La compliance… Le sujet revient régulièrement dans les discussions qui portent sur le secteur financier, notamment lorsqu’il faut expliquer la perte de profitabilité des banques au cours de ces dernières années. L’enchaînement des vagues réglementaires, souvent initiées par l’Union européenne et progressivement intégrées au droit des pays membres avec l’aide des organismes régulateurs nationaux, entraîne en effet des coûts supplémentaires, en termes de personnel et de technologies, qui grèvent la rentabilité des institutions financières.
En plus de leur fréquence, qui demande une adaptation constante, ces réglementations ont également un spectre d’application très large. Elles peuvent en effet s’attaquer à des problématiques aussi diverses que la lutte contre le blanchiment d’argent, la lutte contre l’évasion fiscale, la protection des investisseurs, etc.
Autant dire que les compliance officers des institutions financières, chargés de veiller à la mise en conformité des pratiques de l’entreprise avec ces réglementations, ne s’ennuient pas. Au Luxembourg, c’est la CSSF (Commission de surveillance du secteur financier) qui s’assure que les différents acteurs de la Place respectent les législations existantes et se préparent à celles à venir. L’organisme confirme la densité de l’agenda réglementaire en cours, qu’il s’agisse du secteur de l’asset management ou de celui des banques et entreprises d’investissement.
Rendre les banques plus solides et transparentes
En ce qui concerne les gestionnaires d’actifs, tout d’abord, la CSSF pointe principalement la mise en œuvre intégrale de la circulaire 18/698 sur les gestionnaires de fonds d’investissement, qui devrait intervenir à la fin du mois de décembre 2019. Ce texte introduit notamment des dispositions spécifiques en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme.
«Les retours que nous avons déjà pu obtenir de l’industrie laissent penser que les entités supervisées seront en conformité totale avant l’échéance de cette date, commente la CSSF. Nous continuerons naturellement à assurer le suivi auprès des entités et les inspections sur place en matière de gouvernance resteront une des priorités pour 2020.» L’une des autres priorités réglementaires en ce qui concerne les asset managers sera, en outre, toujours selon la CSSF, de veiller à se conformer au cadre légal le plus efficient pour traiter les problèmes de liquidité qu’ils pourraient rencontrer dans leurs fonds, particulièrement les fonds Ucits.
La transposition dans la loi nationale des directives révisées CRD et BRRD devra avoir lieu au plus tard le 28 décembre 2020.
Quant aux banques et entreprises d’investissement, elles ne sont pas en reste. Une série de réglementations destinées à renforcer leur solidité et leur stabilité figurera parmi les premières priorités du secteur. «Le paquet Risk Reduction Measures paru au Journal officiel de l’Union européenne le 7 juin 2009 modifie la directive 2013/36/UE (CRD), le règlement n° 575/2013 (CRR), la directive 2014/59/UE (BRRD) et le règlement n° 806/2014 (règlement MRU) concernant les exigences prudentielles applicables aux banques ainsi que le cadre de redressement et de résolution, précise la CSSF. La transposition dans la loi nationale des directives révisées CRD et BRRD devra avoir lieu au plus tard le 28 décembre 2020. Au cœur des dispositions que ces textes prévoient, on peut relever les nouvelles mesures en matière d’approbation de certaines compagnies financières holding qui sont à la tête de groupes bancaires européens et qui agissent comme centre de prise de décision, ou encore l’obligation, dans certains cas, de mettre en place des intermediate parent undertakings.»
Ce n’est pas tout, puisque le règlement CRR modifié introduira, à partir de juin 2021, des changements sur des sujets un peu plus techniques, par rapport au ratio de levier — qui deviendra obligatoire et permettra de limiter l’usage d’un levier excessif —, par rapport au MREL (Minimum Requirement for own funds and Eligible Liabilities) ou encore au NSFR (Net Stable Funding Ratio). «Dans le cadre de sa mission, la CSSF communiquera au marché l’ensemble de ces nouvelles règles par le biais de circulaires ou de règlements», ajoute-t-elle.
Protéger le consommateur
Au-delà de ces éléments, une attention toute particulière sera également apportée, d’un point de vue réglementaire, à l’externalisation des fonctions de la banque. La pratique est en effet de plus en plus courante dans le secteur. Elle pourrait encore s’amplifier dans les prochaines années et doit donc être mieux encadrée.
«Nous nous attacherons à organiser le suivi de l’application des orientations de l’Autorité bancaire européenne (ABE) à ce sujet, qui précisent les dispositifs en matière de gouvernance interne à mettre en œuvre lorsque des fonctions sont externalisées, indique la CSSF. Les entités surveillées doivent à présent opérationnaliser ces orientations et, en priorité, faire en sorte de conserver une structure suffisante et de ne pas devenir des ‘coquilles vides’. Certaines dispositions sont applicables aux nouveaux contrats signés depuis le 30 septembre 2019. Néanmoins, les entités surveillées ont jusqu’au 31 décembre 2021 pour s’y conformer pleinement et remettre notamment leur registre des externalisations à la CSSF.»
