La crise économique de 2008 a plus de 10 ans. Mais ses impacts continuent de ponctuer la vie des acteurs économiques.
En effet, les volontés européennes et étatiques d’instaurer une transparence sécurisante et d’augmenter la protection des investisseurs se reflétaient déjà dans le concept «substance over form» du référentiel IFRS ou dans les directives sur les exigences de fonds propres. Elles se sont accélérées et ont touché directement le domaine de la fiscalité avec Beps et sa définition européenne via l’Atad.
En quelques années, un nombre croissant de données transite entre différents acteurs, suite à la mise en place d’un échange automatique d’éléments aussi variés que certains revenus via CRS, de rulings via DAC3, d’informations-clés comme le profit de l’année ou le nombre d’employés via le Country-by-Country Reporting (CbCR) ou bientôt des structures considérées comme potentiellement agressives fiscalement selon certains marqueurs via DAC6.
Cette transparence se reflète aussi dans l’apparition d’une législation sur les prix de transfert conforme au modèle OCDE ou dans l’élaboration de règles plus strictes en ce qui concerne la lutte contre le blanchiment d’argent, notamment depuis la circulaire CSSF 17/650 instaurant des règles KYC en matière fiscale.
Les réglementations peuvent s’avérer contraignantes vis-à-vis de la gestion des données et du déroulement des processus métier digitalisés.
En parallèle, la place financière poursuit de manière continue une transformation tournée vers la digitalisation, l’intelligence artificielle et l’utilisation massive de données «big data». Cette évolution apporte beaucoup de valeur, mais en découlent également de nouveaux risques liés à la sécurité de l’information et à la protection des données personnelles.
De ce fait, concilier les règles métier, soutenues par l’ère digitale, semble antagoniste aux initiatives européennes pour la protection des données, la sécurité de l’information et la confiance numérique.
Le règlement général sur la protection des données (RGPD), le règlement «eIDAS», la directive PSD2 et d’autres réglementations peuvent s’avérer contraignants vis-à-vis de la gestion des données et du déroulement des processus métier digitalisés.
Ces notions ne sont en fait pas antinomiques, mais complémentaires. En effet, l’une est le garde-fou de l’autre, permettant une transparence fiscale et un échange automatique des données, dans un cadre digital protégé et de confiance. Quel est le secret de cet équilibre? La recette est un mélange de différents ingrédients, mais le composant-clé reste une gouvernance transversale intégrant les besoins métier avec les exigences réglementaires.
Cette gouvernance permettra également d’identifier les opportunités de synergie dans les solutions réglementaires à mettre en place.
Partenariat ou frères ennemis?
En effet, une bonne gouvernance qui intègre toutes les parties prenantes (fonctions métier, compliance, gestion des risques, IT, responsable de la sécurité des systèmes d’information, délégué à la protection des données, etc.) est primordiale afin de repenser les processus métier tout en intégrant durablement les exigences réglementaires et en continuant à engendrer de la valeur ajoutée de manière efficace et optimisée, tout en s’appuyant sur la digitalisation et les nouvelles technologies.
Cette gouvernance permettra également d’identifier les opportunités de synergie dans les solutions réglementaires à mettre en place, avec un accent particulier sur l’aspect pragmatique et la mutualisation des efforts globaux.
En conclusion, pour répondre à la question d’origine, il s’agit bien d’un partenariat reposant sur une approche inclusive, collaborative et proactive qui permettra aux acteurs d’être différenciants en gérant leur métier de manière compétitive et efficace tout en respectant leurs obligations en termes de sécurité de l’information et de protection des données.
Cette carte blanche: «Reporting vs sécurité de l’information et protection des données: partenariat ou frères ennemis?» a été rédigée par Carole Hein, directrice et Irina Hedea, associée chez Deloitte Luxembourg.