RGPD, un secret bancaire 2.0?

De toutes les réglementations auxquelles la Suisse doit faire face pour travailler avec le marché européen, le Règlement Général sur la Protection des Données (RGPD) est le plus en phase avec l’attachement, typiquement suisse, à la protection de la sphère privée. Une bonne nouvelle?

A la fin des années 2000, je fus témoin d’une situation dont je me suis souvenue récemment, avec l’arrivée de la date butoir du RGPD:

Dans le souci de protéger ses données client, la direction d’une banque sise à Genève décida de mettre en place un blocage dans son outil CRM (‘Client relationship management’), rendant impossible pour de nombreux collègues toute impression, extraction ou copie de données sur un quelconque support. Le blocage complexifiait beaucoup les tâches quotidiennes: La simple impression d’un KYC en vue d’une séance de travail n’était plus possible.

La mesure fut pointée du doigt avec véhémence par les collaborateurs concernés. Mais la levée de boucliers dura peu de temps.

En effet, quelques collègues plus malins que les autres avaient remarqué une faille dans le blocage, et trouvé un moyen pour extraire malgré toutes les données nécessaires à l’accomplissement de leurs tâches. L’astuce se diffusa rapidement et un workflow ‘underground’ se mit en place, dont la direction ne fut jamais vraiment consciente.

Si la banque avait communiqué de manière plus convaincante avec les employés sur les raisons de ce blocage, la faille aurait sans doute été remontée aux responsables au lieu d’être exploitée par les collègues.

Le Règlement Général sur la Protection des Données (RGPD) qui entre en vigueur le 25 mai prochain risque lui aussi de générer un décalage entre la stratégie déployée par les sociétés concernées et sa compréhension par les employés. Certes, la plupart des banques et autres intermédiaires financiers concernés mettront en place des mesures assurant leur conformité avec le RGPD.

Mais comment les employés percevront-ils la complexification des processus? Comment réagiront-ils face au temps perdu dans certaines tâches liées au RGPD? La clé du problème réside dans l’adhésion personnelle des collègues à ces nouvelles contraintes. Une telle adhésion implique une communication positive et approfondie par la direction sur le sujet.

Mais peut-on (se) convaincre que le RGPD n’est pas qu’une énième intrusion des Régulateurs étrangers dans nos professions?

En fait, de toutes les règlementations auxquelles la Suisse doit faire face pour travailler avec le marché européen, le RGPD est celle qui est le plus en phase avec l’attachement, typiquement suisse, à la protection de la sphère privée.

On songe d’ailleurs avec nostalgie à la simplicité de notre article 41 LB sur le secret bancaire. Cet article, certes un peu désuet, résume en 15 lignes l’esprit des 122 pages du RGPD: il faut protéger les données de nos clients et nos prospects.

Le nombre exponentiel d’incidents concernant la protection de données privées a donné à réfléchir à chacun de nous. Le récent scandale de Cambridge Analytica n’est à ce titre que la pointe de l’iceberg. Rappelons par exemple que de nombreux acteurs de la place ont souligné les risques liés à la diffusion quasi-industrialisée de données client à des collectivités publiques étrangères n’ayant pas les mêmes standards de confidentialité que la Suisse.

Bref, il est vrai que le RGPD est un animal imparfait et indigeste. Mais ce règlement marque un retour bienvenu vers le respect de la vie privée. Il offre l’opportunité de remettre quelque peu la protection de nos clients et de leurs données au centre de nos préoccupations.

Cela mérite de mobiliser l’attention de tous les collègues des sociétés concernées, afin que les processus déployés ne se limitent pas à un rôle purement cosmétique.

/par

Une simple annonce peut mettre à mal MIFID

La compagnie d’assurance Aviva plc ruine la protection des investisseurs voulue par MIFID avec l’annonce d’une mesure qui a finalement été abandonnée.

«Help people defy uncertainty.»

Tel est le but officiel, publié sous forme de slogan d’Aviva plc (ci-après: Aviva), une compagnie d’assurance sise en Angleterre.

