6.11 Risques de non-conformité et sécurité
Conformément aux exigences légales et réglementaires citées en supra, aux normes professionnelles et aux chartes de contrôle régissant le Groupe BPCE, l’organisation des fonctions visant à maîtriser le risque de non-conformité s’insère dans le dispositif de contrôle interne de l’ensemble des établissements du Groupe BPCE et de ses filiales.
La direction de la Conformité Groupe, rattachée au Secrétariat général du Groupe BPCE, exerce sa mission de manière indépendante des directions opérationnelles ainsi que des autres directions de Contrôle interne avec lesquelles elle collabore.
La filière conformité, « fonction de vérification de la conformité » définie par l’EBA et repris par l’arrêté du 3 novembre 2014, modifié par l’arrêté du 25 février 2021, a en charge la prévention, la détection, la mesure et la surveillance des risques de non-conformité afin d’en assurer leur maîtrise.
La direction de la Conformité Groupe exerce ses responsabilités dans le cadre du fonctionnement en filière métier.
Elle joue un rôle d’orientation, d’impulsion, de pilotage et de contrôle auprès des responsables de la filière conformité des affiliés et filiales. Les responsables de la Conformité nommés au sein des différentes entités du Groupe, dont les Banques Populaires les Caisses d’Epargne et les filiales directes soumises au dispositif réglementaire de surveillance bancaire et financière, lui sont rattachés au travers d’un lien fonctionnel fort.
La direction de la Conformité Groupe conduit toute action de nature à renforcer la conformité des produits, services et processus de commercialisation, la protection de la clientèle, le respect des règles de déontologie, la lutte contre le blanchiment des capitaux et contre le financement du terrorisme, la lutte contre les abus de marché, la surveillance des opérations et le respect des mesures de sanctions et embargo. Elle s’assure du suivi des risques de non-conformité dans l’ensemble du Groupe. Dans ce cadre, elle construit et révise les normes proposées à la gouvernance du Groupe BPCE, partage les bonnes pratiques et anime des groupes de travail composés de représentants de la filière.
La diffusion de la culture du risque de non-conformité et de la prise en compte de l’intérêt légitime des clients se traduit également par la formation des collaborateurs de la filière et la sensibilisation d’autres directions de BPCE.
élabore les dispositifs Groupe de maîtrise des risques de non-conformité (cartographie des risques et DMR) et supervise le dispositif de contrôle permanent relatif aux risques de non-conformité ;
établit les reportings internes de prévention des risques à destination des dirigeants et des organes délibérants et à destination de l’organe central ;
détermine et valide en lien avec les RH le contenu des supports des formations destinées à la filière conformité ;
contribue à la formation des acteurs des filières, notamment par des séminaires annuels spécialisés (sécurité financière, conformité, déontologie, pilotage du contrôle permanent de conformité…) ;
s’appuie sur la filière conformité des établissements via des groupes de travail thématiques, en particulier pour la construction et la déclinaison des normes de conformité.
Par ailleurs, la Conformité de l’entreprise BPCE SA est rattachée à la Conformité Groupe qui exerce également le pilotage et la supervision des Conformités des entités du pôle Services et Expertises Financières (SEF), du pôle paiements et du pôle Assurances et des autres filiales rattachées à BPCE, dont BPCE International.
6.11.1 Conformité
Sécurité Financière comprenant la LCB (Lutte contre le blanchiment de capitaux), la Lutte contre le Financement du Terrorisme, le respect des mesures de sanctions et d’embargo, la lutte contre la corruption et la lutte contre la fraude interne ;
La conformité est organisée comme suit : |
La Conformité Bancassurance contribue à la prévention des risques de non-conformité aux réglementations et normes professionnelles sur le périmètre des activités bancaires et d’assurance non vie. À ce titre, elle accompagne les filières opérationnelles dans l’élaboration et la diffusion de normes (y compris les recommandations de l’ACPR et les orientations de l’ABE) et dans la mise en conformité aux évolutions réglementaires de leurs processus. La Conformité Bancassurance étudie également les mises en marché de nouveaux produits et participe à la validation des processus et documents commerciaux. Enfin elle accompagne et anime la filière conformité sur l’ensemble de ces sujets, et contribue à l’élaboration de modules de formations destinés aux collaborateurs du Groupe.
