Par
Antony Derbes, Président d’Open
Lake Technology.
Fin juin 2026, la
tolérance réglementaire prend fin. Enregistrer ne suffira plus, il faudra
prouver que l’on a surveillé, analysé et agi.
Depuis plus d’une
décennie, la conformité des entreprises d’investissement repose sur un réflexe
: enregistrer. Les communications téléphoniques, les échanges électroniques,
les transactions — tout est capturé, stocké, archivé. Beaucoup ont fait de
cette obligation un rite d’hygiène réglementaire, une case à cocher. MiFID III
leur dit aujourd’hui que c’était insuffisant. Et elle leur donne jusqu’à la fin
juin 2026 pour le corriger.
2018 : MiFID II pose le
socle. Enregistrer devient une obligation légale
Avant 2018,
l’enregistrement des communications était une bonne pratique. MiFID II en a
fait une obligation juridique opposable. L’article 16(7) de la Directive
2014/65/UE le pose : toute entreprise d’investissement doit enregistrer les
conversations téléphoniques et communications électroniques liées à la
réception, transmission et exécution d’ordres — qu’elles aboutissent ou non à
une transaction.
L’article 76 du
Règlement délégué 2017/565/UE en décline le dispositif complet. Il impose
notamment : une politique d’enregistrement écrite, adaptée à la taille et à
l’organisation de l’entreprise [Art. 76] ; la supervision effective de cette
politique par l’organe de direction [Art. 76] ; un registre tenu à jour des
personnes disposant d’appareils de l’entreprise ou d’appareils privés approuvés
[Art. 76] ; la formation du personnel [Art. 76] ; des contrôles réguliers des
enregistrements, proportionnés et basés sur les risques [Art. 76] ; et la
capacité à démontrer aux autorités compétentes l’ensemble des politiques et
procédures d’enregistrement à leur demande [Art. 76]
Avant toute fourniture
de service, les clients doivent être informés que leurs échanges sont
enregistrés et qu’une copie leur est disponible sur demande pendant cinq ans —
sept ans si l’autorité compétente le demande [Art. 76].
Au cœur du dispositif,
l’article 76(10) regroupe trois exigences fondamentales :
Qualité — « Les entreprises
veillent à la qualité … des enregistrements de toutes les conversations
téléphoniques et communications électroniques. »
Exactitude — « … à l’exactitude
… des enregistrements de toutes les conversations téléphoniques et
communications électroniques. »
Exhaustivité — « … et à
l’exhaustivité des enregistrements de toutes les conversations téléphoniques et
communications électroniques. »
Support durable — « Les enregistrements sont stockés sur un support durable qui permet de les lire ou de les copier et ils doivent être conservés sous une forme qui ne permet pas de modifier ou d’effacer l’enregistrement original. »
Source : Règlement
délégué (UE) 2017/565, article 76(10)
Le même article impose
par ailleurs que les dispositifs d’enregistrement soient technologiquement
neutres et réévalués régulièrement, notamment à chaque approbation d’un nouveau
canal de communication [Art. 76(3)]. La durée de conservation court à compter
du jour de création de l’enregistrement [Art. 76(11)].
MiFID II faisait déjà
de l’enregistrement un dispositif structuré : politique écrite, supervision par
la direction, contrôles réguliers, formation du personnel, obligations
vis-à-vis des clients et des autorités. Ce n’était pas une simple case à
cocher. C’est cette base que MiFID III vient dépasser.
De 2018 à 2026, le
régulateur a observé. Les archives s’accumulent, les sanctions tombent — mais
les comportements à risque continuent d’échapper aux contrôles. Le diagnostic
est posé : enregistrer ne suffit pas si personne n’analyse. MiFID III est la réponse.
2026 : MiFID III
franchit le pas. Surveiller devient une obligation.
La Directive
2024/790/UE ne repart pas de zéro. Elle s’appuie sur le socle MiFID II et y
greffe une exigence nouvelle : la surveillance active du contenu des
enregistrements. L’organe de direction doit approuver la politique de
surveillance, en recevoir le rapport, et répondre de son effectivité. Ce n’est
plus un sujet de responsable conformité. C’est un sujet de gouvernance.
Un établissement qui
dispose d’enregistrements mais ne met pas en place de dispositif de
surveillance active de leur contenu manque aux exigences de la Directive
2024/790/UE. L’enregistrement seul, aussi exhaustif soit-il, n’est plus
suffisant.
Précision : La Directive
2024/790/UE porte les obligations de surveillance active et la responsabilité
de l’organe de direction. Le Règlement 2024/791/UE révise MiFIR sur la
transparence et le reporting. Leur transposition nationale (RTS/ITS) est en
cours selon les États membres — à vérifier auprès de votre conseil juridique.
Qui est concerné — et
la réponse surprend
Le champ d’application
couvre toutes les entités qui exécutent des ordres ou fournissent des services
d’investissement au sens de l’annexe I de la Directive 2014/65/UE — banques,
sociétés de gestion, mais aussi corporates dotés de desks de trading propre,
entités industrielles sur les marchés de matières premières, certaines
structures d’assurance. Des acteurs qui n’ont pas tous structuré leur
conformité autour de cette réalité.