Dans les années nonante, elle décide, comme bon nombre de ses pairs, de se financer en émettant des actions préférentielles, sans droit de vote mais avec un dividende fixe qui avoisine les 9%.

Ces rendements étaient courants sur les marchés. Par ailleurs, le prospectus d’émission de ces titres aux caractéristiques proches de celles des obligations standard, mentionne leur caractère  «irredeemable», soit non remboursable.

Sur les marchés actuels, de tels rendements fixes et de surcroît pour des titres non remboursables, apparaissent naturellement comme très attractifs.

En mars 2017 lors de la publication de ses résultats, alors que le cours des titres avoisine 170 (par rapport à un prix d’émission «au pair» de 100), Aviva annonce, par le biais de son CEO Mark Wilson, qu’elle envisage de rembourser 450 millions de Livres desdits titres au pair, soit à 100.

Le marché est abassourdi et le cours des titres chute de plus de 30% immédiatement.

Des milliers de petits investisseurs, ayant choisi de «défier l’incertitude» en thésaurisant l’épargne de toute une vie dans des titres sûrs et réputés non-remboursables, prennent peur et ne savent que faire.

D’autres, plus grands, tel un BlackRock ou un GAM, se succèdent à la table du CEO pour plaider leur cause.

La Financial Conduct Authority, passive dans un premier temps, finit par être interpellée et enquête sur un possible abus de marché de la part de l’assureur.

En parallèle, ce dernier finit par renoncer à ses intentions.

Quelle mouche a piqué les dirigeants d’Aviva?

En bonne corporate governance, le haut management d’une entité a un devoir fiduciaire envers les actionnaires, celui de gérer l’entité dans l’intérêt de ces-derniers. On compte parmi ce devoir la chasse aux coûts inutiles. Le remboursement d’une ardoise coûtant la bagatelle de 8% par année à une époque où il est possible de se financer à des taux largement inférieurs, apparait dès lors comme une mesure appropriée et nécessaire au regard de ce devoir fiduciaire.

Peut-être que les dirigeants ont cru déceler quelques années plus tôt dans l’affaire de la Lloyds qui avait également impunément remboursé des obligations censées être non remboursables, une autorisation de réduire le service de la dette de telle sorte. Le hic est que le prospectus de la Lloyds indiquait qu’un remboursement pouvait quand même intervenir «for regulatory purposes».

Le prospectus d’Aviva reste muet sur ce point.

La compagnie a semble-t-il plutôt pris appui sur le UK Company Act, section 641 qui permet le remboursement de ce type de titre lors d’une réduction de capital, avec une approbation judiciaire doublée de celle des actionnaires.

L’Angleterre est un des grands artisans de la législation MIFID. Ces milliers de pages, clauses et autres principes ont été sécrétés par l’Union européenne et servis à l’opinion publique après la crise de 2008. Ces «lessons learned» comme disent les Anglais ont pour but premier d’augmenter la protection de l’investisseur et d’éviter les affres de 2008.

L’investisseur est désormais informé de tout, des prix d’exécution d’une transaction, du coût de son conseiller financier qui sera imputé à la performance de ses placements, de la best exécution (soit des brokers choisis par l’établissement), du coût de la recherche, des analyses économiques, etc.

Est-il informé des risques qu’il prend en investissant dans tel ou tel produit? Assurément oui au regard de MIFID.

Petit bémol:

Les titres d’Aviva n’étaient pas de prime abord des titres «complexes» au sens de MIFID, ni d’ailleurs des instruments non traditionnels selon la brochure de l’Association suisse des Banquiers ‘Risque particulier dans le commerce de titres’ qui est remise aux clients afin de satisfaire au devoir d’information de l’intermédiaire financier. Or une baisse soudaine de 30%  est plutôt l’apanage de titres non ordinaires ou complexes.

