6.11 Risques de non-conformité et sécurité
Conformément aux exigences légales et réglementaires citées supra, aux normes professionnelles et aux chartes de contrôle régissant le Groupe BPCE, l’organisation des fonctions visant à maîtriser le risque de non-conformité s’insère dans le dispositif de contrôle interne de l’ensemble des établissements du Groupe BPCE et de ses filiales.
La direction de la Conformité groupe, rattachée au Secrétariat général du Groupe BPCE, exerce sa mission de manière indépendante des directions opérationnelles ainsi que des autres directions de Contrôle interne avec lesquelles elle collabore. Elle comprend les pôles :
Sécurité Financière ayant en charge la LCB/FT (Lutte contre le blanchiment de capitaux et le financement du terrorisme), le respect des mesures de sanctions et d’embargo, la lutte contre la corruption et la lutte contre la fraude interne ;
La filière conformité, « fonction de vérification de la conformité » définie par l’EBA et repris par l’arrêté du 3 novembre2014, modifié par l’arrêté du 25 février 2021, a en charge la prévention, la détection, la mesure et la surveillance des risques de non-conformité afin d’en assurer leur maîtrise.
La direction de la Conformité groupe exerce ses responsabilités dans le cadre du fonctionnement en filière métier.
Elle joue un rôle d’orientation, d’impulsion, de pilotage et de contrôle auprès des responsables de la filière conformité des affiliés et filiales. Les responsables de la Conformité nommés au sein des différentes entités du Groupe, dont les Banques Populaires les Caisses d’Epargne et les filiales directes soumises au dispositif réglementaire de surveillance bancaire et financière, lui sont rattachés au travers d’un lien fonctionnel fort.
La direction de la Conformité groupe conduit toute action de nature à renforcer la conformité des produits, services et processus de commercialisation, la protection de la clientèle, le respect des règles de déontologie, la lutte contre le blanchiment des capitaux et contre le financement du terrorisme, la lutte contre les abus de marché, la surveillance des opérations et le respect des mesures de sanctions et embargo. Elle s’assure du suivi des risques de non-conformité dans l’ensemble du Groupe. Dans ce cadre, elle construit et révise les normes proposées à la gouvernance du Groupe BPCE, partage les bonnes pratiques et anime des groupes de travail composés de représentants de la filière.
La diffusion de la culture du risque de non-conformité et de la prise en compte de l’intérêt légitime des clients se traduit également par la formation des collaborateurs de la filière et la sensibilisation d’autres directions dont notamment la Banque de Proximité et d’Assurance et le Pôle Digital 89C3.
collabore et valide le contenu des supports des formations destinées notamment à la filière conformité en lien avec la direction des Ressources humaines Groupe et le département Gouvernance des Risques de la direction des Risques qui coordonne le plan annuel des filières risques et conformité ;
contribue à la formation des acteurs des filières, notamment par des séminaires annuels spécialisés (sécurité financière, conformité, déontologie, pilotage du contrôle permanent de conformité…) ;
coordonne la formation des directeurs/responsables de la Conformité par un dispositif dédié en lien avec le pôle culture risques et conformité de la direction des Risques ;
anime et contrôle la filière conformité des établissements notamment grâce à des journées nationales et un dispositif de contrôles permanents coordonné au niveau groupe ;
s’appuie sur la filière conformité des établissements via des groupes de travail thématiques, en particulier pour la construction et déclinaison des normes de conformité.
Par ailleurs, la Conformité de l’entreprise BPCE, des entités du pôle Services et Expertises Financières (SEF) et des autres filiales rattachées à BPCE, dont BPCE International sont également assurées et pilotées par la direction de la Conformité Groupe depuis début 2020.
