Sélectionner une page
Les banques et la décarbonation : engagements, enjeux et réglementations

Les banques et la décarbonation : engagements, enjeux et réglementations

Temps de lecture estimé : 11 min

Rédaction WEB : JUST DEEP CONTENT

Quelles règlementations régissent le rôle des banques dans la décarbonation ? Quels challenges présents et à venir pour les établissements financiers ?

Dans son approche actuelle, la finance contribue au réchauffement climatique et à la dégradation de la biodiversité.  Le cadre prudentiel actuel a des responsabilités mais aussi des limites.

Quel est le plan d’action de l’Eurosystème et pourquoi est-ce un défi ? En quoi les régulateurs peuvent-ils soutenir la stratégie de l’Eurosystème et à quelles limites sont-ils confrontés ? Comment la réglementation peut-elle accélérer la transition ?

 

Qu’est-ce que la décarbonation ?

On entend par décarbonation l’ensemble des mesures par lesquelles une entreprise, un secteur d’activité ou un pays réduit son empreinte carbone, principalement ses émissions de gaz à effet de serre, le dioxyde de carbone et le méthane afin de réduire son impact climatique. Concrètement, il s’agit d’abandonner les combustibles fossiles tels que le pétrole, le charbon ou le gaz, au profit d’énergies propres ou moins polluantes.

Pour les établissements financiers, la décarbonation ne se limite pas à ces mesures. Il s’agit également de réduire l’impact physique de la finance sur le climat et l’environnement – et notamment de ne pas investir sur du « sale » – et de limiter l’impact financier du risque climatique, en l’intégrant à la gestion globale du risque et au cadre macroprudentiel.

 

 

SOMMAIRE

  • Décarbonation des banques : quel plan d’action de l’Eurosystème ?
  • Décarbonation des banques : pourquoi est-ce un défi ?
  • Décarbonation : Tour d’horizon de la réglementation
  • Quelles priorités pour les mois à venir ?

 

Décarbonation des banques : quel plan d’action de l’Eurosystème ?

 

Dans le cadre de sa revue stratégique, le Conseil des gouverneurs de la BCE s’est résolument engagé à intégrer de façon plus importante les aspects relatifs au changement climatique dans son cadre de politique monétaire. Le 4 juillet 2022, dans une lettre adressée à la présidente de la commission des affaires économiques et monétaires du Parlement européen (Econ), Christine Lagarde, présidente de la BCE, expose en détail les actions visant à intégrer les questions liées au changement climatique dans le cadre de la politique monétaire de l’Eurosystème.

Ces mesures visent à répondre à trois objectifs :

  • Avoirs en obligations:  ajuster les avoirs en obligations d’entreprise dans les portefeuilles de l’Eurosystème détenus à des fins de politique monétaire. L’objectif est de réorienter son portefeuille d’obligation vers des entreprises dotées de « bons résultats climatiques », en conformité avec les objectifs de l’Accord de Paris.
  • Garanties fournies par les institutions financières emprunteuses : limiter la part des établissements ayant une empreinte carbone élevée dont elle détient des garanties. En pratique, à partir de 2026, la BCE et les banques centrales n’accepteront que les garanties des établissements qui respectent les dispositions de la Directive européenne sur le développement durable des entreprises (CSRD).

 

 

Décarbonation des banques : pourquoi est-ce un défi ?

 

Pour l’Eurosystème, la gestion du risque climatique est un challenge étroitement lié au cœur du mandat monétaire : la stabilité des prix. Les perturbations liées au changement climatique et aux politiques de transition pourraient affecter la capacité de la BCE à remplir au mieux son mandat de maintien de la stabilité des prix. Le risque environnemental exerce une « double matérialité » :

  • Les risques liés aux évènements climatiques : Le changement climatique a un impact de plus en plus perceptible sur l’activité, la croissance économique et sur le prix des matières premières.
  • Les risques liés à la transition : Les chocs d’offre durant la transition se répercutent sur les prix et engendre des pressions inflationnistes difficiles à stabiliser sans perturber la croissance de la production. Certains chocs sont transitoires car ils découlent des perturbations dans la chaîne d’approvisionnement, d’autres seront susceptibles de devenir de plus en plus fréquents, voire permanents. Ces perturbations entravent la visibilité des banques centrales, la prévisibilité des perturbations économiques et donc la capacité des banques centrales à limiter l’inflation. Une transition improvisée ou manquant d’ambition pourrait entraîner des conflits d’arbitrage entre la relance de l’activité et la stabilisation des prix.

 

Décarbonation : Tour d’horizon de la réglementation

 

Depuis 2019, l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) a mis en place une Commission Climat et Finance Durable. Elle a pour mission principale la prise en compte des enjeux liés au changement climatique ainsi que les développements en matière de finance durable. La Commission  contribue également au suivi des engagements pris par les établissements financiers. Au-delà des aspects de gouvernance, les textes réglementaires encadrant la finance durable sont nombreux et peuvent être répartis selon quatre objectifs :

 

Transparence : le Règlement Disclosure

Le règlement Disclosure (Règlement européen (UE) 2019/2088 dit Sustainable Finance Disclosure ou SFDR) constitue depuis mars 2021, avec les règlements Taxonomie et Benchmark, la pierre angulaire du plan d’action pour la finance durable de la Commission européenne, dont l’une des ambitions est de participer à la réorientation des flux de capitaux vers les activités durables.

Ce règlement a pour objectif d’harmoniser et de renforcer les obligations de transparence applicables aux acteurs qui commercialisent certains produits financiers ou qui prodiguent des conseils sur ces produits (notamment les intermédiaires d’assurance, les établissements de crédit et les entreprises d’investissement qui fournissent des conseils en investissement).

Ces derniers doivent publier des informations relatives aux politiques générales adoptées dans leurs processus de décision d’investissement ou dans la fourniture de leurs conseils, ainsi que des informations relatives aux produits, notamment pour ceux d’entre eux qui présentent des caractéristiques extra-financières.

Le règlement porte en particulier sur :

  • la transparence concernant la prise en compte par les acteurs des « principales incidences négatives » de leurs décisions d’investissement sur les facteurs de durabilité
  • la transparence applicable aux produits financiers faisant la « promotion d’une caractéristique environnementale ou sociale », ou ayant un « objectif d’investissement durable ».

 

Classification : Taxonomie

Le règlement européen « Taxonomie » met en place une classification des activités économiques en utilisant des critères scientifiques, afin d’aider les investisseurs à reconnaître les activités durables, c’est-à-dire « vertes ». Pour qu’une activité économique soit considérée comme durable, la taxonomie s’appuie sur 6 objectifs environnementaux :

  • Atténuation du changement climatique
  • Adaptation du changement climatique
  • Utilisation durable et protection des ressources aquatiques et marines
  • Transition vers une économie circulaire
  • Prévention et réduction de la pollution
  • Protection et restauration de la biodiversité et de l’écosystème

Seuls les deux premiers objectifs environnementaux concernaient l’année 2022.

Cependant, dès janvier 2023, le calendrier prévoit de faire entrer en application les textes concernant les 4 autres objectifs. Il sera alors obligatoire pour les grandes entreprises de publier les ICP (Indicateurs Clés de Performances) qui couvrent l’ensemble des six objectifs. Les ICP concernent en particulier les informations relatives à la part du chiffre d’affaires, aux dépenses d’investissement (CapEx (Capital Expenditure) ou aux dépenses d’exploitation (OpEx (Operating Expenses)) associées à des activités économiques durables sur le plan environnemental.

Enfin, à partir de janvier 2024, l’obligation de reporting extra-financiers et l’alignement des investissements à la Taxonomie s’étend aux institutions financières. 

Source : Douchka Pharose

 

Le règlement Taxonomie liste 90 activités économiques qui représentent environ 80% des émissions directes de CO2 dans l’Union européenne. Ces activités sont dites « éligibles »

Toutes les activités économiques ne sont pas encore couvertes par le règlement. La liste devrait augmenter à mesure que de nouveaux secteurs seront intégrés.

En revanche, les activités économiques qui n’ont pas d’impact important (positif ou négatif) sur le climat et l’environnement (principalement les services), et celles qui sont considérées par principe comme trop néfastes (par exemple l’extraction de charbon), ne seront pas intégrées à cette classification.

Pour bien saisir le principe, il est important de considérer qu’une activité « éligible » n’est pas nécessairement « durable ».

Pour être durable, une activité doit remplir ces trois critères cumulatifs :

  • contribuer significativement, c’est-à-dire avoir un impact positif significatif, à l’un des 6 objectifs environnementaux listés plus haut
  • ne pas avoir d’impact négatif significatif sur les 5 autres objectifs environnementaux
  • respecter des garanties minimales sociales (droits humains, etc.)

Si une activité respecte ces trois conditions, alors elle est dite « alignée » sur la Taxonomie.

 

Exemple :

Source : www.amf-france.org

 

Taxonomie vient modifier le règlement Disclosure de manière à préciser les obligations de transparence requises pour les produits présentant un caractère de durabilité (Articles 8 ou 9 du SFDR) les conduisant à investir dans des activités économiques durables au sens du règlement Taxonomie. Il s’agira notamment d’informations sur la manière et la mesure dans laquelle les investissements sous-jacents au produit financier sont réalisés dans des activités économiques pouvant être considérées comme durables.

Limites de la règlementation :

Avant de parler de classification d’activités économiques dites « vertes », n’aurait-il pas mieux valu en priorité éteindre l’incendie et faire cesser les activités les plus nocives pour l’environnement ?

Une classification des activités « brunes » qui consisterait à définir et identifier le champ des activités contribuant au dérèglement climatique (et non l’inverse) aurait pu servir de base à une telle démarche.

Par ailleurs, aurait pu s’ajouter à la taxonomie des activités vertes une taxonomie sociale. Il n’existe pas encore un cadre normatif précis et harmonieux afin de diriger les flux financiers vers des activités et des entreprises respectueuses des droits humains et permettant d’identifier ce qui constitue une contribution substantielle sociale, de limiter les dommages collatéraux sociaux et les activités ayant un impact négatif d’un point de vue social.

 

Durabilité : MiFID

Applicable depuis 2018 en France, la Directive MIFID 2 impose aux prestataires de services d’investissement de s’informer auprès de leurs clients des informations nécessaires afin d’être en capacité de proposer des services et des produits adaptés à leur profil de risque, leur situation financière et leurs objectifs d’investissement.

Avec l’entrée en application du règlement délégué MIFID 2 modifié, il est désormais pris en compte l’intégration de leurs préférences en matière de durabilité afin de prendre en compte les facteurs de durabilité́ et les risques en matière de durabilité́ dans le devoir de conseil.

Limites de la règlementation :

Un autre levier évident pour inciter les acteurs financiers à s’intéresser aux projets liés à la durabilité est la notation extra-financière. Il faut en effet reconnaitre que l’impact de l’analyse extra-financière est de plus en plus intégré aux évaluations globales des entreprises, des États ou d’autres types d’émetteurs de titres. Malheureusement, la réglementation et les pratiques dans ce domaine sont encore floues ou quasi-inexistantes.