On peut se demander si malgré le déferlement de normes MIFID, PRIPS, MIFIR, UCITS etc. qui devraient être appliquées uniformément au sein du marché européen, les droits nationaux et leur interprétations, forcément nationales, ne sont pas les véritables obstacles à la protection des investisseurs voulue par MIFID. En droit international pourtant, les accords et normes internationaux priment sur le droit national et MIFID devrait donc l’emporter sur le UK Company Act.

En l’occurrence, Aviva ayant renoncé à ses plans, les mécanismes juridiques de l’Union ne pourront pas être mis en œuvre et parler.

Le prix des titres, lui, nous parle en se négociant aujourd’hui toujours avec une décote de plus de 14% par rapport à son niveau de janvier-février 2018.

 

/par

Cryptomonnaies: Les catégories de risque

Voici une revue succincte des catégories de risque liées aux monnaies virtuelles, et plus particulièrement au Bitcoin. Ni la probabilité de survenance ni la sévérité de l’impact de ces risques n’est étudiée ici. Cette liste ne se prétend pas exhaustive, par ailleurs, les évolutions dans le domaine des cypto-monnaies sont rapides, et peuvent rendre le contenu de ce document obsolète.

Définition succinte de la monnaie Bitcoin:

La monnaie bitcoin et sa technologie offrent une solution décentralisée, sécurisée et anonyme pour transférer de la valeur entre les utilisateurs.

Dans ce système de paiement numérique peer-to-peer, chaque opération est consignée dans un registre public, baptisé « blockchain ». Ceux qui assurent le suivi des opérations dans la blockchain sont appelés « mineurs » et sont payés en bitcoin pour leur travail, de nouveaux bitcoins étant générés en conséquence du processus de minage (il y a actuellement environ 16,4 millions de bitcoins en circulation ; l’offre potentielle totale a été plafonnée à 21 millions d’unités).

Nature légale des de la monnaie Bitcoin:

Une monnaie est un instrument de paiement en vigueur en un lieu et à une époque donnée. Une monnaie existe :

  1. dès le moment où les contreparties l’acceptent pour régler des achats, des services ou des dettes. C’est le cas du Bitcoin.

  2. Dès le moment où le législateur la pourvoit d’un cadre juridique et lui confère un cours légal.

En Suisse, du point de juridique, le Bitcoin est considéré comme un droit ayant une valeur monétaire qui donne accès à un actif. Il n’a toutefois pas de cours légal. Il en va de même dans la plupart des autres pays (sauf au Japon).

En décembre 2017, le régulateur américain a autorisé les contrats à terme sur le Bitcoin. Il s’agira des premiers marchés traditionnels à coter des contrats liés à la monnaie virtuelle.

Risque de marché et liquidité :

Comme indiqué ci-dessus, le Bitcoin n’a pas de cours légal. Il n’y a donc pas de taux de change unique, et le négoce est fragmenté sur internet où coexistent plusieurs plateformes d’échange.

Le bitcoin est une monnaie volatile, notamment car il n’est encadré par aucune banque centrale pour en réguler les fluctuations. Par ailleurs, il n’a pas de valeur intrinsèque et son cours est dès lors établi exclusivement en fonction de l’offre et de la demande sur le marché public.

Dans certains cas extrêmes, la volatilité peut être renforcée par une fragilité structurelle. Début décembre 2017 par exemple, la frénésie des internautes a paralysé plusieurs sites d’échange de bitcoin, amenant d’importants écarts entre les cotations sur les différentes plateformes d’échange.

Des facteurs externes peuvent également influencer la volatilité du Bitcoin :

  • Le phénomène des ICO (initial coin offering) et l’engouement général qu’il suscite peut participer à la hausse de la demande de Bitcoins de manière indirecte. Pour rappel, une ICO permet aux start-ups de lever des fonds via la blockchain.

