Articulation des exigences réglementaires MREL/TLAC

Suite à la crise financière, de nouvelles exigences réglementaires imposent aux banques de disposer d’un matelas de ressources pour absorber les pertes éventuelles en cas de défaillance et recapitaliser. Ce renflouement interne, bail in, doit permettre de ne plus mobiliser l’épargne publique pour venir en aide aux banques en difficulté.

En cas d’activation de la procédure de bail in par l’autorité de résolution, les pertes seront absorbées en priorité par les fonds propres, les autres créances subordonnées et les autres passifs éligibles au bail in. Certains éléments sont exclus de la procédure comme les dépôts de clientèle et les obligations garanties.

L’épaisseur de ce matelas est fixé aux Etats-Unis par le TLAC (Total Loss-absorbing capacity – capacité à absorber des pertes), en Europe, par le MREL (Minimum Requirement for Eligible Liability - exigence minimale de fonds propres et engagements exigibles).

Le TLAC s’appliquera aux banques systémiques à compter de janvier 2019. En France, 4 banques sont concernées : BNP Paribas, Crédit Agricole, BPCE et Société Générale. Le matelas de ressources représentera un niveau de fonds propres et d’instruments assimilés à hauteur de 16% d’actifs pondérés par les risques (RWA) puis 18% en 2022. Le MREL concernera l’ensemble des banques de l’Union Européenne qui auront jusqu’à 2020 pour se préparer. Le niveau de MREL sera déterminé au cas par cas à un seuil permettant la mise en œuvre de la stratégie de résolution de l’établissement.

Ces deux dispositifs poursuivent globalement les mêmes objectifs et ne devraient pas être théoriquement incompatibles. Toutefois, ils différent sur plusieurs aspects : le TLAC est calculé sur les RWAs, le MREL se calcule par rapport au bilan brut, le TLAC définit des instruments de dette éligibles, le MREL les non éligibles,…La corrélation TLAC / MREL n’est donc pas encore finalisée. L’adaptation du régime MREL doit permettre aux établissements d’être soumis qu’à un seul standard de capacité d’absorption des pertes.

Le respect de ce nouveau ratio constitue un enjeu de taille pour les établissements qui doivent accroître le pilotage de leur niveau de fonds propres et passifs exigibles.

Pour répondre à ces exigences réglementaires, Akeance Consulting est en mesure de vous accompagner tant sur l’analyse et la « contextualisation » des textes réglementaires que sur l’analyse de la composition du passif, les études d’impact,…

RGPD et Immobilier

RGPD et Immobilier : comment les entreprises du secteur doivent-elles aborder la mise en œuvre de cette réglementation ?

Difficile d’échapper au RGPD ! Après avoir largement occupé l’actualité, le RGPD a pris d’assaut les boîtes mails au travers des demandes de consentement (« opt-in ») que bon nombre d’entreprises ont adressées à leurs prospects. Mais le RGPD ne se réduit pas à ça. Cette réglementation implique de mettre en œuvre un démarche structurée pour gérer les données personnelles de manière plus protégée. Entre les contraintes réglementaires et les sanctions financières, il y a un travail à mener qui ne se limite pas au fameux mail de demande de consentement.

Tous les acteurs de l’immobilier ne seront pas impactés de la même manière. Toutefois, que l’on soit bailleur social ou property manager, la même démarche s’imposera. Cette démarche est en trois 3 temps : identifier les données personnelles proprement dites au sein des services de l’entreprise, identifier ce qu’on fait avec ces données personnelles c’est-à-dire ce qu’il est convenu d’appeler « les traitements de ces données » et les risques afférents et enfin, définir et mettre en œuvre le plan d’actions visant à mieux gérer les données personnelles de l’entreprise.

Identifier les données au sein des entités et services collectant des données personnelles.

Attention au piège : les données personnelles ne se limitent pas aux données sensibles !

Lorsque l’on évoque les données personnelles, on pense en premier lieu à des informations telles que les données de santé ou encore l’orientation sexuelle. Mais la définition est bien plus large : constitue une donnée personnelle toute information se rapportant à une personne physique identifiée ou identifiable. La définition est donc très large et le premier travail consistera donc à recenser les entités du groupe concernées par le traitement de ces données (société, direction, service).