La Conformité Épargne Financière et Déontologie couvre la conformité et la déontologie des activités financières, telle que définie par le règlement général de l’Autorité des marchés financiers (AMF) ainsi que la prévention des risques de non-conformité des domaines législatifs et réglementaires sur le périmètre de l’assurance vie et prévoyance. Ce pôle conduit, sur le périmètre cité, les travaux de mise en œuvre des réglementations applicables et assure des missions liées notamment aux agréments des produits et services, à la validation des supports commerciaux, à la formation des collaborateurs et à la prévention des conflits d’intérêts, en s’assurant du respect de la primauté des intérêts du client, des règles de place et des normes professionnelles des métiers bancaires et financiers, et, enfin, les règlements et normes internes en matière de déontologie. Il comprend également la responsabilité du contrôle des services d’investissement et le fonctionnement de la sous-filière des responsables de la conformité des services d’investissement (RCSI). Depuis fin 2016, la conformité des services d’investissement reprend également la mission de SRAB (séparation régulation des activités bancaires) – Volcker office. Elle accompagne, anime et supervise la filière conformité des entités du Groupe sur ce périmètre. Enfin, depuis 2021, elle a en charge le dispositif Déontologie Groupe.
La Sécurité Financière couvre les activités liées à la Lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB/FT), aux sanctions financières internationales, embargos et gel des avoirs et aux dispositifs anti-corruption. Elle accompagne et anime la filière conformité sur l’ensemble de ces sujets, actualisant la documentation de référence dans le respect des évolutions réglementaires de la LCB/FT, des mesures nationales et internationales de sanctions embargos, financières, ainsi qu’en matière de corruption.
Le Pilotage et la Coordination Transversale couvre la coordination des fonctions de conformité, la centralisation des relations avec les régulateurs, les superviseurs et l’Inspection générale Groupe en matière de conformité. En s’appuyant sur les expertises des pôles Conformité Bancassurance et Conformité Epargne Financière, il assure le pilotage de la cartographie des risques de non-conformité, la supervision des dispositifs de reportings les travaux sur les projets transversaux avec pour objectif d’accroître la maîtrise des risques de non-conformité par les établissements du Groupe BPCE. |
1. Mesure et surveillance du risque de non-conformité |
2. Gouvernance et surveillance des produits |
En ce qui concerne les risques de non-conformité, conformément à l’arrêté du 3 novembre 2014 (modifié le 25 février 2021), ceux-ci sont analysés, mesurés, surveillés et maîtrisés en : •
disposant en permanence d’une vision de ces risques et du dispositif mis en place pour les prévenir ou les réduire avec la mise à jour de leur recensement dans le cadre de la nouvelle cartographie des risques de non-conformité ; •
s’assurant pour les risques les plus importants qu’ils font, si besoin, l’objet de contrôles et de plans d’action visant à mieux les encadrer. •
La maîtrise du risque de non-conformité au sein du Groupe BPCE s’appuie sur la réalisation d’une cartographie des risques de non-conformité et le déploiement de contrôles de conformité de niveau 1 et 2 obligatoires et communs à l’ensemble des établissements en banque de détail du Groupe. •
Une mesure d’impact du risque de non-conformité a été calibrée et réalisée avec les équipes risques opérationnels du Groupe, selon la méthodologie de l’outil du risque opérationnel OSIRISK, en tenant compte des dispositifs de maîtrise du risque mise en place par les établissements, venant réduire les niveaux des risques bruts. |
•