6.11.1 Conformité
La direction de la Conformité Groupe regroupe trois lignes métiers principales et une structure transversale dédiée au pilotage et à la Coordination de la Conformité.
|
|
La conformité est organisée comme suit : |
La Conformité Bancassurance contribue à la prévention des risques de non-conformité aux réglementations et normes professionnelles sur le périmètre des activités bancaires et d’assurance non vie. À ce titre, elle accompagne les filières opérationnelles dans l’élaboration et la diffusion de normes (y compris les recommandations de l’ACPR et les orientations de l’ABE) et dans la mise en conformité aux évolutions réglementaires de leurs processus. La Conformité Bancassurance étudie également les mises en marché de nouveaux produits et participe à la validation des processus et documents commerciaux. Enfin elle accompagne et anime la filière conformité sur l’ensemble de ces sujets, et contribue à l’élaboration de modules de formations destinés aux collaborateurs du Groupe.
La Conformité Épargne Financière et Déontologie couvre la conformité et la déontologie des activités financières, telle que définie par le règlement général de l’Autorité des marchés financiers (AMF) ainsi que la prévention des risques de non-conformité des domaines législatifs et réglementaires sur le périmètre de l’assurance vie et prévoyance. Ce pôle conduit, sur le périmètre cité, les travaux de mise en œuvre des réglementations applicables et assure des missions liées notamment aux agréments des produits et services, à la validation des supports commerciaux, à la formation des collaborateurs et à la prévention des conflits d’intérêts, en s’assurant du respect de la primauté des intérêts du client, des règles de place et des normes professionnelles des métiers bancaires et financiers, et, enfin, les règlements et normes internes en matière de déontologie. Il comprend également la responsabilité du contrôle des services d’investissement et le fonctionnement de la sous-filière des responsables de la conformité des services d’investissement (RCSI). Depuis fin 2016, la conformité des services d’investissement reprend également la mission de SRAB (séparation régulation des activités bancaires) – Volcker office. Elle accompagne, anime et supervise la filière conformité des entités du Groupe sur ce périmètre. Enfin, depuis 2021, elle a en charge le dispositif Déontologie Groupe.
La Sécurité Financière couvre les activités liées à la Lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB/FT), aux sanctions financières internationales, embargos et gel des avoirs et aux dispositifs anti-corruption. Elle accompagne et anime la filière conformité sur l’ensemble de ces sujets, actualisant la documentation de référence dans le respect des évolutions réglementaires de la LCB/FT, des mesures nationales et internationales de sanctions embargos, financières, ainsi qu’en matière de corruption.
Le Pilotage et la Coordination Transversale couvre la coordination des fonctions de conformité, la centralisation des relations avec les régulateurs, les superviseurs et l’Inspection générale groupe en matière de conformité. En s’appuyant sur les expertises des pôles Conformité Bancassurance et Conformité Epargne Financière, il assure le pilotage de la cartographie des risques de non-conformité, la supervision des dispositifs de reportings les travaux sur les projets transversaux avec pour objectif d’accroître la maîtrise des risques de non-conformité par les établissements du Groupe BPCE. |
1. Mesure et surveillance du risque de non-conformité |
2. Gouvernance et surveillance des produits |
•
En ce qui concerne les risques de non-conformité, conformément à l’arrêté du 3 novembre 2014 (modifié le 25 février 2021), ceux-ci sont analysés, mesurés, surveillés et maîtrisés en : •
disposant en permanence d’une vision de ces risques et du dispositif mis en place pour les prévenir ou les réduire avec la mise à jour de leur recensement dans le cadre de la nouvelle cartographie des risques de non-conformité, •
