conférence eifr 11 décembre 2019 · 2019. 12. 11. · de pouvoir identifier les risques de bc-ft...

1

Conférence EIFR

11 décembre 2019

Contact: Marie-Agnès NICOLETRegulation PartnersPrésidente fondatrice3 avenue HOCHE 75008 [email protected]+33.6.58.84.77.40 / +33.1.46.22.65.34

o Joint opinion of the european supervisory authorities on the risks of money laundering and terrorist financing affecting the european union’s financial sectorESAs – 4 octobre 2019.

o Le pilotage consolidé du dispositif de LCB-FT des groupes bancaires et assurantielsNote ACPR – Septembre 2019.

o Nouveaux reportings pour l’asset management

o Rapport COLB septembre 2019

© Copyright Regulation Partners 2

Les nouveautés en matière de LCB FT

© Copyright Regulation Partners

Joint Opinion ESA (1/7)

o Au sein de cet Joint Opinion, les autorités macro-prudentielles de surveillance (EBA, ESMA, EIOPA) ont identifiéet analysé les risques actuels et à venir de LCB-FT auxquels le secteur financier européen est/va être exposé.

Pour cela, les autorités de l’ESA ont regroupé les risques identifiés tout au long de ce processus en deux grandes catégories :

o Les risques intersectoriels : les AES ontconstaté que les principaux risquestransversaux découlent du :

➢ Retrait du Royaume-Uni de l'UE (Brexit)➢ Les nouvelles technologies➢ Les monnaies virtuelles➢ Les divergences législatives et pratiques

divergentes en matière de surveillance➢ Les faiblesses des contrôle interne➢ Le financement du terrorisme➢ La réduction des risques.

o Les risques sectoriels : chaque secteur estrésumé sous les cinq sous-rubriques suivantes:

➢ Le risque inhérent au secteur➢ La qualité des contrôles et

manquements courants dans le secteur➢ Le profil de risque global du secteur➢ Les risques émergents dans le secteur➢ Recommandations à l’intention des AC.

3


o Afin d’atténuer les risques de blanchiment d’argent et de financement du terrorisme, les ESA ont proposé uncertain nombre d’actions potentielles pour les autorités compétentes :


Faire face aux risques liés à l'arrivée de nouvelles entreprises et activités dans l'UE à la suite du retrait du Royaume-Uni de l’UE;

Reconnaître et s’adapter aux implications des nouvelles technologies (FinTechs et RegTechs);

Suivre l'évolution et le développement de la situation en matière de monnaies virtuelles et évaluer s'il y a lieu de modifier les cadres juridiques et réglementaires nationaux en matière de LCB-FT;

Établir des attentes claires en ce qui concerne les contrôles internes qui protègent les entreprises contre les risques de BC-FT;

Soutenir l'échange d'informations et la coopération entre les services répressifs, les entreprises et les autorités compétentes;

Protection contre le « de-risking ».

1

2

3

4

5

6

4


o Concernant les risques sectoriels, les autorités de l’ESA ont examiné les réponses des autorités compétentes locales (AC)s’agissant des risques de LCB-FT qui prévalent selon les secteurs, ainsi que l’évaluation des contrôles mis en place par lesentreprises pour atténuer ces risques. Il en ressort que :


Risque inhérent à chaque secteur

➢ Dans l’ensemble, les établissements de crédit, établissements de paiement, bureaux de change, et les établissements de monnaies électroniques sont considérés comme les plus vulnérables en termes de LCB-FT.

Qualité de contrôle et défaillances liées

➢ Dans l’ensemble, les AC sont particulièrement préoccupées par la qualité des contrôles sur les clients et les opérations effectuées. Les ESA trouvent alarmant qu’une large majorité des autorités locales n’aient pas réalisé d’évaluation des contrôles dans certains secteurs.

Profil de risque

➢ Le niveau de risque global est aligné sur les cotation de risque inhérentes, ce qui amène à la conclusion que le cadre de contrôle pourrait ne pas être suffisamment robuste pour réduire le risque global dans certains secteurs.

Risques émergents

➢ La majorité des AC considèrent les nouvelles technologies et les monnaies virtuelles comme présentant un challenge pour le futur.

5


o Pour atténuer les risques identifiés au sein de ce Joint Opinion, les autorités de l’ESA considèrent que les ACdevraient respecter les étapes suivantes :

➢ RETRAIT DU ROYAUME-UNI DE L’UE : les AC devraient évaluer si oui ou non, elles peuvent mieux utiliser les dispositionsexistantes pour assurer une coopération et un échange d’information entre elles et les autorités du UK dans le contexte de la LCB-FT, ainsi que dans un contexte plus large, prudentiel, dans la mesure où les risques de BC-FT sont concernés.

➢ FINTECHS/REGTECHS : les AC devraient reconnaître l’évolution du paysage LCB-FT, en particulier le fait que de plus en plus declients entrent en relation d’affaires sans contact direct. Elles devraient se familiariser avec ces évolutions technologiques en serapprochant notamment des fournisseurs et entreprises.

➢ MONNAIES VIRTUELLES : les AC devraient surveiller chaque développement dans ce domaine, et évaluer si des changementsdans les dispositions nationales en matière de LCB-FT sont nécessaires.

➢ CONTRÔLES INTERNES : les AC devraient donner la priorité à l'établissement d'attentes réglementaires claires dans ce domaine,notamment en se référant aux lignes directrices sur les facteurs de risque des autorités de l’ESA. Elles devraient égalementconcentrer leurs activités de surveillance sur les contrôles internes qui protègent les entreprises contre les risques de BC-FT les plusélevés.

➢ ENCADREMENT ROBUSTE : les AC et les cellules de renseignements financiers devraient coopérer. Les autorités devraient faireplus pour soutenir ces échanges d’informations et surtout fournir aux entreprises l’assurance que la coopération entre les servicesest à la fois utile et nécessaire dans le cadre juridique applicable.

➢ « DE-RISKING » : les AC devraient travailler avec les entreprises et les clients concernés pour trouver des solutions permettant des'assurer que les mesures de LCB-FT ne privent pas indûment les clients légitimes de l'accès aux services financiers.


6



Risques liésNiveaux de

contrôleRecommandations des autorités de l’ESA pour chaque secteur

Etablissements de crédit

Risques significatifs

Bons/très bons

Les systèmes, contrôles, politiques et procédures LCB-FT sont effectivement mis en place. Mais les préoccupations persistent sur leur efficacité en pratique. Les AC pourraient communiquer sur leurs attentes précises au sujet du niveau de contrôle et de la façon dont ils devraient être appliqués.