Selon la Commission de surveillance du secteur financier, la gestion des risques liés aux technologies de l’information et de la communication constituera un autre axe d’importance en 2020. À la moitié de l’année à venir, les recommandations de l’ABE entreront en effet en vigueur au Luxembourg et intégreront les orientations déjà formulées par l’autorité européenne par rapport aux mesures de sécurité pour les risques opérationnels liés aux services de paiement, dans le cadre de la directive PSD2.
Les départements Compliance des institutions financières sont déjà très occupés et vont l’être tout autant dans les prochains mois.
Certaines dispositions en lien avec cette dernière directive doivent d’ailleurs encore entrer en vigueur au Luxembourg. C’est le cas du dispositif d’«authentification forte» (Strong Customer Authentification ou SCA) permettant d’accéder aux comptes de paiement en ligne. À partir du 31 décembre 2020, la migration complète vers un tel système d’authentification sera obligatoire. Cette mesure visant à mieux protéger le consommateur se doublera de l’adaptation de textes législatifs européens devant permettre d’améliorer la pratique des banques en matière d’octroi et de suivi de crédit.
«De nouvelles normes de gouvernance rigoureuses et prudentes seront progressivement mises en place afin de mieux évaluer la solvabilité des emprunteurs dans le cadre de la gestion et du suivi du risque de crédit. L’ensemble de ces règles va demander aux banques de s’adapter. Nous accompagnerons les entités surveillées pour nous assurer que ces exigences soient correctement appliquées», commente la CSSF.
AML 5, une priorité
Ce tableau global des directives, dont la mise en œuvre sera bientôt d’actualité, suffit à se rendre compte du travail qui occupe d’ores et déjà les compliance officers. «Effectivement, les départements Compliance des institutions financières sont déjà très occupés et vont l’être tout autant dans les prochains mois. Mais la fonction compliance, en tant que deuxième ligne de défense, doit aussi contrôler de façon récurrente la conformité des activités avec de nombreuses règles, dictées notamment par les directives Mifid, MAD, Priips, etc., explique Anne-Sophie Minaldo, partner & head of regulatory services au sein de KPMG Luxembourg. Pour l’ensemble du secteur financier, il y a donc un réel besoin de gagner en efficacité et d’automatiser un certain nombre d’activités de contrôle récurrentes.»
Cette nécessité est d’autant plus réelle que des échéances importantes attendent le Luxembourg. C’est notamment le cas par rapport aux exigences en matière de lutte contre le blanchiment d’argent et le financement du terrorisme.
«De nombreux observateurs du secteur s’accordent à dire que la mise en conformité avec la directive AML 5 sera l’une des priorités des compliance officers au cours des prochains mois, explique Baptiste Aubry, senior associate au sein du cabinet d’avocats Allen & Overy. Cela est aussi lié au calendrier: l’an prochain, le Gafi — Groupe d’action financière — sera présent durant quelques semaines au Luxembourg afin de mesurer la mise en application du dispositif AML luxembourgeois par les acteurs du secteur financier, au-delà de la simple transposition des directives européennes. Il y a donc une certaine pression sur le secteur et une attente des autorités à ce que les procédures AML/CTF soient bien huilées.»
Le timing est pourtant serré, sachant que les dispositions liées à AML 4 n’ont été transposées dans le droit luxembourgeois qu’en février 2018 et que la mise en conformité avec cette directive est sans doute encore en cours dans de nombreuses institutions. «La différence entre ces deux versions de la directive est notamment qu’AML 5 met également l’accent sur les nouvelles technologies, les émetteurs de cryptocurrencies, etc. Le but est que les fintech actives dans ces niches soient également régulées, comme n’importe quel autre acteur du monde financier. Toutefois, il est probable qu’elles soient plutôt absorbées par d’autres entités déjà régulées et que leur mise en conformité se fasse donc indirectement», précise Anne-Sophie Minaldo.
DAC 6, un autre gros morceau
Si le volet fiscal n’a jusqu’ici pas été abordé, il est également encadré de plus en plus sévèrement par des réglementations visant notamment les sociétés actives dans la structuration de patrimoine. La directive européenne DAC 6 (directive sur la coopération administrative) est ainsi en cours de transposition dans la loi luxembourgeoise et devrait donc bientôt entrer en application.
