillance en élargissant davantage son offre rési- dentielle et en investissant dans des ins- tallations de formation en ligne qui per- mettront aux superviseurs hiérarchiques d'avoir une plus grande portée. On note ainsi qu’en 2016, l'EBA a organisé 18 for- mations sectorielles pour les autorités compétentes, une manifestation inter- sectorielle organisée conjointement avec l'EIOPA et quatre événements en ligne. L’harmonisation des pratiques de super- vision, et surtout leur reconnaissance se- lon le cadre fixé par l’EBA, constitueront certainement des facteurs d’accélération au niveau européen compte-tenu des contraintes déjà fortes sur les niveaux de fonds propres des banques par ailleurs. Les années suivant les résultats défini- tifs des exigences en termes de pilier 2 et des négociations politiques avant d'ajus- ter leurs méthodologies et pratiques de supervision seront donc déterminantes, même s’il y a fort à parier que cette har- monisation restera progressive et s’inscri- ra dans une optique de long-terme. 17
  • 18.
    ICAAP et ILAAP: Quelles attentes de la BCE pour les prochaines années ? En janvier 2016, la BCE avait publié ses attentes concernant l’ICAAP (Internal Capital Adequacy Assessment Process) et l’ILAAP (Internal Liquidity Adequacy Assessment Process), en précisant, structurant et normalisant les informations à communiquer par les établissements bancaires. En 2017, le superviseur bancaire va plus loin et vise une harmonisa- tion accrue et un enrichissement des approches des établissements bancaires concernés au regard de leurs processus ICAAP et ILAAP. A cet effet, la BCE a publié au premier trimestre 2017 son projet pluriannuel visant à élaborer des guides complets relatifs à ces processus. Les orientations induites auront un impact sur les banques, contraintes d’adapter certains de leurs processus. Contexte de l’ILAAP et de l’ICAAP et définition de leur processus d’évaluation Le 19 décembre 2014, l’Autorité Bancaire Européenne (ABE) a publié la version dé- finitive des directives détaillant les procé- dures méthodologiques communes de- vant s’appliquer aux autorités nationales dans le cadre du « Supervisory Review and Evaluation Process » (SREP). Ces directives, entrées en vigueur au 1er jan- Workflow simplifié d’évaluation de l’adéquation du niveau de liquidité et d’appréciation de l’ILAAP vier 2016, s’appliquent à l’ensemble des autorités bancaires nationales de l’Union Européenne en charge de la supervision des établissements de crédits. Pour mémoire, ces directives ont pour ob- jectif la mise en place d’un cadre européen pour la surveillance des risques associés aux modèles d’activité et à la gouvernance des banques, ainsi qu‘à leurs niveaux de capitaux propres et leur gestion de la li- quidité. Dans le cadre du SREP, l’ILAAP se concentre sur la gestion de la liquidité dont le processus d’évaluation s’articule comme suit : A Quant à l’ICAAP, il porte sur l’évaluation de l’adéquation des fonds propres par risques et son processus d’évaluation s’articule comme suit : Axe Risk Appetite liquidité Stress testing Besoins de liquidité Indicateurs de suivi de la liquidité (gaps de liquidité, LCR, … ) Evaluation (scoring) du niveau de risque de liquidité, tenant compte notamment de: • L’importance systémique de l’établissement • Des niveaux de buffer de liquidité Définition d’un horizon de survie de l’établissement tenant compte notamment de son importance systémique Indicateurs stressés (gaps stressés) Liquidity Shortfalls (besoins de financements) Evaluation de la qualité du buffer en condition de stress Réévaluation du niveau de buffer post stress Mesures de supervision Evaluation de l’ILAAP et des objectifs internes pour la liquidité 18
  • 19.
    Publication de laBCE en 2017 et orientations des guides relatifs à l’ICAAP et l’ILAAP La BCE a constaté la nécessité d’améliora- tions dans plusieurs domaines de gestion des risques des établissements bancaires européens. Partant de ce constat et afin de renforcer les processus existants af- férents à l’ICAAP et l’ILAAP, le conseil de surveillance prudentielle de la BCE a lan- cé un projet pluriannuel visant à élaborer deux guides complets (un relatif à l’ICAAP et un autre afférent à l’ILAAP) destinés aux établissements bancaires. Bien que les deux guides soient suscep- tibles de différer sensiblement, ils n’en restent pas moins convergents dans la mesure où l’ICAAP et l’ILAAP constituent des processus fortement interconnectés. A travers ces guides, le superviseur définit sept principes structurants devant per- mettre aux établissements d’orienter leurs processus afférents à l’ICAAP et l’ILAAP. Workflow d’évaluation de l’adéquation des fonds propres par risque et d’appréciation de l’ICAAP Evaluation des risques Stress testing Besoins d’adéquation des fonds propres par risques Dispositif quantitatif : déterminer le capital interne au travers d’une approche incrémentale de l’ICAAP par rapport au Pilier 1 Dispositif qualitatif : effectuer une revue critique en s’appuyant sur le dispositif de maîtrise des risques et de contrôle permanent Indicateurs de suivi des risques (EVE, VaR, PD, LGD, EAD, … ) Conforter l’analyse par la réalisation de stress tests coordonnés sur tous les risques (crédit, marché, taux, liquidité, opérationnel, … ) Evaluation de la qualité des fonds propres en condition de stress Couverture des risques non pris en compte dans le pilier I Diversification des risques : optimisation des fonds propres Mesures de supervision Evaluation de l’ICAAP et des objectifs internes pour l’adéquation des fonds propres 19
  • 20.