Entreprises d’assurance-vie/Intermédiaires en assurance-vie

Risques moyennement significatifs/Peu significatifs

Bons/très bons

Ce secteur est généralement associé à un faible risque de BC-FT, ce qui explique le manque de surveillance et de contrôle des AC. Cependant, les AC devraient revoir leur approche de supervision dans ce secteur en vue d’obtenir suffisamment d’informations pour comprendre ses risques et vulnérabilités. De plus, les AC devraient déterminer s’il est nécessaire ou non de sensibiliser davantage ces acteurs aux risques actuels et émergents, et aux contrôles.

Etablissements de monnaie électronique

Risques significatifs/moyennement significatifs

Bons/faibles

Les AC devraient procéder à une évaluation des risques de ce secteur, en identifiant et évaluant tous les facteurs de risque de BC-FT sur la base des diverses sources d'information dont ils disposent. De plus, elles devraient effectuer des inspections ciblées dans des domaines dans lesquels ils ne disposent pas d'informations suffisantes pour procéder à une évaluation des risques suffisamment solide du secteur, afin de leur permettre de mieux comprendre le secteur ainsi que le type et la qualité des contrôles appliqués. Enfin, elles devraient définir des orientations claires étant donné le manque de maturité de ce secteur.

Etablissements de paiement

Risques significatifs/très significatifs

Bons/faibles

La majorité des produits et services proposés présentent un risque important (remise de fonds, transfert de fonds dans les pays à hauts risques, inclusion bancaire, etc.). Des engagements supplémentaires de la part des AC sont nécessaires. Celles-ci devraient évaluer si elles ont suffisamment d’informations en leur possession pour réaliser une évaluation adéquate des risques dans ce secteur.

7




contrôleRecommandations des autorités de l’ESA pour chaque secteur (suite)

Fournisseurs de crédits (autres que les EC)


Bons/faibles

Dans les cadre de ces activités, le niveau de contrôle se présente comme étant très bon/bon dans certains cas, et faible voire très faible dans d’autres (contrôle interne/procédures/politiques). Les AC devraient être capables de pouvoir identifier les risques de BC-FT afférents à chaque type de secteur pour permettre aux entreprises de connaître les systèmes de BC-FT susceptibles d’affecter leurs activités et mettre en place les mesures et contrôles les plus appropriés pour atténuer ces risques.

Bureaux de changeRisques très

significatifs/significatifs

Faibles/très faibles

Ce secteur s’expose à différents types de risques, allant de très significatifs à peu significatifs. Les AC devraient revoir leur approche de supervision dans ce secteur en vue d’obtenir suffisamment d’informations pour comprendre ses risques et vulnérabilités (opérations anonymes, cash, transferts hors UE, etc.). De plus, les AC devraient sensibiliser davantage ces acteurs aux risques actuels et émergents, aux contrôles, et surtout sur leurs attentes en la matière. Cela pourrait notamment prendre la forme de nouvelles orientations.

Entreprises d’investissement

Risques moyennement

significatifs


Les AC devraient revoir leur approche de supervision dans ce secteur en vue d’obtenir suffisamment d’informations pour comprendre ses risques et vulnérabilités (activités hors UE; nouvelles technologies; produits et services à risque, etc.). De plus, des orientations nouvelles ou mises à jour sont nécessaires pour que le secteur souligne l’importance de ces contrôles et communique les attentes en matière de supervision. Enfin, les AC devraient continuer à surveiller les développements technologiques et les innovations pour une meilleure appréhension des risques LCB-FT, dans ce domaine plus que dans les autres.

8




contrôleRecommandations des autorités de l’ESA pour chaque secteur (suite)

Fonds d’investissement



Malgré le fait qu’il s’agisse d’un secteur comme présentant un faible risque d’exposition au BC-FT, certains domaines restent vulnérables et méritent une attention particulière. Les mesures à mettre en place et les obligations à respecter diffèrent dans ce secteur dû au nombre important d’intermédiaires dans la distribution et la gestion des fonds. Or, les AC devraient pourtant mettre en place un set commun de règles, de mesures, que toutes les entreprises du secteur devraient respecter pour répondre aux obligations en termes de LCB-FT.

9


Pilotage exercé par les groupes du dispositif LCB-FTo Entre 2016 et 2018, l’ACPR a diligenté cinq missions de contrôles sur place au sein de groupes bancaires de taille, le plus

souvent, significative, et disposant d’implantations à l’étranger et, s’agissant du secteur de l’assurance, conduit un contrôlesur place et réalisé trois analyses approfondies (couplant revue de procédures et entretiens de surveillance rapprochée) ausein de groupes assurantiels, eux aussi de taille significative et présents à l’international.

La note de l’ACPR souligne les zones de fragilité et les axes d’améliorations identifiés dans cinq domaines clefs de la surveillanceconsolidée des risques de BC-FT :

• La gouvernance,

• Le cadre procédural,

• Le pilotage par les fonctions centrales,

• L’échange d’informations nécessaires à la vigilance,

• Le contrôle interne.

o La supervision exercée par la tête de groupe est apparue souvent insuffisante, notamment en ce qui concerne le contrôlede la déclinaison et de l’application effective des normes groupe dans les implantations locales, avec des fonctions centralesqui se sont révélées parfois sous-dimensionnées pour assurer efficacement leurs missions.

Note de l’ACPR LCB-FT (1/7)

10



Il résulte notamment de l’étude effectuée que :

• Les fonctions centrales responsables du dispositif de LCB-FT du groupe se cantonnent à un rôle d’ « animation » au détriment du pilotage – actif – des dispositifs locaux.

• Les fonctions centrales des groupes ont une connaissance parcellaire des caractéristiques des outils de LCB-FT développés et/ou gérés localement.

• Les dispositions de l’article L. 561-33 du code monétaire et financier imparfaitement mises en œuvres : organisation et procédures à l’échelle du Groupe.

• Les procédures mises en œuvre dans certaines de leurs implantations n’étaient pas conformes aux normes et procédures du groupe.

• Le positionnement du responsable du dispositif de LCB-FT du groupe est apparu approprié.

• L’information et l’implication de l’organe de gouvernance dans ses fonctions de surveillance étaient insuffisantes dans deux cas sur cinq.

• Les normes du groupe étaient incomplètes ou bien n’étaient pas à jour.

• L’absence de contrôle de second niveau dans certains domaines.

• Insuffisances en matière de remontée de l’information.

• La classification des risques ne comportait pas l’ensemble des critères précisés dans la réglementation.

• Non identification de l’ensemble des risques auxquels le groupe est confronté.

• Les insuffisances les plus marquantes ont été constatées sur les échanges intragroupe d’informations nominatives sur la clientèle.