«Il s’agit de déclarer à l’administration les dispositifs transfrontaliers mis en place et qui sont susceptibles de participer à des transactions qui présentent un caractère potentiellement agressif sur le plan fiscal, précise Luis Muñoz, senior tax associate chez Allen & Overy. La nouveauté avec la sixième version de cette directive, c’est qu’elle concerne désormais également tous les intermédiaires, pas seulement ceux actifs dans la fiscalité pure et dure: comptables, banquiers, avocats, etc.»
Le renforcement de l’équipe compliance est une nécessité.
Un important travail d’information devra donc être mené par ces différents acteurs intermédiaires. «Chez ces intermédiaires, des questions vont inévitablement se poser: dans quel cas dois-je exactement reporter certains dispositifs? Comment faut-il s’y prendre? Ces professionnels n’ont pas forcément l’habitude d’être en contact avec l’administration fiscale, de devoir répondre à ce type d’exigences. Or, s’ils ne répondent pas à leurs obligations, ils pourraient se voir infliger des amendes. Leur seule solution consistera à faire appel à des conseillers fiscaux pour l’exécution de ces tâches de reporting. Or, cela a un prix, qui, finalement, se répercutera sur le client final…», ajoute Luis Muñoz.
Le prix de la réglementation
Si l’intention des régulateurs est noble, le problème est bien là: ces vagues réglementaires grèvent la rentabilité des différents acteurs de la Place en faisant augmenter parfois considérablement leurs coûts de fonctionnement et donc également leurs tarifs.
«En prenant l’exemple récent des nouvelles orientations de l’ABE encadrant l’externalisation dans le secteur bancaire, on observe dès à présent une importante mobilisation de ressources pour répondre aux attentes des autorités sectorielles, poursuit Baptiste Aubry. De nombreux contrats et documents internes vont devoir être mis à jour. Sans compter qu’il faudra tenir un registre de toutes les fonctions externalisées. Or, l’outsourcing existe dans de nombreux domaines: l’informatique, certaines fonctions de contrôle interne, les obligations liées à la lutte contre le blanchiment, etc.»
Le coût supplémentaire engendré par la réglementation est notamment lié à la nécessité de recruter du personnel à même de traiter ces sujets, mais pas seulement.
«Le renforcement de l’équipe compliance est une nécessité quand on fait face à une telle masse d’obligations professionnelles. Un coût technique parfois important est également souvent à prendre en compte, notamment pour se mettre en conformité avec des directives comme Mifid II, indique Baptiste Aubry. Soit la société investit elle-même dans de nouvelles solutions IT qui permettent de faire face à ces exigences, soit elle fait appel à des prestataires de services qui proposent ces outils. Dans les deux cas, le coût de la mise en conformité fait augmenter les frais à supporter et contribue à grignoter les marges.»
Dans le même ordre d’idées, Baptiste Aubry pointe certaines contraintes liées à la mise en place d’un système d’authentification forte. «Du point de vue technique, l’implémentation d’un tel système peut représenter un investissement considérable. C’est d’ailleurs une des raisons qui expliquent la nécessité de repousser la date butoir à laquelle les prestataires de services de paiement devront se mettre au diapason pour certains aspects de cette exigence», explique-t-il.
S’appuyer sur la technologie
La question du coût engendré par la mise en conformité avec ces nouvelles réglementations est évidemment centrale pour les sociétés de conseil comme KPMG, qui accompagnent de nombreux clients dans ce processus. Anne-Sophie Minaldo estime toutefois que le recours aux nouvelles technologies peut permettre de limiter cette augmentation des coûts. «Nous pensons qu’il est aujourd’hui nécessaire d’automatiser plus de processus, notamment liés à la gestion de données, en utilisant les nouveaux outils qui sont à disposition sur le marché», explique la partner de KPMG.
On ne va pas forcément vers plus de simplification à l’avenir.
Cette automatisation accrue n’est toutefois pas synonyme de réduction du personnel en place. «L’idée n’est pas du tout de faire des coupes dans le personnel existant, mais plutôt de laisser les collaborateurs se concentrer sur des tâches à plus haute valeur ajoutée, poursuit Anne-Sophie Minaldo. Les routines, elles, peuvent être exécutées par des machines. Il faut se rendre compte qu’aujourd’hui, certains employés de sociétés actives dans le secteur financier passent encore leur journée à faire du screening de différentes données. Il est clairement possible de les débarrasser de cette tâche pour mieux exploiter leurs compétences.» Du côté d’Allen & Overy, on abonde dans le même sens.
«Le travail de reporting peut devenir chronophage et rendre le recours à des solutions techniques, incluant l’intelligence artificielle, indispensable, estime Baptiste Aubry. Le nombre de données à transmettre aux autorités est devenu si important qu’on peut se demander comment ces dernières parviennent à les traiter toutes de manière efficace. La rationalisation du coût de ces procédures se fera vraisemblablement par le biais des nouvelles technologies.»