Chaque agence applique sa propre méthode de notation : qu’il s’agisse des paramètres utilisés pour déterminer la note, des scores attribués aux différents variables et composantes de la note, ou des modalités de calcul. Les différentes méthodologies utilisées par les agences de notation peuvent considérablement varier et contribuent ainsi à un manque de cohérence. En outre, les paramètres n’ont pas tous le même coefficient dans la notation de certaines agences. Ainsi, une société ayant un fort impact social mais un impact environnemental moins important pourrait potentiellement avoir une notation globale élevée.  

Au-delà de la pondération, le cadre réglementaire actuel de la notation extra-financière est encore largement insuffisant. La notation extra-financière doit donc devenir plus fiable et plus facilement comparable. On pourrait ainsi espérer qu’un système de notation extra-financière plus robuste permettrait à terme une meilleure prise en compte du risque climatique par la cotation FIBEN (Fichier Bancaire des Entreprises) de la Banque de France.  

 

Gestion des risques : CRD6

Disclosure, Taxonomie, MiFid… autant de réglementation efficaces mais insuffisantes. Comme évoqué en introduction, pour être vraiment efficace il faut agir sur les deux pans de la double matérialité du risque.

La réglementation doit à la fois réduire l’impact physique de la finance sur le climat et l’environnement en ayant par exemple une action sur la composition des bilans bancaires, sur l’orientation et la destination des flux financiers. Ces mesures sont toutefois improductives si le prudentiel ne vient pas en complément afin de limiter l’impact financier du risque climatique.

Le cadre macroprudentiel doit prendre en compte la source climatique au risque systémique et l’intégrer à la calibration du coussin systémique. C’est ce que la réglementation bâloise se propose d’introduire.

Le 27 octobre 2021, la Commission Européenne a publié son projet de règlement CRR3 (Capital Requirement Regulation) et de directive CRD6 (Capital Requirements Directive) qui entreront en vigueur le 1er janvier 2025.

La réglementation bâloise est organisée en trois piliers : le premier exige un niveau de fond propre minimal à respecter, le second renforce les procédures de surveillance prudentielle (SREP) et le troisième instaure des règles de transparence.

Comment le package CRR3/CRD6 décline-t-il l’intégration du risque climatique dans ces trois piliers ?

  • Pilier 1 : le package prévoit notamment que l’EBA (European Banking Authority) propose des méthodes d’évaluation du risque d’expositions aux facteurs environnementaux et leurs effets éventuels à court, moyen et long terme.
  • Pilier 2 : le package prévoit l’intégration des risques ESG (Environnement, Social et Gouvernance) dans le processus de contrôle et d’évaluation prudentiels (SREP). Il est également attendu que les établissements de crédit réalisent des stress test “ESG”, de manière régulière, que ce soit sous la coupe des superviseurs ou des banques elles-mêmes. Enfin, les risques ESG sont explicitement inclus dans l’ICAAP (Internal Capital Adequacy Assessment Process) par exemple, et dans le dispositif général de gouvernance interne.
  • Pilier 3 : ce dispositif réglementaire propose une extension du champ d’application. La transparence dans la communication imposée par ce pilier implique que les établissements quantifient leurs expositions face aux risques physiques et de transition.

Pour le moment les méthodologies sont encore en cours de développement, mais il faut déjà s’attendre à des modifications fondamentales des règles de calcul des exigences de fonds propres. Les premières publications sur le sujet sont attendues pour 2023.

 

 

Quelles priorités pour les mois à venir ?

 

Lors de la conférence de l’ACPR du lundi 5 décembre 2022 au Palais Brongniart, il a été rappelé les progrès réalisés par les acteurs financiers dans la définition des politiques sectorielles applicables aux énergies fossiles. Les Autorités portent une attention particulière au suivi que les acteurs font de leurs expositions aux énergies fossiles, en étudiant les méthodologies, les définitions et les données utilisées (priorités de l’AMF pour 2022).

L’ACPR réitère en particulier les préconisations suivantes :

  • Intégrer le thème biodiversité dans les réflexions stratégiques et de décisions et poursuivre les efforts visant à la mise en place d’engagements sur cette thématique
  • intégrer de manière systématique les indicateurs de suivi à la cartographie des risques présentée au conseil d’administration, ceci pour s’assurer du bon accomplissement de l’engagement à date dite, et intégrer pleinement les risques environnementaux au suivi de la gestion des risques
  • améliorer l’inclusion des politiques environnementales dans la rémunération, en œuvrant à une meilleure transparence sur la pondération des objectifs environnementaux ainsi que sur les critères utilisés pour évaluer de leur satisfaction
  • élargir la pratique d’audit interne aux politiques environnementales des entités.

De l’analyse de la réglementation qui précède, il ressort que la règlementation financière peut compléter, dans une certaine mesure, la palette des outils à la disposition des pouvoirs publics pour accélérer le financement de la transition. Elle peut notamment actionner trois instruments pour faciliter le financement de la transition :

  • Lutter contre les biais de court-terme dans les préférences des acteurs financiers (transparence, classification…)
  • Inciter les acteurs financiers à s’intéresser aux projets faiblement rentables (durabilité dans les conseils, les produits et les services),
  • et enfin améliorer la compréhension des enjeux de la transition par les acteurs financiers (cadre macroprudentiel et stress-tests)

 

Ces mesures ne sont encore que partiellement efficaces parce qu’elles dépendent excessivement de l’action des banques et pas assez de l’ensemble des acteurs de la place financière. Au-delà de l’aspect réglementaire et des pratiques des banques, le souci d’exemplarité doit être au cœur des préoccupations des régulateurs, qui devraient eux-mêmes endosser le rôle de précurseurs en la matière. Pour que ces mesures aient un réel impact, de nouvelles améliorations sont nécessairement à prévoir dans les années à venir.

 

Auteur

Douchka Pharose 

Consultante indépendante Risque et Conformité

 

Sources :

Quelle conformité à l’international : supervision à l’échelle d’un groupe

Quelle conformité à l’international : supervision à l’échelle d’un groupe

Temps de lecture estimé : 9 min

Rédaction WEB : JUST DEEP CONTENT

La maitrise des risques de non-conformité est aujourd’hui intégrée dans la stratégie des groupes internationaux. Le degré de supervision par l’organe central d’un groupe avec une présence à l’international peut varier suivant le niveau de maturité de son dispositif Conformité, l’appétence aux risques décidée par les dirigeants et la stratégie du groupe de décentraliser ou non les prises de décisions. Quoi qu’il en soit, il est nécessaire et important d’avoir une approche structurante afin d’organiser au mieux le dispositif Conformité à l’échelle d’un groupe.

SOMMAIRE

  • Pourquoi décliner le dispositif Conformité à l’échelle groupe
  • Comment superviser au-delà des frontières ?
  • Quels sont les indicateurs d’une gestion efficace et maitrisée ?

 

Pourquoi décliner le dispositif Conformité à l’échelle groupe

 

Une obligation réglementaire ou une démarche volontaire ?

Le secteur d’activité concerné influe sur le caractère obligatoire ou volontaire d’une approche à l’échelle groupe plus ou moins stricte.

Pour les groupes exerçant dans le secteur financier qui sont soumis à agrément (comme les établissements de crédits, les banques digitales, les sociétés d’assurances, les courtiers, etc.), les règles de la société mère sont en principe appliquées par les filiales étrangères ; cela découle d’une obligation réglementaire.

Ainsi, la veille réglementaire est obligatoire à mettre en place pour les entreprises assujetties en France et leurs filiales à l’étranger.

Pour les autres entreprises, elles transposent à minima leur dispositif Conformité pour (i) assurer l’application du programme Anti-corruption (cadre extraterritorial de la loi Sapin II), (ii) assurer des vérifications sur les noms des clients, fournisseurs ou tout autre tiers contre les listes consolidées au regard des sanctions internationales (iii) lutter contre la fraude avec un programme à l’échelle groupe et (iv) respecter la confidentialité des données personnelles.

Cette cascade du dispositif conformité à l’échelle du groupe tend à assurer une supervision cohérente et efficace du dispositif global.

Nécessité de cascader le dispositif de la maison mère dans une perspective de maitrise des risques à l’échelle du groupe

La mise en place d’une gouvernance adaptée permet une telle maitrise des risques.

Ainsi, le Corps procédural va permettre une cohérence dans l’application des règles ;

Exemple : sur les sanctions internationales contre la Russie, sanctions EU et sanctions US (OFAC office of foreign assets control), diffusion à l’échelle groupe pour une application cohérente et uniforme par toutes les entités du groupe.

Un autre élément important est l’exercice de la cartographie des risques. Elle va aider à avoir la visibilité nécessaire : la société mère diffuse la méthodologie et ensuite, remontée des informations pour consolidation. Les risques spécifiques identifiés sont ainsi pris en compte et escaladés au niveau central.

De même, les « Key Risk Indicators » (KRI) sont ceux adressés par la société mère pour assurer un pilotage cohérent des risques identifiés.

Exemples : des KRI spécifiques sur le traitement des alertes en matière de Lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT). Des indicateurs sur les correspondants bancaires : nombre, due diligence avant toute nouvelle relation, etc.

Enfin, cette cascade est liée également à la nécessité de contrôler les entités pour remédier à d’éventuels ajustements du dispositif (supervision) et assurer une maitrise globale des risques.

Superviser impose également de s’assurer de la bonne application des règles ; le contrôle est défini et déployé à tous les niveaux de l’organisation. Des contrôles effectués au niveau local mais également des contrôles décidés et exécutés depuis la société mère suivant le plan de contrôle annuel défini. Il s’agit bien d’assurer la maitrise des risques de non-conformité à l’échelle du groupe.

 

Comment superviser au-delà des frontières

L’exercice peut parfois paraitre difficile : les informations demandées ou cascadées depuis la société mère peuvent ne pas être comprises par les équipes locales ou appréhendées dans la même perspective.

 

La gouvernance en place comme passage obligé

  • Mettre en place une comitologie et en définir le cadre (fréquence, participants, contributions, présentations, décisions ou avis). Prendre en compte les différences de langues s’agissant du corps procédural, définir la hiérarchie des normes (politiques, procédures, instructions, etc.) Expliquer cette hiérarchie aux entités qui doivent bien appréhender les attentes.
  • Assurer un canal de diffusion : Diffusion des procédures, instructions, notes et toute autre information aux entités.
  • Pour les Etablissements de crédit, la gouvernance intègre la gestion harmonisée des correspondants bancaires, c’est-à-dire les banques partenaires qui fournissent des prestations de services bancaires notamment la gestion de trésorerie ou encore les virements internationaux. Une politique unique pour le choix de ces correspondants est mise en place dans les Etablissements de crédits afin d’assurer des dispositifs conformité équivalents et qui répondent aux exigences et standards internationaux. Enfin, la gestion des correspondants bancaires est souvent centralisée afin d’assurer un suivi consolidé et un contrôle cohérent pour l’ensemble du groupe.
  • Installer des reportings: la remontée des informations nécessaires permettra de compléter la visibilité de la société mère ; cela peut être une demande du régulateur et donc remontée des informations pour une consolidation par le central. Cela peut aussi être lié aux changements survenus dans un pays (nouvelle loi, audit régulateur, nouvelle liste de sanction, etc.).
  • Organiser des entretiens réguliers/visites de supervision : avec une liste des sujets à traiter et à sur lesquels échanger. Formaliser également cette supervision par le biais de rapports sur les sujets discutés.
  • Prendre en compte l’environnement réglementaire spécifique local, qui peut imposer un traitement différent des sujets Conformité (par exemple, résoudre la situation où certains dossiers présentent une sensibilité ou un impact potentiel sur le groupe dans un contexte réglementaire local interdisant l’escalade à la société mère).