    Les sept orientationsconcernant l'ICAAP et l'ILAAP données par la BCE en 2017 On note que ces guides constituent avant tout des recommandations. L’ICAAP et l’ILAAP étant en effet des processus in- ternes, il appartient à chaque établisse- ment bancaire de les mettre en œuvre de manière proportionnée (cf. principe 6, aus- si appelé « principe de proportionnalité »). Autrement dit, les processus doivent être en ligne avec la taille, le modèle d’activité, la complexité, les risques encourus et an- ticipations de marchés de l’établissement. Principaux enjeux des guides liés à l’ICAAP et l’ILAAP pour les établissements bancaires Par ailleurs, ces guides ont introduit plu- sieurs nouveautés significatives depuis la dernière publication de la BCE sur le su- jet, telles que l’évaluation suivant les deux approches normative et économique (cf. principe 3) et la demande d’une perspec- tive à court terme d’un an assortie d’une perspective à long terme d’au moins trois ans (cf. principe 2). De manière plus générale, la BCE insiste fortement sur l’augmentation de la fré- quence d’évaluation de différents points et sur la nécessité d’une réalisation trimes- trielle des rapports liés à l’ICAAP et l’ILAAP (voire mensuelle pour certaines banques). La BCE pointe également la nécessité d’un inventaire des risques encourus une fois par an a minima (cf. principe 4). Ces nouvelles demandes constituent un véritable challenge pour les établisse- ments bancaires qui devront mettre en place ou amender de façon non négli- geable leurs processus afin de répondre aux demandes induites par les guides d’ici deux ans. En résumé, le nouveau projet pluriannuel visant à obtenir la convergence euro- péenne des cadres nationaux des établis- sements bancaires (sujet actuellement au cœur de l’ensemble des mesures de l’ABE), ainsi qu’un renfort de la viabilité de ces derniers, les obligeront à redéfinir leurs processus et à effectuer des chan- gements techniques, en particulier au sein de fonctions ou départements prota- gonistes des processus ICAAP et ILAAP. Cette volonté de la BCE s’inscrit dans le renfort continu du SREP et de son plan méthodologique. La supervision BCE attend ainsi des re- tours des établissements, qui, additionnés à l’expérience qui sera acquise en 2017 au regard du SREP, permettra de revoir les guides pour l’année suivante. Principe 1 Les conseils d'administration et les comités de risques sont notamment responsables de l’ICAAP et l’ILAAP. Les organes de gestion et direction sont responsables de l’ICAAP et l’ILAAP Principe 2 Les processus doivent être alignés sur « l'appétit » pour le risque collectif et doivent tenir compte non seulement dela situation actuelle, mais aussi dela situation à horizon supérieur à trois ans. L’ICAAP et l’ILAAP font partie intégrante du cadre de gestion de l’établissement Principe 3 La viabilité de l’établissement peut être sécurisée par la réalisation d’évaluations à court terme et à moyen terme. Deux approches doivent êtreenvisagées : • La perspective normative, qui est basée sur la capacité de répondre aux exigences de supervision. Pour le capital, cela comprend des ratios clés tels que le ratio CET 1, le ratio Tier 1 et le ratio de levier. Pour la liquidité, cela comprend leLCR. La vision normativedoit tenir comptedela position à court terme, mais aussi de la position à plus detrois ans. • La perspective économique repose sur la situation économique. En tant que telle, l’approche doit tenir comptedela vaste gamme de risques possibles qu'un actionnairepotentiel peut avoir. L’ICAAP et l’ILAAP visent à préserver en permanence la viabilité de l’établissement Principe 5 Les établissements sont censés définir leur capital interne selon l’approche économique et cette définition doit êtreconformeà la quantification des risques. Le capital interne est de haute qualité et clairement défini Principe 6 L'approche de chaque banque vis-à-vis de l'ICAAP et de l'ILAAP doit convenir à son propre modèle d'entreprise et à son aptitudeaux risques. Les hypothèses et les quantifications des risques appliquées à l’ICAAP et l’ILAAP sont proportionnées, cohérentes et entièrement validées Principe 7 Des stress tests internes doivent être effectués, au moins une fois par an, en fonction d'un examen approfondi des vulnérabilités potentielles. Des stress tests doivent s’organiser de manière régulière Principe 4 Les institutions doivent envisager toutes menaces potentielles à leurs situations de capital ou de liquidité, selon leur modèled'entreprise. Tous les risques significatifs sont identifiés et pris en compte dans l’ICAAP et l’ILAAP 20
  • 21.
    De l’importance d’unefonction ALM de second niveau robuste Dans le cadre de leur gestion actif passif et des risques financiers afférents (risque de taux, liquidité, change…), les établissements financiers sont tenus de démontrer l’existence de contrôles de second niveau complets, robustes, régu- liers et rigoureusement documentés. Cette exigence est d’autant plus prégnante depuis l’entrée en vigueur de l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'ACPR . Les contrôles de second niveau ont vo- cation à vérifier, de façon indépendante – cette fonction étant souvent dévolue aux directions des risques –, la pertinence et la qualité des stratégies, modèles, orga- nisations, processus et systèmes mis en place pour la filière ALM de premier ni- veau. Ces-derniers concourent en effet à la production et à la consolidation des dif- férentes mesures de risque et in fine à la prise de décisions de gestion de l’établis- sement (ex : passage d’opérations de cou- verture, opérations de refinancement…). Le contrôle de second niveau vise donc à couvrir l’exhaustivité des activités du pre- mier niveau et implique ainsi une analyse indépendante de la production des indi- cateurs de risque et des contrôles de pre- mier niveau afférents ainsi qu’une partici- pation active dans la définition des limites. Dès lors, la mise en place d’une fonction ALM de second niveau peut être – et doit être – considérée comme un levier d’op- timisation des pratiques de mesure et de pilotage du niveau 1. Notre vision d’une fonction ALM de second niveau robuste La robustesse d’une telle fonction repose sur les 3 piliers ci-dessous. En effet, (1) l’ALM de second niveau doit permettre la prévision des risques à venir via la mise en place d’une approche risque appropriée et proportionnée, se basant sur : • la définition au niveau de l’établissement de son appétence au risque et les para- mètres afférents, • ldes limites et un profil de risque cohé- rents avec la stratégie de l’institution fi- nancière. De plus, l’ALM de second niveau doit as- surer l’efficacité des mécanismes en place évaluant les risques via la réalisation de contrôles sur : • les guidelines règles, • les modèles quantitatifs et méthodolo- gies appliquées, • les indicateurs de risques, • le niveau et le respect des limites, • le processus d’alerte, et • les actions de suivi. Ensuite, (2) l’ALM de second niveau doit réaliser le suivi, indépendant et actif, des indicateurs de risques (consolidés) pertinents et des limites afin de s’assu- rer qu’elles sont respectées (ou que leur dépassement est temporairement ac- ceptable et justifié) et qu’elles sont cohé- rentes avec le cadre d’appétence pour le risque prédéfini. Enfin, (3) le contrôle de second niveau doit régulièrement établir des rapports à l’attention des comités et des acteurs ex- ternes sur la qualité de l’encadrement des risques et analyser l’évolution des postes du bilan et des indicateurs de risques. Il doit également démontrer la bonne couverture et gestion de l’exposition aux différents facteurs de risques, notam- ment lorsque les limites ou l’appétence au risque préétablis risquent de ne plus Insertion dans le cadre d’appétit au risque, approche élargie des contrôles à réaliser Mise en place de contrôles indépendants, robustes et réguliers Mise en place de rapports et de processus de remontée des alertes fiables Anticipation et validation Consequence management Monitoring 1 2 3 21
  • 22.