s’assurant pour les risques les plus importants qu’ils font, si besoin, l’objet de contrôles et de plans d’action visant à mieux les encadrer. •
La maîtrise du risque de non-conformité au sein du Groupe BPCE s’appuie sur la réalisation d’une cartographie des risques de non-conformité et le déploiement de contrôles de conformité de niveau 1 et 2 obligatoires et communs à l’ensemble des établissements en banque de détail du Groupe. •
Une mesure d’impact du risque de non-conformité a été calibrée et réalisée avec les équipes risques opérationnels du Groupe, selon la méthodologie de l’outil du risque opérationnel OSIRISK, en tenant compte des dispositifs de maîtrise du risque mise en place par les établissements, venant réduire les niveaux des risques bruts. |
•
Tous les nouveaux produits ou services quel que soit leur canal de distribution ainsi que tous les supports commerciaux, relevant de l’expertise de la fonction conformité, sont examinés en amont par celle-ci. Cette dernière s’assure ainsi que les exigences réglementaires applicables sont respectées et veille à la clarté et à la loyauté de l’information délivrée à la clientèle visée et, plus largement, au public. Une attention particulière est également portée à la surveillance des produits tout au long de leur cycle de vie. •
Par ailleurs, la conformité coordonne la validation des défis commerciaux nationaux, s’assure que les conflits d’intérêts sont encadrés et que la primauté des intérêts des clients est prise en compte. •
La conformité veille tout particulièrement à ce que les procédures et parcours de vente, ainsi que politiques commerciales, garantissent à tout moment et pour tous les segments de clientèle, le respect des règles de conformité et déontologiques, notamment que le conseil fourni au client est adapté à ses besoins. |
Le Groupe BPCE a poursuivi en 2021 le programme mis en place afin de renforcer la complétude et la conformité des dossiers de connaissance client réglementaire tout au long de la relation d’affaires. Ce dispositif, s’est attaché, en lien avec les plateformes informatiques, à bloquer toute ouverture de compte en cas d’absence d’auto-certification fiscale et de non-exhaustivité du dossier réglementaire client. Des actions ont également été menées afin d’accompagner les établissements dans des actions de remédiation des dossiers incomplets (ciblage des clients, kits de communication, reportings). Enfin, des travaux se poursuivent afin de déployer un dispositif d’actualisation des dossiers de connaissance client réglementaire.
BPCE a poursuivi le plan de remédiation sur son dispositif de commercialisation en matière d’épargne financière relativement à la directive et au règlement européen sur les Marchés d’Instruments Financiers (MIF2), à la directive sur la distribution d’assurance et à la réglementation PRIIPs.
BPCE a également mis en œuvre un plan de remédiation de mise en conformité des entités du Groupe au regard des obligations réglementaires EMIR. Concernant le règlement lié au reporting des opérations de financement SFTR (Securities Financing Transaction Reglement). La mise en œuvre du reporting est appliquée depuis le 13 juillet 2020.
La conformité des produits et services commercialisés et la qualité des informations fournies renforcent la confiance des clients et fondent la réputation du Groupe. Pour maintenir cette confiance, la fonction conformité place la notion de protection de la clientèle au cœur de ses activités.
À cette fin, les collaborateurs du Groupe sont régulièrement formés sur les sujets touchant à la protection de la clientèle afin de maintenir le niveau d’exigence requis en termes de qualité de service. Les formations visent à transmettre une culture de conformité et de protection de la clientèle aux nouveaux entrants et/ou collaborateurs de la force commerciale. Une formation à la déontologie a été mise en place pour l’ensemble des collaborateurs du Groupe intitulé « Les incontournables de l’éthique professionnelle ». Par ailleurs, BPCE a mis en place un Code de bonne conduite et d’éthique, déployé auprès de l’ensemble des établissements du Groupe BPCE.