L’extraterritorialité est-elle considérée/traitée comme une spécificité locale ? L’extraterritorialité n’est pas une spécificité locale mais plutôt s’impose comme une règle devant être appliquée en local. La conséquence est que parfois, un conflit de lois impose des avis juridiques et un traitement spécifique.

Exemple: extraterritorialité des règles américaines notamment sur les sanctions impose leur application au-delà des frontières. Autre exemple : extraterritorialité de la loi Sapin II avec les 8 piliers à mettre en place au sein des entités françaises avec leurs filiales situées à l’étranger.

Formaliser et suivre les spécificités locales

Pour identifier ces différences, il faut avoir mis en place une supervision rapprochée et donc avoir posé les bonnes questions au bon moment.

L’exercice de la cartographie des risques va aider à avoir cette visibilité en assurant la participation des entités locales à l’exercice et en ayant des échanges avec une méthodologie uniformisée en place au sein du groupe pour faciliter la consolidation des résultats.

Les comités mis en place permettront de remonter les informations pertinentes comme l’adoption d’une nouvelle loi, les difficultés d’implémentation d’une procédure cascadée par le central, etc.

Il s’agit donc de formaliser toute spécificité locale qui ferait obstacle à l’application des règles du groupe.

Mise en place de procédure opérationnelle dans chaque filiale tenant compte des spécificités organisationnelles et réglementaires.

Si des contraintes locales empêchent l’application d’une procédure, il faut formaliser cette exception et préciser si nécessaire quelle est l’option dégradée à mettre en œuvre.

Le système des exceptions doit toutefois rester spécifique et très limité.

La formation, partie intégrante du dispositif de supervision

Du fait de l’application des réglementations de la société mère à l’ensemble du groupe, et, plus globalement, de l’évolution réglementaire et environnementale pouvant impacter l’activité de l’entreprise, il est nécessaire d’avoir une interprétation cohérente et comprise par tous d’une manière identique. Par ailleurs, il est important d’expliquer ce niveau d’exigence lorsque cela est plus restrictif ou encore une nouvelle réglementation qui doit être déployer. La formation est clé pour les équipes locales.

Enfin, les formations sont ciblées et ont pour objectif de transmettre aux équipes conformité locales ce savoir et cette interprétation de la société mère pour qu’elles puissent former, à leur tour, les équipes métier locales. Les échanges font parfois apparaitre les spécificités/difficultés du local dans cette transposition des procédures de l’organe central.

Cela a également pour objectif de permettre une meilleure analyse des sujets conformité par les locaux ; une responsabilisation grandissante et donc une délégation locale plus large.

 

Quels sont les indicateurs d’une gestion efficace et maitrisée ?

Les indicateurs visés sont ceux liés à l’activité de l’entreprise et permettront de superviser efficacement le dispositif Conformité en place.

 

Des indicateurs de non-conformité sur les Know Your Customer

Le principe: il s’agit de s’assurer de l’uniformité dans l’application des règles.

La gestion uniformisée des tiers impose les mêmes exigences pour tout type de tiers (KYC, KYI, KYS, etc.). Les procédures de gestion des tiers sont détaillées et différencient les informations à collecter suivant le statut du tiers. Ainsi, des différences sont à prendre en compte suivant la relation entretenu avec le tiers : client, fournisseur, intermédiaire, etc. Tous ces tiers vont être définis au niveau de la MS pour avoir des règles cohérentes pour chaque type de tiers. Ce sont donc les mêmes procédures pour tous (à l’échelle groupe), etc. Au niveau local, les procédures sont implémentées avec des dispositions plus opérationnelles (ou des procédures opérationnelles) tenant compte de l’organisation, des processus ou encore des spécificités locales.

Quelques indicateurs à retenir : indicateur lié à la distinction de statut des tiers visés qui sera donc répercuté sur les informations à collecter. Un autre indicateur pourra être le nombre de clôtures des relations/tiers, par type de tiers, pour des raisons de non-conformité.

Un autre indicateur peut viser le nombre de Personnes Politiquement Exposées (PPE) à l’entrée en relation par rapport à l’ensemble des entrées en relation.

Indicateurs sur les transactions/flux financiers/outils

Les éléments qui sont à relever dans cette partie pourraient concerner le nombre d’alertes générées par l’outil LCB-FT (lutte contre le blanchiment et le financement du terrorisme) par rapport au nombre total de transactions (pour une banque), le taux de génération des alertes pourra aider à évaluer la pertinence des paramétrages ou encore la bonne couverture des risques avec les scénarios activés.

D’autres indicateurs pourront cibler le respect des sanctions financières, les résultats des contrôles effectués pour mieux pointer les axes d’amélioration ou encore la formation (avec des indicateurs sur le taux de participation, le taux d’achèvement, etc.).

Un point d’attention à prendre en compte sur les outils. Les systèmes d’information peuvent être différents au sein d’un groupe mais les informations à collecter sont bien les mêmes (suivant les procédures en place); on s’assure d’avoir les mêmes données bien que les outils soient différents. Pour certains traitements, des outils sont utilisés au niveau central pour permettre de maitriser davantage le risque de non-conformité : par exemple, vérifications des noms contre les sanctions (paramétrage, taux de similarité imposé, etc.).

Des outils pour la supervision des opérations, ex-post avec des scenarios couvrant les mêmes risques (socle commun) même si des spécificités locales peuvent également exister. Parfois, les outils sont centralisés pour la sécurisation des données ; cela est parfois difficile à concilier avec des réglementations sur la protection des données personnelles.

Les limites aux exigences du groupe

  • Les exigences locales : la loi locale peut imposer une interdiction sur les échanges d’informations (données personnelles); elle peut imposer que les décisions soient prises par les responsables locaux; elle peut également imposer que les outils soient localisés dans le pays (exemple du système d’information) etc.
  • Le dispositif conformité est local mais l’organisation souvent cascadée de la direction centrale : les structures des équipes, les différents domaines de la conformité, le lien hiérarchique de la fonction, etc. Toutefois, une spécificité locale peut imposer une organisation différente comme la séparation des équipes AML avec une unité distincte qui déclare les déclarations de soupçon (DS).
  • Les exigences réglementaires du central : les régulateurs peuvent être plus conservateurs. Par Exemple, la réglementation EU impose la collecte d’un certain nombre d’informations notamment s’agissant des PPE, l’origine du patrimoine et l’origine des fonds impliqués dans la relation d’affaire. Pour les entités qui ne sont pas dans l’UE, ceci n’est pas toujours requis. Toutes ces contraintes peuvent interférer dans la maitrise du risque global au niveau groupe.
  • Le risque spécifique local peut être lié à l’environnement géopolitique, à la culture, etc. par exemple l’usage fréquent du cash (normal dans certains pays) peut rendre difficile l’identification des transactions suspicieuses.

 

 

En conclusion, on peut noter certaines difficultés depuis le contexte de la pandémie du COVID.

L’absence de déplacements a impacté la connaissance du terrain : le contrôle se fait à distance, les formations également.

Conséquence, responsabilisation accrue des équipes locales mais renforcement de la supervision à distance et renforcement de la formation.

Une adaptation rapide avec tous les changements environnements et contextuels est nécessaire pour assurer le même niveau de supervision avec des moyens différents.

 

Auteur

Nathalie Sabek​​

Experte Conformité – Chargé de projet « Compliance transformation and Training » chez Arval Groupe – Intervenante pour le Certification Responsable Conformité / Compliance Officer

 

Sources :

Règlement DORA : la résilience opérationnelle informatique sans frontières

Règlement DORA : la résilience opérationnelle informatique sans frontières

Temps de lecture estimé : 12 min

Rédaction WEB : JUST DEEP CONTENT

Par son étendue et ses nouvelles exigences, le règlement DORA révolutionne la gestion de la résilience opérationnelle numérique. Un nouveau challenge pour la conformité des établissements financiers. Explications.

A mesure que les banques deviennent de plus en plus dépendantes des technologies de l’information et de la communication (TIC), de nouveaux risques informatiques émergent et menacent la résilience opérationnelle numérique. La capacité à maintenir un service continu face à ces multiples risques figure parmi les principaux sujets de sécurité et de conformité pour les institutions financières en 2022.

Dans ce contexte, DORA (Digital Operational Resilience Act) a pour objectif d’établir un cadre global pour les institutions financières de l’Union Européenne permettant d’unifier la gestion des risques informatiques, de définir une procédure de tests approfondis des systèmes informatiques (SI), et de sensibiliser davantage les autorités de surveillance aux cyberrisques.

Pourquoi une nouvelle réglementation est-elle nécessaire ? Pourquoi les régulateurs se concentrent-ils autant sur la cybercriminalité ? Qu’est-ce que DORA et comment les banques seront-elles impactées ? Explications.

dora : pourquoi une nouvelle réglementation sur l’activité numérique ?

Face à l’imprécision et à la diversité des règles de contrôle des risques sur le numérique, mais aussi en raison de la montée de la cybercriminalité, une règlementation européenne unifiée s’imposait.

des règlementations et pratiques de gestion du risque informatique imprécises et pas assez unifiées

Jusqu’ici l’absence de règles détaillées et précises sur la résilience opérationnelle numérique a favorisé de nombreuses initiatives réglementaires et pratiques de surveillance au niveau de chaque État. Cette situation génère un manque de coordination, des incohérences, des exigences redondantes et des risques non traités.

Il est donc important de pouvoir mettre en œuvre un cadre clair sur la résilience opérationnelle numérique pour les entités financières de l’UE (Union Européenne).

Les objectifs visés sont donc :

  • d’unifier la gestion des risques informatiques 
  • d’instaurer une procédure de tests des systèmes informatiques
  • de sensibiliser davantage les autorités de surveillance aux cyberrisques et aux incidents liés à l’informatique auxquels sont confrontées les entités financières.​

Par ailleurs, les orientations faites par le règlement DORA sont cohérentes avec les dispositions en vigueur et les autres politiques de l’UE.

Nous comprenons aisément l’objectif d’unifier la gestion des risques à une échelle européenne, mais pourquoi les régulateurs se concentrent-ils autant sur le risque informatique ?

la cybercriminalité en ligne de mire

Si, depuis le début de la pandémie, les établissements bancaires ont montré une forte capacité de résistance opérationnelle et ont rapidement mis en œuvre leurs plans de continuité d’activité, cela n’a pas empêché les cyberattaques de se multiplier.

La BCE a d’ailleurs classifié la cybercriminalité et les incidents informatiques parmi les risques les plus probables pour le système bancaire.

 

Figure 1 Cartographie des risques du MSU et tableau des vulnérabilités pour 2021 (Source : Banque Centrale Européenne)

 

La Covid-19 et le numérique :

La crise de la COVID-19 a donné un nouvel élan à la tendance déjà très répandue d’opter pour le numérique. Une étude montre que l’adoption du numérique par les consommateurs européens a bondi de 95 % à la suite de la COVID-19.