B to C et B to B, même combat !

Les entreprises B to C sont évidemment les premières concernées, mais les entreprises B to B ne doivent pas négliger ce sujet. Les entreprises du secteur immobilier ne sont ainsi pas concernées de la même façon. Les bailleurs sociaux (dans leur activité de B to C) par exemple doivent traiter de grands volumes de données personnelles (revenu, composition du foyer,…) tandis qu’une foncière de bureaux (dans un rôle de B to B) aura un fichier prospects / clients plus limité. Le fait d’avoir un client personne morale ne signifie bien entendu pas qu’on ne dispose pas d’information sur les personnes physiques de ladite personne morale. Sans compter que toutes entreprises, immobilier ou pas, sont concernées au titre des données personnelles relatives aux salariés.

Les données personnelles dans l’immobilier : dans les CRM … mais pas que !

Depuis quelques années, les promoteurs, les bailleurs sociaux, les agents ou encore les sociétés de gestion de SCPI ont mis en place des solutions de type CRM (Customer Relationship Management). Ils consolident ainsi dans ces systèmes des informations issues de leur site internet ou encore des informations recueillies lors des échanges directs avec leurs prospects ou clients. Ces outils sont ensuite utilisés pour organiser les échanges avec les clients (impayés, prospection, communication, réservation d’un logement, demande de logement, …). Pour les entreprises ne disposant pas d’un CRM, les données personnelles seront à chercher principalement du côté de l’ERP (progiciel de gestion intégré). Mais dans tous les cas, chacun sait que des données personnelles, CRM ou pas, ERP ou pas, sont stockées dans diverses bases de données de type Excel un peu partout dans l’entreprise.

Rester pragmatique et tendre vers un travail exhaustif.

Pour mieux cerner le périmètre, nous privilégions une analyse des documents de l’entreprise : organigrammes, processus, cartographies applicatives, contrats en cours, déclarations CNIL déjà effectuées, etc. Cette analyse documentaire permettra ensuite de mieux cibler les collaborateurs à rencontrer. La connaissance des métiers de l’entreprise permet de rapidement cibler les entités concernées, mais il ne faut pas négliger l’opportunité d’une analyse systématique par service.

Cette approche a le mérite d’identifier les données de la manière la plus complète possible mais elle a aussi l’avantage d’identifier ipso facto l’utilisation qu’en fait le service / le collaborateur de l’entreprise. Elle prépare directement la constitution d’un « registre des traitements de la donnée », objet de l’étape de travail suivante.

Identifier les traitements de ces données et les risques afférents.

Le recensement des traitements : un approfondissement avec les référents identifiés et la DSI.

La construction du registre des traitements passe par un dialogue avec les référents des traitements identifiés. Il s’agit d’abord d’un recensement des traitements (voir contenu de ce recensement ci-contre). Ensuite, pour chaque lot de données associé à un traitement, il convient d’analyser le(s) cheminement(s) des données pour préciser : si ces données sont utilisées pour d’autres finalités, comment les données sont conservées (où et pour quelle durée) et enfin les mesures de sécurité mises en œuvre. Afin de compléter le registre, une fiche registre est établie pour chaque traitement recensé.

Si ce travail doit s’appuyer sur les équipes fonctionnelles / métier, la mobilisation de la DSI sera également nécessaire afin de comprendre la réalité des traitements informatisés. La sécurisation de l’analyse passe par ce travail croisé « fonctionnels » X « outils ».

Analyser les risques pour prendre les mesures appropriées.

Ce registre des traitements constitue ainsi le matériau sur lequel seront définies des règles de mise à jour. Mais il ne constitue pas une fin en soi !

En effet, il doit permettre avant tout de qualifier le niveau de risque par traitement. La grille de mesure du risque est à élaborer à partir des critères fournis par les textes (règlement, lignes directrices G29, site de la CNIL,…) mais également à partir des critères propres à l’entreprise (niveau estimé de sécurité des procédures de sauvegarde, d’accès aux données, des postes de travail, dans les procédés d’extraction de données, de pseudonymisation…). Si le risque est considéré comme élevé, le traitement devra faire l’objet d’une « analyse d'impact sur la protection des données ». Ce sera par exemple le cas, lorsque ces données entraînent une prise de décision automatisée ayant des effets juridiques à l’égard d’une personne physique (cas des bailleurs sociaux) ou encore lorsque les données sont sensibles (au sens de l’article 9 du RGPD).