Tous les nouveaux produits ou services quel que soit leur canal de distribution ainsi que tous les supports commerciaux, relevant de l’expertise de la fonction conformité, sont examinés en amont par celle-ci. Cette dernière s’assure ainsi que les exigences réglementaires applicables sont respectées et veille à la clarté et à la loyauté de l’information délivrée à la clientèle visée et, plus largement, au public. Une attention particulière est également portée à la surveillance des produits tout au long de leur cycle de vie. •
Par ailleurs, la conformité coordonne la validation des défis commerciaux nationaux, s’assure que les conflits d’intérêts sont encadrés et que la primauté des intérêts des clients est prise en compte. •
La conformité veille tout particulièrement à ce que les procédures et parcours de vente, ainsi que politiques commerciales, garantissent à tout moment et pour tous les segments de clientèle, le respect des règles de conformité et déontologiques, notamment que le conseil fourni au client est adapté à ses besoins. |
Connaissance client réglementaire avec la poursuite du programme mis en place en 2019 afin de renforcer la complétude et la conformité des dossiers de connaissance client réglementaire. En 2022, le programme s’est attaché à développer l’actualisation de la Connaissance Client par le biais de la banque à distance. Des travaux ont été également menés afin de déployer l’automatisation d’évènements nécessitant une actualisation ainsi que la préparation d’actions d’actualisation des dossiers de Connaissance Client (critères, ciblage des clients, kits de communication, reportings).
Renforcement du dispositif d’inclusion bancaire avec le resserrement des délais de mise en œuvre de la procédure du droit au compte, conformément aux nouvelles dispositions du décret du 11 mars 2022. Le traçage et l’archivage des courriers de renonciation OCF/SBB est également renforcé via le développement d’une solution informatique permettant d’archiver automatiquement les courriers en cas de souhait du client de souscrire à une autre offre.
Mise en place de nouvelles dispositions pour un accès plus juste, plus simple et plus transparent au marché de l’assurance emprunteur (dites loi Lemoine) du 28 février 2022 avec notamment la résiliation à tout moment, le renforcement de l’information des clients, la suppression du questionnaire de santé dans certaines conditions et l’élargissement du droit à l’oubli en matière de risques aggravés de santé.
Mise en place du contrôle de l’éligibilité au LEP via l’interrogation par voie électronique de l’administration fiscale prévue par le décret no 2021-277 du 12 mars 2021 relatif au contrôle de la détention des produits d’épargne réglementée. Les process de vérification de l’éligibilité ont été revus dans le cadre de la souscription du LEP et du contrôle annuel.
Mise en place des mesures de contrôle de multi détention des produits d’épargne réglementée prévue par le décret no 2021-277 du 12 mars 2021 relatif au contrôle de la détention des produits d’épargne réglementée qui entrera en vigueur au plus tard le 1er janvier 2024.
lancement du chantier Finance Durable (Taxonomy, SFDR, intégration des critères ESG dans MIF2 et DDA) avec les Acteurs de la chaîne de valeur (émetteur, producteur, assureur, distributeur, clients) Le Groupe BPCE a mis en place une Task Force afin de construire le questionnaire clients, le parcours formalisant l’adéquation, l’offre, et le suivi dans la durée.
Mise en œuvre du plan de remédiation sur le volet des déclarations des transactions et reportings réglementaires.
Mise en conformité des entités du Groupe au regard des obligations réglementaires EMIR. Le plan d’action Groupe relatif à la réglementation EMIR Refit a été clôturé au premier semestre 2022. En complément, un contrôle 360 check EMIR a été lancé au troisième trimestre 2022.
Pour faire suite à plusieurs sollicitations des autorités de contrôles (ESMA et AMF) en 2021, et à la mission spot de l’AMF réalisée au sein de BPCE SA, une NORMA a été élaborée pour encadrer les opérations de titrisation et l’octroi du label STS (simple, transparente et standardisée).