Les nouvelles réglementations relatives aux marchés des instruments financiers (MIF2) et PRIIPS (packaged retail investment and insurance-based products) pour uniformiser l’information précontractuelle des produits financiers packagés), renforcent la protection des investisseurs et la transparence des marchés. Elles impactent le Groupe dans sa dimension de distributeur d’instruments financiers, en renforçant la qualité des parcours clients dédiés à l’épargne financière et à l’assurance :
adaptation des recueils de données client et de la connaissance du client (profil client, caractéristiques des projets du client en termes d’objectifs, de risques et d’horizon de placement), actualisation du questionnaire de connaissance et d’expérience en matière d’investissements financiers et du questionnaire de risques sur l’appétence et la capacité à subir des pertes par le client permettant l’adéquation en matière de conseil ;
formalisation du conseil au client (déclaration d’adéquation) et de son acceptation du conseil (le cas échéant émission des alertes informant le client) ;
prise en compte des dispositions relatives à la transparence des frais et des charges selon la granularité exigée ;
élaboration de reportings périodiques d’adéquation et à valeur ajoutée aux clients et sur l’enregistrement des échanges dans le cadre de la relation et des conseils apportés aux clients ;
déclarations des reportings des transactions aux régulateurs et vis-à-vis du marché, obligations de best execution et de best selection ;
participation aux travaux de développement des formations des collaborateurs et à la conduite du changement liée à ces nouveaux dispositifs.
En termes d’inclusion bancaire, le Groupe BPCE a renforcé son dispositif d’accompagnement des clientèles fragiles financièrement, conformément aux dispositions du décret du 20 juillet 2020 et en lien avec les missions des superviseurs au sein du Groupe.
La cartographie des activités de marché du Groupe BPCE est régulièrement actualisée. Elle a nécessité la mise en œuvre d’unités internes faisant l’objet d’une exemption au sens de la loi no 2013-672 du 26 juillet 2013 de séparation et de régulation des activités bancaires.
Des indicateurs trimestriels sont calculés par Natixis, Palatine et BRED conformément à l’article 6 de l’arrêté du 9 septembre 2014 (modifié par l’arrêté du 18 mars 2019) ; ces indicateurs trimestriels sont complétés par un indicateur annuel ainsi que des métriques quantitatives telles que le PNB économique ou la VaR desdites unités internes.
Sur la base des travaux menés par le Groupe, la création d’une filiale spécifique n’est pas nécessaire et des mandats sont déployés dans les différentes filiales permettant d’encadrer les diverses activités.
De manière conjointe aux travaux relatifs à cette loi, un programme de conformité issu de la Volcker Rule (Section 619 de la loi américaine Dodd-Frank Act) a été adopté et mis en œuvre à partir de juillet 2015 sur le périmètre de BPCE SA et de ses filiales. Dans une approche plus large que la loi française, ce programme vise à cartographier l’ensemble des activités du groupe BPCE SA, financières et commerciales, afin de s’assurer notamment que celles-ci respectent les deux interdictions majeures portées par la réglementation Volcker que sont l’interdiction des activités de proprietary trading et l’interdiction de certaines transactions en lien avec les Covered Funds au sens de la loi américaine. La Volcker Rule a été amendée en 2020, donnant naissance à de nouvelles dispositions Volcker 2.0 et 2.1 qui viennent alléger le dispositif existant.
Comme chaque année depuis juillet 2015, le Groupe a certifié sa conformité au dispositif Volcker. Pour mémoire, depuis début 2017, le Groupe BPCE s’est doté d’un SRAB-Volcker Office devant garantir et sécuriser les dispositifs mis en place en matière de séparation des activités.
6.11.2 Sécurité financière
Ce domaine couvre la lutte contre le blanchiment des capitaux et le financement du terrorisme, le respect des sanctions internationales visant des personnes, des entités ou des pays, la lutte contre la corruption et la lutte contre la fraude interne.
La prévention de ces risques au sein du Groupe BPCE repose sur :
Une culture d’entreprise
Cette culture, diffusée à tous les niveaux hiérarchiques, a pour socle :
des principes de relations avec la clientèle visant à prévenir les risques, qui sont formalisés et font l’objet d’une information régulière du personnel ;
un dispositif harmonisé de formation des collaborateurs du groupe et des formations spécifiques aux collaborateurs de la filière sécurité financière.