    être respectés. Illui incombe également, lorsque cela s’avère nécessaire, de remon- ter les alertes au management de l’établis- sement – en ligne avec les procédures en place. Notre vision des grandes familles de contrôles ALM et leur déclinai- son opérationnelle Fort d’une expertise pointue des exi- gences réglementaires autour du contrôle de second niveau et d’une connaissance fine et éprouvée des problématiques de pilotage des risques de taux, de liquidité et de change, Sia Partners a identifié une ap- proche générale basée sur les meilleures pratiques. Ces contrôles peuvent s’articu- ler de la manière suivante : Validation de l’assiette de calcul des indicateurs Afin de permettre un calcul adéquat des différentes métriques ALM, il convient de s’assurer que l’outil reçoit effectivement l’ensemble du bilan et du hors-bilan à chaque arrêté et est capable de traiter convenablement les opérations associées. Différentes mailles d’analyse sont alors possibles pour évaluer la qualité des montants restitués dans les outils. Contrôles de versioning dans le paramétrage des outils Lors du traitement des données permettant les calculs et restitutions d’in- dicateurs, un certain nombre de conversions sont effectuées, depuis les formats de base de données, à l’outil de calcul, en passant souvent par un format commun. Ces transformations induisent l’utilisation de tables / mappings / grilles d’affectation qu’il convient de contrôler à chaque pro- duction. Validation des échéancements La plupart des indicateurs ALM communément suivis en pilotage ou a des fins réglementaires (gaps, sensibilités, ratios…) sont tributaires de l’écoule- ment dans le temps des produits de l’établissement. Il est alors essentiel, afin d’obtenir des chiffres valables, de s’assurer de la bonne exécution des règles de projection du bilan et du hors-bilan. Validation des indicateurs Une fois les différents indicateurs produits par les outils, il convient de pouvoir les analyser finement, afin d’être effectivement en mesure de va- lider les chiffres générés. En particulier, une validation partagée et indé- pendante par la finance et par les risques est une pratique saine et qu’il convient d’adopter. Encadrement Les décisions de gestion prises à l’issue des comités ALM sont guidées par une comparaison des métriques produites aux limites associées. Un premier regard mené en parallèle par la finance et par les risques, per- mettant de constater le respect des limites, et d’identifier les éventuels facteurs de dépassement, est crucial pour éclairer ces décisions. Processus de production et de diffusion Dans l’optique d’assurer une présentation / soumission des reportings ALM dans les meilleurs délais, le processus de production doit comporter des jalons clairement identifiés. Le respect de ces jalons, sans perte de qualité dans la donnée produite, est alors un point clé qu’il convient de suivre et de contrôler. 22
  • 23.
    Descriptif du contrôle Points d’attention Zone de risque concernée Niveaudu contrôle Acteur Responsable Consulté Informé Détaille le contrôle réalisé Précise les enjeux et objectifs du contrôles Indique le type de risque couvert par le contrôle Précise le niveau auquel est effectué le contrôle : 1 = contrôle réalisé par la Finance 2 = contrôle réalisé par les Risques 1 2 = contrôle réalisé parallèlement par Finance et Risques Indique l’équipe en charge de la réalisation du contrôle Indique l’équipe responsable de la bonne réalisation du contrôle (exemple : valider le contrôle effectué par « l’Acteur ») Répertorie les équipes dont une contribution peut être attendue pour la bonne réalisation des contrôles Equipes nécessitant de recevoir de l’information relative aux contrôles sans toutefois contribuer à son exécution Par ailleurs, pour les différents contrôles s’insérant dans les différents regroupe- ments ci-dessus, il sera indispensable a minima de normer les éléments suivants : (cf. ci-dessus) À partir de cette première vision globale permettant d’identifier les bonnes pra- tiques à transposer à chaque environne- ment spécifique, les chantiers de mise en place ou d’optimisation de la fonction ALM de second niveau peuvent s’organi- ser afin : • d’identifier les contrôles pertinents ain- si que leur déclinaison opérationnelle et leur documentation adéquate, • de définir le bon niveau de gouvernance des différentes fonctions de niveau 1 et 2, • de participer à la définition du cadre d’ap- pétence au risque de l’établissement. D’une contrainte réglementaire à de possibles leviers d’optimisation de la fonction ALM Si la mise en place d’une fonction de se- cond niveau peut être vue comme relevant d’abord d’une contrainte réglementaire, cette fonction de second niveau doit être pensée comme un levier d’optimisation des pratiques de mesure et de pilotage de l’ALM niveau 1. Par son expertise, son organisation, ses processus et ses outils, la fonction de se- cond niveau doit être à même de contrôler finement et de challenger l’activité de la fonction ALM de premier niveau. En effet, le niveau 2 doit être en capacité de mettre en place des couches de contrôles autour des différents aspects préalablement balayés ci-dessus – mais également de l’alignement du dispositif de contrôles sur les différentes exigences réglementaires (Bâle, EBA, SREP,…) afférentes à la gestion des risques de taux, liquidité et change. Ainsi, par son rôle et les enjeux de ses fonctions, l’ALM de second niveau doit participer activement aux chantiers de définition de l’appétence au risque et à la gestion des interactions entre les diffé- rentes mesures de risques afin de piloter et optimiser la fonction ALM dans sa glo- balité. 23
  • 24.
    Le recours auxPrestations de Services Essentiels Externalisées pour les banques, une tendance forte du marché ? Malgré des prévisions de croissance à la hausse pour les mois et années à venir, la conjoncture économique française demeure mitigée pour les banques, qui voient leurs marges réduites dans un contexte de taux d’intérêt toujours très bas. Elles souffrent également d’obligations réglementaires plus fortes et de l’accroissement de la pression concurrentielle avec l’émergence de nouveaux acteurs (banques en ligne, FinTechs…). Enfin, des marchés globalement tumultueux et des événements géopolitiques comme le Brexit renforcent les incertitudes qui pèsent sur les banques. Tous ces éléments rendent plus incertains les revenus des banques traditionnelles, qui doivent trouver de nouveaux leviers de croissance et offrir de nouveaux services pour consolider leurs marges. Les Prestations de Services Essentiels Externalisées Dans ce contexte, le recours aux Presta- tions de Services Essentiels Externalisées (ou PSEE) apparaît comme un levier de croissance et de rationalisation des coûts. Cette notion a été introduite par le CRBF dans son Règlement n°97-02 du 21 février 1997 : « Activités externalisées : les activi- tés pour lesquelles l'entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisatio de prestations de services ou d'autres tâches opération- nelles essentielles ou importantes ». En septembre 2009, la Fédération Ban- caire Française a publié une liste indi- cative de PSEE dans son document « Externalisation : Contrôle des activités ex- ternalisées à des prestataires communs ». Cette liste est une interprétation du CRBF 97-02. Les activités elles-mêmes soumises au CRBF 97-02 : opérations de banques, services de paiements, services d’investissement Les activités connexes aux opérations et services ci-dessus, qui ne sont pas pour autant soumises au CRBF 97-02 Les prestations de services participant à l’exécution des opérations ou services mentionnés ci-dessus Les autres activités qui pourrait avoir un impact significatif sur les activités mentionnées ci-dessus PSEE Version révisée du CRBF n°97-02 du 05/05/2010 qui définit les PSEE (article 4-r) 24
  • 25.
