L’endroit respire à la fois la quiétude et la modernité, qui doivent accompagner le travail de la Commission de surveillance du secteur financier (CSSF). Le «Moonlight», son étendard visible, dissimule un autre changement en profondeur, confié à . Arrivé quelques mois après , en septembre 2016, l’ancien consultant d’EY a dans ses attributions les aspects opérationnels: ressources humaines, informatique, administration et finance.
Sous sa conduite, le régulateur est entré dans une phase très active de sa digitalisation, qui devrait durer trois ans.
Qu’est-ce qui vous amène à bouger vers plus de digitalisation? Les acteurs eux-mêmes, le gouvernement, le public?
Jean-Pierre Faber. – «La pérennité financière est essentielle pour le gouvernement, et la confiance dans la place financière est primordiale eu égard aux revenus fiscaux qu’elle dégage. Or, l’énergie criminelle sera toujours présente, et il existera toujours des fraudeurs. Et à chaque fraude resurgiront les mêmes questions: tout a-t-il été mis en place pour éviter les situations de dérive? Comment limiter les dégâts causés?
À cet égard, la CSSF est une institution stratégique pour le pays, systémique pour la place financière. Le gouvernement lui a quelque part confié le rôle de garant de la confiance accordée aux acteurs de la Place. Les particuliers, dont la protection est notre mission première, ont besoin de confiance dans les institutions financières. Les professionnels, quant à eux, doivent avoir confiance dans la stabilité et la prévisibilité du contexte réglementaire. Afin de relever ce défi, notre vision est de passer dans un mode de surveillance en temps réel. Celle-ci n’est pas inscrite dans la loi, mais un idéal à atteindre. Pour ce faire, nous avons mis en place notre stratégie CSSF 4.0, dont la digitalisation est un pilier essentiel.
Sur quels niveaux devez-vous appuyer pour ce changement de paradigme?
«Outre la composante technologique, notre stratégie CSSF 4.0 comporte également des dimensions organisationnelles et humaines. Organisationnelles: nous avons tout d’abord investi dans nos ressources humaines en étoffant nos équipes. Nous avons, avec 900 agents, atteint une taille adéquate pour faire face aux défis qui nous sont posés.
Notre priorité est aujourd’hui d’investir dans les compétences de nos collaborateurs et dans l’évolution de celles-ci. Par exemple, nous mettons l’accent sur leur curriculum vitae digital afin qu’ils puissent mieux appréhender les outils innovants qui sont mis à leur disposition, mais aussi sur les nouveaux acteurs et services d’un marché en perpétuelle évolution. Ceci est d’autant plus stratégique qu’en matière de recrutement, nous sommes face aux mêmes problématiques que toute entité surveillée, en ce sens que les compétences sur le marché ne sont pas assez nombreuses.
Le métier de surveillance va passer d’une surveillance statique, dans laquelle un dossier est bouclé en 90 jours et évalué en 30 jours, à une situation où les algorithmes vont entraîner immédiatement l’analyse des données qui nous sont remontées, voire une investigation auprès de l’entité.
Un upgrade de nos compétences en interne entraînera aussi un upgrade de la surveillance du marché. Rajoutons à ceci une revue constante de nos processus de travail, notamment par un recours intensif au ‘lean management’, qui amène plus de réactivité et de rapidité. Mais venons-en à la technologie. Les structures que nous surveillons nous fournissent un certain reporting, par des canaux sécurisés.
Nous pensons que la création d’un data hub nous permettra au fur et à mesure, grâce à l’emploi de l’intelligence artificielle, d’analyser en temps réel des déviations par rapport à des transactions normales. Le métier de surveillance va passer d’une surveillance statique, dans laquelle un dossier est bouclé en 90 jours et évalué en 30 jours, à une situation où les algorithmes vont entraîner immédiatement l’analyse des données qui nous sont remontées, voire une investigation auprès de l’entité. Il ne faut pas oublier que nous avons une contrainte au niveau des ressources. Nous devons utiliser celles qui sont à notre disposition à bon escient, avec une dose de technologie, d’organisation et de compétences, afin d’éviter de devoir augmenter nos effectifs, à périmètre de surveillance constant.
