Risques non financiers
En cas de non-conformité avec les lois et règlements applicables, le Groupe BPCE pourrait être exposé à des amendes significatives et d’autres sanctions administratives et pénales susceptibles d’avoir un impact significatif défavorable sur sa situation financière, ses activités et sa réputation.
Le risque de non-conformité est défini comme le risque de sanction – judiciaire, administrative ou disciplinaire – mais aussi de perte financière, ou d’atteinte à la réputation, résultant du non-respect des dispositions législatives et réglementaires, des normes et usages professionnels et déontologiques, propres aux activités de banque et d’assurance, qu’elles soient de nature nationales ou internationales.
Les secteurs bancaire et assurantiel font l’objet d’une surveillance réglementaire accrue, tant en France qu’à l’international. Les dernières années ont vu une augmentation particulièrement substantielle du volume de nouvelles réglementations ayant introduit des changements significatifs affectant aussi bien les marchés financiers que les relations entre prestataires de services d’investissement et clients ou investisseurs (par exemple MIFID II, PRIIPS, directive sur la Distribution d’Assurances, règlement Abus de Marché, quatrième directive Anti-Blanchiment et Financement du Terrorisme, règlement sur la Protection des Données Personnelles, règlement sur les Indices de Référence, etc.). Ces nouvelles réglementations ont des incidences majeures sur les processus opérationnels de la société.
La réalisation du risque de non-conformité pourrait se traduire, par exemple, par l’utilisation de moyens inadaptés pour promouvoir et commercialiser les produits et services de la banque, une gestion inadéquate des conflits d’intérêts potentiels, la divulgation d’informations confidentielles ou privilégiées, le non-respect des diligences d’entrée en relation avec les fournisseurs et la clientèle notamment en matière de sécurité financière (notamment lutte contre le blanchiment d’argent et le financement du terrorisme, respect des embargos, lutte contre la fraude ou la corruption).
Au sein de BPCE, la filière Conformité est chargée de la supervision du dispositif de prévention et de maîtrise des risques de non-conformité. Malgré ce dispositif, le Groupe BPCE reste exposé à des risques d’amendes ou autres sanctions significatives de la part des autorités de régulation et de supervision, ainsi qu’à des procédures judiciaires civiles ou pénales qui seraient susceptibles d’avoir un impact significatif défavorable sur sa situation financière, ses activités et sa réputation.
Toute interruption ou défaillance des systèmes informatiques du Groupe BPCE ou de tiers pourrait entraîner des pertes, notamment commerciales et pourrait avoir un effet défavorable significatif sur les résultats du Groupe BPCE.
Comme la plupart de ses concurrents, le Groupe BPCE dépend fortement de ses systèmes de communication et d’information, ses activités exigeant de traiter un grand nombre d’opérations de plus en plus complexes. Toute panne, interruption ou défaillance dans ces systèmes pourrait entraîner des erreurs ou des interruptions au niveau des systèmes de gestion de la clientèle, de comptabilité générale, de dépôts, de transactions et/ou de traitement des prêts. Si, par exemple, le Groupe BPCE connaissait une défaillance de ses systèmes d’information, même sur une courte période, les entités affectées seraient incapables de répondre aux besoins de leurs clients dans les délais et pourraient ainsi perdre des opportunités de transactions. De même, une panne temporaire des systèmes d’information du Groupe BPCE, en dépit des systèmes de secours et des plans d’urgence, pourrait avoir comme conséquence des coûts considérables en termes de récupération et de vérification d’informations, voire une baisse de ses activités pour compte propre si, par exemple, une telle panne intervenait lors de la mise en place d’opérations de couverture. L’incapacité des systèmes du Groupe BPCE à s’adapter à un volume croissant d’opérations pourrait aussi limiter sa capacité à développer ses activités et entraîner des pertes, notamment commerciales, et pourrait par conséquent, avoir un effet défavorable significatif sur les résultats du Groupe BPCE.