Le lourd travail n’est pour autant pas terminé, détrompez-vous ! Il faudra ensuite identifier les actions de mise en conformité pertinentes…

Définir et mettre en œuvre le plan d’actions visant à mieux gérer les données personnelles de l’entreprise.

Un plan d’actions pour répondre à une pluralité d’exigence.

Au nom du principe d’accountability, l’entreprise doit se donner les moyens de respecter une pluralité de principes. C’est au nom de ces principes qu’il faudra définir les actions pour adapter les processus et les outils. Ces principes sont, globalement les suivants :

Le principe de proportionnalité impose ainsi que les données soient « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

Le principe de temporalité impose que les données soient conservées pendant une durée limitée, au-delà de laquelle les informations doivent être effacées (3 ans pour les fichiers de prospect selon la CNIL).

On peut également citer : le principe d’exactitude et de qualité des données, le principe de la loyauté et de la licéité de la collecte, le principe de finalités déterminées, explicites et légitimes ou encore le principe de consentement. Ce sont ces deux derniers principes qui expliquent la vague d’emails reçus ces derniers jours.

Tous ces principes doivent être traduits effectivement dans l’entreprise. Cela signifie que, pour chacune des lignes du registre des traitements, les mesures existantes doivent être recensées et, lorsqu’elles sont insuffisantes, les actions correctives doivent être mises en place.

La nature des actions à mettre en œuvre.

Très concrètement, pour se mettre en conformité, une fois les travaux précédents réalisés, les entreprises doivent identifier :

les procédures ou les processus métier à modifier,
les modifications de paramétrage des solutions informatiques à réaliser,
les développements informatiques à réaliser,
les consentements à obtenir et les actions de communication à réaliser,
l’organisation interne pour le contrôle et le maintien dans le temps de cette conformité.

Une nécessaire plongée au cœur des processus et des systèmes d’information de l’entreprise.

Le principe d'accountability impose de pouvoir apporter la preuve que toutes les mesures techniques et organisationnelles sont mises en œuvre pour la protection des données personnelles. Sauf exception, la déclinaison de ce principe dans la réglementation n’impose pas mécaniquement la désignation d’un Délégué à la Protection des Données. Toutefois, une gouvernance paraît nécessaire pour conduire et suivre la mise en conformité au RGPD. Il s’agira en effet, d’aller encore un peu plus loin dans les processus et l’analyse des systèmes d’information afin de pouvoir définir les actions permettant de respecter les contraintes réglementaires.

Le coût de cette mise en conformité.

À la lecture de ce qui précède, on comprendra aisément pourquoi cette évolution réglementaire a de lourds impacts pour les entreprises.

D’une part, les enjeux de coûts liés aux systèmes d’information pourront dans certains cas représenter des montants significatifs (même si l’on peut espérer que les éditeurs proposeront de solutions pour faciliter cette mise en conformité). Pour la seule année 2018, les entreprises françaises devraient ainsi débourser entre 900 millions et 1 milliard d’euros en services et logiciels directement liés au projet RGPD, selon les dernières estimations d’IDC France et du Syntec Numérique.

D’autre part, certaines pratiques marketings devront tout simplement être bannies (achat de bases de données, conservation de données personnelles indéfiniment, prospection en masse sans recueillir le consentement préalable,…), ce qui signifie pour les entreprises de renouveler leurs approches commerciales. Cela passera notamment par offrir plus de contenus ciblés aux prospects en échange de leur consentement à l’utilisation de leurs données (Inbound marketing).

La sensibilité des individus sur la protection des données personnelles est de plus en plus forte. Au-delà des sanctions financières ou du coût pour l’entreprise, le RGPD est également un enjeu d’image pour les entreprises qu’il ne faut pas négliger.