Sur la base des taux de croissance avant la pandémie, il aurait fallu deux à trois ans à la plupart des établissements pour connaître une telle augmentation. La même étude indique que le secteur bancaire détient la plus forte proportion d’utilisateurs numériques en Europe, renforcée par 23 % supplémentaires de nouveaux usagers depuis le début de la pandémie.

Outre cette progression vers le numérique, la période de crise sanitaire a été propice à l’émergence de nouveaux risques. Les cybercriminels cherchent notamment à profiter de l’intensification du télétravail. En 2020, au plus fort du confinement, 60 % du personnel des grandes banques de la zone euro travaillait à distance (Discours de Pentti Hakkarainen, membre du conseil de surveillance prudentielle de la BCE, le 22 octobre 2020). Durant la même période, entre février et avril 2020, on a pu constater un triplement des cyberattaques (+238 %) contre les institutions financières dans le monde.

dora : qui est concerné ?

Ce règlement sera appliqué dans les 27 pays membres de l’UE.

DORA concerne les établissements de crédit mais également les tiers prestataires de services informatiques.

L’une des principales évolutions réglementaires de DORA est la création d’un cadre de surveillance au niveau de l’UE permettant d’identifier et de superviser les prestataires de services TIC (Technologies de l’information et de la communication) jugés « critiques » pour les institutions financières.

Les tiers « fournisseurs TIC » devront identifier s’ils sont considérés comme « critiques » sur la base de critères réglementaires tels que le nombre et le caractère systémique des entités financières qui en dépendent ainsi que son degré de substituabilité.

Chaque prestataire de services TIC « critique » sera contrôlé par une autorité de supervision qui évaluera si le prestataire de services a mis en place les dispositifs adéquats de maîtrise des risques liés aux TIC pouvant impacter les institutions financières (article 37 du règlement DORA).

L’autorité compétente pourra procéder à des contrôles sur pièces ou sur place (articles 33 à 35) et aura également le pouvoir de prononcer des sanctions en cas de non-conformité, notamment des pénalités financières et des astreintes journalières à un taux de 1% du chiffre d’affaires mondial de la précédente année d’exercice réalisé par le prestataire de services TIC concerné, et ce pendant une période totale de 6 mois maximum (article 31).

Le régulateur pourra également demander aux entités du secteur des services financiers de mettre fin à leurs accords avec le prestataire en question. Si la responsabilité des tiers est engagée, le futur règlement DORA ne supprime ou ne réduit en aucun cas les responsabilités des banques. Conformément aux orientations de l’EBA relatives à l’externalisation, DORA contient des exigences strictes de gestion des risques pour les établissements qui font appel à des prestataires, notamment en ce qui concerne les clauses contractuelles obligatoires.

dora : quels impacts pour les établissements ?

Les 5 piliers fondamentaux du règlement DORA pourraient être résumés comme suit :

  1. Une gouvernance renforcée et la gestion des risques liés aux TIC (articles 4 à 14)
  2. La gestion des incidents liés aux TIC (articles 15 à 20)
  3. Des tests de résilience opérationnelle numérique (articles 21 à 24)
  4. La gestion des risques liés aux prestataires de services TIC (articles 25 à 39)
  5. Le partage d’informations liées aux cybermenaces (article 40)

Voyons ce qui est attendu dans ces 5 domaines et quels sont les potentiels enjeux à anticiper.

gouvernance renforcée et gestion des risques informatiques

L’organe de direction sera tenu de conserver un rôle déterminant dans le pilotage du cadre de gestion des risques informatiques et veillera au respect d’une « hygiène » informatique rigoureuse.

La « pleine responsabilité de l’organe de direction dans la gestion des risques informatiques de l’entité financière » est un principe général qui se décline  en une série d’exigences spécifiques, telles que « l’attribution de rôles et de responsabilités clairs pour toutes les fonctions liées à l’informatique, un engagement continu dans le contrôle du suivi de la gestion des risques informatiques, ainsi que dans l’ensemble des processus d’approbation et de contrôle, et une répartition appropriée des investissements et des formations dans le domaine informatique » (article 4).

L’obligation pour les membres de la direction de disposer d’une formation spécifique pour comprendre et évaluer les risques informatiques ainsi que leurs impacts sur les opérations est également mentionnée explicitement. Le régulateur s’attend à ce que ceux-ci développent et entretiennent leurs connaissances en matière de risques liés aux TIC.

DORA impose ainsi un cadre complet de gestion des risques liés aux TIC, comprenant, entre autres, l’identification et la classification des fonctions critiques, la protection et la prévention,  des politiques de sauvegarde et de restauration, l’apprentissage et la formation…

gestion des incidents

Le règlement encadre la notification des incidents liés aux TIC et impose aux entités financières d’établir et de mettre en œuvre un processus de gestion de ces incidents et de les classer en fonction de critères spécifiques.

Les exigences sont les suivantes :

  • la formalisation d’un processus de gestion des incidents
  • la classification des incidents
  • la notification des incidents majeurs
  • l’harmonisation, la centralisation et les retours d’information des notifications d’incidents
  • la présentation de rapports d’incidents anonymisés par les autorités de surveillance.

 

Figure 2 Gestion des incidents selon DORA (source : Douchka Pharose pour l’ESBanque)

 

 

Quels en seront les enjeux pour les établissements ?

En premier lieu, les entités financières devront reconsidérer leur méthodologie de classification des incidents afin de se conformer aux exigences du règlement. 

Les organisations sont généralement guidées par leurs propres besoins pour définir une taxonomie, et puisqu’elles ont des besoins distincts, les petits et moyens établissements finissent souvent par développer leurs propres classifications d’incidents à usage interne. Il s’agira donc pour les banques de s’aligner à un langage commun pour faire face aux incidents.

La définition d’une taxonomie est une opération laborieuse. La classification des incidents de sécurité est particulièrement complexe en raison du chevauchement des catégories et des différentes formes que peuvent revêtir ces incidents.

Pour cette raison et afin de permettre aux entités de se préparer, on peut supposer que la méthode de classification des incidents s’alignera sur la taxonomie de référence de l’ENISA, l’Agence de l’Union européenne pour la cybersécurité. Les notes de bas de pages de la règlementation DORA font effectivement référence à ce dispositif.

Par ailleurs, les entités financières devront également mettre en œuvre les processus et mécanismes requis pour être en mesure d’informer rapidement le régulateur en cas d’incident majeur. Bien que le signalement n’est à réaliser qu’auprès du régulateur national, la notification devra se faire dans des délais stricts. En fonction de ce qui est classé comme « incident majeur » par le régulateur, ce cas de figure pourrait se produire plus ou moins fréquemment.

tests de résilience opérationnelle numérique

Le règlement DORA définit un programme de tests exécutés par des parties indépendantes (internes ou externes), comprenant une série d’évaluations, de méthodologies, de pratiques et d’outils.

Les tests de résilience opérationnelle devront :

  • être réalisés auprès de toutes les entités financières au moins une fois par an 
  • être appliqués spécifiquement pour les entités financières identifiées comme importantes par les autorités compétentes, sous forme de tests avancés d’outils, de systèmes et de processus informatiques sur la base de tests de pénétration fondés sur la menace (Threat led penetration testing – TLTP). Ils devront être effectués au moins tous les trois ans.

Le principe sous-jacent est que les vulnérabilités non détectées dans des entités financières pourraient menacer la stabilité du secteur financier lui-même. Afin d’atténuer ce risque, DORA introduit un programme de tests visant à identifier et analyser ce qui pourrait éventuellement compromettre les entités financières.

Quelles conséquences pour les établissements ?

D’un point de vue strictement culturel, une difficulté pourrait survenir si les établissements financiers percevaient ces tests de la même manière que ceux du PUPA (Plan d’Urgence et de Poursuite d’Activité) ou des stress tests. Une mise en garde s’impose donc ici car l’objectif de DORA vise davantage des tests de pénétration que des tests traditionnels de résilience opérationnelle.

L’objectif sous-jacent de DORA est en effet d’identifier les faiblesses ou les lacunes, d’admettre qu’il y un trou dans la raquette, qu’une intrusion pourrait se produire ou qu’une vulnérabilité est peut-être passée inaperçue. La cible de DORA au travers de ces tests est donc de se préparer et d’identifier les insuffisances ou déficiences éventuelles et ainsi d’adopter rapidement des mesures correctives.

gestion des risques liés aux prestataires de services tic

Le chapitre 5 du règlement aborde les principes clés d’une bonne gestion des risques informatiques dans le cas de fonctions externalisées à un prestataire.

Cette partie du règlement précise les aspects jugés indispensables pour permettre un suivi complet par l’entité financière du risque associé aux tiers tout au long des différentes étapes de leur relation, à savoir :

  • la conclusion du contrat,
  • son exécution,
  • sa résiliation
  • et la phase post-contractuelle.

Les orientations de l’EBA relatives à l’externalisation encadrent davantage le suivi permanent de la performance et de la qualité de la fonction. Mais la même rigueur s’impose dans le règlement DORA pour ce qui est du suivi des fournisseurs informatiques.

 

Figure 3 Process d’externalisation selon DORA (source :  Douchka Pharose pour l’ESBanque)

 

Les grands principes du règlement DORA en ce qui concerne le processus d’externalisation peuvent être résumés ainsi :

1. Identifier et évaluer la criticité et les risques, tout au long du processus de sélection et d’évaluation

Avant de conclure un accord contractuel, les entreprises doivent choisir les prestataires et sous-traitants en prenant en compte la criticité, c’est-à-dire l’importance et la disponibilité du service, du processus ou de la fonction en question, ainsi que les risques sur leur continuité et leur qualité, au niveau de l’établissement et au niveau du groupe.

Il est également nécessaire d’évaluer le fournisseur en fonction du risque de concentration informatique, en menant notamment une analyse approfondie sur les tiers difficilement substituables et ceux disposant de plusieurs accords avec l’entité financière et les chaînes de sous-traitance.

Afin de remédier au risque systémique de concentration de tiers prestataires de services informatiques, le règlement privilégie une solution équilibrée reposant sur une approche souple et progressive.

Les établissements sont ainsi tenus de procéder à une évaluation rigoureuse des accords contractuels afin de déterminer la probabilité qu’un tel risque apparaisse, y compris au moyen d’analyses approfondies des accords de sous-externalisation (chaine de sous-traitance). Néanmoins, en vue de trouver un juste équilibre entre la nécessité de préserver la liberté contractuelle et celle de garantir la stabilité financière, DORA ne définit pas de plafond et de limites stricts pour les expositions aux tiers prestataires de services informatiques. La direction donnée est plutôt de saisir pleinement l’ampleur des interdépendances éventuelles entre le prestataire et l’entité financière et/ou avec des tiers étroitement liés.