Le Groupe BPCE est aussi exposé au risque d’une défaillance ou d’une interruption opérationnelle de l’un de ses agents de compensation, marchés des changes, chambres de compensation, dépositaires ou autres intermédiaires financiers ou prestataires extérieurs qu’il utilise pour réaliser ou faciliter ses transactions sur des titres financiers. Dans la mesure où l’interconnectivité avec ses clients augmente, le Groupe BPCE peut aussi être de plus en plus exposé au risque d’une défaillance opérationnelle des systèmes d’information de ses clients. Les systèmes de communication et d’information du Groupe BPCE et ceux de ses clients, prestataires de services et contreparties peuvent également faire l’objet de dysfonctionnements ou d’interruptions résultant d’actes cybercriminels ou cyberterroristes. À titre d’illustration, avec la transformation digitale, l’ouverture des systèmes d’information du Groupe BPCE sur l’extérieur se développe continûment (cloud, big data, etc.). Plusieurs de ces processus sont progressivement dématérialisés. L’évolution des usages des collaborateurs et des clients engendre également une utilisation plus importante d’Internet et d’outils technologiques interconnectés (tablettes, smartphones, applications fonctionnant sur tablettes et mobiles, etc.), multipliant les canaux par lesquels les attaques ou dysfonctionnements peuvent survenir ainsi qu’en augmentant le nombre d’appareils et d’outils pouvant subir ces attaques ou dysfonctionnements. De ce fait, le patrimoine immatériel ainsi que les outils de travail des différents collaborateurs et agents extérieurs du Groupe BPCE est sans cesse plus exposé aux cybermenaces. Du fait de telles attaques, le Groupe BPCE pourrait connaître des dysfonctionnements ou interruptions dans ses systèmes ou dans ceux de parties tierces, qui pourraient ne pas être résolus de manière adéquate. Toute interruption ou défaillance des systèmes informatiques du Groupe BPCE ou de tiers pourrait entraîner des pertes, notamment commerciales, du fait de la discontinuité des activités et du possible repli des clients affectés vers d’autres établissements financiers durant toute la période d’interruption ou de défaillance, mais aussi au-delà.
Le risque lié à toute interruption ou défaillance des systèmes informatiques du Groupe BPCE ou de tiers est significatif pour le Groupe BPCE en termes d’impact et de probabilité et fait donc l’objet d’un suivi proactif et attentif.
Les risques de réputation et juridique pourraient avoir un effet défavorable sur la rentabilité et les perspectives d’activité du Groupe BPCE.
La réputation du Groupe BPCE est capitale pour séduire et fidéliser ses clients. L’utilisation de moyens inadaptés pour promouvoir et commercialiser ses produits et services, une gestion inadéquate des conflits d’intérêts potentiels, des exigences légales et réglementaires, des problèmes éthiques, des lois en matière de blanchiment d’argent, des exigences de sanctions économiques, des politiques en matière de sécurité de l’information et des pratiques liées aux ventes et aux transactions, l’inadéquation des dispositifs de protection de la clientèle, pourraient entacher la réputation du Groupe BPCE. Pourraient également nuire à sa réputation tout comportement
inapproprié d’un salarié du Groupe BPCE, tout acte cybercriminel ou cyberterroriste dont pourraient faire l’objet les systèmes de communication et d’information du Groupe BPCE ou toute fraude, détournement de fonds ou autre malversation commise par des acteurs du secteur financier en général auxquels le Groupe BPCE est exposé ou toute décision de justice ou action réglementaire à l’issue potentiellement défavorable. Tout préjudice porté à la réputation du Groupe BPCE pourrait avoir un effet défavorable sur sa rentabilité et ses perspectives d’activité.
Une gestion inadéquate de ces aspects pourrait également accroître le risque juridique du Groupe BPCE, le nombre d’actions judiciaires et le montant des dommages réclamés au Groupe BPCE, ou encore l’exposer à des sanctions des autorités réglementaires. Pour de plus amples informations, se reporter au chapitre 10 « Risques juridiques » du présent document. Les conséquences financières de ces litiges pourraient avoir un impact sur la situation financière du Groupe, et dès lors, avoir un effet défavorable sur la rentabilité et les perspectives d’activités du Groupe BPCE.
Des événements imprévus pourraient provoquer une interruption des activités du Groupe BPCE et entraîner des pertes ainsi que des coûts supplémentaires.