• Articulation insuffisante des dispositifs de contrôle interne avec le pilotage du dispositif de LCB-FT.

• Les groupes n’avaient pas toujours transmis auprès de leurs filiales des consignes opérationnelles.

• La classification des risques ne comportait pas l’ensemble des critères précisés dans la réglementation.

• Les moyens humains sont encore apparus trop souvent insuffisants pour permettre aux unités centrales de s’affirmer en tant que structures actives de pilotage des dispositifs.

• Les groupes ne s’assuraient pas que les procédures « groupe » étaient effectivement déclinées sur le plan local. Aucun des groupes contrôlés n’avait mis en place un dispositif de validation des normes locales par le groupe.

• Les thématiques relatives au dispositif de LCB-FT ne sont pas toujours traitées avec une profondeur d’analyse suffisante lors des comités des groupes.

11


La gouvernance du dispositif LCB-FT mis en place dans les groupeso Il est attendu des entreprises-mères de groupes :


Qu’elles définissent une organisation efficace du dispositif de LCB-FT au niveau du groupe en tenant compte de leur évaluation des risques ;

Qu’elles désignent un responsable de la mise en œuvre de ce dispositif occupant une position hiérarchique élevée au sein du groupe et possédant une connaissance suffisante de l’exposition au risque de BC-FT du groupe ;

Que leur dirigeant et leur organe de surveillance assurent une implication dans le domaine de la LCB-FT leur permettant de remplir leurs obligations, notamment en ce qui concerne la mise en œuvre de mesures correctrices ou en matière de contrôle interne ;

Qu’elles allouent des moyens suffisants tant humains que techniques pour assurer le pilotage central du dispositif LCB-FT et pour garantir la mise en œuvre des obligations de LCB-FT sur l’ensemble du groupe.

12


Le cadre procédural et normatif des groupeso Il est attendu des entreprises-mères de groupes qu’elles :


Élaborent une classification des risques de BC-FT qui tient compte de l’ensemble des risques auxquels le groupe est exposé, suivant les 5 axes prévus par la règlementation (nature des produits ou services offerts, conditions de transaction proposées, canaux dedistribution utilisés, caractéristiques des clients, pays ou du territoire d'origine ou de destination des fonds);

S’assurent que les classifications des risques élaborées par les entités du groupe soient cohérentes avec celles définies à l’échelle du groupe, tout en tenant compte des risques spécifiques de chaque entité;

Définissent, pour l’ensemble du groupe, des procédures portant notamment sur les mesures de vigilance à l’égard du client;

S’assurent de la déclinaison de ces procédures au sein des entités du groupe situées dans un État membre de l’UE ou partie à l’accord sur l’EEE, en tenant compte des risques spécifiques auxquels celles-ci sont exposées;

Appliquent dans leurs filiales et succursales situées dans des pays tiers des mesures équivalentes. Dans le cas où le droit local fait obstacle à la mise en œuvre de ces mesures équivalentes, elles analysent les obstacles ou les difficultés juridiques rencontrés, et en informent l’ACPR et Tracfin, et mettent en œuvre des mesures de vigilance spécifiques adaptées aux obstacles rencontrés.

13


Le pilotage du dispositif de LCB-FT par les fonctions centraleso . Il est attendu des entreprises-mères de groupes qu’elles :


Définissent une organisation et des procédures internes tenant compte de l’ensemble des risques de BC-FT auxquels le groupe est exposé, lui permettant d’assurer le pilotage central du dispositif LCB-FT au sein du groupe ;

S’assurent de la cohérence, au niveau du groupe, des outils de surveillance des opérations déployés au sein des entités, par le suivi des fonctionnalités et du paramétrage des scenarios, des outils de notation des clients (« scoring ») et de filtrage utilisés par les entités, et le cas échéant, qu’elles justifient, suivent et centralisent les écarts constatés ;

Définissent de manière adaptée la nature et la fréquence des informations qui doivent lui être transmises par les entités du groupe afin, notamment, d’assurer le pilotage central du dispositif LCB-FT et de suivre le risque BC-FT auquel chaque entité du groupe est exposée ;

Allouent des moyens suffisants pour assurer le pilotage central du dispositif LCB-FT ;

Suivent le dispositif de formation des personnels mis en œuvre au sein des entités du groupe, en ce qui concerne notamment les taux et la fréquence de formation, et l’adaptation des formations aux fonctions, activités et risques de BC-FT identifiés au sein des entités.

14


L’échange d’informations nécessaires à la vigilanceIl est attendu des entreprises-mères de groupes qu’elles :


Définissent, pour l’ensemble du groupe, des procédures assurant le partage au sein du groupe des informations qui sont nécessaires à la vigilance en matière de LCB-FT, y compris les données nominatives relatives à la clientèle et aux relations d'affaires, les informations relatives aux examens renforcés et aux déclarations de soupçon;

S’assurent de la mise en place de ces procédures et de la pertinence des informations échangées;

Identifient les dispositions de droit local auxquelles sont soumises leurs filiales/succursales dans des pays tiers, qui font obstacles à ces échanges d’informations intragroupes. Dans ce cas, elles :

• analysent les obstacles ou les difficultés juridiques rencontrés, et en informent l’ACPR et TRACFIN;

• mettent en œuvre des mesures de vigilance spécifiques adaptées aux obstacles rencontrés.

15


Le dispositif de contrôle interneIl est attendu des entreprises-mères de groupes qu’elles :

✓ Veillent au respect de l’organisation et des procédures de LCB-FT par la mise en œuvre d’un dispositif de contrôle interneefficace au niveau du groupe, s’assurent de la mise en place de ces procédures et de la pertinence des informationséchangées ;

✓ Définissent une organisation assurant l’indépendance et le rattachement des équipes de contrôle, ainsi que les moyensnécessaires à l’exercice de leur fonction ;

✓ Coordonnent les contrôles réalisés par les différentes unités de contrôle locales ou centrales, de contrôle permanent ou decontrôle périodique, tout en veillant à ce que ces contrôles s'appliquent à l'intégralité des activités réalisées par le groupe ;

✓ S’assurent de la cohérence des contrôles au sein du groupe, notamment par :• La définition de procédures-cadres détaillées fixant les modalités d’élaboration d’un plan de contrôle complet et précisant ces modalités

d’exécution ;

• La communication à l’entreprise-mère, à des fins de pilotage et d’information des instances de gouvernance, des plans de contrôle ainsi que lerésultat des contrôles menés dans les entités du groupe ;

✓ Mettent en place un dispositif de suivi efficace sur l’ensemble du périmètre groupe des actions correctrices destinées àrépondre aux défaillances relevées tant par le dispositif de contrôle interne à l’échelle locale ou centrale, que par lesautorités de supervision ;

✓ Veillent à ce que les organes de surveillance des entités du groupe et de l’entreprise-mère soient informés des incidentsimportants et des insuffisances en matière de LCB-FT relevés notamment dans le cadre du contrôle interne.