 

2. Disposer des éléments contractuels obligatoires

DORA introduit des dispositions qui doivent figurer dans tout contrat conclu entre une institution financière et un fournisseur de services TIC. Plus particulièrement, les contrats qui régissent cette relation devront comporter les éléments suivants :

  • une description complète des services,
  • l’indication des lieux où les données doivent être traitées,
  • une description complète des niveaux de service accompagnée d’objectifs de performance quantitatifs et qualitatifs,
  • des dispositions pertinentes sur l’accessibilité, la disponibilité, l’intégrité, la sécurité et la protection des données à caractère personnel,
  • des garanties d’accès, de récupération et de restitution en cas de défaillance des tiers prestataires de services informatiques,
  • les délais de préavis et les obligations d’information incombant aux tiers prestataires de services informatiques,
  • les droits d’accès, d’inspection et d’audit par l’entité financière ou un tiers désigné,
  • des droits de résiliation clairs et des stratégies de sortie spécifiques.

En outre, puisque certains de ces éléments contractuels peuvent être normalisés, le règlement encourage l’emploi volontaire de clauses contractuelles types qui doivent être élaborées par la Commission, dans le cadre d’utilisation de services informatiques en nuage.

 

Eléments contractuels obligatoires – EBA vs DORA

 

Source : Douchka Pharose pour l’ESBanque

 

 

3. Constituer un registre d’informations

Les établissements définissent et tiennent à jour un registre d’informations qui contient une description complète de tous leurs prestataires de services TIC, des services qu’ils fournissent et des fonctions qu’ils assurent conformément aux principales dispositions contractuelles.

 

4. Le suivi permanent de la performance et de la qualité des services fournis par les sous-traitants

Ce suivi est davantage encadré par les Orientations de l’EBA comme nous l’avons précédemment souligné. DORA encourage néanmoins le contrôle régulier, tout au long de la relation commerciale, afin de s’assurer du respect par le fournisseur d’exigences adéquates et actualisées en matière de sécurité de l’information.

 

Quels impacts et challenges pour les établissements ?

L’un des premiers défis sera l’évaluation précontractuelle des fournisseurs selon une approche basée sur les risques. Pour les établissements importants, il sera impossible d’effectuer une évaluation approfondie pour tous leurs fournisseurs TIC. Il faudra donc définir et créer une matrice de priorisation afin de sélectionner les fournisseurs sur la base de critères prédéfinis.

Mais la difficulté la plus importante est ailleurs. Alors que les banques finissent à peine leur mise en conformité avec les orientations de l’EBA relatives à l’externalisation parues en 2019, le règlement DORA peut amener les établissements à modifier leurs contrats avec leurs fournisseurs de services TIC. On s’interroge particulièrement sur la faisabilité d’un tel chantier pour les petites structures lorsqu’elles sont confrontées à des fournisseurs informatiques de très grande taille, comme c’est fréquemment le cas.

La même logique s’impose également pour les stratégies de résiliation des accords avec les prestataires de services informatiques.

Les contrats encadrant des fonctions critiques (PSEE Prestataires de Services Essentiels Externalisés) sont normalement déjà couverts par les Orientations de l’EBA relatives à l’externalisation, mais les autres prestataires, fournisseurs de services informatiques non critique (PSE Prestataires de Services Externalisés) doivent désormais entrer dans le périmètre selon DORA.

Les accords contractuels devront établir des droits de résiliation clairs et des préavis minimaux correspondants. Ils devront également prévoir des stratégies de sortie spécifiques, en particulier, des périodes de transition obligatoires pendant lesquelles les tiers prestataires de services informatiques seraient tenus de continuer à assumer les fonctions concernées. Ces mesures visent à réduire le risque de perturbations au niveau de l’entité financière ou à lui permettre de changer de tiers prestataire de services informatiques, ou encore de recourir à des solutions sur site, en fonction de la complexité du service fourni.

 

partage d’informations liées aux cybermenaces

DORA introduit des lignes directrices sur la mise en place d’accords de partage d’informations entre les établissements financiers afin d’échanger des renseignements liés aux cybermenaces, notamment les tactiques, techniques, procédures, alertes et outils de configuration permettant d’établir un environnement sécurisé. Bien que de nombreuses organisations disposent déjà de tels accords, des questions se posent :

  • Comment déterminer quelles informations il convient de partager ?
  • Quel sera le canal utilisé pour partager ces informations de manière efficace et sécurisée ?
  • Quel processus mettre en place pour collecter, trier et analyser les informations obtenues par les autres établissements ?

dora : calendrier et prochaines étapes

Le 11 mai 2022, le Conseil de l’UE et le Parlement Européen ont annoncé être parvenus à un accord politique provisoire sur la proposition du projet de règlement DORA.

Les prochaines étapes sont l’approbation puis l’adoption formelle du règlement qui devraient avoir lieu courant de l’année 2022.

Une période de mise en œuvre de 24 mois allant de la fin de l’année 2022 à fin 2024 devrait être prévue.

Nous l’avons compris, si les risques informatiques sont déjà bien encadrés, DORA prescrit des exigences fortes concernant la résilience opérationnelle, imposant un champ d’application beaucoup plus large et des contraintes techniques spécifiques.

Les établissements devraient d’ores et déjà prendre des dispositions afin de se préparer à leur mise en conformité DORA, par exemple :

  • déterminer les fournisseurs qui relèveront du champ d’application,
  • débuter la collecte des données qui permettront de consolider le registre d’informations pour tous les fournisseurs tiers de TIC,
  • commencer à définir les scénarios pour les tests de pénétration
  • et identifier les forces et faiblesses de leur organisation actuelle afin de se constituer une feuille de route vers la mise en conformité DORA.

Le règlement DORA suppose un changement complet en termes d’organisation, de processus et de technologie. Ces étapes peuvent prendre du temps et des ressources. Il est donc dans l’intérêt des établissements de commencer leur mise en conformité le plus tôt possible.

 

 

Auteur
Douchka Pharose  

Douchka Pharose – Consultante indépendant Risque et Conformité

Règlementation DORA et établissements financiers : comment s’y préparer ?

Règlementation DORA et établissements financiers : comment s’y préparer ?

Temps de lecture estimé : 14 min

Rédaction WEB : JUST DEEP CONTENT

La mise en place du règlement DORA devrait prendre forme en 2023. Les établissements financiers sont-ils prêts ? Comment se mettre en conformité ?

 

 

Le 27 novembre 2021, le Groupe Adélaïde (Groupe comprenant notamment le courtier Génération) était victime d’une attaque ransomware, rendant certains de ses services essentiels inopérants pendant plusieurs jours.

Plus récemment, les données personnelles de 50 000 clients de la banque en ligne Revolut ont été exposées à la suite d’une attaque cyber opérée le 11 septembre 2022.

Adresses électroniques, noms complets, codes postaux et numéros de téléphone, ce sont tout autant de données exposant ainsi ces clients à de potentiels futurs préjudices notamment l’usurpation d’identité.

Ces attaques ne sont qu’un extrait de la pléthore de tentatives constatées dans le monde, et dont le nombre croît chaque jour.

Le rapport « RISK2030 : Cartographie des Risques et des Opportunités des entreprises françaises à l’Horizon 2030 » confirme cela en considérant dans son « podium des risques » que la cyber-malveillance est au premier rang.  Ces risques cyber, touchant les Systèmes d’Information (SI) de tout type d’entreprise, pourraient avoir un impact important sur la résilience des banques et la stabilité financière. Que se passerait-il si, tout comme pour la mutuelle Génération, la plupart des services d’une grande banque internationale était inopérant pendant un laps de temps prolongé ? C’est à ce titre que les régulateurs bancaires catégorisent aujourd’hui les risques cyber comme un risque systémique.

C’est un point que LesEchos fin 2018 notifiait déjà à travers cette citation :

« Aux yeux des gendarmes financiers, les hackers pourraient représenter un danger aussi important pour la stabilité financière que les « Subprimes » il y a dix ans ».

C’est dans ce contexte que la France considère que les Grandes Banques Françaises dites systémiques sont des Opérateurs d’Importance Vitale (OIV) au sens de la loi de Programmation Militaire. Elles sont dans ce cadre assujetties à une obligation renforcée de protection de leur Système d’Information à Importance Vitale (SIIV) contre les risques cyber.

Cette obligation a d’ores et déjà commencé à les préparer au renforcement réglementaire qui s’ensuit aujourd’hui avec l’avènement de plus en plus prégnant du risque cyber.

Car le ton est au renforcement sur le sujet de la cyber résilience, et cela s’est traduit en septembre 2020 par la publication par la Commission Européenne d’un Projet de Loi sur la Résilience Opérationnelle Digitale, ou le « Digital Operational Resilience Act (DORA) ».

 

Rappel : DORA : qu’est-ce que c’est ?

DORA est une réglementation à venir permettant d’adresser les risques liés aux Technologies de l’Information et de la Communication (TIC), terme assez large regroupant l’ensemble des outils, services et techniques permettant la création et le traitement (collecte, enregistrement, transmission …) des informations via différents canaux : l’informatique en général, Internet, la radio-télévision et les télécommunications.

Quand il est fait référence à ces technologies, il s’agit également de nouvelles technologies liées à l’information et la communication (NTIC) regroupant les outils à la croisée de l’informatique, la télécommunication et l’audiovisuel tels que les smartphones, ou encore le Cloud. C’est donc un terme assez large qui a pour but de regrouper la gestion de l’ensemble des risques liés au digital.

 

Que faut-il entendre par gestion des risques liés au digital ? Que demande la réglementation ?

Le projet peut être grossièrement divisé en quatre piliers principaux :

  • Renforcement de la gestion des risques TIC (engagement du conseil d’administration, homogénéisation du dispositif de gestion des risques …)
  • Reporting des incidents (attentes supplémentaires du régulateur, homogénéisation des signalements des incidents …)
  • Tests de résilience (renforcement des capacités de tests et/ou sous-traitance à un organisme tiers pour effectuer des tests de résilience et d’intrusion …)
  • Evaluation des risques des prestataires TIC (réviser les accords contractuels avec ces tiers, mise à jour de la stratégie de sortie de ces derniers …)

 

DORA s’adresse à qui ?

Cette réglementation sera applicable à toutes les entités financières réglementées par la Commission Européenne, et, seront aussi dans le périmètre toute institution ayant des opérations en Union Européenne.

Les prestataires de TIC considérés comme « critiques » tomberont aussi dans l’escarcelle du règlement DORA, fait peu commun dans le cadre des précédents projets de loi touchant principalement les acteurs financiers.

 

Quand le règlement DORA commence-t-il à s’appliquer ?

Pas d’annonce officielle pour le moment, mais, au vu de l’avancement des travaux du régulateur, la publication définitive de la loi devrait être en 2023, pour une entrée en vigueur en 2025 selon l’ACPR.

 

Avec ce durcissement réglementaire se posent plusieurs questions : Comment se conformer à ce projet de loi, en tant qu’institution financière ? Aussi, quels sont les facteurs clés de succès pour la mise en œuvre de DORA par les services financiers ?

 

SOMMAIRE

  • Les acteurs du marché des Services Financiers face aux risques TIC
  • La mise en conformité à la réglementation DORA : une stratégie en deux étapes clés

Les acteurs du marché des Services Financiers face aux risques TIC

 

Les risques informatiques et cyber sont multiples et vont en s’accroissant. Les établissements financiers n’ont pas à ce jour le même niveau d’appréhension et de gestion de ces risques.