    Enjeux liés auxPrestations de Services Essentiels Externalisées Depuis plusieurs années, l’externalisation et en particulier l’externalisation métier ou BPO (Business Process Outsourcing) est ainsi devenue un élément central pour les banques. Un BPO complet réduit les coûts et les risques tout en améliorant la quali- té et la souplesse du service, permettant ainsi à l’établissement de se concentrer davantage sur son métier de base : le dé- veloppement commercial de son activité bancaire. Les avantages à recourir à de telles prestations de services semblent en effet multiples. D’une part, cela permet d’amortir des SI de plus en plus onéreux et de mieux maî- triser les coûts des fonctions support et du back office, dont l’allègement est fon- damental pour une industrialisation réus- sie du secteur bancaire. D’autre part, cela permet de faire appel aux meilleurs spé- cialistes sans avoir à se doter de ce type de compétences en interne, et donc d’être plus flexible face aux variations d’activité et plus souple dans la mise en œuvre de la prestation. Enfin, un des effets positifs de l’externalisation métier est qu’elle permet une démultiplication des services ban- caires avec des offres avantageuses et modulaires pour les clients, sans compter que le taux de Straight-Through-Proces- sing s’en trouve amélioré. Liste indicative de PSEE • Asset management : gestion de portefeuille pour compte de tiers, placement, souscription, achat, gestion, garde et vente de valeurs mobilières et de tout produit financier • Automates bancaires, DAB, GAB : alimentation et maintenance uniquement (logiciels d’automate) • Autres transports de valeur (autres que de fonds) • Back-office • Cartes bancaires : fabrication/personnalisation, acheminement • Centre d’opposition sur moyens de paiement • Chéquiers : fabrication/personnalisation, acheminement • Conseil et assistance en matière de gestion de patrimoine (produits d’épargne bancaire et produits d’épargne financière) • Conseil et assistance en matière de gestion financière, ingénierie • Conservation des titres : conservation et administration d’instruments financiers • Editique : les prestations d’éditique sont visées s’il s’agit d’édition de relevés clients • Emetteur de monnaie électronique • Gestion de la caisse centrale • Gestion des devises : opérations de change • Gestion relation clients : sont visés les « call centers » • Hébergeurs de systèmes informatiques : seulement dans le cas où les systèmes informatiques hébergés sont le support d’une prestation de service essentielle • Infogérance et exploitation informatique : seulement dans le cas où la prestation porte sur des infrastructures techniques qui seraient le support d’une prestation de service essentielle • Location de coffres forts • Opérations de location simple de biens immobiliers dans le cadre du crédit-bail • Plateformes « e-business » • Porte-monnaie électronique (système ou marque) • Prestations de banque à distance • Prestations liées au Plan de Continuité d’Activité : centres de repli, sauvegarde informatique • Recouvrement de créances • Stockage et archivage : seulement dans le cas où les archives ont un caractère essentiel, contractuel et/ou obligatoire et que leur perte expose l’établissement à un risque financier ou d’image • Terminaux de paiement par cartes (maintenance uniquement) • TMA (tierce maintenance applicative) : seulement dans le cas où la prestation porte sur des applications supportant directement une activité essentielle • Traitement comptable pour compte propre et reportings réglementaires • Traitement des chèques • Transport de fonds : transport de fonds lourds, alternatifs, comptage d’espèces Source : Forum des compétences / Solucom Néanmoins, le recours à des PSEE s’accompagne aussi de contraintes et de risques opérationnels à prendre en compte pour conserver une capacité de pilotage efficace de ses activités. En effet, une sécurité insuffisante des systèmes d’information, une défaillance des proces- sus, ou une déperdition des contrôles sont autant de situations à envisager lors de la mise en place des contrats de prestations de services. A cet égard, le règlement CRBF 97-02 spécifie précisément que les fonctions déléguées et exécutées par le sous-traitant doivent demeurer sous le contrôle de l’entreprise délégante et res- pecter les principes définis par cette der- nière. Il s’agit donc pour les banques de mettre en place des Service Level Agree- ments de façon systématique, incluant des clauses d’audit spécifiques telles que la reproduction du dispositif de contrôle interne au niveau du sous-traitant et un 25
  • 26.
    droit de suitedu régulateur. Ce dispositif de contrôle « permanent et périodique » (tel que défini par le régulateur) peut s’ap- puyer sur plusieurs normes de qualité au niveau du prestataire : rapport SAS 70, normes ISO, standards COSO ou COBIT... Enfin, dans les articles 313-56 et de 313- 72 à 313-75 de son Règlement (Livre III. PRESTATAIRES, Chapitre III. Règles d’ob- servation), l’AMF a introduit l’obligation de mise en œuvre d’un plan de continuité d’activité (PCA) pour les prestataires de services opérationnels « essentiels ou im- portants pour la fourniture d’un service ou l’exercice d’activités ». Ces contraintes opérationnelles et régle- mentaires expliquent en partie pourquoi malgré l’essor important du recours à l’outsourcing, celui-ci reste circonscrit à des domaines très spécifiques et claire- ment identifiés comme les fonctions sup- ports, le back-office ou les services liés aux technologies de l’information. Ainsi et pour exemple, près de 80 % des banques ont accès à des services tels que l’infogé- rance, mais aucune d’entre elles ne sous- crit à un service informatique global. La majorité des établissements demeurent en effet opposés à l’externalisation d’acti- vités stratégiques. De même, l’externalisa- tion d’activités du cœur de métier bancaire demeure quasi-exclusivement réservée à des filiales spécialisées (intra-groupe). Cela permet aux banques à la fois de s’affranchir de risques supplémentaires mais aussi d’éviter de créer de nouvelles sources de concurrence via des transferts de compétences très spécifiques. Ainsi, celles-ci tendent à préférer des groupe- ments de moyens (intra-groupes ou par- tagés avec d’autres banques) ainsi que des entités domestiques non-financières, plutôt que des prestataires externes po- tentiellement concurrents. Stratégies d’externalisation des activités Lorsqu’il s’agit d’étudier l’opportunité d’ex- ternaliser certaines activités au sein de la banque, il convient d’adopter une stratégie d’analyse et de prise de décision de type Make or Buy, afin d’atteindre un « point d’équilibre » économique et stratégique, situé à mi-chemin entre le « tout interne » (Make) et le « tout externe » (Buy). Plu- sieurs critères entrent en jeu et sont liés aux avantages apportés par chacune des deux options : alors que la stratégie Make valorise les compétences développées en interne et permet une plus grande stabilité sur le long terme, la stratégie Buy permet quant à elle de mieux maîtriser ses bud- gets tout en étant plus souple et en faisant appel aux meilleurs spécialistes dispo- nibles sur le marché. Il s’agit également de mesurer les risques associés à ces deux stratégies, plus élevés pour la stratégie Buy – impliquant aussi une plus grande rentabilité. Par ailleurs, il convient aussi de rappeler que l’externalisation peut en- traîner le transfert de certains risques à l’entreprise proposant le service. Plusieurs facteurs sont déterminants dans la prise de décision d’externaliser un processus. Tout d’abord, il faut s’in- terroger sur la qualité de ce processus en interne et son rôle dans la compétiti- vité de la banque. Connaître parfaitement les besoins de son entreprise permet de mieux maîtriser les capacités des fournis- seurs et de satisfaire au mieux son mar- ché client. Ensuite, il convient d’évaluer la maturité de ce processus par rapport aux technologies et savoir-faire disponibles sur le marché. Une analyse concurrentielle doit également être réalisée afin de situer le processus vis-à-vis des pratiques des autres établissements. Enfin, pour mettre en œuvre la décision si une stratégie Buy est actée, la définition claire d’un plan d’action permet de piloter et contrôler au mieux et dès le départ son processus externalisé. Ce plan d’action devra également inclure la possibilité d’une réintégration future du processus mais surtout d’une solution de back-up en cas de dysfonctionnement. 26
  • 27.