Le hub, qui vous permet de passer à une surveillance en temps réel, doit être perçu par les professionnels comme une intrusion… Cela place l’institution financière en permanence en position de devoir rendre des comptes, ce qui n’est pas tout à fait le cas aujourd’hui…
«Nous faisons aujourd’hui une analyse ex post des rapports financiers et non financiers qui nous sont remis par les entités surveillées. Nous visons à réduire leur temps de traitement. Ceci est également une réponse que nous devons apporter face à la question du coût de la réglementation. Tout comme les entités surveillées, nous constatons une augmentation des coûts que la mise en conformité avec la réglementation nationale, européenne et internationale entraîne. Notre mission est de veiller à la bonne application de cette réglementation, mais nous devons remettre en question notre interaction avec l’industrie, en la rendant encore plus efficiente. Sur ce point, je vois trois axes de progrès. Nous devons tout d’abord nous mettre d’accord avec l’industrie sur un data hub tel qu’il en existe déjà dans d’autres pays, comme l’Autriche. S’il y a un accord entre parties sur la manière de présenter les données dans ce hub, sur une certaine transparence vis-à-vis du régulateur sans donner des informations à la concurrence, tout le monde y gagnera. Deuxièmement, il y a le volet ‘agrément’, pour lequel nous avons développé le portail eDesk, qui permet déjà un échange standardisé et transparent. La troisième étape sera le développement de l’app de la CSSF, qui donnera accès à des données personnelles, ainsi qu’à des données corporate.
Est-ce que les deadlines deviennent plus courtes? Vous parliez de 30 jours de revue d’un dossier. Est-ce que ça accélère le temps de vos décisions?
«C’est l’ambition! Les discussions que nous avons avec l’industrie visent à ce que nous parvenions à mettre cela en place dans les meilleures conditions possibles. Mais il faut aussi tenir compte d’éléments externes à la CSSF. Les ‘legacy softwares’ des entités surveillées traditionnelles ne sont pas adaptés à une telle évolution. Par ailleurs, la mouvance vers la digitalisation va mettre en question le business model d’un certain nombre d’entités.
À la CSSF, nous ne souhaitons pas être meilleurs que les autres, ni même pionniers.
À l’inverse, les fintech ont un gros avantage, elles n’ont pas de ‘legacy costs’. Ces nouveaux acteurs ont développé des outils adaptés à la situation actuelle et ont accès à des data lakes ‘state of the art’ leur permettant beaucoup plus de flexibilité, notamment dans la production de rapports.
À la CSSF, nous ne souhaitons pas être meilleurs que les autres, ni même pionniers. Nous avons mis en place une business intelligence sur base d’une suite de logiciels nous permettant de mieux examiner les données qui nous sont fournies par les entités surveillées. Notre ambition est de pouvoir restituer de manière anonyme à l’industrie des données concaténées. Nous devons donner des insights à l’industrie, factuels, pour que le Luxembourg reste compétitif par rapport à d’autres places financières mondiales.
Un autre projet s’inscrit dans cette volonté d’optimiser les temps de traitement. La CSSF a signé un accord de coopération avec l’Interdisciplinary Centre for Security, Reliability and Trust (SnT) de l’Université du Luxembourg. Ce projet d’étude a recours à de l’intelligence artificielle, telle que le machine learning. Le SnT est en train d’analyser les 40.000 prospectus que nous avons autorisés depuis les balbutiements de l’industrie des fonds d’investissement. Ce projet alimentera, d’une part, la revue automatisée de prospectus standardisés via une plateforme propriétaire de la CSSF, et, d’autre part, des ‘chatbots’ qui aideront les entités surveillées ou leurs intermédiaires dans des demandes d’agrément ou des approbations de prospectus. Cette interaction via robot sera ajustée au fur et à mesure des interactions avec les entités surveillées et les approbations autorisées. Donc, on alimentera les chatbots, qui ‘conseillent’ les entités surveillées ou leurs intermédiaires, notamment en ajustant des FAQ, pour que ce volet transactionnel soit le plus précis possible. De quoi réduire le temps, renforcer la transparence et nous permettre de faire une surveillance adaptée.
Nous ne sommes pas en train de remettre en question l’hygiène de la surveillance: les entités resteront elles-mêmes responsables de leur propre surveillance.
Beaucoup de chercheurs disent que l’anonymisation est une utopie. Dans le milieu bancaire, comme dans le milieu médical, ce n’est pas sans poser des problèmes. Comment allez-vous régler cette difficulté?
«Notre ambition n’est pas d’analyser des transactions uniques dans un but d’identifier l’acteur économique ultime (‘beneficial owner’). L’anonymisation est une nécessité pour exploiter la concaténation de données et fournir des études ou rapports thématiques à l’industrie. À l’inverse, nous souhaitons pouvoir ajouter de l’intelligence artificielle à l’analyse actuellement en place afin de pouvoir identifier des déviations. La machine va donc associer un flag à un problème sur une transaction, mais c’est à l’entité surveillée de vérifier s’il y a un problème ou non, et de nous remonter cette information. Nous ne sommes pas en train de remettre en question l’hygiène de la surveillance: les entités resteront elles-mêmes responsables de leur propre surveillance.