  • Les contrats à terme sur le Bitcoin, autorisés aux Etats-Unis fin 2017, ont quand à eux un impact incertain. Certains experts anticipent que cela limite la volatilié du cours en permettant aux investisseurs de se couvrir contre le risque. D’autres pensent que ces futures vont, au contraire, renforcer l’inflation de la cryptomonnaie en favorisant la spéculation. Il est à noter que pour protéger les investisseurs contre l’extrême volatilité de la devise numérique, les deux opérateurs (le CME et le CBOE) fixeront des règles de couverture plus strictes que d’habitude, incluant l’exigence de dépôts de garantie initiaux situés entre 35% et 40%.

En dernier lieu, le cours du Bitcoin est à même d’être influencé par les plus grands détenteurs de Bitcoin, qui sont les personnes ayant mis en place la crypto-monnaie. En cas d’action concertée par exemple, ces-derniers sont à même d’influencer suffisamment l’offre ou la demande pour impacter le cours de la monnaie, et ce d’autant plus que le bitcoin n’est pas une action ou une obligation, qui sont, elles, soumises à des règles strictes en la matière.

Risque de contrepartie

Comme indiqué plus haut, aucun organisme centralisé ni aucune banque centrale ne garantit l’utilisation du bitcoin. L’utilisateur ne serait donc pas protégé si la monnaie devait cesser d’exister ou si son cours devait chuter drastiquement.

Dans la mesure où les plateformes d’échanges de cette monnaie ne sont pas soumises aux réglementations traditionnelles, le risque d’abus de confiance (vol) est bien réel si l’utilisateur ne procède pas à des vérifications concernant l’intégrité et la réputation de la plateforme. Il en va de même pour la sécurité des systèmes informatiques de la plateforme et du risque de piratage.

De manière similaire, stocker ses avoirs en Bitcoins auprès d’une tierce partie implique des risques (abus de confiance, piratage du système). Il est à noter qu’il est possible et préférable de stocker ses Bitcoins sur un portefeuille hors-ligne, dont l’utilisateur possède la clé privée chez soi.

Risques opérationnels

Voici quelques risques opérationnels intéressants à relever:

Perte ou vol physique : Les avoirs en bitcoins peuvent être perdus à jamais si l’utilisateur perd ou se fait voler son portefeuille hors-ligne ou la clé lui permettant d’y accéder. De même, en cas de décès, les avoirs pourraient être perdus à moins que des dispositions ne soient prises par l’utilisateur.

Piratage : la sécurité de la blockchain est particulièrement solide, toutefois le risque de piratage n’est pas à exclure totalement, comme le montre la faille de sécurité découverte en 2013 sur les portefeuilles bitcoin sous Android.

Lenteur ou saturation du système : Avec l’utilisation grandissante de la cryptomonnaie, les transactions sont devenues plus lentes. La lenteur provient de l’accroissement des échanges, qui saturent les blocs. Une transaction peut parfois mettre une heure pour être validée. Les développeurs ont proposé un système, appelé SegWit2x, qui pourrait fluidifier le système et proposant une «surcouche» à ces blocs. Elle accueillerait toutes les transactions de moyenne importance, ne gardant pour les blocs que la dernière transaction ou celles qui nécessite une plus grande sécurité.

Technologie du Bitcoin : La technologie du Bitcoin n’est pas aussi développée que celle d’autres cryptomonnaies comme le Litecoin ou le Ripple. Ainsi, une transaction en bitcoin est souvent plus chère.

Pouvoir discrétionnaire des concepteurs : les concepteurs pourraient décider unilatéralement de mettre fin à la monnaie. Bien qu’une telle action ne semble pas rationnelle, ce risque n’est pas à exclure dans la mesure où l’identité des concepteurs du Bitcoin est inconnue, ainsi que leurs valeurs, leur système de pensée et leurs intérêts personnels.

Risque réglementaire

Dans quelques pays comme la Bolivie, le Maroc, le Bangladesh, l’Équateur et le Kirghizistan, l’utilisation du bitcoin par des particuliers est interdite. Dans d’autres comme au Japon, ou dans le canton de Zoug en Suisse, cette monnaie est officiellement reconnue.