L’objectif est-il atteint?
Si les nouvelles réglementations font peser des contraintes importantes sur le secteur financier, elles doivent aussi permettre, sur le papier au moins, d’instaurer une plus grande transparence, tant pour les autorités de contrôle que pour l’investisseur. Mais l’objectif avoué de ces vagues réglementaires successives est-il finalement atteint? Est-ce que la balance penche plus du côté des bénéfices que des contraintes?
Il y a évidemment une plus grande transparence vis-à-vis du régulateur et le travail de celui-ci est donc grandement facilité.
«Je pense qu’il faut ici faire deux constats différents, selon que l’on parle des investisseurs ou du régulateur, explique Anne-Sophie Minaldo. Concernant les investisseurs, j’ai le sentiment qu’ils ne prennent pas forcément la mesure du nombre d’éléments qu’ils peuvent aujourd’hui connaître par rapport à leurs investissements. Il est clair que ce supplément d’information est une bonne chose, mais un effort de pédagogie doit encore être réalisé pour que chacun comprenne la portée des nouvelles réglementations, le niveau de transparence qui a été atteint. La CSSF s’implique d’ailleurs beaucoup dans ce volet éducationnel.»
Luis Muñoz va même plus loin, estimant que les clients sont aujourd’hui dépassés. «Ils ne s’y retrouvent déjà plus dans cet enchevêtrement de lois et dans ce que celles-ci impliquent pour eux. Or, on ne va pas forcément vers plus de simplification à l’avenir.»
Pour le régulateur, par contre, le renforcement de la réglementation, notamment celle imposant plus de reportings, atteint bien son objectif. «Il y a évidemment une plus grande transparence vis-à-vis du régulateur et le travail de celui-ci est donc grandement facilité, indique Anne-Sophie Minaldo. Grâce à cela, la Banque centrale européenne, par exemple, peut mieux mesurer le niveau de risque que présentent les différentes organisations actives sur le territoire.»
Vers plus de réglementation
On pourrait être tenté de penser qu’après le passage des différentes vagues réglementaires que vient de connaître le secteur, une certaine accalmie devrait se faire sentir. Malheureusement, ce n’est pas vraiment le cas. Tout d’abord, comme l’expliquait la CSSF, un bon nombre de directives doivent encore être transposées dans le droit national. Leur entrée en vigueur au cours des prochains mois devrait donc encore occuper les compliance officers ainsi que les autres professionnels des organisations du secteur. Ce n’est toutefois pas tout.
«La nouvelle Commission européenne a certainement mis à son agenda une revue de l’efficacité des différentes directives mises en place au cours des prochains mois, pense Anne-Sophie Minaldo. Il est donc évident que des ajustements vont encore être opérés sur certaines réglementations déjà entrées en vigueur. Celles-ci demanderont immanquablement de nouveaux efforts au secteur.»
«Un premier signal annonçant ces ajustements futurs est la révision de Mifid II, constate Baptiste Aubry. Vu le nombre de réglementations qui ont été adoptées, ne serait-ce qu’au cours des cinq dernières années, il est inévitable d’assister à des actualisations, même s’il ne s’agit que de modifications à la marge. Par ailleurs, des réglementations telles qu’IFR et IFD, qui concernent les entreprises d’investissement, ont récemment été adoptées par le législateur européen et devront également être menées à leur terme par la nouvelle Commission. Autant dire que l’agenda n’est pas près de se vider.»
Je n’ai pas de boule de cristal qui permet de prévoir l’avenir. Mais il est probable qu’un focus plus important soit mis sur l’encadrement des risques opérationnels au cours des prochains mois.
Ces différents ajustements ne sont toutefois pas des initiatives de la nouvelle Commission. A-t-on déjà une idée des nouvelles législations qu’elle pourrait, par elle-même, décider de lancer? Évidemment, c’est encore très difficile à dire.
«Je n’ai pas de boule de cristal qui permet de prévoir l’avenir. Mais il est probable qu’un focus plus important soit mis sur l’encadrement des risques opérationnels au cours des prochains mois, annonce Anne-Sophie Minaldo. En outre, je pense que, la question du changement climatique étant sur toutes les lèvres, des réglementations vont voir le jour pour favoriser les investissements positifs pour l’environnement, par exemple. Mais à l’heure actuelle, il s’agit juste de pistes.»
L’horizon réglementaire est donc loin de se dégager pour le secteur financier. Pour préserver ses marges dans ce contexte, on peut donc s’attendre à ce que certains changements organisationnels importants s’opèrent dans cette industrie au cours des prochains mois. Externalisation de certaines fonctions, automatisation de processus, organisation en hubs plutôt qu’en blocs monolithiques… Les possibilités ne manquent pas. Reste à faire les bons choix.