    Chief Data Officer(CDO) vs Data Protection Officer (DPO) : Focus sur les métiers clés de la gestion des données Les entreprises sont aujourd'hui confrontées à un usage massif des données clients, notamment grâce aux évolutions technologiques telles que le Big data et les objets connectés. Ces éléments, associés à une pression réglementaire croissante (BCBS239, GDPR…), font des métiers de la gestion des données une pierre angulaire des organisations. Le rôle du Chief Data Officer (CDO) « Chief Data Officer » est l’un de ces métiers nouvellement créés pour répondre aux défis du Big Data, et sur lequel s’appuie notam- ment la règlementation BCBS 239 au sein des banques. Le CDO devient un acteur de premier plan, dont la principale mission est de s’assurer que les décisions prises capita- lisent sur les données disponibles. Il exploite l'ensemble des technologies à sa disposi- tion (digitales, numériques, mobiles) afin de recueillir des données d’origine internes ou externes, privées ou publiques. Le rôle du Chief Data Officer est capital pour l'amélioration du cycle de vie des données : de la création ou collecte à la fiabilisation, stockage, mise à disposition et réutilisation des données. Les sujets majeurs sur lesquels un CDO a une responsabilité de premier plan sont : • Gouvernance – Compte tenu des ré- glementations en constante évolution concernant la gestion et le stockage des données entre les différents marchés. • Exploitation – L’utilisation des données étant essentielle pour la croissance, le CDO arme les responsables d’outils né- cessaires permettant d’accéder instan- tanément à des données précises et à jour. • Sécurité – Les violations récentes dans lesquelles de nombreux comptes ont été compromis font de la cybersécurité une priorité. Le CDO doit s’assurer de l’effica- cité des protections mises en place. Principales caractéristiques du CDO Le rôle du Data Protection Officer (DPO) La fonction de Data Protection Officer (DPO) émerge sous l’impulsion du Règle- ment Général sur la Protection des Don- nées (RGPD ou GDPR en anglais pour « General Data Protection Regulation »). L’émergence de ce métier introduit une nouvelle culture de la donnée basée sur l’éthique, constituant un véritable levier de performance. D'ici le 25 mai 2018, les entreprises et les administrations utilisant des données à caractère personnel de citoyens européens, bien que non établis dans l’Union Européenne, devront recourir aux services d'un Data Protection Officer. Son rôle est très polyvalent, ce qui l'amène à travailler avec un grand nombre de dé- partements. En plus des connaissances Principales caractéristiques du DPO Poste pouvant couvrir des aspects différents en fonction des contextes Rattaché au département Risques dans le cadre de BCBS 239 Exploite et développe le patrimoine informationnel Fiabilise, protège et est garant de la qualité des données Responsable de la stratégie de gestion des données et de la gouvernance Place les données au centre des préoccupations des responsables Rôle indépendant bénéficiant d’un soutien inter fonctionnel des métiers concernés Assure la sécurité et la confidentialité des données personnelles Tient le registre complet des activités de traitement de données menées (rendu publique sur demande) Pilote et fait adopter une culture éthique des données Permet de gérer la conformité des données et réduire les risques de sanction Suivi des évolutions technologiques (profilage, big data) pour anticiper les crises 27
  • 28.
    en informatique eten cyber sécurité, il est tenu de posséder une importante culture juridique. Ses principales missions sont : • Conformité – Il est responsable de la gestion de la conformité au sein de l’or- ganisation : il s’assure que les exigences sont respectées lors de l’utilisation des données personnelles à des fins com- merciales et internes. • Coopération avec les régulateurs – Le DPO est le point de contact entre l’en- treprise et l'autorité de réglementation européenne, qu’il doit alerter en cas de non-conformité. Il endosse ainsi les rôles de policier interne et informateur auprès des régulateurs. • Communication – Il doit éduquer l'entre- prise et former les employés impliqués dans le traitement des données aux nou- velles exigences réglementaires. De plus, il interagit avec les personnes concer- nées pour les informer sur l'utilisation de leurs données, leurs droits à l'effacement et les mesures mises en place par l'entre- prise pour les protéger. Cependant, GDPR n’est pas seulement la responsabilité du DPO. La mise en confor- mité est un sujet organisationnel nécessi- tant le soutien de l’ensemble des parties prenantes de l'écosystème des données personnelles, et particulièrement celui du CDO. Comparatif entre BCBS 239 et la Réglementation Générale des Données Personnelles Protecteur des Données Personnelles / Data Protection Officer (DPO) Directeur des Données / Chief Data Officer (CDO) Sélection de principesclés • Gouvernance dédiée et nomination de DPO • Privacy by design et Privacy by default • Sécurisation des SI et obligation de transparence envers les clients / employés • Mise en place d’une gouvernance des données et amélioration de l’infrastructure IT • Amélioration des capacités d’agrégations de données et de reporting Réglementation Associée Réglementati on Générale des Données Personnelles BCBS 239 Date de mise en conformité 25/05/2018 01/06/2016 Organisations concernées Entreprises utilisant les données personnelles de citoyens européens (même si non établies dans l’UE) Banques Sanctions / Risques de la réglementation En fonction du degré de non- conformité: • Maximum entre 20M€ et 4% du CA • Maximum entre 10M€ et 2% du CA • Avertissement à risque réputationnel Lourdes recommandations de la Banque Centrale Européenne si les 14 principes ne sont pas implémentés 28
  • 29.