Les sanctions prévues
atteignent jusqu’à 10 % du chiffre d’affaires annuel mondial ou 5 millions
d’euros pour les personnes morales [Dir. 2024/790/UE] — des montants qui
placent ce sujet à l’agenda des comités exécutifs, pas seulement des
responsables conformité.
« Enregistrer sans
surveiller, c’est constituer une archive que personne n’exploite. MiFID III
impose d’en exploiter le contenu. »
Le vrai défi :
surveiller à l’échelle du volume réel
L’article 76(6) du
Règlement délégué 2017/565/UE impose déjà des contrôles réguliers des
enregistrements, « proportionnés et basés sur les risques ». MiFID III va plus
loin en imposant une surveillance active du contenu. Un établissement de taille
moyenne produit plusieurs milliers d’heures d’enregistrement chaque mois. Les
équipes conformité ne peuvent couvrir, au mieux, que 1 à 3 % du volume par
écoute manuelle. L’exigence d’exhaustivité posée par l’article 76(10) ne peut
être atteinte par ce seul moyen.
La réponse scalable est
l’analyse automatisée : traitement du langage naturel, identification de la
contrepartie et de l’actif discuté, détection des situations à risque calibrée
par métier — asset management, intermédiation, banque privée. Ces technologies
permettent d’analyser 100 % des enregistrements et d’identifier les signaux à
risque : manipulation de cours ou abus d’information privilégiée au sens du
Règlement (UE) 596/2014 [Art. 12 et 14], obligation de déclaration de
transaction suspecte [Art. 16(1) MAR], manquements au devoir de conseil [Dir.
2014/65/UE Art. 24-25], défaillances d’exécution au mieux [Art. 27-28].
L’IA ne remplace pas le
jugement du responsable conformité. Elle lui fournit la surface d’analyse
qu’aucune équipe humaine ne peut couvrir seule. La décision finale — déclarer,
escalader, clore — reste humaine et documentée.
Un point rarement
mentionné, mais décisif : la souveraineté des données. Dans le secteur
financier, confier l’analyse de ses communications à une infrastructure hors de
France n’est pas un choix technique anodin. C’est un risque de gouvernance à
part entière.
Trois questions que
tout dirigeant doit se poser avant fin juin
AUTOCHECKLIST ·
CONFORMITÉ MiFID III
1. Votre politique
d’enregistrement est-elle écrite, approuvée par votre organe de direction et
régulièrement évaluée ?
L’article 76(1) exige
une politique écrite adaptée à la taille et à l’organisation de l’entreprise.
L’article 76(2) impose la supervision effective de l’organe de direction.
L’article 76(3) impose une réévaluation régulière.
2. Pouvez-vous attester
de la qualité, de l’exactitude et de l’exhaustivité de tous vos enregistrements
?
Ce triple impératif est
exigé par l’article 76(10) du Règlement délégué 2017/565/UE. Les
enregistrements doivent de plus être stockés sur un support durable, non
modifiable et non effaçable.
3. Disposez-vous d’un
dispositif de surveillance active du contenu de vos enregistrements, documenté
et approuvé par votre organe de direction ?
C’est l’exigence
centrale de la Directive 2024/790/UE (MiFID III). L’absence d’un tel dispositif
constitue un manquement autonome, indépendant de la qualité des enregistrements
eux-mêmes.
Un changement de
paradigme, pas une mise à jour technique
MiFID II a créé
l’obligation d’enregistrer. MiFID III crée l’obligation de comprendre ce qui a
été enregistré. Ce glissement est fondamental. Il transforme une contrainte
technique en exigence de vigilance active, permanente et documentée.
Ce que nous observons
déjà chez les établissements les mieux préparés : cette exigence, bien
outillée, cesse d’être une contrainte pour devenir un levier. Reconstruire
automatiquement les échanges ayant mené à l’exécution d’un ordre, détecter une
insatisfaction client avant qu’elle ne devienne un litige, identifier un écart
de process en temps réel — autant d’informations que les directions métier
réclament, indépendamment de toute obligation réglementaire. La conformité ne
doit pas être subie. Elle peut devenir un outil de pilotage.
Les solutions qui
survivront à cette évolution sont celles qui font le pont entre la conservation
imposée par l’article 76 du Règlement délégué 2017/565 et la surveillance
active exigée par la Directive 2024/790. Entre l’archive et la preuve.
La fin juin 2026 n’est
pas une date limite pour s’équiper. C’est une date limite pour être en mesure
de démontrer.
Les établissements qui l’abordent sans dispositif de surveillance automatisée
documenté ne prennent pas seulement un risque réglementaire — ils s’exposent à
une asymétrie d’information avec leur régulateur que le premier contrôle rendra
visible.
La conformité ne protège pas ceux qui l’affichent. Elle protège ceux qui peuvent la prouver.