Le flux d’échanges entre les entités et vous sera-t-il permanent?
«On doit apporter de la confiance, de la transparence et une équité au marché. Là où on peut être flexible, la CSSF sera flexible, mais là où on ne peut pas être flexible parce que les textes de loi nous l’interdisent, on ne pourra pas l’être. Cette transparence va être renforcée avec le développement de nos portails eDesk, ou avec notre application. À tout moment, tout un chacun pourra voir où il en est par rapport à ses requêtes personnelles d’un côté, et des dossiers à l’instruction de l’autre. Il est évident que standardiser et réduire le temps de traitement aura un impact sur certains acteurs, dont les intermédiaires, qui devront potentiellement agir à d’autres niveaux de la chaîne de la valeur ajoutée dans les démarches vis-à-vis de la CSSF.
Pour revenir aux prospectus des fonds, il est vraiment possible de standardiser l’analyse des prospectus et d’en permettre une analyse en temps réel?
«Ce ne sera pas possible pour tous les fonds d’investissement. Mais pouvoir s’accorder avec les grands acteurs sur un certain degré de standardisation accélèrera le traitement des dossiers. Et de notre côté, nous pourrons nous consacrer à l’essentiel, à savoir intervenir là où le cerveau humain est nécessaire. Aujourd’hui, cette démarche est en cours. Ce processus sera en permanente évolution, car à chaque fois qu’une déviation aura été traitée, la machine en gardera la mémoire pour adapter le traitement d’un dossier la fois suivante. Si l’institution force pour rester sur sa position, nous serons alertés en temps réel. Le temps de traitement sera réduit, la qualité augmentée, et nous aurons accès au ‘versioning’. Ce dernier point n’est pas anecdotique, car il est important de pouvoir comprendre ce qui a changé entre une version 1 et une version 2 et les suivantes. Nous pourrons également directement valider ou non les changements. La dimension digitale permet aussi à un agent de reprendre plus facilement un dossier, parce qu’il aura directement accès à tout l’historique, tout comme ce sera le cas pour l’interlocuteur en face
Pour le régulateur, est-ce intéressant de voir les tentations de certains acteurs de flirter avec les limites, sachant que chaque stratégie définit un niveau de risque que l’acteur est prêt à prendre?
«Ils le font déjà aujourd’hui. Ils nous proposent déjà leur lecture de la réglementation, et nous leur disons non en documentant notre position. Ce qui va changer, c’est que nous reviendrons vers eux quasiment en temps direct.
Est-ce que le fait que le droit prête à beaucoup d’interprétation est un problème pour avancer sur la voie de cette digitalisation?
«Non. Au contraire, notre rôle de régulateur est d’apporter certaines clarifications. Ce que nous acceptons en tant qu’institution, c’est le risque résiduel. La somme des risques résiduels forme le risque de réputation, que la Place doit gérer, et à nous d’adapter notre surveillance par rapport à ce risque résiduel.
Cette digitalisation vous permet un gain de combien de temps?
«C’est très varié. Prenons par exemple nos projets de ‘lean management’. En 2019, nous avons mené une douzaine de grands chantiers. Les gains en temps évoluent entre 15 et 60%. En pratique, cela veut dire des contrôles plus appropriés, des interprétations standardisées, plus de délégation. Le temps dégagé permettra à nos agents de suivre des formations, de développer leurs compétences. Mais cela nous permettra également d’être plus flexibles en pouvant mettre des ressources humaines sur des projets imprévus ou structurants qui visent la modernisation du service et/ou de notre institution.
Que devient l’inspection sur site dans le contexte de cette digitalisation?
«C’est un exemple typique de ce que nous a apporté le ‘lean management’. Cela nous a permis de réduire le nombre d’étapes, et donc d’être plus efficaces. Les responsables d’équipe posent aujourd’hui leurs questions par vidéoconférence au responsable de l’inspection sur site. De huit mois, la procédure aboutissant à un meeting final a été réduite à trois mois. Cette bonne expérience du travail à distance a également été mise à profit dans le contexte de la crise du Covid-19. Grâce à des outils comme Webex (le leader du marché de la vidéoconférence, ndlr), les entretiens ont pu se poursuivre. Les premiers retours de visites clôturées étaient positifs, les entités surveillées soulignant notre professionnalisme et notre agilité. Les échanges de dossiers se sont faits de manière sécurisée via une Dropbox CSSF sur base de l’outil MFT. Nous avons même progressé, car nous avons eu accès au ‘versioning’, ce qui n’était pas le cas auparavant. Nous allons continuer dans ce sens-là!
C’est la CSSF 4.0?