Concernant le dispositif abus de marché, BPCE a poursuivi son objectif d’accompagnement des établissements suite au diagnostic réalisé en 2021, en mettant à leur disposition des fichiers trimestriels de statistiques des opérations atypiques par scénario, et en leur proposant une nouvelle formation « abus de marché » afin de les aider dans l’analyse des alertes et la prévention des abus de marchés.
Poursuite de la remédiation du reporting Direct des Transactions (RDT) avec l’élaboration d’un plan d’action présentant les actions mises en œuvre permettant d’empêcher ou de bloquer les transactions sans LEI aux bornes du Groupe BPCE. Le plan d’action a été transmis à l’AMF le 22/04/2022 et a été suivi d’une action de régularisation de masse du stock de transactions sans LEI réalisée par EuroTitres. Une Norma dédiée à la thématique Transparence post négociation a été validée par le CNM.
Concernant le règlement lié au reporting des opérations de financement SFTR (Securities Financing Transaction Règlement). La mise en œuvre du reporting est appliquée depuis le 13 juillet 2020. Un contrôle 360 check SFTR sur le déclaratif des opérations est planifié pour 2023.
Le Groupe a poursuivi les travaux de mise en conformité des parcours clients (LEA, O2S, parcours Personnes Morales, parcours dérivés, parcours défiscalisation). Un plan de remédiation concernant la commercialisation en assurance vie, suite à un contrôle ACPR (démarré en 2019), a été mis en place et les travaux sont en cours notamment pour la gestion de l’aversion au risque, l’amélioration de la justification du conseil, l’archivage de la compréhension client lorsqu’un instrument financier complexe est proposé.
Les collaborateurs du Groupe sont régulièrement formés sur les sujets touchant à la protection de la clientèle afin de maintenir le niveau d’exigence requis en termes de qualité de service. Les formations visent à transmettre une culture de conformité et de protection de la clientèle aux nouveaux entrants et/ou collaborateurs de la force commerciale.
Une formation à la déontologie a été mise en place pour l’ensemble des collaborateurs du Groupe intitulé « Les incontournables de l’éthique professionnelle ». Par ailleurs, BPCE a mis en place un Code de bonne conduite et d’éthique, déployé auprès de l’ensemble des établissements du Groupe BPCE.
Le Groupe BPCE a mis en place un dispositif de formations réglementaires obligatoires qui fait l’objet d’une revue annuelle.
La cartographie des activités de marché du Groupe BPCE est régulièrement actualisée. Elle a nécessité la mise en œuvre d’unités internes faisant l’objet d’une exemption au sens de la loi no 2013-672 du 26 juillet 2013 de séparation et de régulation des activités bancaires.
Des indicateurs trimestriels sont calculés par Natixis, Palatine et BRED conformément à l’article 6 de l’arrêté du 9 septembre 2014 (modifié par l’arrêté du 18 mars 2019) ; ces indicateurs trimestriels sont complétés par un indicateur annuel ainsi que des métriques quantitatives telles que le PNB économique ou la VaR desdites unités internes.
Sur la base des travaux menés par le Groupe, la création d’une filiale spécifique n’est pas nécessaire et des mandats sont déployés dans les différentes filiales permettant d’encadrer les diverses activités.
De manière conjointe aux travaux relatifs à cette loi, un programme de conformité issu de la Volcker Rule (Section 619 de la loi américaine Dodd-Frank Act) a été adopté et mis en œuvre à partir de juillet 2015 sur le périmètre de BPCE SA et de ses filiales. Dans une approche plus large que la loi française, ce programme vise à cartographier l’ensemble des activités du groupe BPCE SA, financières et commerciales, afin de s’assurer notamment que celles-ci respectent les deux interdictions majeures portées par la réglementation Volcker que sont l’interdiction des activités de proprietary trading et l’interdiction de certaines transactions en lien avec les Covered Funds au sens de la loi américaine. La Volcker Rule a été amendée en 2020, donnant naissance à de nouvelles dispositions Volcker 2.0 et 2.1 qui viennent alléger le dispositif existant.