16


LCB-FT : les nouveaux reportings

Dispositif LCB-FT Asset Management (1/2)

Reporting Obligations

QuestionnaireLCB/FT

• Organisation générale du dispositif de LCB/FT.• Services et produits.• Implantation géographique de la SGP.• Clientèle et bénéficiaires effectifs.• Canaux de distribution.• Précisions sur le dispositif LCB/FT.• Déclarations à Tracfin.• Echange automatique d’information.

Rapport LCB/FT• Une fois par an, le conseil d'administration, le conseil de surveillance

ou tout autre organe exerçant des fonctions de surveillance del’entreprise mère approuve le rapport


LCB-FT : les nouveaux reportings

Dispositif LCB-FT Asset Management (2/2)

Un premier rapport qui décrit :• Les procédures de contrôle interne mises en place en fonction de l'évaluation du risque de blanchiment de

capitaux et de financement du terrorisme• Les moyens mis en œuvre pour l'exercice et le contrôle de l'activité de contrôle• Les incidents et les insuffisances constatés ainsi que les mesures correctrices apportées

Un second rapport qui décrit :• L'échange d'informations nécessaires à la lutte contre le blanchiment et le financement du terrorisme au sein du

groupe• Le traitement des éventuelles filiales et/ou succursales du groupe situées dans les pays tiers.• Lorsque la société de gestion de portefeuille appartient à un groupe au sens du I de l’article L. 561-33 du code

monétaire et financier, l’organisation du dispositif de contrôle interne ainsi que les activités de contrôle internemises en place et exercées au niveau du groupe lesquelles donnent lieu chaque année à l’établissement parl’entreprise mère du rapport.

❖ Les informations fournies dans les rapports sont arrêtées le 31 décembre de chaque année civile. Ils sont transmis àl’AMF au plus tard le 30 avril de l’année qui suit.

Arrêté du 28 août 2019 portant homologation de modifications du RGAMF


Récapitulatif des cotations de risques

Rapport COLB : analyse nationaledes risques LCB-FT en France

Faible Modéré Élevée

Faible

Modéré

Élevée

Locations immobilièresAssurance non-vie

Activités de crédit

Banque de détailAcquisitions immobilières

Constructions juridiquesMajorité des associations

Services financiersAssurance vie

Actifs numériquesProfessions du chiffre et droit

Personnes morales, dont société de domiciliation

Jeux

EspècesTransmission de fonds

Change manuelMonnaies électroniques

Banque privéeCertaines crédits conso

Certaines associations en secteur sensible

Financement participatifArt et luxe

Élevée

Modéré

Faible

Légende

Niveau de risque

Vulnérabilité

Menace

Analyse nationale des risques de blanchiment de capitaux et definancement du terrorisme en France

Rapport Annuel d’Activité AFA - 2018

• Une agence créée par la loi du9 décembre 2016 relative à latransparence, à la lutte contrela corruption et à lamodernisation de la vieéconomique

Un service à compétence nationaleplacé auprès du ministre de la Justiceet du ministre chargé du Budget

La mission de l’AFA ?Aider les autorités compétentes et les personnes qui y sont confrontées à prévenir et à détecter les faits de :

Corruption

Trafic d’influence

Concussion

Prise illégale d’intérêt

Détournement de fonds publics et favoritisme

En remplacement du Servicecentral de prévention de lacorruption (SCPC)

© Copyright Regulation Partners21

Former et Sensibiliser aux enjeux de la corruption

Former les Agents Publics

Sensibiliser le secteur associatif

Former les Magistrats

Ainsi que les recommandations de l’OCDE1 et de l’ONUDC2 le préconisent, la formation est l’un des vecteurs privilégiés par l’AFA pour aider à prévenir et à détecter les faits de corruption. En 2018, cet effort de formation a notamment été

porté sur les agents publics, les magistrats et le secteur associatif.

Collaboration systématique avec les écoles de service public.- Formation auprès de différentes écoles

Formation annuelle initiale & continue des magistrats.

L’agence à accueilli en stage 8 Magistrats

Conférences & Colloques organisées.

Seules les associations et fondations reconnues d’utilité publique entrent dans le périmètre des contrôles de l’AFA, toutes peuvent bénéficier de son appui.


Promouvoir la mise en œuvre de dispositif anticorruption

• En 2018, l’AFA a défini les conditions et modalités d’accompagnement des acteurs économiques ou publics ayant décidé de mettre en œuvre un dispositif anticorruption.

• Cette offre d’appui s’inscrit en complément des moyens que ces acteurs mobilisent, en interne ou en ayant recours à des prestataires de services, pour concevoir, mettre en place ou faire évoluer leurs dispositifs anticorruption.

❑ Un préalable : élaborer les chartes d’appui aux acteurs économiques et publics

❑ Développer la conformité anticorruption dans le secteur public et veiller au respect des obligations légales préexistantes

❑ Aider les entreprises à adopter les meilleurs standards anticorruption

Répondant à la diversité des besoins, ces chartes proposent trois niveaux d’accompagnement :

1. un appui générique

2. un appui spécifique

3. un appui individuel

L’année 2018 a été marquée par la montée en puissance des actions de l’AFA au bénéfice des administrations d’État et des acteurs du secteur public local

L’AFA a accompagné - une ville de plus de 150 000 habitants - une ville de moins de 3 500 habitants- deux grands départements - deux communautés de communes7 - un grand syndicat technique

1. un appui spécifique

2. un appui individuel

L’ AFA est intervenue devant des entreprises de toutes tailles et de tous secteurs. Selon les formats, ces ateliers techniques ont réuni entre 15 et 60 entreprises.

10 acteurs économiques : 8 sociétés et 2 EPIC. Ces acteurs se distinguent tant par leur taille, leur secteur d’activité que par l’état d’avancement de leur programme anticorruption.


Contrôler l’efficacité des dispositif anticorruption

La stratégie de contrôle

Le contrôle des acteurs économiques

Informer sur les conditions et modalités de réalisation des contrôles

Le contrôle de l’exécution des CJIP

4 contrôles sont intervenus en exécution d’une convention judiciaire d’intérêt public (CJIP).

Dans 3 circonstances :• Sur injonction de la commission des sanctions• En cas de prononcé par une juridiction pénale de la peine complémentaire de programme de mise en conformité (PPMC) • En cas de conclusion d’une convention judiciaire d’intérêt

public (CJIP) par un parquet.