«Oui, car on fait appel à de la technologie, à de la révision de nos processus organisationnels et à l’évolution de nos compétences: les trois piliers de la CSSF 4.0. L’objectif est de pouvoir restituer aux entités les données que nous avons sur elles, au lieu de les faire les ressaisir. La vision du régulateur est de ne pas être responsable de la donnée, mais de responsabiliser l’entité.
Est-ce que la technologie permet, du coup, de contrôler plus les institutions? Ou de cibler les contrôles?
«Nous avons établi une ‘risk-based approach’. Chaque entité se fait inspecter, en fonction de son profil de risque, ou du changement de son set-up à une fréquence plus ou moins rapprochée au cours de sa vie et de son interaction avec la CSSF. Mais celle qui présente, selon notre analyse basée notamment sur le type de clients servis, de produits proposés, d’objectifs commerciaux, mais également sur la réputation de l’entité, un profil de risque plus élevé va se faire inspecter plus souvent. L’automatisation va nous permettre d’améliorer encore cette approche. Et c’est nécessaire, car le nombre d’entités ne fait qu’augmenter, la réglementation ne fait que devenir que plus complexe et vaste, et l’effectif de la CSSF ne peut pas augmenter indéfiniment. Nous sommes 900 aujourd’hui, et nous ne souhaitons pas être 1.800 demain. Si nous n’évoluons pas, le Luxembourg va perdre en compétitivité, notamment dans l’industrie des fonds d’investissement. Mais la technologie peut se substituer aussi à de nombreuses missions de back-office bancaires, ce qui va engendrer une réinvention de certains métiers au sein des banques.
On peut donc s’attendre à ce que les effectifs de la CSSF restent autour du millier de personnes? Qui va évoluer en termes de profils?
«En 2016, nous étions 43 dans l’IT, avec 30 à 40 externes. Aujourd’hui, nous sommes 103, et 20 à 25 externes. Nous recrutons essentiellement des data scientists, data engineers, database administrators, mais aussi des spécialistes dans des métiers émergents, comme des data quality managers et des spécialistes en matière de cybersécurité. Il faut souligner que nous mettons en œuvre des outils informatiques qui nécessitent une compétence métier. En mode agile, la moyenne de nos projets est de sept à huit sprints. Les projets sont mis en place en binôme entre le métier et l’IT. Les équipes métiers ont été formées à la méthode agile et ont dû passer à un curriculum digital. Par exemple, elles doivent être en mesure de regarder ce qui se passe quand des robots donnent des conseils en investissement. Cela veut dire que des spécialistes métiers doivent également comprendre comment la technologie fonctionne, quels sont les algorithmes utilisés, quels sont les biais qui se présentent. Pensez aux smart contracts, aux tokens, aux virtual assets. Nous devons pouvoir appréhender ces évolutions dans une échelle de temps très courte.
Ce qui ne doit pas être évident? Les «vrais» experts sont ceux qui travaillent sur ces technologies émergentes, à la recherche d’un profit ou d’un gain.
«Nous gagnons de l’expertise au contact du marché, et notamment des nouveaux entrants pour lesquels la CSSF est une case départ incontournable. Mais, nous n’avons pas de mal à recruter. N’oubliez pas que la question du sens est extrêmement importante pour les jeunes générations. Il n’y a qu’à voir les jeunes qui se mobilisent autour des questions écologiques ou d’égalité. À la CSSF, nous travaillons uniquement dans l’intérêt public, pour une place financière plus éthique, pour la protection des consommateurs et pour lutter contre le blanchiment d’argent et le financement du terrorisme. C’est une noble cause pour se lever le matin et venir travailler, ne trouvez-vous pas?
Est-ce que vous achetez des solutions externes? Que ce soit Governance ou Tetrao, par exemple, les fintech luxembourgeois ont de la techno dans ces contextes…
«Nous regardons les deux, les entreprises établies, comme IBM ou Microsoft, tout comme les start-up, notamment en collaboration avec la Lhoft. Nous sommes en train de finaliser un appel d’offres européen pour un Master Data Management – notre data lake –, qui va vraiment structurer le futur et les outils que nous allons choisir, des logiciels aux serveurs.
Le marché du lake, ça va être combien? Ça va être cher? Plus de 10 millions d’euros?
«Nous sommes en phase d’évaluation. Mais ce sera moins de 10 millions d’euros. Il y a deux projets, l’un est la mise en œuvre, et l’autre la maintenance. Et puis, il y a les projets que cela nous permettra de développer. La décision sera prise en juillet 2020 normalement. Les quatre shortlistés sur huit seront vus cette semaine. De gros acteurs. Il faut être réaliste. C’est un projet d’une certaine taille. Il faut pouvoir présenter un track record pour ce type de projet et avoir la possibilité de recourir à un réseau d’expert à certaines phases.»