Comme chaque année depuis juillet 2015, le Groupe a certifié sa conformité au dispositif Volcker. Pour mémoire, depuis début 2017, le Groupe BPCE s’est doté d’un SRAB-Volcker Office devant garantir et sécuriser les dispositifs mis en place en matière de séparation des activités.
6.11.2 Sécurité financière
Ce domaine couvre la lutte contre le blanchiment des capitaux et le financement du terrorisme, le respect des sanctions internationales visant des personnes, des entités ou des pays, la lutte contre la corruption et la lutte contre la fraude interne.
des principes de relations avec la clientèle visant à prévenir les risques, qui sont formalisés et font l’objet d’une information régulière du personnel ;
un dispositif harmonisé de formation des collaborateurs du Groupe et des formations spécifiques aux collaborateurs de la filière sécurité financière.
Conformément aux chartes du Groupe BPCE, les établissements disposent tous d’une unité dédiée à la sécurité financière. Au sein de la Conformité Groupe, un département dédié anime la filière, définit la politique en matière de sécurité financière pour l’ensemble du Groupe, élabore et fait valider les différentes normes et procédures, et s’assure de la prise en compte de ces risques lors de la procédure d’agrément des nouveaux produits et services commerciaux par BPCE.
Conformément à la réglementation, les établissements disposent de moyens de détection des opérations atypiques adaptés à leur classification des risques, permettant d’effectuer, le cas échéant, les examens renforcés et les déclarations nécessaires auprès du service Tracfin (Traitement et action contre les circuits financiers clandestins) ou de tout autre service compétent dans les délais les plus brefs. La classification des risques du Groupe intègre la problématique des pays « à risques » en matière de blanchiment, de terrorisme, de fraude fiscale ou de corruption. Le dispositif du Groupe a par ailleurs été renforcé avec la mise en place d’un référentiel et de scénarios automatisés adaptés aux spécificités du financement du terrorisme. S’agissant du respect des mesures restrictives liées aux sanctions internationales, les établissements du Groupe sont dotés d’outils de filtrage qui génèrent des alertes sur les clients (gel des avoirs de certaines personnes ou entités) et sur les flux internationaux (gel des avoirs et pays faisant l’objet d’un embargo européen et/ou américain).
La prévention de ces risques donne lieu à un reporting interne à destination des dirigeants et des organes délibérants et à destination de l’organe central.
6.11.3 Continuité d’activité
La maîtrise des risques d’interruption d’activité est abordée dans sa dimension transversale, avec l’analyse des principales lignes métiers critiques du Groupe, notamment la liquidité, les moyens de paiement, les titres, les crédits aux particuliers et aux entreprises, ainsi que le fiduciaire.
Le pôle continuité d’activité Groupe, rattaché à la direction Sécurité Groupe, exerce ses missions de manière indépendante des directions opérationnelles. Celles-ci consistent à :
piloter la réalisation et le maintien en condition opérationnelle des plans d’urgence et de poursuite d’activité Groupe ;
Les outils associés au dispositif de gestion de crise sont en constante évolution pour en améliorer l’ergonomie et augmenter l’offre des fonctionnalités associées.
Les projets d’amélioration se sont poursuivis avec pour point commun la rationalisation des processus et le renforcement des dispositifs en s’appuyant sur les enseignements des crises systémiques passées (Covid), en cours (crise russo-ukrainienne) ou la préparation des crises anticipées (rupture énergétique) auxquelles la continuité d’activité est pleinement associée.
6.11.4 Sécurité des systèmes d’information (SSI)
La Direction Sécurité Groupe (DS-G) est notamment en charge de la sécurité des systèmes d’information (SSI) et de la lutte contre la cybercriminalité. Elle définit, met en œuvre et fait évoluer les politiques SSI Groupe. Elle assure le contrôle permanent et consolidé de la SSI ainsi qu’une veille technique et réglementaire. Elle initie et coordonne les projets Groupe de réduction des risques sur son domaine. Elle assure également dans son domaine la représentation du Groupe BPCE auprès des instances interbancaires de place ou des pouvoirs publics.