Certains pays comme les Etats-Unis, ont commencé à proposer des règles (notamment en matière de blanchiment et d’évasion) concernant l’utilisation des crypto-monnaies. De manière générale, les régulateurs s’intéressent de plus en plus à cette monnaie. Toutefois, la réponse réglementaire et légale des divers pays concernant l’émergence des cryptomonnaies n’est pas coordonnée à ce jour.

Il est donc difficile de prévoir les impacts des réglementations à venir. Le risque le plus grave (mais toutefois très improbable à l’heure actuelle) serait la mise au ban de la monnaie par les régulateurs.

Utilisation des bitcoins à des fins frauduleuses.

L’anonymat que confère l’acquisition de Bitcoins en fait une monnaie particulièrement usitée à des fins criminelles sur internet. L’anonymat est garanti de la façon suivante :

  • Anonymat lors de l’acquisition de bitcoins : Comme toute plateforme d’échange de monnaie Forex, la plupart des services d’échanges sont obligés par la loi de vous demander des preuves d’identité avant d’échanger des bitcoins. Cependant il existe toujours quelques services sans vérification, comme le site Localbitcoins.

  • Anonymat lors de l’échange de bitcoins : Les transactions en bitcoins, bien qu’anonymes, sont traçables puisqu’elles sont inscrites dans les chaînes de stockage, appelées blockchains. Toutefois, des sociétés en ligne offrent un service de « tumbling », ou « bitcoin mixing ». Elles cassent les connections entre l’adresse envoyant les bitcoins et l’adresse les réceptionnant, afin de renforcer l’anonymat de l’utilisateur.

Les Bitcoins peuvent également servir à des fins d’évasion fiscale. En effet, en plus de l’anonymat évoqué ci-dessus, les bitcoins peuvent être achetés et stockés sur le disque dur, à la manière de lingots d’or stockés dans un coffre.

Dans un rapport de 2012, la Banque Centrale Européenne (BCE) estimait que les bitcoins pouvaient encourager le blanchiment d’argent, le trafic de drogue ainsi que les montages de type « Ponzi ».

Risque de réputation lié à la monnaie bitcoin :

Le risque de réputation est bien entendu impacté par les possibilités d’utilisation frauduleuse de la monnaie Bitcoin.

Par ailleurs, le manque d’écologie du système peut lui aussi impacter négativement la réputation de la monnaie. A ce jour, la maintenance de la blockchain requiert une énergie considérable. Une transaction en bitcoins nécessite autant d’énergie qu’un peu plus de huit foyers américains pour vivre pendant une journée.

/par

Publication de la version révisée de la Circulaire Outsourcing

Cet article a été rédigé par Philipp Fischer et publié le 18 Déc 2017 par le Centre de droit bancaire et financier https://www.cdbf.ch/991/.

Le 5 décembre 2017, la FINMA a publié la version révisée de la Circulaire Outsourcing (désormais appelée Circulaire FINMA 2018/3), qui s’appliquera aux banques et aux négociants en valeurs mobilières. La nouvelle circulaire s’appliquera aussi aux assurances, mais ce volet ne sera pas abordé dans le cadre du présent commentaire.

Elle remplace la Circulaire 2008/7 et fixe les conditions qu’un projet d’externalisation d’une fonction essentielle doit remplir afin de pouvoir être mis en œuvre sans requérir une approbation spécifique de la FINMA. Les questions relatives au secret bancaire et à la protection des données sont désormais exclusivement régies par les lois spéciales (notamment la LB et la LPD, en cours de révision).

Le principe fondamental demeure inchangé sous l’empire de la Circulaire 2018/3: l’assujetti continue d’assumer vis-à-vis de la FINMA la même responsabilité que s’il exerçait lui-même la fonction externalisée (Cm 23).

A. Principaux enjeux de la Circulaire FINMA 2018/3

Champ d’application matériel: La Circulaire 2008/13 ne contient plus d’annexe listant les prestations essentielles auxquelles la circulaire est susceptible de s’appliquer. Chaque assujetti doit déterminer sur une base autonome (auto-évaluation) si un projet d’externalisation implique une “fonction dont dépend de manière significative le respect des objectifs et des prescriptions de la législation sur la surveillance des marchés financiers” (Cm 4).