28 contrôles d’acteurs économiques diligentés en 2018- 2 Entreprises publiques - 11 sur des filiales françaises de groupes

étrangers.


La défense des intérêts français

Cette loi interdit, sauf en exécution des conventions d’entraide pénale, la communication à des autorités publiques étrangères d’informations susceptibles de porter atteinte à la souveraineté, aux intérêts économiques essentiels de la France ou à l’ordre public

La transmission d’informations de nature économique susceptibles de concourir à l’administration de la preuve dans une enquête ou une action de poursuite menée par une autorité étrangère

« loi de blocage »

En 2018, l’Agence a été saisie de trois dossiers au titre de la loi de blocage.

❑ L’action de l’AFA va consister à déterminer le choix des informations pouvant être communiquées et, le cas échéant, les modalités de cette communication.

❑ L’objectif est double : défendre les intérêts de l’entreprise mais également les intérêts stratégiques et judiciaires de l’État français.


Fédérer les acteurs Evaluer le niveau de maitrise des risques de corruption

Le bon usage des moyens financiers et humains et l’efficacité des actions de prévention de la corruption impliquent la mise en œuvre d’une concertation administrative en vue de concilier les différentes obligations légales.

L’AFA a développé des relations de travail avec :

- La CNIL - L’Autorité de la concurrence et l’Autorité des

marchés financiers (AMF) - la direction des affaires juridiques (DAJ) & la

direction des achats de l’Etat (DAE)

Afin que le niveau de maîtrise des acteurs en matière de risque des atteintes au devoir de probité fasse l'Object d’une mesure quantitative d’ensemble.

Enquête sur la prévention de la corruption dans le service public local, les résultats

3 277 réponses, sur un panel de 55 000 collectivités, ont été reçues et analysées : très peu de collectivités se sont dotée d’un dispositif anticorruption


75%

Prévenir la corruption dans le sport L’AFA participe à la prévention de la corruption dans l’organisation de la Coupe du monde de rugby en 2023 et des Jeux olympiques et paralympiques de Paris en 2024

• comité chargé de superviser la politique éthique du GIP et de veiller au respect, par les collaborateurs du groupement, des valeurs individuelles et collectives sur lesquelles son action est fondée

• « comité d’organisation des jeux olympiques » (COJO)


Promouvoir le modèle anticorruption français

❑ Développer les coopérations bilatérales et multilatérales En 2018, 4 protocoles de coopération ont été signés (Vietnam, Serbie, Guinée, Mali), suivis d’activités d’assistance technique spécifiques.

❑ La coopération avec les autorités étrangères de poursuite L’AFA a renforcé en 2018 ses relations avec les autorités étrangères de poursuite. Un contact opérationnel régulier a ainsi été établi avec:

• les États-Unis (Department of Justice – DoJ, et la Securities and exchange commission – SEC) ;

• le Royaume-Uni (SFO) ; • la Banque mondiale ; • la Banque européenne d’investissement

❑ L’assistance aux autorités françaises prenant part aux négociations internationales

• La préparation et la participation aux rencontres internationales

• La promotion d’un cadre pérenne de coordination entre les différents acteurs prenant part aux négociations


LES ENSEIGNEMENTS TIRES DES ACTIVITES DE L’AFA


Un engagement des instances dirigeantessouvent insuffisant : se limite trop fréquemment à une communication de l’instance dirigeante sur quelques mesures.

Des entités contrôlées qui ne connaissent pas précisent leurs risques d’atteinte la probité : soit parce que les entités ne se sont pas dotées d’une cartographie des risques adaptée, soit parce que la méthodologie employée n’offre pas l’assurance raisonnable que tous les risques ont été identifiés et qu’ils ont été correctement évalués et hiérarchisés.

Des systèmes de management des risques lacunaires : les dispositifs de prévention et de détection des faitsde corruption sont souvent incomplets, tout comme les mesures et procédures, ou peu exécutés.

⚫ Des formations effectuées en présentiel par l’entité au bénéfice de ses tiers les plus à risque.

⚫ La mise en place d’un système d’information commun à l’ensemble du groupe répertoriant les cadeaux et invitations.

⚫ La mise en place d’un système d’information permettant de lancer des alertes dans toutes les langues pratiquées dans le groupe

Enseignements relatifs aux acteurs économiques

Lacunes Bonne pratique

⚫ Lorsque la réalisation des diligences raisonnables est externalisée, l’entreprise ne se contente pas d’acheter une prestation, mais participe à l’élaboration d’une méthode adaptée à ses besoins.


Le code de conduite : très peu d’acteurs publics disposaient d’un réel code de conduite.

Gestion des conflits d’intérêts : obligations de déport, obligations déclaratives (déclaration d’intérêts).

Les cumuls d’activité : demandes d’autorisation, respect des règles spécifiques, procédures internes, etc.

⚫ Une meilleure sensibilisation du personnel aux risques de déontologie (corruption, prise illégale d’intérêts, etc.).

⚫ La mise en place d’un dispositif anti-corruption : création et analyse des procédures, de cartographie des risques et d’un contrôle interne.

⚫ La mise en place ou la mise à jour d’une cartographie des risques afin d’évaluer la criticité des risques et leur impact sur l’établissement.

Enseignements relatifs aux acteurs Publics

Lacunes Bonne pratique

L’encadrement du « pantouflage » : analyse des risques potentiels liés aux fonctions précédemment occupées par l’agent, etc.

Référent déontologue dans le dispositif anticorruption : Délai de nomination, rôle définis, missions, etc.

⚫ Encadrement des pratiques de cadeaux et avantages : notamment par la mise en place d’un code de déontologie.

⚫ Meilleure gestion des conflits d’intérêts : obligations de déport, cumuls d’activités, obligations déclaratives



Nouveau rapport annuel de contrôle interne

▪ L’ACPR a précisé la nature des informations devant figurer dans le rapport annuel de contrôle interne(RACI) pour les établissements assujettis.

▪ L’autorité a fourni deux modèles canevas afin d’aider les établissements de crédit, les entreprisesd’investissement et les sociétés de financement d’une part et les établissements de paiement, lesprestataires de services d’information sur les comptes et les établissements de monnaie électroniqued’autre part à structurer leur RACI et à étayer son contenu.

L’ACPR précise que ces canevas ont une valeur indicative et qu’ils sont adaptables en fonction desparticularités de l’activité, des risques et de l’organisation des différents établissements.