 

Le Mood Meter des risques

Comprendre les principaux risques auxquels un acteur financier est exposé est capital pour pouvoir les anticiper et apprendre à les gérer (à travers des mesures de prévention, audit & contrôle, ou encore d’acceptation du risque).

La prise en considération des différents événements de portée internationale et disruptifs auxquels nous avons dû faire face ces dernières années est capitale pour appréhender la tendance qui s’observe depuis quelques années, et qui est confirmée par 77% des Responsables des Risques d’entreprises interrogés dans le cadre d’une étude sur la gestion des risques (Global Risk Management Study 2021 – In a World of Risk, Pace Comes From Preparation). Les risques identifiés sont de plus en plus complexes, interconnectés, et émergent de plus en plus vite.

Les tensions géopolitiques, les changements climatiques ainsi que les évolutions technologiques sont les facteurs initiaux qui ont par la suite été exacerbés par des événements tels que le télétravail, les pénuries de matières premières, le nombre d’attaques cyber en hausse … Sans surprise, ces événements mettent les risques opérationnels au cœur des préoccupations, et c’est d’ailleurs un point mis en exergue par cette étude : les risques opérationnels sont considérés comme ayant le plus augmenté ces dernières années, bien au-delà des risques Tiers, réglementaires …

Cela se confirme concrètement par la tendance haussière du nombre de cyber-attaques entre 2020 et 2021 par exemple : selon une étude sur la cyber-résilience (State of Cybersecurity Report 2021 | 4th Annual Report), il était constaté en moyenne 270 attaques par entreprise en 2021, soit une augmentation de 31% par rapport à l’année précédente.

 

Avec l’avènement des nouvelles technologies, de plus en plus adoptées par les entreprises, les fonctions risques rencontrent des difficultés croissantes à évaluer et analyser les risques associés à cette disruption. Par conséquent, cette tendance haussière du nombre de cyber-attaques ne devrait malheureusement pas se tarir.

Où en sont les acteurs du marché des services financiers face à la montée des risques « cyber » ? Ont-ils la même maturité, et donc la même résilience, quant à la gestion des risques liés à l’adoption des nouvelles technologies, et, de façon plus générale, à la gestion des risques opérationnels IT ?

 

La maturité du secteur financier en matière de gestion des risques IT

Aujourd’hui, il semblerait que la maturité des acteurs du secteur financier soit assez disparate (si l’on met en perspective la maturité des acteurs du Tier 1 au regard d’acteurs de plus petite taille).

On peut cependant les classer dans quatre grandes catégories :

  • Les « champions de la Cyber », qui arrivent à concilier une certaine résilience face aux risques TIC tout en étant alignés avec la stratégie business de leur groupe. Ces champions de la cyber-résilience performent a minima dans 3 des 4 critères qualifiant une entreprise de « cyber-résiliente » :
    • Stopper les attaques cyber,
    • Trouver les brèches de sécurité,
    • Réparer ces violations de sécurité
    • En réduire l’impact.
  • Les « Risk Takers » : les entreprises qui acceptent le risque cyber, mais qui vont prioriser la croissance business, et donc moins investir dans leur cyber résilience.
  • Les « Business Blockers », faisant passer la cybersécurité avant le business : cette stratégie peut être considérée comme un obstacle aux objectifs commerciaux d’une entreprise.
  • Les « Vulnérables », qui ont un système de cybersécurité peu mature et sécurisent le minimum requis de leurs Systèmes d’Information.

Selon le profil, des métriques très différentes concernant le nombre d’attaques cyber et la capacité des entreprises à les contrer et en gérer les impacts sont constatées.

Selon la même étude sur la cyber-résilience, seulement 17% des attaques déboucheront sur une violation du Système d’Information (SI) pour un « Champion de la Cyber », tandis que plus d’une attaque sur deux causera une violation du SI pour un « Risk Taker » de la Cyber.

Contre toute attente, concernant les « Business Blockers », le taux de transformation du nombre d’attaque en violation concrète de leur SI est supérieur à celui des « Cyber Champion » (25% des attaques causeront des violations pour les « Business Blockers », contre 17% « Cyber Champion »).

Aligner les enjeux business avec ceux de la cybersécurité est donc capital pour être durablement cyber-résilient.

Mais alors qui sont ces Cyber Champions ? Existe-t-il une tendance sectorielle relative à ces « Maestro » de la cyber résilience ?

Selon les études précitées, le secteur le plus représenté parmi ces champions du risque TIC est celui de l’assurance à hauteur de 13%.

Pour autant, aucune autre tendance ne semble se dégager pour le moment : 42% des champions de la cyber se trouvent dans la catégorie « Autres », signifiant ainsi qu’ils appartiennent à un nombre tel de secteurs diversifiés qu’ils ne peuvent être quantifiés. Ainsi, le caractère disparate de la maturité du secteur financier se confirme.

A contrario, une tendance géographique semble se profiler : les Etats-Unis et le Japon semblent concentrer près de la moitié des Cyber Champions interrogés dans le cadre de l’étude réalisée.

Face à l’augmentation des risques opérationnels IT, et compte tenu de la disparité de maturité de chaque établissement en ce domaine, quelle stratégie mettre en œuvre pour parvenir à une mise en conformité aux exigences DORA ?

 

La mise en conformité à la réglementation DORA : une stratégie en deux étapes clés

 

Si le projet de règlement DORA ne consacre aucun nouveau principe, il créé une volonté de tendre vers une résilience opérationnelle, ayant pour objectif de maitriser durablement les risques cyber tant liés à son propre système d’information qu’à ceux des tiers liés.

Ainsi, se mettre en conformité avec cette réglementation suppose au préalable de bien connaître sa stratégie de gestion des risques puis de définir une feuille de route centrée sur 3 grands facteurs de succès.

 

Définir son ambition

Chaque entité financière doit comprendre et évaluer son exposition aux risques. Pour ce faire, plusieurs facteurs doivent être pris en compte :

  • le coût engendré par une attaque cyber : pour le calculer, la risk study précitée préconise de prendre en compte :
    • la probabilité de l’attaque ;
    • le coût moyen d’une attaque ; et,
    • le nombre total d’attaques survenues (incluant les tentatives).

Cette analyse doit être réalisée par typologie d’attaque (phishing, déni de service (DOS), smurf …) et doit être décliné pour l’ensemble des sous-traitants de l’entité financière pour obtenir une vision à 360° de son exposition au risque.

 

Source : Accenture

 

  • le risque de réputation: une attaque cyber peut affecter l’image de marque attachée à l’entité financière et avoir de lourdes conséquence dans le recrutement de nouveaux talents, sur la perte de croissance due à la désertification des clients ou sur la difficulté de faire perdurer et/ou accroître les partenariats.
  • Les événements d’actualité: la mise en place (forcée et pas forcément anticipée) du télétravail depuis la crise sanitaire du Covid, la guerre en Ukraine … sont autant de bouleversements générateurs de risques importants. Leur soudaineté et leur nouveauté peuvent conduire à des attaques démultipliées contre des dispositifs non/insuffisamment résilients.
  • Les évolutions réglementaires: les législateurs français et européens produisent des cadres réglementaires sans cesse mis à jour afin de répondre aux évolutions sociétales et ainsi encadrer les nouveaux risques au fur et à mesure de leurs apparitions.

 

Une fois cette évaluation d’exposition aux risques cyber réalisée, l’entité financière doit s’interroger sur son niveau de maturité :

  • les modalités d’identification des tentatives d’attaques cyber doivent être prises en compte : Sont-elles automatisées via un outil ?
  • les workflows relatifs à leur traitement doivent être décortiqués : ce process est-il automatisé ? Une équipe est-elle dédiée au traitement ? …
  • l’efficience de la résolution des incidents doit être challengée : quel est le délai de traitement moyen ?

En tout état de cause, ce diagnostic est à réaliser en tenant compte des différentes évolutions réglementaires, actuelles et à venir, mais aussi au regard des meilleures pratiques de place.

Cette évaluation complète, incluant le diagnostic de l’existant, doit être présentée à l’organe décisionnel afin qu’il puisse arbitrer sur les optimisations et/ou développements à opérer dans le cadre de son dispositif de lutte contre les risques cyber, permettant ainsi d’acter l’ambition de résilience opérationnelle que poursuivra l’entité.

 

Définir une roadmap de mise en conformité

L’entité financière doit donc définir une roadmap afin de se mettre en conformité par rapport aux exigences de résilience opérationnelle portées par la réglementation DORA au regard des pratiques de place ou de celles de ses pairs (à taille et activités similaires) et de son niveau de maturité.

Pour être en mesure de définir cette roadmap correctement, il est impératif, de bien analyser et comprendre son existant, et cela à travers 3 grandes catégories :

  • Les processus métiers,
  • Les outils,
  • L’humain.

Cette compréhension de la situation actuelle permettra de définir l’effort nécessaire pour atteindre le point cible, notamment sur les plans budgétaires, humains et planning.

Il est à noter que les banques dites systémiques, considérées comme des Opérateurs d’Importance Vitale (OIV) au sens de la Loi de Programmation Militaire, sont d’ores et déjà assujetties à des obligations de protection de leurs Système d’Information (similaire au projet de règlement DORA ) : porter les enjeux SI au plus haut niveau de l’entité, mise en place d’un système de journalisation pour chaque SIIV (Système d’information d’importance vitale), mise en place d’une organisation de gestion des incidents de sécurité informatique etc.

La définition et la mise en œuvre de ce point cible ne représentera pas les mêmes enjeux entre les entités financières déjà conformes à la Loi de Programmation Militaire et celles qui ne le sont pas.

 

Les processus métiers

Les processus métiers constituent les fondements de la gestion des risques : une mauvaise définition et/ou compréhension de ces derniers mettraient en échec les 2 autres aspects que sont les outils et l’humain.

En effet, l’outillage arrive en support des processus (à des fins d’optimisation des processus, de consolidation, de traçabilité des process …), et l’humain, quant à lui, va venir mettre en œuvre les processus définis.

La compréhension des processus métiers existants est donc primordiale.

Cette compréhension passe par l’analyse des politiques du groupe, des procédures déclinées selon les métiers (si nécessaire), et des modèles opérationnels cibles (ou « Target Operating Model », servant d’accompagnement opérationnel aux parties prenantes), en lien avec les processus clés relatifs à la gestion des risques TIC.

Une fois ces éléments analysés, comprendre le lien avec les outils existants (s’il y en a) et l’implication de l’humain dans le processus sera d’autant plus simple, permettant de localiser les lacunes par rapport à ce process : Est-ce le process lui-même ? Les outils associés sont-ils assez performants par rapport à l’ambition du process métier défini ? L’acculturation par rapport à la politique de cyber-résilience du Groupe a-t-elle été correctement faite ?

En mettant cette bonne compréhension des processus existants au regard de la cible, définie en fonction des ambitions et de la réglementation, il est possible de formaliser une analyse d’écart.

Ainsi, les plans d’actions vont naturellement découler de ces écarts et seront échelonnés dans le temps (selon la priorité des actions, les interdépendances associées …) afin de définir une roadmap.