    Est-il alors pertinentde distinguer le DPO du CDO ? Les deux métiers se rejoignent dans la mesure où ils traitent de la protection et de la valorisation des données prises dans leur ensemble en qualité d’actif im- matériel. Plusieurs schémas opérationnels peuvent être mis en œuvre : D’une part, dans certaines organisations, il est envisagé de faire émerger une véri- table filière autour des métiers du data management. Le DPO, différencié du CDO, serait alors intégré dans la première ligne de défense, ce qui lui permettrait d’animer la gestion des données au sein des métiers, et de garantir le respect des exigences éthiques et sécuritaires. à titre d’exemple, au lieu de détenir des données personnelles indéfiniment ou d'utiliser des données recueillies dans une ligne de mé- tier pour en informer une autre, son rôle est de s'assurer que les informations mi- nimales nécessaires pour compléter une transaction sont collectées et conservées. Les CDO quant à eux ont pour objectif d’exploiter au mieux les données et de les rendre accessibles au niveau décisionnel. Un certain nombre de recommandations du DPO seront contraires aux objectifs du CDO, et il semble compliqué d'éviter un tel conflit d'intérêts. Ce scénario impliquerait la nécessité de prévoir une deuxième ligne de défense idoine. La création d’une filière data exige donc un certain degré de maturité. Un second modèle organisationnel consisterait à fusionner ces deux postes et impliquerait que le DPO se trouve dans la deuxième ligne de défense, à l’instar du CDO. Les données concernées par la ré- glementation GDPR étant différentes des données risques, ce scénario nécessite- rait toutefois de mettre en place un dispo- sitif de première ligne de défense complet. Enfin, il est également envisageable de désigner un DPO externe. Il permettrait d’éviter les éventuels conflits d’intérêts tout en bénéficiant d’une relation contrac- tuelle libre. Cependant, il requiert un temps d’adaptation aux rouages de l’orga- nisation, contrairement au DPO interne qui dispose d’une connaissance approfondie de l’entreprise et des interlocuteurs à sol- liciter. A ce stade, ce scénario n’est pas privilégié dans les organisations de taille importante telles que les banques traitant des données sensibles. En conclusion, les données étant de plus en plus nombreuses et précieuses, leur protection est d’autant plus importante et les lois les concernant se resserrent. Le dispositif de gestion des données re- présente un enjeu à la fois business et conformité / juridique, dont l’implémen- tation sera spécifique à chaque organisa- tion. C’est dans ce contexte que les CDO et DPO occuperont des fonctions à res- ponsabilité croissante dans les banques traitant des données sensibles à grande échelle, pour atteindre les objectifs de per- formance, gestion des risques et confor- mité aux exigences réglementaires. 29
  • 30.
    GDPR en banqueprivée : revue des principaux enjeux 90 millions d’euros en moyenne. C’est le coût estimé par Sia Partners de la mise en conformité GDPR d’un groupe ban- caire du CAC40. Cependant, toutes les activités de ces groupes bancaires ne sont pas impactées de la même manière. Alors que certaines activités en B2B sont relativement épargnées, n’ayant pas de personnes physiques comme clients directs, d’autres doivent se remettre en question en profondeur pour se mettre en conformité. Parmi elles, la banque de détail naturellement, mais aussi la banque privée. Eneffet,au-delàdesproblématiquesGDPR communes à toutes les organisations, le secteur de la banque privée est l’activité bancaire manipulant de la donnée personnelle par excellence. Dans l’optique d’un service sur-mesure, fondé sur une connaissance approfondie du client, de sa situation personnelle et de ses besoins, la banque privée est amenée à collecter et traiter une quantité de données particulièrement importante, dont certaines pouvant être particulièrement sensibles. Si le règlement est pris très au sérieux par les banques privées, dont les budgets de mise en conformité vont de 3 à 15 millions d’euros selon les typologies d’établissements, rares sont les acteurs qui seront prêts en mai 2018, avec des plans d’actions courant dans bien des cas jusqu’en 2019, voire au-delà. Revue des principaux enjeux. Typologies de données collectées et traitées par les banques privées Un enjeu réputationnel vital : quelle sécurisation des données ? Objectifs d’investissement, projets pour l’avenir, problèmes de santé ou situations de handicap, événements familiaux (ma- riage, naissance ou même double vie), tout peut être pertinent pour l’apport d’un service parfaitement personnalisé. Cer- taines de ces typologies de données sont hautement sensibles, et doivent donc faire l’objet d’une protection adaptée. Pour ce faire, les dispositifs de cybersé- curité et bonnes pratiques en termes de confidentialité doivent être mis à niveau afin de limiter au maximum la possibilité de fuite de données. Si les fuites de don- nées depuis l’extérieur par le biais de cy- ber-attaques sont très remarquées et mé- diatisées, il ne faut pas sous-estimer les risques associés aux fuites de données en interne, qu’elles soient intentionnelles ou le fruit de la négligence. Données non-struc- turées disséminées dans des fichiers, répertoires partagés aux droits d’accès mal configurés, utilisation excessive des e-mails pour transmettre des données, ou encore durées de rétention des données non connues ou respectées, ce sont au- tant de failles organisationnelles ou tech- niques qui mettent en danger l’intégrité et la confidentialité des données person- nelles détenues par la banque privée. Si ces risques ne sont pas nouveaux, l’entrée en application de GDPR les rend d’autant plus pressants. En effet, le règle- ment introduit l’obligation de notifier les autorités compétentes d’une fuite de don- nées au plus tard 72 heures après en avoir pris connaissance, et les clients affectés doivent également être informés. De plus, toutes ces manipulations de données constituent des traitements qui doivent être documentés dans un registre tenu à disposition des autorités. Sans parler des pénalités financières rédhibitoires (jusqu’à 4% du chiffre d’affaires mondial consoli- dé), les dégâts d’images encourus en cas de non-conformité sont considérables. Pour un métier dont l’un des maîtres-mots est celui de la confidentialité, les risques réputationnels sont énormes. Données d’identité Données sur l’état de santé Données de gestion financière et patrimoniale Données sur la situation professionnelleDonnées sur la situation familiale Clients 30
  • 31.