* *

B to C ou B to B dans l’immobilier, peu importe. Tous les acteurs sont partie prenante à la vie de chacun, chez soi ou au bureau. À ce titre, chacun des acteurs a le devoir de conscience d’être de fait un tiers de confiance pour beaucoup de personnes. Cela oblige. Le bon respect du RGPD pourrait être un signe fort de la bonne foi de ce qui apparaît comme des tiers de confiance pour beaucoup d’entre nous.

Adrien Rospabé, Directeur Associé, Akeance Consulting.

Maud Guibourg, Directrice, Akeance Consulting.

DSP 2, favoriser l’innovation sans sacrifier la sécurité

Un cadre juridique pour favoriser l'innovation des services de paiement en Europe

La Directive des Services de Paiement révisée (DSP 2) permet à tout client, dont le compte de paiement est accessible en ligne, d’utiliser les services proposés par des prestataires de service de paiement (PSP) agréés ou enregistrés auprès des autorités (ACPR en France). La banque, gestionnaire de compte, ne pourra refuser l’accès au compte que « pour des raisons objectivement motivées et documentées liées à un accès non autorisé ou frauduleux au compte de paiement ».

Si la DSP 1 de 2007 a posé les premières bases juridiques au lancement de systèmes de paiement transfrontaliers par prélèvement automatique – la DSP 2 adapte les exigences aux services de paiement électronique (internet, mobile,…) et met en place un cadre réglementaire propice à l’émergence de nouveaux acteurs, PSP tiers.

Des prestataires de paiement soumis à l’accord des autorités nationales

Les PSP tiers peuvent être des agrégateurs, des initiateurs de paiement ou des émetteurs de paiement (liés à une carte). Un agrégateur est enregistré auprès des autorités, un initiateur ou émetteur de paiement agréé. Tout nouvel acteur souhaitant intervenir sur le marché européen devra donc obtenir l’accord d’une des autorités des Etats membres. Actuellement, 4 acteurs français sont agréés par l’ACPR et 4 acteurs utilisent le passeport européen.

La directive ne porte que sur les comptes de paiement ou dépôts à vue. Toutefois, un amendement a été proposé pour couvrir également les comptes d’épargne, les contrats d’assurance-vie, les comptes titres,…qui représentent 80% des comptes connectés en France.

Des services de paiement plus sûrs

Enfin, les initiatives de Place ont permis d’instaurer des règles de sécurité, de responsabilité et de transparence pour protéger les informations nécessaires à l’exercice de ces services : authentification forte des clients, responsabilité de la banque de rembourser le client en cas d’opération de paiement non autorisée, interfaces standardisées, ouvertes et sécurisées (API)…

4 axes de développement

Les premiers retours d’expérience sur le marché français mettent en exergue quatre axes de développement. En premier lieu, les partenariats entre banques et agrégateurs comme celui de Linxo avec les banques Crédit Agricole et Arkea, confirmé en 2017 via une levée de fonds pour un montant de 20 millions d’euros. Les partenariats entre agrégateurs et robo-advisors, comme celui de Bankin et Yomoni en septembre 2017 afin de développer une offre d’épargne en ligne. Les développements internes ou en marque blanche, à l’instar de l’application Banxo développée par la Caisse d’Epargne. Ou enfin les stratégies d’acquisition, comme celle en 2015 par Boursorama de Fiduceo, solution de gestion de finances personnelles en ligne. Pour les banques, gestionnaires des comptes de paiement, la DSP 2 est l’opportunité d’enrichir l’offre de services proposée aux clients en valorisant le niveau de sécurité qu’elle propose et la personnalisation des services que les nouvelles technologies permettent.

Une entrée en vigueur progressive

Transposée en droit français le 13 janvier dernier, certaines dispositions majeures entreront en vigueur dans un deuxième temps : l’authentification forte du client et la communication sécurisée entre Prestataire de Service de Paiement (PSP) tiers et PSP gestionnaire de compte – les fameuses API.

Un nouveau chantier... parmi d'autres !

D’ici fin 2019, le chantier est donc ouvert. Beaucoup d’interprétations juridiques et opérationnelles restent à affiner ainsi que les liens avec d’autres réglementations d’ampleur, telles que RGPD et E-privacy. Mais ne perdons pas de vue que si les opportunités orientées client sont nombreuses, le premier métier de la banque reste avant tout le financement de l’économie.