Inventaire: Chaque assujetti doit établir et tenir à jour un inventaire des fonctions externalisées (Cm 14), lequel doit comprendre (i) une description de la fonction externalisée, ainsi que les noms (ii) du fournisseur, (iii) du bénéficiaire et (iv) de l’organe responsable au sein de l’assujetti (Cm 14). Dans une perspective pratique, il peut sembler opportun de coordonner la préparation de cet inventaire avec la préparation du “registre des activités de traitement” qui est évoqué aux art. 11 du projet de révision de la LPD et 30 du Règlement général européen sur la protection des données (RGPD). A l’avenir, tout projet d’externalisation devra être revu à l’aune de la Circulaire FINMA 2018/3 et des règles suisses et européennes en matière de protection des données.

Choix du prestataire: Dans le cadre du choix du prestataire, l’assujetti doit notamment (i) prêter attention au risque de concentration si plusieurs fonctions sont externalisées auprès d’un même prestataire et (ii) s’assurer que la réintégration ordonnée de la fonction externalisée est garantie (Cm 16ss).

B. Principaux changements par rapport au projet de Circulaire publié en décembre 2016

Hormis l’extension du délai transitoire (cf. ci-dessous), deux changements notables sont à signaler:

Outsourcing intra-groupe: La Circulaire actuelle (2008/7) prévoit une application partielle aux externalisations au sein d’un groupe. Le projet de révision visait à supprimer totalement cet allègement. La Circulaire 2018/3 prévoit finalement que l’externalisation au sein d’un groupe peut être “prise en compte” au niveau de l’appréciation du risque (ce qui aura notamment un impact au niveau de la formalisation de la procédure ayant mené au choix du prestataire).

Externalisation vers l’étranger: La FINMA renonce au devoir d’information préalable de l’autorité en cas d’externalisation à l’étranger impliquant une grande quantité de données-clients. Cela dit, les projets d’externalisation impliquant des données-clients doivent être réalisés en conformité avec la Circulaire 2008/21 (cf. Annexe 3, Principe 9).

C. Principaux points à régler dans le contrat

Toute externalisation couverte par la Circulaire 2018/3 doit faire l’objet d’un contrat écrit avec le prestataire de services. Celui-là doit contenir au minimum les dispositions suivantes:

1. droit de donner des instructions au prestataire et de contrôler leur respect (Cm 21);

2. délimitation contractuelle des responsabilités de l’assujetti et du prestataire (Cm 19);

3. exigence d’une approbation préalable en cas de recours à des sous-traitants (Cm 33);

4. fixation contractuelle des exigences en matière de sécurité (notamment dans le domaine informatique) et de business continuity (Cm 24);

5. droit d’examen intégral et sans entrave en faveur de l’assujetti, de l’auditeur règlementaire de l’assujetti et de la FINMA (Cm 26), également en cas d’externalisation à l’étranger (Cm 30);

6. engagement du prestataire de mettre à disposition de la FINMA toutes les informations relatives au domaine d’activités transféré (Cm 29); et

7. en cas d’externalisation vers l’étranger, exigence que les informations nécessaires à l’assainissement et la liquidation de l’assujetti soient disponibles depuis la Suisse à tout moment (Cm 31).

D. Dispositions transitoires

La Circulaire 2018/3 entrera en vigueur le 1er avril 2018. Elle s’appliquera immédiatement aux projets d’externalisation des banques et des négociants en valeurs mobilières qui seront conclus ou modifiés après son entrée en vigueur.

Les externalisations (soumises à la Circulaire 2018/3) en place au 1er avril 2018 devront être adaptées dans un délai transitoire de cinq ans (soit jusqu’au 31 mars 2023): un aspect important à prendre en compte dans le cadre de la renégociation des contrats d’externalisation.

/0 Commentaires/par