    Un enjeu marketinget commercial : la fin de la vente croisée comme le- vier de développement ? GDPR pose également un enjeu commer- cial et marketing de taille. En effet, dans bien des cas, l'acquisition de nouveaux clients se fait par le biais d'autres métiers de la banque. La banque de détail identifie des profils prometteurs (avoirs significa- tifs, professions à hauts revenus, mou- vements créditeurs importants) à recom- mander à la banque privée, souvent par le biais d’outils CRM partagés. De même pour les chefs d'entreprises sur la clien- tèle professionnelle. La banque de finan- cement et d'investissement peut, elle, être amenée à référer les clients ayant utilisé leurs services pour acquérir ou céder une entreprise. Ces partages impliquent des flux de données, et donc des traitements. Or le règlement encadre strictement ce type d’activités, en renforçant notamment le consentement à obtenir de la personne concernée avant toute activité de traite- ment de ses données personnelles. Ce consentement se doit d’être spécifique, libre, univoque et informé : pas question donc de dissimuler une clause obscure dans un contrat ou dans les conditions générales d’utilisation. La difficulté pour les banques privées est donc de définir précisément leurs trai- tements de données et d’en identifier la base légale. Quand le consentement du client ou prospect est requis, il s’agit de mettre au point une stratégie de collecte qui assure une adhésion optimale. Sans cela, c’est un axe majeur de développe- ment commercial qui se trouve bridé, en particulier dans les banques privées ap- partenant à des groupes bancaires univer- sels pour lesquelles la vente croisée est un vivier majeur d’acquisition de nouveaux clients. Plus généralement, la banque ne pourra pas faire l’impasse sur une totale transparence au sujet des traitements de données opérés dans le cadre du suivi relationnel et commercial du client. Agré- gation d’actifs d’un client multi-bancarisé, diagnostic de portefeuille, allocation d’ac- tifs, ce sont autant de services faisant in- tervenir les données personnelles du client, qui a le droit de savoir comment et dans quel but ces informations sont traitées. Un enjeu culturel dans la conduite des projets : quel impact sur la digitalisation de la banque privée ? Le troisième enjeu a trait à l’effort de digita- lisation mené par l’ensemble des banques privées du marché. En effet, le règlement introduit les notions de protection des données personnelles « par défaut », et « dès la conception ». Qu’il s’agisse du déve- loppement d’une nouvelle application de suivi des comptes ou encore d’un service de robo-advisory collectant des données personnelles pour proposer un profil de risque client ou une allocation cible, tous les projets digitaux peuvent potentielle- ment être impactés par GDPR. La banque privée devra donc choisir pré- cautionneusement les outils digitaux dont elle souhaite se doter, en tenant compte de ces contraintes. De plus, la conduite et l’implémentation de ces projets ne sera possible que si le délégué à la protection des données (PDP ou DPO en anglais) est associé dès la conception du projet, avec sa double fonction de conseil (réa- lisation de Privacy Impact Assessments sur les traitements à risque, contribution aux spécifications fonctionnelles) et de contrôle (assurer la conformité a poste- riori du service ou du produit). Enfin, plus généralement, il s’agit d’insuffler dans les équipes projets une véritable culture de la protection des données personnelles. GDPR : juste une contrainte règle- mentaire de plus ? Au vu de ces enjeux, certains acteurs peuvent être tentés de voir GDPR comme une simple contrainte règlementaire de plus, dans une période où l’agenda de mise en conformité est déjà particulière- ment dense. Cependant, derrière le coût élevé de la mise en conformité, l’enjeu est celui de la confiance des clients - confiance dans le fait que le client est seul maître des usages qui sont faits de ses données personnelles, et que sa vie pri- vée sera respectée. A ce titre, le règlement constitue surtout une opportunité pour les banques privées de renforcer leur image de professionnels de confiance à qui le client peut non seulement confier sa for- tune, mais aussi sa vie privée. 31
  • 32.
    Biométrie : versun monde bancaire plus sécurisé ? Les solutions biométriques se développent de plus en plus, à l’instar des lecteurs d’empreintes digitales, scanners de la rétine et autres outils de reconnaissance faciale ou vocale, technologies rendues accessibles par l’essor des smart- phones. Mais quelle place occupent-elles réellement dans le parcours client, et pour quelle typologie de client ? Qu’est- ce que l’authentification forte ? Quelles sont les perspectives réglementaires et technologiques pour leur application au traitement des opérations « sensibles » ? Sia Partners revient sur ce sujet fondamental et dynamique visant à sécuriser les opérations bancaires des particuliers aux entreprises tout en fluidifiant le parcours utilisateur. Intégration et sécurisation du parcours client grâce aux solutions biométriques Face au besoin croissant de sécurisa- tion des transactions bancaires (DSP2, eIDAS…), les banques et FinTechs pro- posent des solutions innovantes basées sur la biométrie, technologie permettant de reconnaître un individu en se basant sur ses caractéristiques physiques et comportementales qui sont uniques. Panorama des principales initiatives bancaires utilisant la biométrie Il convient de distinguer deux étapes es- sentielles dans le parcours utilisateur qui requièrent des niveaux différents de sécu- risation : l’authentification et la validation. Illustrons ce propos avec un exemple : la fonctionnalité de Touch ID a été large- ment adoptée comme une solution per- mettant à l’utilisateur de s’authentifier via une application mobile pour consulter son compte. Cependant, un deuxième moyen de sécurité lui sera demandé s’il veut passer un ordre ou ajouter un tiers. Pour ces opérations dites sensibles, les clients doivent avoir recours à des combinaisons de solutions, dites à plusieurs facteurs. On parle d’authentification forte dès lors que deux moyens de sécurité sont utilisés  : typiquement la Touch ID et une opération non biométrique (mot de passe ou autre). Les progrès technologiques en cours permettent de proposer des solutions de sécurité forte basées sur la biométrie. Par exemple, Barclays a développé un Etude Sia Partners ACTEURS BANCAIRES AUTHENTIFICATION VALIDATION AUTHENTIFICATION VALIDATION AUTHENTIFICATION VALIDATION AUTHENTIFICATION VALIDATION AUTHENTIFICATION VALIDATION (Paiement en magasin) (Retrait DAB) (Selfie pour paiement) (Paiement en ligne) (Paiement en ligne) EMPREINTE DIGITALE IRIS RECONNAISSANCE FACIALE RECONNAISSANCE VOCALE EMPREINTE VEINEUSE 32
  • 33.
    Panorama des FinTechsbiométriques système de reconnaissance d’empreinte veineuse (plus sécurisée que l’empreinte digitale car quasiment impossible à du- pliquer) permettant également de valider des transactions, payer ou souscrire à des offres. Ces solutions doivent donc pouvoir s’adapter à différents moments du par- cours selon la sensibilité de l’opération et le type de client (particulier, professionnel, entreprise), tout en fluidifiant les process et les expériences utilisateurs. Les défis d’une réglementation mouvante sur les paiements Le marché des solutions biométriques est potentiellement énorme. L’entreprise amé- ricaine Opus Research estime qu’en 2020, 600 millions de clients utiliseront la re- connaissance vocale : à relier à la récente autorisation de la CNIL (Commission Na- tionale de l'Informatique et des Libertés) pour l’utilisation de cette technologie dans les banques françaises. En effet, une auto- risation de la CNIL, organisme chargé de la protection de la vie privée en France, est nécessaire avant d’expérimenter un nou- veau dispositif biométrique. Etude Sia Partners FINTECHS TECHNOLOGIES RECONNAISSANCE FACIALE RECONNAISSANCE VOCALE EMPREINTE VEINEUSE (Naked payment) (Bague) (Multibiométrique) 33
  • 34.