▪ Les compléments apportés aux canevas par rapport à l’exercice précédent, permettent de tenir comptede nouvelles dispositions introduites par des orientations de l’ABE notamment en matière de :

• Gestion des risques de taux dans le portefeuille bancaire,

• Tests de résistance,

• Externalisation,

• Gestion des expositions non performantes et restructurées,

• Gouvernance

• Gestion des risques liés aux technologies de l’information et de la communication


Nouveau rapport annuel de contrôle interne

34

Références réglementaires

Références - RACI Commentaires

Guide de la BCE demars 2018 relatif auprocessus ICAAP

6. Processus d’évaluation de l’adéquation du capitalinterne

Le Nota Bene relatif au processus d’évaluation de l’adéquation du capital interne imposeune description des adaptations prises par l’établissement pour se mettre en conformitéavec les nouvelles dispositions introduites par les orientations de l’ABE sur les tests derésistance.

Arrêté du 3 novembre2014 (articles 106 à121)

8. Risque de crédit et de contrepartie Le second Nota Bene relatif au risque de crédit et de contrepartie impose unedescription des adaptations prises par l’établissement pour se mettre en conformitéavec les nouvelles dispositions introduites par les orientations de l’ABE sur la gestion desexpositions non-performantes et restructurées qui entrent en vigueur à compter du 30juin 2019.

Arrêté du 3 novembre2014 (articles 258 à266)

8.2. Dispositif de mesure et de surveillance des risques • Pour les établissements de crédit et les entreprises d’investissement présentant unniveau de prêts non-performants supérieur à 5% : présentation de la stratégie degestion et de réduction des expositions non-performantes poursuivie.

• Pour les établissements de crédit et les entreprises d’investissement : présentationdu processus de restructuration des expositions et modalités de de suivi desexpositions restructurées, notamment par des indicateurs clés de performance.

Règlement (UE)n°575/2013

8.3.1. Risque de concentration par contrepartie Le Nota Bene relatif au risque de concentration par contrepartie impose une descriptiondes adaptations prises par l’établissement pour se mettre en conformité avec lesnouvelles dispositions introduites par les orientations de l’ABE qui sont entrées envigueur depuis le 1er janvier 2019, concernant les clients.


Rapport annuel de contrôle interne – V.2019

Parmi les dernières modifications,

35


Dispositions Références Commentaires

11.5.1. Gouvernance Concernant les risques liés aux TIC, l’ACPR ajoute qu’en matière de gouvernance deuxprésentations doivent figurer concernant :o La stratégie de l’établissement concernant ses TIC notamment l’articulation avec la

stratégie globale (moyens alloués pour la mettre en œuvre et pour veiller à sonrespect, le budget alloué, la procédure de pilotage, le nombre et la nature des effectifsconsacrés, les dispositions de sensibilisation des effectifs au risque, le processus deplanification).

o Le processus de gouvernance des TIC.

11.5.2. Gestion du risque Concernant la gestion du risque, l’ACPR réclame la présentation de l’organisation de lagestion des risques engendrés par les TIC en définissant les rôles et responsabilités desacteurs, le dispositif d’évaluation du profil de risque informatique et ses résultats, le seuilde tolérance au risque, le processus d’audit, les modalités et la périodicité d’informationde la DG sur l’exposition de l’établissement aux risques liés aux TIC.

11.5.3. Sécurisation et résilience L’ACPR apporte des précisions en matière de sécurisation et résilience puisqu’il faut fairefigurer :o Les objectifs de la politique de sécurité des systèmes d’information et le nom du

responsable de la sécurité des systèmes d’information.o La description d’incidents affectant les TIC (notamment les dispositifs de sécurité

physique et logique, de préservation de l’intégrité et de la confidentialité des données,des mesures spécifiques mises en place pour l’activité de banque en ligne, dedescription des tests d’intrusion effectués au cours de l’exercice, d’un plan de secoursinformatique).

o La présentation de la procédure d’information du superviseur en cas d’incidentsmajeurs affectant les TIC.


36


13. Risque de taux d’intérêt global Le Nota Bene relatif au risque de taux d’intérêt global impose une description desadaptations prises par l’établissement pour se mettre en conformité avec les nouvellesdispositions introduites par les orientations de l’ABE sur le risque de taux dans leportefeuille bancaire, qui entrent en vigueur à compter du 30 juin 2019.

13.1. Dispositif de mesure et de suivi (et méthodologie) durisque de taux d’intérêt global

Concernant ce dispositif, il s’agit désormais :• De réaliser un calcul de sensibilité des revenus et non plus des résultats,• D’inclure les interactions et effets croisés entre les différents types de risques (taux,

crédit, liquidité, marché),• De présenter les conventions d’écoulement utilisées par l’établissement incluant une

précision des options automatiques explicites et implicites, des retraits anticipésnotamment.

13.1. Dispositif de mesure et de suivi (et méthodologie) durisque de taux d’intérêt global

• De présenter des résultats du « Supervisory outlier test » sur la valeur économique desfonds propres d’un choc uniforme de +/-200 bps ainsi que des six chocs spécifiques àchaque devise tels que décrit dans l’annexe III des orientations de l’EBA 2018.

13.5. Dispositif de surveillance du risque d’écart de créditissu des activités hors portefeuille de négociation (CSRBB)

Il faut désormais préciser le périmètre couvert et la pertinence pour le profil de risque del’établissement, les indicateurs et la méthodologie appliquée. Une description du suivi etde l’évaluation des positions affectées par le risque d’écart de crédit issu des activités horsportefeuille de négociation est attendue.



37


18. Dispositif de contrôle interne des dispositions relatives à laprotection des fonds de la clientèle des entreprises d’investissement

Concernant les établissements assurant la protection des fonds reçus auprès d’un établissement de crédit, d’une banque ou d’un fonds du marché monétaire qualifié appartenant au même groupe qu’eux, il faut communiquer sur le montant déposé auprès d’une ou de plusieurs entités du groupe par rapport au montant total des fonds des clients à cantonner, ainsi que justifier de la proportion des fonds cantonnés au sein du groupe.

20. Politique en matière d’externalisation Le Nota Bene relatif à la politique en matière d’externalisation impose une description des adaptations prises par l’établissement pour se mettre en conformité avec les nouvelles dispositions introduites par les orientations de l’ABE sur l’externalisation, qui entrent en vigueur à compter du 30 septembre 2019.

Une présentation de la stratégie de l’établissement en matière d’externalisation est imposée notamment quand cela peut affecter les TIC de l’établissement. Un descriptif de la méthodologie d’évaluation de la qualité de la prestation et se fréquence de revue doit également être réalisé.



38

Directive (UE) 2015/2366 sur les services de paiement

« DSP2 »


PréambuleLa Directive sur les services de paiement « DSP2 » a été publié 23 décembre 2015 au Journal Officiel de l’UE.