Exemples de plans d’actions à anticiper dans le cadre du projet de loi DORA :

  • Mise à jour de la politique de gestion des risques TIC,
  • Mise à jour de la procédure de continuité d’activité, et des scénarios associés,
  • Mise à jour des documents de reporting d’incidents …

 

L’outillage

Analyser l’outillage existant venant en support aux processus métiers définis est important pour :

  • Confirmer l’alignement outils / process cible,
  • Identifier les mises à jour et nouveaux besoins venant en soutien à ce process, toujours dans l’optique de définir des actions de transformation, à mettre en musique avec la roadmap des processus métiers.

Globalement, vis-à-vis du projet de loi DORA, les outils peuvent couvrir les besoins suivants (liste non-exhaustive) :

  • Analyse des prestataires tiers et de leur politique de sécurité face aux menaces liées aux technologies de l’information et de la communication (TIC). Il existe pour cela des instruments d’évaluation et de gestion des risques cyber sur les tiers. Ces outils proposent des ratings/scorecards pour chaque tiers évalué, avec des plans d’actions associés si ces derniers ne correspondent pas aux attentes d’un point de vue cybersécurité.
  • Gestion et reporting des incidents: certains outils peuvent aider à la centralisation et classification des incidents, permettant ainsi de constituer des KPIs (Key Performance Indicators) probants et d’identifier des « modèles » réguliers d’incidents cyber.
  • Pilotage opérationnel de la gestion des risques cyber : certaines plateformes permettent d’élaborer et suivre des plans d’actions, de collaborer avec les différents contributeurs de ces plans d’actions, voire de proposer des tâches automatiques selon le risque cyber identifié.
  • Communication avec les autorités: outil de reporting des éventuels incidents cyber, de façon complète et automatique.

Aussi, certains acteurs de la place proposent des solutions clés en main pour la couverture des risques cyber. Ils s’inscrivent également dans une démarche de gestion holistique des risques (solutions de gestion des risques intégrée (Integrated Risk Management solution – IRM), proposant à la fois des modules pouvant couvrir des exigences de gestion des risques TIC (« risques liés aux tiers » ou encore « IT security »)), mais aussi des risques liés aux données personnelles ou à l’environnement.

Cette approche capitalise sur les données provenant des différents modules afin d’évaluer l’ensemble des risques de l’entreprise, ce qui est un avantage considérable.

 

L’humain

Le renforcement de la culture du risque relative aux technologies de l’information et de la communication (TIC) doit être assuré au sein de chaque institution financière, auprès de l’ensemble des collaborateurs, incluant l’organe de direction.

Ce renforcement s’inscrit dans un objectif plus global qu’est la mise en œuvre d’une résilience opérationnelle numérique.

Pour ce faire, les entités financières sont invitées à :

  • allouer un budget global suffisant à la mise en œuvre d’un dispositif de prévention des risques TIC, basé notamment sur la formation et la diffusion d’une culture du risque au sein de l’institution.

Ce dispositif, pour être performant, doit permettre de former et sensibiliser l’ensemble des collaborateurs de l’institution (incluant les organes de direction) et doit être adapté aux spécificités et besoins propres à chaque métier, ainsi qu’au niveau de connaissance et de sensibilisation des collaborateurs.

Les institutions financières doivent donc être en mesure de proposer une palette de dispositifs (e-learning, formations en présentiels, diffusion de campagnes d’emails…) visant à assurer cette montée en compétence ainsi qu’un calendrier de mise en œuvre, permettant de s’inscrire dans le processus afin de le pérenniser.

  • impliquer activement toutes les strates de management sur la gestion des risques TIC, incluant les organes de direction.

Le projet de règlement DORA prévoit, en effet, que les membres de l’encadrement supérieur responsables des TIC rendent compte, au moins une fois par an, des tests de résilience et des incidents liés à l’informatique et formulent des recommandations auprès de la direction. Les institutions doivent donc veiller à ce que les organes de direction jouent un rôle actif dans l’encadrement des risques TIC. Ces derniers doivent être nativement intégrés dans la définition des stratégies conduites par les entités financières. Des impacts sur le modèle organisationnel sont nécessairement à prévoir. Ceci peut être également l’occasion d’optimiser les process existants et de définir de nouveaux RACI (Responsible, Accountable, Consulted, Informed) permettant une pérennisation de cette implication des organisations de direction dans la gestion des risques.

  • identifier une équipe, interne ou externe, qui aura la charge de réaliser des tests de pénétration. Si le choix de l’institution se porte sur le détachement d’une équipe interne, il est à rappeler que celle-ci doit demeurer parfaitement indépendante. Ce point doit être matérialisé au sein de l’organisation de l’institution (via des process, RACI …) afin que les résultats des tests de pénétration puissent être utilisés dans les analyses.

 

En conclusion, et compte tenu des orientations décrites dans le projet de règlement DORA, les entités financières pourraient d’ores et déjà réfléchir à la mise en œuvre de 2 actions principales :

  • Évaluation de l’existant: cette évaluation doit être à 360°, permettant tant d’identifier le niveau de maturité et de résilience des process et outil existants, que le dimensionnement des équipes dédiées à la gestion des risques. Ce travail d’introspection complet permet ainsi d’identifier les zones de risques du dispositif mais également de mettre en exergue les points forts, rendant l’exercice de priorisation des actions d’amélioration à conduire plus efficient. Par ailleurs, il permet d’apporter une meilleure visibilité aux membres de la direction et de défendre plus facilement les positions à adopter.
  • Définition d’une trajectoire d’amélioration du dispositif de gestion des risques cyber et des moyens visés pour sa mise en œuvre afin de tendre vers une résilience opérationnelle: une fois l’analyse de l’existant opérée et l’ambition de l’entreprise définie, une trajectoire doit être arrêtée, en lien avec les membres de la direction, qui devront être impliqués tant pour sa définition que pour sa mise en pratique. Il est important d’inclure nativement cette stratégie au cœur du fonctionnement de l’entité financière.

 

 

Pour ce faire, des objectifs d’amélioration du dispositif de gestion des risques cyber doivent être clairement identifiés et classifiés selon leur périmètre (process, outils et humain …), afin d’assurer une mise en œuvre pragmatique et efficiente au sein de l’entité et une remontée des KPI fluidifiée, facilitant ainsi le suivi de l’implémentation des différentes actions attendues. Par ailleurs, les membres de la direction doivent également définir les moyens financiers et humains auxquels ils souhaitent recourir pour mettre en œuvre cette trajectoire.

 

Auteur
Pauline Langlès Fanny Genevrey , Stéphane Nguyen-Huu

Pauline Langlès – Consultante senior, Diplômée du Cycle Expert Conformité de l’ESBanque

Fanny Genevrey – Consultante senior – Finance & Risk & Compliance

Stéphane Nguyen-Huu – Manager Strategy & Consulting – Finance & Risk & Compliance

Sources : 

Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014

Conformité RGPD et Legaltech : l’optimisation par la technologie

Conformité RGPD et Legaltech : l’optimisation par la technologie

Temps de lecture estimé : 11 min

Rédaction WEB : JUST DEEP CONTENT

Registre des traitements, analyse d’impact sur la vie privée (PIA), gestion des demandes d’exercice de droit : qu’apportent les outils technologiques à la Conformité RGPD ?

 

Alors que le RGPD (Règlement Général sur la Protection des Données) devient une norme mondiale incontournable, les entreprises sont encore loin d’avoir terminé leur mise en conformité, malgré les budgets consacrés.

Les outils technologiques dits « legaltech » ont ici un rôle majeur à jouer à chaque étape de la Conformité RGPD : traitement des données, analyse d’impact sur la vie privée (PIA), gestion des demandes d’exercice.

Outre des automatisations et gains de temps significatifs, ils permettent aux différents services impliqués de coordonner efficacement leurs actions. Explications.

3 ans après, contexte et enjeux du rgpd

Plus de 3 ans après l’entrée en application du RGPD, le temps est venu de faire le point sur les avancées en termes de protection des données personnelles et sur les nouvelles technologies permettant de gérer la conformité.

En quelques années à peine, le RGPD est devenu la norme de référence mondiale du respect de la vie privée, dans le sillage duquel tous les pays qui comptent d’un point de vue économique se sont inspirés, ou s’inspirent encore, pour élaborer leurs propres règles.

Même si les conséquences de ces nouvelles règlementations ont déjà commencé à se faire sentir sur le terrain, celles-ci ne sont encore qu’à leur début. De plus en plus d’organisations prennent conscience de l’ampleur des transformations nécessaires et des coûts associés.

Le montant cumulés des sanctions pour toute sorte de manquements liés au RGPD s’élève au mois d’août 2021 à plus d’un milliard d’euros, avec un triplement de ce montant dès juillet.

Cette accélération brutale du montant des sanctions est décorrélée du nombre de sanctions infligées qui reste constant. Ceci dénote la fin d’une période de tolérance des autorités de protections des données européennes et l’entrée dans un nouveau mode de fonctionnement, axé avant tout sur la répression.

 

Source : GDPR Enforcement Tracker – list of GPDR fines

 

En parallèle, la conférence des Nations Unies sur le Commerce et le Développement (UNCTAD) reporte que 128 pays sur 194 ont désormais en place une législation sur les données personnelles, laissant entendre une augmentation potentiellement exponentielle de ces sanctions dans les années à venir.

les écueils de la mise en conformité RGPD des entreprises

Les entreprises françaises sont loin d’avoir achevé leur mise en conformité.

Selon une étude récente de KPMG, 39% seulement des entreprises ont déclarés avoir réalisé leur plan d’action à plus de 75%.

Les facteurs qui ralentissent la mise en conformité sont avant tout la charge de travail représentée (pour 66% des sondés) et la complexité du règlement (39%). Parmi les étapes les moins avancées figurent les analyses d’impact relatives à la protection des données (citées par 42%), la mise en place des durées de conservation (30%) ainsi que le privacy by design (21%).

 

Ces difficultés se présentent alors que des moyens colossaux ont été alloués par les grandes entreprises pour faire face au RGPD.

Les entreprises dépensent en moyenne 1,3 million € dans les initiatives de préparation au RGPD. En décembre 2020, les entreprises consacraient en moyenne plus de 200,000 $ par mois pour se conformer uniquement aux demandes d’exercices de droit, ce qui représente un montant intenable à dépenser sur le long-terme.

La valeur ajoutée des outils de legaltech devient alors essentielle.

impliquer les opérationnels dans les processus rgpd : l’apport indispensable des outils technologiques

Mettre en place et maintenir la conformité RGPD impose donc de mettre en place des processus outillés permettant à toutes les personnes impliquées dans la protection des données d’agir de concert.

Dans ce contexte, des outils technologiques legaltech ont émergé pour aider les entreprises à progresser plus rapidement et améliorer l’efficacité de leur conformité au RGPD, sur plusieurs axes :

un registre des traitements « augmenté »

La première étape est de constituer un état des lieux des traitements de données personnelles, sous la forme d’un registre des traitements.

L’article 30 du RGPD impose à chaque responsable du traitement de tenir un registre des activités de traitement dont il porte la responsabilité, ou qu’il met en œuvre en tant que sous-traitant. Il permet de recenser les traitements de données et de disposer d’une vue d’ensemble de ce qui est fait des données personnelles.