    DSP2 et eIDASen particulier viennent apporter de la sécurité aux clients mais représentent autant de défis pour les institutions de la place. Le règlement eI- DAS, entré en vigueur en 2016, établit un socle commun pour les interactions élec- troniques sécurisées entre les citoyens, les entreprises et les autorités publiques en Europe. eIDAS vient mettre à jour une directive de 1999, ajoutant une supervi- sion nationale et prenant en compte les nouvelles technologies notamment en harmonisant les signatures électroniques, flexibilisant et favorisant la transparence des transactions électroniques au niveau européen. En parallèle, les débats sur la Directive révisée sur les Services de Paiements (DSP2) sont toujours ouverts concernant les interfaces d’interaction clients/banques et la mise à disposition des données personnelles à des acteurs tiers avec l’introduction de normes tech- niques de réglementation, la généralisa- tion de l’authentification forte et l’enca- drement du web-scraping (extraction de données). Bien que les évolutions réglementaires soient nombreuses et mettent parfois en opposition des intérêts divergents cela reflète également les opportunités, le dy- namisme, l’émulation existant dans le sec- teur, et pousse les banques à davantage innover en interne ou via des partenariats avec de nouveaux acteurs. Contraignant, ce cadre peut également consacrer un nouveau paradigme bancaire dans lequel les réseaux et les moyens des acteurs historiques sont mis à disposition des acteurs innovants, créant ainsi un terreau fertile à l’innovation biométrique. Les spécialistes de la biométrie Revenons à présent sur une sélection d’acteurs et les solutions innovantes qu’ils proposent. OT-Morpho, le spécialiste français des technologies de l'identification et de la sécurité numérique propose un ensemble de technologies de pointe, à l’instar d’une carte bleue à empreinte digitale et fournit des solutions biométriques allant des lec- teurs d’empreintes veineuses à des outils de reconnaissance faciale. Nuance, de son côté, s’impose comme le leader dans les technologies de re- connaissance vocale, l’entreprise a no- tamment équipé la plupart des grandes banques anglo-saxonnes. Son logiciel permet de différencier un enregistrement d’un original ou encore de détecter une voix enrhumée grâce aux récents progrès des algorithmes qui sont désormais ca- pables d’étudier 1 000 caractéristiques de la voix contre 100 auparavant. Atos, leader dans les services numériques et spécialiste de la sécurité, se positionne également sur la biométrie. L’entreprise française a notamment développé des logiciels de reconnaissance faciale auto- matique installés à la frontière franco-es- pagnole afin d’identifier les véhicules et leurs occupants mais également un bracelet biométrique qui se base sur la 34
  • 35.
    fréquence cardiaque pourcompléter ses solutions d’identification. Le bracelet crée un réseau transmettant les identifiants et codes secrets aux applications de manière sécurisée. Les prochaines technologies pourraient même fonctionner sans aucun appareil. C’est ce qui a été proposé avec le naked payment, qui, en échange d’un enregis- trement préalable dans une base de don- nées, permet au consommateur de payer dans les magasins équipés, simplement avec son doigt. « Le diable réside dans les détails » : c’est bien là ce qui assure la survie de ces FinTechs. En effet, même si aucune technologie n’est inviolable, les progrès passés et à venir dans la qualité des ins- truments de mesure biométrique (amé- lioration de la résolution de x4 à x10 dans un futur proche), assurent l’amélioration constante du niveau de sécurité et donc de la confiance perçue et accordée par les potentiels clients. Les partenariats inter-industries liés à la biométrie, facilitateurs de l’expérience utilisateur L’avenir pourrait venir de la mise en com- mun des ressources et de la définition d’une plateforme commune à l’ensemble des acteurs du marché. C’est ce qui a été proposé en Belgique, où BNP Paribas For- tis, ING, Belfius et KBC ont créé un parte- nariat avec des acteurs des télécommuni- cations mobiles comme Proximus, Base/ Telenet et Orange. Le but est de dévelop- per une unique application pour accéder à ses données bancaires et mobiles. La force du système repose sur une authen- tification à trois facteurs : téléphone, carte SIM et code. La solution est séduisante puisqu’elle fluidifie l’expérience et la mobi- lité client, simplifie la gestion des données pour tous et permet d’orienter tous les vecteurs d’innovation et de disruption sur une seule cible, profitable à tous. La bio- métrie pourrait tout à fait s’insérer dans une initiative de la sorte en remplacement d’un des facteurs. 35
  • 36.
  • 38.
  • 40.
    Abou Dabi PO Box54605 West Tower #605 Abu Dhabi Mall - UAE T. +971 4 443 1613 Amsterdam Barbara Strozzilaan 101 1083 HN Amsterdam - Netherlands T. +31 20 240 22 05 Bruxelles Av Henri Jasparlaan, 128 1060 Brussels - Belgium T. +32 2 213 82 85 Casablanca 14, avenue Mers Sultan 20500 Casablanca - Morocco T. +212 522 49 24 80 Charlotte 401 N. Tryon Street, 10th Floor Charlotte, NC 28202 - USA T. +1 646 496 0160 Doha PO Box 27774 Doha Tornado Tower #2238 West Bay - Qatar T. +974 4429 2524 Dubai PO Box 502665 Shatha Tower office #2115 Dubai Media City Dubai - UAE T. +971 4 443 1613 Hong Kong 23/F, The Southland Building, 48 Connaught Road Central Central - Hong Kong T. +852 2157 2717 Houston 4306 Yoakum Boulevard Suite 350 Houston TX 77066 T. +1 832 248 1041 Londres 2nd Floor, 4 Eastcheap London EC3M 1AE - United Kingdom T. +44 20 7933 9333 Luxembourg 7 rue Robert Stumper L-2557 Luxembourg T. +352 28 85 87 1 Lyon 3 rue du Président Carnot 69002 Lyon - France T. +33 1 42 77 76 17 Milan Via Gioberti 8 20123 Milano - Italy T. +39 02 89 09 39 45 Montréal 2000 McGill College, Suite 600, Montreal QC H3A 3H3 - Canada T. +1 514 926-2626 New York 40 Rector Street, Suite 1111 New York, NY 10006 - USA T. +1 646 496 0160 Paris 12 rue Magellan 75008 Paris - France T. +33 1 42 77 76 17 Riyad PO Box 502665 Shatha Tower office #2115 Dubai Media City Dubai - UAE T. +971 4 443 1613 Rome Via Quattro Fontane 116 00184 Roma - Italy T. +39 06 48 28 506 Singapour 137 Market Street #10-02 Grace Global Raffles Singapore 048943 T. +65 6635 3433 Tokyo Level 20 Marunouchi Trust Tower-Main 1-8-3 Marunouchi, Chiyoda-ku Tokyo 100-0005 Japan T. +81 3 5288 5101 VOS CONTACTS Leader des sociétés de conseil français indépendantes et pionnier du Consulting 4.0, Sia Partners a été cofondé en 1999 par Matthieu Courtecuisse. Sia Partners compte plus de 1 000 consultants dont 35% basés hors de France pour un chiffre d’affaires de 155 millions d’euros dans le cadre de son exercice fiscal se terminant au 30 Juin 2017. Le Groupe est présent dans 15 pays, les Etats-Unis représentant le deuxième marché. Fidèle à son approche innovante, Sia Partners explore les possibilités offertes par l’Intelligence Artificielle, investit dans la data science et développe des consulting bots. Sia Partners est une partnership mondiale détenue à 100% par ses dirigeants. Thomas ROCAFULL Partner Banking Tel : + 33 6 26 11 22 34 Thomas.rocafull@sia-partners.com Jean-Frédéric CHARDON Associate Partner Banking Tel : + 33 6 73 60 24 13 Jean-frederic.chardon@sia-partners.com Yves GREGOIRE Associate Partner Banking Tel : + 33 6 14 33 10 99 Yves.gregoire@sia-partners.com Suivez nous sur LinkedIn et Twitter @SiaPartnersPour plus d’informations, visitez : www.sia-partners.com À PROPOS DE SIA PARTNERS