La DSP2 a été transposée en droit national et applicable depuis le 13 janvier 2018, à l’exception des RTS 2018/389portant sur l’authentification forte* et les API qui sont en application depuis du 14 septembre 2019.

*Authentification forte : un plan de migration vers l’authentification forte a été publié en juillet 2019 par l’observatoire de la sécurité des moyens depaiement.

Textes européens Textes nationaux

• Règlement délégué 2018/389 du 18 mars 2019 complétant la DSP2 pardes normes techniques de réglementation relatives à l'authentificationforte du client et à des normes ouvertes communes et sécurisées decommunication ;

• Les orientations de l’EBA GL/2017/17 relatives aux mesures de sécuritépour les risques opérationnels et de sécurité liés aux services depaiement dans la DSP2 ;

• Les orientations de l’EBA GL/2017/10 sur la notification des incidentsmajeurs en vertu de la directive (UE) 2015/2366 (DSP2) ;

• Les orientations de l’EBA GL/2018/05 sur le reporting de la fraude (UE)2015/2366 (DSP2) ;

• Les orientations de l’EBA GL/2018/07 concernant les conditions àremplir pour bénéficier d’une dérogation au mécanisme d’urgence envertu de l’article 33 (6) des RTS.

• L’ordonnance 2017-1252 du 9 août 2017 ;• L’arrêté du 31 août 2017 modifiant l'arrêté du 29 juillet 2009 relatif

aux relations entre les prestataires de services de paiement et leursclients en matière d'obligations d'information des utilisateurs deservices de paiement et précisant les principales stipulations devantfigurer dans les conventions de compte de dépôt et les contrats-cadres de services de paiement ;

• Le décret n°2017-1314 du 31 août 2017 ;• La loi n°2017-700 du 3 août 2018 ratifiant l’ordonnance du 9 août

2017 ;• Le décret n°2018-1228 du 24 décembre 2018 portant application des

RTS 2018/389 ;• Le décret n°2018-1224 du 24 décembre 2018 relatif à la fourniture

d’espèces dans le cadre d’une opération de paiement (Cash-back),


Plan d’action opérationnel

Analyser les contrats et les obligations d’informations liés aux services de paiement.

S’assurer que la convention de compte courant intègre les clauses prévues par la directive DSP2 et l’arrêté du 31 août 2017 ou la modification de laconvention de compte courant dans ce sens.

Mettre en place les notifications à la Banque de France en cas de refus de demande de remboursement (art L.133-18 du CMF)

Revoir les procédures relatives au processus de réclamations en fonction des délais prévus par les textes et revue des paramétrages de l’outil de gestiondes réclamations (art L.133-45 du CMF).

Mettre en place de procédures de détection, d’analyse de déclaration des incidents majeurs (EBA/GL/2017/10).

Mettre en place d’un reporting sur les fraudes (EBA/GL/2018/05 – applicable à compter de janvier 2021).

Mettre en place d’un cadre de gestion des risques opérationnels et de sécurité efficace, approuvé et examiné, au moins une fois par an, spécifique auxservices de paiement (EBA/GL/2017/17).

Actualiser la cartographie des risques en fonction des orientations EBA (EBA/GL/2017/17).

Vérification que le PCA couvre l’utilisation des services de paiement selon les normes EBA (EBA/GL/2017/17).

Vérification que le processus d’authentification forte est conforme aux règlement délégué 2018/389.

Mise en place d’un API conforme aux obligations du Règlement délégué 2018/389.


Reportings prévus par la DSP2 (1/3)

ReportingExigences

réglementairesModalités et date d’application

Les notifications en cas de refus d’accès au compte à un PSIC ou PSIP

Article L.133-17-1 du CMF

Lorsqu’un PSP gestionnaire de compte bloque l’accès d’un compte de paiement en lignequ’il gère à un PSP tiers en raison d’un accès non autorisé ou frauduleuxIl faut que le PSP gestionnaire de compte (générateur de l’évènement) déclare le refus parcourriel à l’adresse suivante : [email protected] – applicable 14septembre 2019

Les notifications à la Banque de France en cas de refus de demande de remboursement

Article L.133-18 du CMF

Les prestataires de services de paiement (PSP) sont tenus de notifier à la Banque deFrance le non remboursement immédiat d’une opération de paiement non autorisée dansle cas où il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service depaiement ou qu'il considère que la fraude de l'utilisateur est avérée.Périodicité : la déclaration est mensuelle. Pour un mois donné, tous les nonremboursements immédiats doivent être inclus dans la déclaration quand bien mêmel'opération contestée aurait été remboursée ultérieurement par le PSP (y compris au coursdu mois sous revue). En l’absence de contestation au cours d’un mois donné, le déclarantest dispensé de déclaration.Délai de transmission : la déclaration doit être faite au plus tard à la fin du mois suivantcelui pour lequel la déclaration est effectuée.Modalités de déclaration : la déclaration s’effectue sur le guichet OneGate – Oscamps(portail de collecte de la Banque de France).applicable janvier 2019


mailto:[email protected]


ReportingExigences


Notifications des incidents majeurs

EBA/GL/2017/10Article L. 521-10 du CMF

Les notifications sont à transmettre par le biais d’une interface sécurisée dédiée, conformément auxorientations de l’Autorité Bancaire Européenne en la matière. Les PSP sont invités à transmettre toutedemande de documentation par courriel à l’adresse suivante : [email protected]. Les rapports d’incidents sont constitués d’un ensemble de champs structurés, répartis en troisgrandes sections (A, B et C, cf. tableau Excel) qui correspondent aux différentes étapes du cycle de vie del’incident :• Rapport initial : il doit être transmis par le PSP dans les 4 heures qui suivent la détection d’un incident

par le PSP impacté, et contient a minima les informations décrites dans la section A.• Rapport(s) intermédiaire(s) : le premier rapport intermédiaire doit être remis au maximum dans les 3

jours suivant l’émission du rapport initial. Un nouveau rapport peut être soumis autant de fois quenécessaire suivant l’évolution de l’incident ou sur demande de la Banque de France. Il contient auminimum les informations décrites dans la section B. Si un incident est résolu dans les 4h suivant lapériode de détection, les données du rapport intermédiaire peuvent être remises soit dans le rapportinitial, soit dans un rapport intermédiaire soumis après la résolution de l’incident.