Une organisation
Conformément aux chartes du Groupe BPCE, les établissements disposent tous d’une unité dédiée à la sécurité financière. Au sein du Secrétariat général, un département dédié anime la filière, définit la politique en matière de sécurité financière pour l’ensemble du groupe, élabore et fait valider les différentes normes et procédures, et s’assure de la prise en compte de ces risques lors de la procédure d’agrément des nouveaux produits et services commerciaux par BPCE.
Des traitements adaptés
Conformément à la réglementation, les établissements disposent de moyens de détection des opérations atypiques adaptés à leur classification des risques, permettant d’effectuer, le cas échéant, les examens renforcés et les déclarations nécessaires auprès du service Tracfin (Traitement et action contre les circuits financiers clandestins) ou de tout autre service compétent dans les délais les plus brefs. La classification des risques du groupe intègre la problématique des pays « à risques » que ce soit au plan du blanchiment, du terrorisme, de la fraude fiscale ou de la corruption. Le dispositif du groupe a par ailleurs été renforcé avec la mise en place d’un référentiel et de scénarios automatisés adaptés aux spécificités du financement du terrorisme. S’agissant du respect des mesures restrictives liées aux sanctions internationales, les établissements du groupe sont dotés d’outils de filtrage qui génèrent des alertes sur les clients (gel des avoirs de certaines personnes ou entités) et sur les flux internationaux (gel des avoirs et pays faisant l’objet d’un embargo européen et/ou américain).
Une supervision de l’activité
La prévention de ces risques donne lieu à un reporting interne à destination des dirigeants et des organes délibérants et à destination de l’organe central.
6.11.3 Continuité d’activité
La maîtrise des risques d’interruption d’activité est abordée dans sa dimension transversale, avec l’analyse des principales lignes métiers critiques du Groupe, notamment la liquidité, les moyens de paiement, les titres, les crédits aux particuliers et aux entreprises, ainsi que le fiduciaire.
Le pôle continuité d’activité groupe, rattaché à la direction Sécurité groupe, exerce ses missions de manière indépendante des directions opérationnelles. Celles-ci consistent à :
piloter la réalisation et le maintien en condition opérationnelle des plans d’urgence et de poursuite d’activité groupe ;
Les outils associés au dispositif de gestion de crise sont en constante évolution pour en améliorer l’ergonomie et augmenter l’offre des fonctionnalités associées.
La gestion de la crise pandémique Covid-19 a été rétrogradée en mode veille. Ce statut assure une prise en compte efficace des décisions des Pouvoirs Publics.
Les projets d’amélioration de la résilience opérationnelle se sont poursuivis sur les sujets suivants :
les analyses de risque, à partir d’un outil de cartographie (ArcGIS), dans le but de vérifier la cohérence des dispositifs avec un niveau de risque acceptable ;
la validation et le déploiement d’un outil groupe de gestion des PCA pour des établissements clients, futurs bénéficiaires ;
la poursuite de la qualification de la criticité des prestations dans le cadre du référentiel des contrats en cours de constitution ;
la formation d’un groupe de travail et la proposition d’une feuille de route résilience cyber pour mieux faire face au risque de chaos extrême ;
l’expression de besoin pour améliorer la résilience lors de l’usage de la connexion à distance en permettant, dans les cas extrêmes, la connexion temporaire de postes de travail non professionnels en maintenant un niveau de sécurité acceptable.
6.11.4 Sécurité des systèmes d’information (SSI)
La Direction Sécurité Groupe (DS-G) est notamment en charge de la sécurité des systèmes d’information (SSI) et de la lutte contre la cybercriminalité. Elle définit, met en œuvre et fait évoluer les politiques SSI groupe. Elle assure le contrôle permanent et consolidé de la SSI ainsi qu’une veille technique et réglementaire. Elle initie et coordonne les projets groupe de réduction des risques sur son domaine. Elle assure également dans son domaine la représentation du Groupe BPCE auprès des instances interbancaires de place ou des pouvoirs publics.