Des événements imprévus tels qu’une catastrophe naturelle grave, des évènements liés au risque climatique (risque physique lié directement au changement climatique), une nouvelle pandémie, des attentats ou toute autre situation d’urgence, pourraient provoquer une brusque interruption des activités des entités du Groupe BPCE et notamment affecter les principales lignes métiers critiques du Groupe BPCE (en particulier la liquidité, les moyens de paiement, les titres, les crédits aux particuliers et aux entreprises, ainsi que le fiduciaire) et entraîner des pertes substantielles dans la mesure où elles ne seraient pas, ou insuffisamment, couvertes par une police d’assurance. Ces pertes résultant d’une telle interruption pourraient concerner des biens matériels, des actifs financiers, des positions de marché ou des collaborateurs clés, et avoir un impact direct et qui pourrait être significatif sur le résultat net du Groupe BPCE. En outre, de tels événements pourraient perturber l’infrastructure du Groupe BPCE ou celle de tiers avec lesquels il conduit ses activités, et également engendrer des coûts supplémentaires (liés notamment aux coûts de réinstallation du personnel concerné) et alourdir ses charges (telles que les primes d’assurance). De tels événements pourraient exclure la couverture d’assurance de certains risques et donc augmenter le niveau de risque global du Groupe BPCE.
Au 31 décembre 2022, les risques opérationnels représentent 9 % des risques pondérés du Groupe BPCE, comme au 31 décembre 2021. Au 31 décembre 2022, les pertes du Groupe BPCE au titre du risque opérationnel portent majoritairement sur la ligne de métier « Paiement et règlements » à hauteur de 35 %. Elles se concentrent sur la catégorie bâloise « fraude externe » pour 40 %.
L’échec ou l’inadéquation des politiques, procédures et stratégies de gestion et de couverture des risques du Groupe BPCE est susceptible d’exposer ce dernier à des risques non identifiés ou non anticipés et d’entraîner des pertes imprévues.
Les politiques, procédures et stratégies de gestion et de couverture des risques du Groupe BPCE pourraient ne pas réussir à limiter efficacement son exposition à tout type d’environnement de marché ou à tout type de risques, voire être inopérantes pour certains risques que le Groupe BPCE n’aurait pas su identifier ou anticiper. Les techniques et les stratégies de gestion des risques utilisées par le Groupe BPCE peuvent ne pas non plus limiter efficacement son exposition au risque et ne garantissent pas un abaissement effectif du niveau de risque global. Ces techniques et ces stratégies peuvent se révéler inefficaces contre certains risques, en particulier ceux que le Groupe BPCE n’a pas précédemment identifiés ou anticipés, étant donné que les outils utilisés par le Groupe BPCE pour développer les procédures de gestion du risque sont basés sur des évaluations, analyses et hypothèses qui peuvent se révéler inexactes. Certains des indicateurs et des outils qualitatifs que le Groupe BPCE utilise pour gérer le risque s’appuient sur des observations du comportement passé du marché. Pour quantifier les expositions au risque, les responsables de la gestion des risques procèdent à une analyse, notamment statistique, de ces observations.
Ces outils et ces indicateurs pourraient ne pas être en mesure de prévoir les futures expositions au risque. Par exemple, ces expositions au risque pourraient découler de facteurs que le Groupe BPCE n’aurait pas anticipés ou correctement évalués dans ses modèles statistiques ou en raison de mouvements de marché inattendus et sans précédent. Ceci limiterait la capacité du Groupe BPCE à gérer ses risques. En conséquence, les pertes subies par le Groupe BPCE pourraient s’avérer supérieures à celles anticipées au vu des mesures historiques. Par ailleurs, ses modèles quantitatifs ne peuvent intégrer l’ensemble des risques. Ainsi, quand bien même aucun fait important n’a à ce jour été identifié à cet égard, les systèmes de gestion du risque sont soumis au risque de défaut opérationnel, y compris la fraude. Certains risques font l’objet d’une analyse, qualitative et cette approche pourrait s’avérer inadéquate et exposer ainsi le Groupe BPCE à des pertes imprévues.
Les valeurs finalement constatées pourraient être différentes des estimations comptables retenues pour établir les états financiers du Groupe BPCE, ce qui pourrait l’exposer à des pertes non anticipées.
Conformément aux normes et interprétations IFRS en vigueur à ce jour, le Groupe BPCE doit utiliser certaines estimations lors de l’établissement de ses états financiers, notamment des estimations comptables relatives à la détermination des provisions sur les prêts et créances non performants, des provisions relatives à des litiges potentiels, et de la juste valeur de certains actifs et passifs, etc. Si les valeurs retenues pour ces estimations par le Groupe BPCE s’avéraient significativement inexactes, notamment en cas de tendances de marché, importantes et/ou imprévues, ou si les méthodes relatives à leur détermination venaient à être modifiées dans le cadre de normes ou interprétations IFRS à venir, le Groupe BPCE pourrait s’exposer, le cas échéant, à des pertes non anticipées.