• Rapport final : il doit être remis au maximum dans les 2 semaines après que la situation soit revenue àla normale. Il contient au minimum les informations décrites dans la section C. Si un incident est résoludans les 4h suivant la période de détection, un rapport unique contenant toutes les informations dessections A, B et C peut être soumis. applicable depuis le 13 janvier 2018


mailto:[email protected]


ReportingExigences


Déclaration de données relatives à la fraude au titre de l’article 96, paragraphe 6, de la DSP2

• EBA/GL/2018/05• Article L.141-4

du CMF• Article 262 de

l’arrêté du 3novembre 2014

L’ACPR entend se conformer aux orientations d'ici 2021. Des procédures visant à adapter et àapporter les modifications nécessaires aux systèmes de notification sous-jacents ont étéengagées pour se conformer aux orientations qui ne sont pas couvertes par le cadrestatistique national existant, à savoir les orientations 1.4, 1.5, 2.1, 3.1 et 7 (sauf 7.2).

Par ailleurs, La Banque de France conduit une collecte annuelle conformément à l’articleL.141-4, qui dispose « qu’ elle s’assure de la sécurité des moyens de paiement autres que lamonnaie fiduciaire ». L’article L.141-6 du même code précise par ailleurs que « la Banque deFrance est habilitée à se faire communiquer par les établissements de crédit et lesétablissements financiers tous documents qui lui sont nécessaires pour exercer ses missions». Les déclarations sont sous couvert du secret professionnel défini à l’article L.142-9 du Codemonétaire et financier. Applicable en 2021;


Plan de migration vers l’authentification forte (1/3)

L’Autorité bancaire européenne (ABE) contribue à la convergence européenne des pratiques de surveillance, à la création des conditions deconcurrence équitables et à offrir une protection élevée aux déposants, aux investisseurs et aux consommateurs. Celle-ci a précisé dans sa lettrepublique en date du 13 juin 2018 (EBA-Op-2018-04) ses positions concernant l’implémentation des RTS, notamment en ce qui concernel’authentification forte du client. Lors d’un paiement sur internet, la saisie des données inscrites sur une carte de paiement ne peut pas constituerl’un des deux facteurs d’authentification nécessaires à la mise en œuvre d’une SCA.

Ainsi, la solution d’authentification considérée jusqu’alors comme forte et mise en œuvre par les principaux établissements bancaires français dansle cadre des paiements par carte sur internet, à savoir la saisie des données de la carte et d’un code temporaire reçu par SMS (SMS OTP – one timepassword), ne constitue pas une solution de SCA conforme à cette nouvelle réglementation. De la même manière, cette même technique utiliséepour authentifier l’utilisateur de la banque en ligne (BEL) lors de certaines opérations sensibles n’est pas conforme.

L’Observatoire de la sécurité des moyens de paiement présentera un point d’étape lors des réunions plénières de 2019 qui auront lieu en juin et endécembre. La réunion de juin 2019 a permis de présenter le plan de migration retenu, pour publication au sein du rapport annuel, ainsi que la listedes principales technologies d’authentification forte conformes à DSP2 et mises en œuvre par les prestataires de services de paiement. Sur cedernier point, l’EBA a publié le 21 juin un avis soutenu par les banquiers centraux et superviseurs européens reprenant les principalescaractéristiques des dispositifs d’authentification forte conformes à la DSP2, illustrées d’exemples concrets, et invitant les acteurs à définir un plande migration sous le contrôle des autorités nationales compétentes. Un point d’avancement de cette migration sera publié dans les rapportsannuels de l’Observatoire.



2019

• Juin : état des lieux

• Juillet : publication du plan de migration

• 14 septembre : entrée en application des RTS

• Décembre : point d’étape – réunion plénière de l’Observatoire de la sécurité des moyens de paiement (OSMP)

2020

• Janvier : lancement des actions de communication à destination des e-commerçants

• Février : lancement de la première vague d’actions de communication à destination des porteurs

• Juin : première synthèse – réunion plénière de l’OSMP

• Juillet : publication de la première synthèse

• Décembre : point d’étape – réunion plénière de l’OSMP

2021

• Juin : deuxième synthèse – réunion plénière de l’OSMP

• Juillet : publication de la deuxième synthèse

• Septembre : lancement de la seconde vague d’actions de communication à destination des porteurs

• Décembre : point d’étape – réunion plénière de l’OSMP

2022• Juin : troisième synthèse – réunion plénière de l’OSMP

• Juillet : publication de la troisième synthèse

Source : Le rapport 2018 de l’observatoire de la sécurité des moyens de paiement



Le présent avis porte sur la date limite pour la migration vers les SCA pour les transactions de paiement par carte de commerce électronique. L'avisfixe la date limite au 31 décembre 2020 et prescrit les mesures à prendre pendant la période de migration. L'avis d'aujourd'hui recommandeégalement aux autorités nationales compétentes (ANC) d'adopter une approche cohérente de la période de migration des OSC dans l'UE et d'exiger deleurs prestataires de services de paiement (PSP) respectifs qu'ils mettent en œuvre les mesures énoncées dans l'avis.

En outre, l'EBA note que les consommateurs seront protégés contre la fraude comme l'exige la loi et que les autorités compétentes des Etats membresdevraient donc faire savoir à leurs prestataires de services de paiement que le régime de responsabilité prévu à l'article 74 de la DSP2 s'applique etque l'émission et l'acquisition de ces prestataires sont toujours responsables des opérations de paiement non autorisées.

L'EBA est arrivée à la conclusion que les plans de migration des PSP, y compris la mise en œuvre et les tests par les commerçants, devraient êtreachevés pour le 31 décembre 2020.

Un avis de l’EBA sur l'échéance et le processus de migration vers l'authentification forte des clients (SCA) pour les transactionsde paiement par carte de commerce électronique, publié le 16 octobre 2019 sur le site de l’EBA.


Point d’attention : Rapport d’audit sur la mise en œuvre des mesures de sécurité inscrites dans les RTS 2018/389

La nouvelle version du rapport annuel de contrôle interne prévoit dans l’annexe « portant sur la sécurité des moyens depaiement scripturaux mis à disposition ou gérés par l’établissement », une partie relative au rapport d’audit sur la miseen œuvre des mesures de sécurité inscrites dans les RTS (Regulatory Technical Standards) (IV).

Références : Article 3 des RTS 2018/389 sur l’examen des mesures de sécurité

« La mise en œuvre des mesures de sécurité visées à l'article 1er est décrite par écrit, testée régulièrement, évaluée etcontrôlée, conformément au cadre juridique applicable au prestataire de services de paiement, par des auditeurspossédant une expertise dans le domaine de la sécurité informatique et des paiements électroniques et indépendants surle plan opérationnel au sein du prestataire de services de paiement ou vis-à-vis de celui-ci. ».


conférence eifr 11 décembre 2019 · 2019. 12. 11. · de pouvoir identifier les risques de bc-ft...

Documents