Un outil de registre des traitements est nécessaire pour 4 raisons :

  • Le format de registre conforme à l’article 30 ne suffit pasBien que l’article 30 indique les éléments obligatoires à inclure dans le registre, le format de registre exigé ne suffit pas pour être conforme au RGPD.Comme le recommande la CNIL (Commission Nationale de l’Informatique et des Libertés), les organisations ont besoin d’un registre augmenté permettant notamment de :
    • travailler sur la conformité globale des traitements,
    • préciser la manière dont les droits sont gérés par traitement,
    • déterminer la base légale du traitement,
    • identifier les supports applicatifs du traitement,
    • s’assurer de la minimisation des données en en maîtrisant les champs et non uniquement les catégories.
  • Un outil de gestion du registre des traitements permet de travailler efficacement sur la conformitéLa conformité au RGPD nécessite de prouver que l’on met en œuvre les actions requises, en s’inscrivant dans une démarche globale et continue.La mise en place d’un outil de registre des traitements dédié permet notamment :
    • d’historiser l’ensemble des actions réalisées sur le registre,
    • d’impliquer toute l’entreprise, y compris les métiers concernés, pour démontrer les actions réalisées et la réalité du plan d’actions,
    • de travailler de manière collaborative, en mode connecté,
    • d’inclure facilement la conformité dans le quotidien de l’activité.
  • Un outil technologique permet de piloter l’activité de conformitéLe chantier de conformité est un projet à part entière et nécessite un pilotage global. Comité RGPD, DPO (Délégué à la Protection des Données), référents, RSSI (Responsable de la Sécurité des Systèmes Informatiques), métiers, de nombreux acteurs sont impliqués dans la conformité.Un outil permet notamment :
    • de définir des rôles personnalisés à chaque acteur impliqué et travailler via des systèmes de flux de travail, dits « workflow »,
    • de visualiser des indicateurs de performances et de suivi de la conformité précis (KPI – Key Performance Indicator) et d’obtenir des rapports automatisés pour mettre en avant les actions de conformité en interne, auprès des clients et du régulateur,
    • de définir les priorités dans les chantiers à venir : traitements sensibles, PIA (Privacy Impact Assessment), activités essentielles, mesures de sécurité …
  • La technologie permet de réutiliser le travail déjà réaliséLa conformité nécessite un travail de documentation parfois redondant et chronophage. Sans outil, on ne peut pas réutiliser le travail réalisé.Un outil permet :
    • d’éviter une perte sèche des informations et de pouvoir les utiliser automatiquement à un autre traitement,
    • de bénéficier du fruit de la cartographie et optimiser les processus, les coûts et les moyens,
    • d’identifier et de gérer les risques pour l’organisation et les risques d’incident de sécurité,
    • d’éviter de multiplier les tableaux et les versions.

Les analyses de risques PIA (Privacy Impact Assessment)

La seconde étape est d’évaluer les risques associés aux traitements de données.

L’analyse des risques d’atteinte à la vie privée et de leurs conséquences potentielles en termes d’image pour l’entreprise, mais aussi la conception et l’exécution des plans d’actions de remédiation, nécessitent de s’y retrouver dans le flux constant des données personnelles.

Pour chaque événement redouté (accès illégitime à des données, modification non désirée de données et disparition de données), réaliser une analyse d’impact sur la vie privée (PIA) consiste à :

  • déterminer les impacts potentiels sur la vie privée des personnes concernées s’ils survenaient,
  • estimer sa gravité, notamment en fonction du caractère préjudiciable des impacts potentiels et, le cas échéant, des mesures susceptibles de les modifier,
  • identifier les menaces sur les supports des données qui pourraient mener à cet événement redouté et les sources de risques qui pourraient en être à l’origine,
  • estimer sa vraisemblance, notamment en fonction des vulnérabilités des supports de données, des capacités des sources de risques à les exploiter et des mesures susceptibles de les modifier.

Concrètement, la gestion des analyses d’impact est un processus continu :

  • les PIA doivent être révisés régulièrement
  • une bonne pratique est de la mettre à jour tous les 3 à 5 ans
  • et dans tous les cas, dès lors qu’une modification intervient sur le traitement.

Sources : Dastra – le PIA : un processus itératif

La CNIL peut demander le PIA dans le cadre d’un contrôle ou de l’instruction d’une plainte.

Les avantages d’un outil de gestion des PIA sont nombreux :

  • guider et réaliser les PIA selon une méthodologie unique
  • les réaliser de manière collaborative
  • attacher les PIA aux traitements directement dans l’outil
  • personnaliser les modèles de PIA
  • tracer et historiser l’ensemble des actions réalisées sur le PIA
  • rendre le PIA accessible aux métiers

Source : Dastra – Exemple d’analyse de risque sur la vie privée (PIA)

Demandes d’exercices de droits : gain de temps et aide à la décision grâce aux outils technologiques

Le RGPD impose aux organisations de donner aux personnes dont elles traitent les données les moyens d’exercer effectivement leurs droits, tels que le droit d’accès, de rectification, d’opposition, d’effacement, de portabilité et de limitation du traitement.

Pour mettre en œuvre un processus efficace de gestion des demandes d’exercices de droits, les organisations ont besoin d’une vue complète de bout en bout de tous les processus et systèmes traitant des données personnelles.

Elles doivent aussi garder à l’esprit qu’il ne s’agit pas seulement d’un règlement de plus à traiter, mais une expérience complexe et potentiellement négative pour le client.

Savoir gérer cette expérience client constitue alors un atout pour l’organisation et l’opportunité de démontrer qu’elle est l’une des « meilleures de sa catégorie » dans ce domaine.

Afin de garder la confiance de leurs clients, les organisations doivent :

  • mettre en œuvre des canaux appropriés pour identifier les demandes et tenir le client informé (y compris les raisons des exemptions, le cas échéant),
  • gérer les détails des demandes des clients,
  • rendre transparents les éléments de données pertinents et leur emplacement,
  • vérifier si les données peuvent être effacées ou non,
  • lorsque des tiers sont impliqués, les informer de la demande et obtenir d’eux une confirmation
  • exécuter la demande de manière sécurisée

Par ailleurs, les institutions sont obligées de gérer et contrôler, pour chaque individu, la finalité et le consentement du traitement des données personnelles.

Elles doivent également être informées des autres lois liées au RGPD et des durées de conservation associées. Concernant par exemple les données des clients utilisées à des fins de prospection commerciale, le délai de conservation est de trois ans à compter de la fin de la relation commerciale, conformément aux dispositions en vigueur (notamment mais non exclusivement celles prévues par le code de commerce, le code civil et le code de la consommation).

Exemple de processus de gestion des demandes de suppression des données
Source : Banking Hub | GDPR deep dive—how to implement the ‘right to be forgotten’

 

Les outils technologiques permettent une gestion efficace des demandes d’exercice de droits et de respect des délais réglementaires. Ils aident notamment à :

  • collecter et centraliser les demandes d’exercices de droit automatiquement, pour supprimer les temps morts et réduire le temps de prise en charge,
  • documenter et comprendre de manière approfondie la finalité pour laquelle les données personnelles sont conservées,
  • classer chaque élément d’information, non seulement en fonction de sa finalité, mais également en fonction de la source à partir de laquelle il a été collecté,
  • mettre en place des workflows automatisés afin de permettre la validation de ces classes de données par les bonnes personnes, en rapport à la loi applicable et aux phases de conservation associées,
  • mettre et à disposition des demandeurs les données requises et de manière sécurisée,
  • tracer l’historique des demandes.

Planification, violations de données, consentement : orchestrer la remédiation et piloter la Conformité RGPD

Le RGPD impose aux organisations de mettre en œuvre des processus tels que la documentation des violations de données, la gestion du consentement…
Pour assurer leur efficacité à grande échelle et mobiliser de manière transverse les acteurs concernés, les organisations ont besoin de les industrialiser et de garder les preuves.

D’autant que le principe d’Accountability du RGPD impose aux organisations de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

 

Source : Dastra – Exemple d’indicateur de pilotage, de plan d’action et de statistiques

 

Les apports d’un outil d’industrialisation des processus, de planification et de pilotage de la conformité RGPD sont alors significatifs. Ils permettent de :

  • documenter les violations de données dès que celles-ci apparaissent et les notifications aux autorités (telle la CNIL),
  • respecter les recommandations des autorités de protection des données concernant les cookies et autres traceurs
  • créer des tickets, allouer des tâches, travailler en équipe sur la protection des données en mode agile
  • piloter les actions réalisées via des tableaux de bord globaux de la conformité RGPD
  • intégrer le suivi de la conformité dans la gouvernance existante de l’organisation et diminuer les frictions
  • traçer et historiser l’ensemble des actions
  • centraliser et documenter en cas de contrôle ou dans le cadre de l’instruction d’une plainte.

Cas pratique : une plateforme de gouvernance des données personnelles intégrée

Suite à une violation de données clients ayant été rendue public, une société a dû faire face à un pic de charge soudain des demandes de suppression des données et à un risque d’une procédure de la CNIL.

La société a immédiatement engagé des actions relatives à la communication de crise, telle qu’une première notification à la CNIL de la violation sous 72h et la réalisation des actions de communications vis-à-vis des personnes concernées, tout en répondant aux demandes de suppression des données dans les délais impartis.

En parallèle, les outils technologiques ont permis de rechercher les preuves techniques, d’identifier l’origine de la violation et ainsi de réévaluer le niveau de risque réel autour des systèmes concernés.

Des actions de remédiation ont pu être engagées et la documentation sur les systèmes mise à jour. Des traitements ont pu être associés avec les nouvelles mesures techniques et organisationnelles implémentées de façon à prévenir la réémergence d’une telle violation.

DastraSource : Dastra

Le RGPD va clairement occuper les organisations pendant encore un certain temps, non seulement pour atteindre et maintenir leur conformité, mais aussi pour optimiser pleinement leurs solutions à un niveau mature et efficace.

Dans ce contexte, les outils technologiques apportent une valeur ajoutée indispensable.

Dans leur décision d’utilisation de ces outils, les entreprises devront néanmoins prendre en compte leurs coûts et avantages, mais également les possibilités en termes d’intégration et d’automatisation.

Au-delà de la seule réponse tactique au RGPD, compte tenu de la complexité de la maîtrise des données personnelles, les organisations ont intérêt à mettre en œuvre au plus tôt la feuille de route du développement futur de leur paysage informatique.

Cette approche est particulièrement valable pour la gestion du registre des traitements, du PIA et des demandes d’exercices de droit qui, à court terme, ne peuvent rester des processus manuels sans impacter considérablement les coûts de l’organisation.

 

 

Malgré les efforts et les défis, il est possible de faire du RGPD des opportunités de développement. Les organisations ont tout intérêt à s’organiser dans ce sens.

Les données sont souvent considérées comme « l’or du 21e siècle ». Par conséquent, montrer aux clients le sérieux avec lequel une institution prend le contrôle des données de ses clients sera fondamental.

 

Auteurs
Paul-Emmanuel Bidault et Miriasi Thouch

Paul-Emmanuel Bidault – Président et Co-fondateur de Dastra

Miriasi Thouch – Expert Conformité Senior de L’ESBanque – Ancien membre de la Commission des sanctions de l’AMF