Le point de vue de Éric
Buhagiar, Directeur général d’ASC Technologies France.
Les exigences imposées
aux institutions financières se renforcent partout dans le monde. Les autorités
de supervision exigent désormais une traçabilité complète des échanges et une
conservation rigoureuse de tous les enregistrements. Cependant, les amendes ne
sont que la partie visible du risque. Les établissements doivent aussi
affronter de longues enquêtes internes, des honoraires de conseil souvent
élevés, des contraintes opérationnelles accrues et, surtout, un risque
important pour leur réputation.
En parallèle, les
obligations se multiplient avec l’entrée en vigueur de réglementations
européennes telles que MiFID III ou le règlement DORA, tandis que les
volumes de données et les canaux de communication ne cessent d’augmenter. Les
méthodes d’échantillonnage classiques ne permettent plus de saisir toute la
complexité des échanges. Face à des exigences réglementaires toujours plus
strictes, les solutions fondées sur l’intelligence artificielle deviennent
indispensables pour collecter et analyser de manière exhaustive les données de
communication.
Amendes record en 2024 :
Des milliards pour non-conformité
Que ce soit à New York,
à Londres ou à Francfort, les autorités de surveillance du monde entier
sanctionnent des manquements similaires. Les risques deviennent
particulièrement aigus lorsque les données de communication ne sont pas
entièrement saisies, analysées et documentées de manière vérifiable. Trois
catégories de vulnérabilités sont particulièrement fréquentes dans ce
domaine : Enregistrement et documentation, transparence et informations
des clients et protection et gestion des données. A titre d’exemple sur ce
dernier point, les autorités européennes de protection des données ont infligé
plus de 1,2 milliard d’euros d’amendes en 2024.
Plus d‘enregistrement,
plus de transparence, plus de résilience
En 2025, les
régulateurs ont durci encore le cadre de conformité. Avec la révision de MiFID
II et l’entrée en vigueur des nouvelles exigences de MiFIR, les obligations en
matière d’enregistrement, d’analyse et de vérification des communications se
renforcent. Parallèlement, les attentes augmentent en ce qui concerne la
qualité des données, la transparence des marchés et la cybersécurité. Les
établissements présentant aujourd’hui des lacunes dans leur documentation ou
leur communication seront davantage exposés aux contrôles et aux sanctions dans
les années à venir.
- MiFID III : des exigences renforcées
Les exigences actuelles
de MIFID II en matière d'enregistrement restent en place : Toutes les
conversations avec les clients qui pourraient conduire à une transaction
doivent être documentées et archivées, qu'elles aient lieu par téléphone, par
vidéo, par chat, par e-mail ou par le biais d'outils de collaboration. En règle
générale, une période de conservation minimale de cinq ans s'applique, voire
plus dans certains pays. Toutefois, le nouveau règlement introduit des
exigences plus strictes. À l'avenir, les institutions seront tenues non
seulement de conserver les conversations, mais aussi de les analyser
activement pour détecter d'éventuels comportements
répréhensibles (surveillance comportementale). Parallèlement, la
surveillance des communications en dehors des canaux
approuvés (surveillance hors canal) sera renforcée afin d'empêcher
l'échange d'informations sensibles par le biais d'appareils privés ou de
services de messagerie tels que WhatsApp. En outre, les institutions
financières doivent fournir des preuves détaillées que les ordres des clients
ont été exécutés sans paiements indus (preuve de la meilleure exécution).
Les nouvelles exigences entraînent des besoins accrus en matière
de documentation et d'enregistrement. Il ne suffit plus de centraliser les
données clients sur une seule plateforme. Les systèmes doivent être vérifiables,
consultables et à l'épreuve du temps afin de pouvoir prouver la conformité
à tout moment.
- DORA : la résilience numérique devient une exigence réglementaire
La loi sur la
résilience opérationnelle numérique (DORA), un cadre contraignant pour les
risques liés aux TIC (Technologies de l’Information et de la Communication),
est en vigueur dans l‘UE depuis janvier 2025. Les institutions doivent signaler
les incidents graves, démontrer les contrôles d‘accès et garantir la capacité
de récupération. Lorsque des données de communication font partie de systèmes
TIC critiques, elles doivent être protégées, enregistrées et maintenues
accessibles.
- FCA : plus de transparence et des preuves claires
En 2025, la Financial
Conduct Authority (FCA) britannique a mis en place un système consolidé de
données pour les obligations, destinée à renforcer la transparence des
transactions. Parallèlement, elle précise les attentes liées au “consumer duty”
: moins de formalisme administratif, mais des preuves plus strictes de
traitement équitable des clients.
Éviter les risques en
s’appuyant sur une approche dédiée
Les violations des
obligations d’enregistrement représentent un risque financier majeur pour les
établissements financiers. Les précédents récents montrent clairement que la
SEC a durci ses exigences et sanctionne systématiquement les enregistrements
manquants ou incomplets. Pour les banques, cela signifie qu’une seule
infraction peut se chiffrer en millions : en janvier 2025, douze établissements
ont été sanctionnés à hauteur de plus de 200 millions de dollars au total, soit
environ 16,7 millions de dollars par institution (U.S. Securities and Exchange
Commission, 2025).
Il est possible d’éviter de tels risques en s’appuyant sur trois piliers structurants : L’enregistrement fiable de tous les canaux pertinents, des modèles de politiques IA qui assurent le contrôle continu de la conformité de chaque interaction et des alertes précoces en cas de manquement potentiel ou d’anomalie détectée. Chaque sanction évitée ne représente donc pas seulement des millions économisés, mais contribue également à préserver la réputation de l’établissement auprès de ses clients et des autorités de régulation.