Une filière SSI est mise en place au sein du Groupe BPCE. Elle regroupe le responsable de la sécurité des systèmes d’information Groupe (RSSI-G), qui anime cette filière, et les responsables SSI de l’ensemble des entreprises.
À ce titre, les responsables SSI des établissements affiliés maisons mères, des filiales directes et des GIE informatiques sont rattachés fonctionnellement au RSSI-G. Ce lien fonctionnel se matérialise par des actions d’animation et de coordination. Il implique notamment que :
la politique sécurité des systèmes d’information groupe soit adoptée au sein des entreprises selon des modalités d’application soumises à la validation du responsable SSI Groupe ;
un reporting concernant le niveau de conformité des établissements à la politique SSI Groupe, le contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées soit transmis au RSSI Groupe.
Le projet d’élaboration d’une cartographie SSI exhaustive des systèmes d’information du groupe incluant les systèmes d’information privatifs des établissements s’est poursuivi.
campagne annuelle d’évaluation de la maturité du groupe sur les cinq piliers du référentiel NIST (Detect, Identify, Protect, Respond, Recover) afin de fixer les objectifs chiffrés, de piloter les actions et d’en mesurer l’efficacité ;
*d’intégrer, si possible, toutes les applications du groupe dans l’IAM avec un provisionnement automatique et une vue globale des habilitations.
LES DISPOSITIFS MIS EN ŒUVRE POUR LUTTER CONTRE LA CYBERCRIMINALITÉ
Avec la transformation digitale, l’ouverture des systèmes d’information du groupe sur l’extérieur se développe continûment (cloud, big data, etc.). Plusieurs de ces processus sont progressivement dématérialisés. L’évolution des usages des collaborateurs et des clients engendre également une utilisation plus importante d’internet et d’outils technologiques interconnectés (tablettes, smartphones, applications fonctionnant sur tablettes et mobiles, etc.).
De ce fait, le patrimoine du groupe est sans cesse plus exposé aux cybermenaces. Ces attaques visent une cible bien plus large que les seuls systèmes d’information. Elles ont pour objectif d’exploiter les vulnérabilités et les faiblesses potentielles des clients, des collaborateurs, des processus métier, des systèmes d’information ainsi que des dispositifs de sécurité des locaux et des datacenters.
Un Security Operation Center (SOC) Groupe unifié intégrant un niveau 1, fonctionnant en 24x7 est opérationnel.
Plusieurs actions ont été menées, afin de renforcer les dispositifs de lutte contre la cybercriminalité :
travaux de sécurisation des sites Internet hébergés à l’extérieur ;
capacités de tests de sécurité des sites Internet et applications améliorées ;
mise en place d’un programme de Divulgation Responsable des vulnérabilités par le CERT Groupe BPCE.
Sensibilisation des collaborateurs à la cybersécurité
Outre le maintien du socle commun groupe de sensibilisation des collaborateurs à la SSI, l’année a été marquée par la poursuite des campagnes de sensibilisation au phishing et par le renouvellement de la participation au « mois européen de la cybersécurité ».
Sur le périmètre de BPCE SA, outre les revues récurrentes des habilitations applicatives et de droits sur les ressources du SI (listes de diffusion, boîtes aux lettres partagées, dossiers partagés, etc.), la surveillance de l’ensemble des sites web publiés sur Internet et le suivi des plans de traitement des vulnérabilités sont renforcés ainsi que la surveillance du risque de fuite de données par mail ou l’utilisation de service de stockage et d’échange en ligne.
De nouvelles campagnes de sensibilisation et de formation des collaborateurs ont par ailleurs été menées :
test de phishing, campagne de sensibilisation au phishing et accompagnement des collaborateurs en situation d’échecs répétés ;
participation aux réunions d’accueil des nouveaux collaborateurs, intégrant notamment les menaces et risques liés aux situations de télétravail.