Une filière SSI est mise en place au sein du Groupe BPCE. Elle regroupe le responsable de la sécurité des systèmes d’information groupe (RSSI-G), qui anime cette filière, et les responsables SSI de l’ensemble des entreprises.
À ce titre, les responsables SSI des établissements affiliés maisons mères, des filiales directes et des GIE informatiques sont rattachés fonctionnellement au RSSI-G. Ce lien fonctionnel se matérialise par des actions d’animation et de coordination. Il implique notamment que :
la politique sécurité des systèmes d’information groupe soit adoptée au sein des entreprises selon des modalités d’application soumises à la validation du responsable SSI groupe ;
un reporting concernant le niveau de conformité des établissements à la politique SSI groupe, le contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées soit transmis au RSSI groupe.
Le projet d’élaboration d’une cartographie SSI exhaustive des systèmes d’information du Groupe incluant les systèmes d’information privatifs des établissements s’est poursuivi.
campagne annuelle d’évaluation de la maturité du Groupe sur les cinq piliers du référentiel NIST (Detect, Identify, Protect, Respond, Recover) afin de fixer les objectifs chiffrés, de piloter les actions et d’en mesurer l’efficacité ;
d’intégrer, si possible, toutes les applications du Groupe dans l’IAM avec un provisionnement automatique et une vue globale des habilitations.
LES DISPOSITIFS MIS EN ŒUVRE POUR LUTTER CONTRE LA CYBERCRIMINALITE
Avec la transformation digitale, l’ouverture des systèmes d’information du Groupe sur l’extérieur se développe continûment (cloud, big data, etc.). Plusieurs de ces processus sont progressivement dématérialisés. L’évolution des usages des collaborateurs et des clients engendre également une utilisation plus importante d’internet et d’outils technologiques interconnectés (tablettes, smartphones, applications fonctionnant sur tablettes et mobiles, etc.).
De ce fait, le patrimoine du Groupe est sans cesse plus exposé aux cybermenaces. Ces attaques visent une cible bien plus large que les seuls systèmes d’information. Elles ont pour objectif d’exploiter les vulnérabilités et les faiblesses potentielles des clients, des collaborateurs, des processus métier, des systèmes d’information ainsi que des dispositifs de sécurité des locaux et des datacenters.
Un Security Operation Center (SOC) groupe unifié intégrant un niveau 1, fonctionnant en 24x7 est opérationnel.
Plusieurs actions ont été menées, afin de renforcer les dispositifs de lutte contre la cybercriminalité :
travaux de sécurisation des sites Internet hébergés à l’extérieur ;
capacités de tests de sécurité des sites Internet et applications améliorées ;
mise en place d’un programme de Divulgation Responsable des vulnérabilités par le CERT Groupe BPCE.
Sensibilisation des collaborateurs à la cybersécurité
Outre le maintien du socle commun groupe de sensibilisation des collaborateurs à la SSI, l’année 2021 a été marquée par la poursuite des campagnes de sensibilisation au phishing et par le renouvellement de la participation au « mois européen de la cybersécurité ».
Sur le périmètre de BPCE SA, outre les revues récurrentes des habilitations applicatives et de droits sur les ressources du SI (listes de diffusion, boîtes aux lettres partagées, dossiers partagés, etc.), la surveillance de l’ensemble des sites web publiés sur Internet et le suivi des plans de traitement des vulnérabilités sont renforcés ainsi que la surveillance du risque de fuite de données par mail ou l’utilisation de service de stockage et d’échange en ligne.
De nouvelles campagnes de sensibilisation et de formation des collaborateurs ont par ailleurs été menées :
test de phishing, campagne de sensibilisation au phishing et accompagnement des collaborateurs en situation d’échecs répétés ;
participation aux réunions d’accueil des nouveaux collaborateurs, intégrant notamment les menaces et risques liés aux situations de télétravail.