MIFID I permettait une certaine latitude au niveau de chaque pays membre concernant les obligations relatives à l’enregistrement des conversations téléphoniques et des conversations électroniques (conversations ayant pu aboutir à une transaction financière), MIFID II impose dorénavant l’enregistrement de ces conversations téléphoniques et électroniques.
Concernant le « record keeping » en lui-même (conservation des données), MIFID II hérite des obligations MiFID I, et ajoute aussi quelques nouveautés.
Les obligations de record keeping déjà présentes sous MIFID I sont les suivantes :
- périmètre : chaque ordre client et chaque décision relative à une transaction ; chaque transaction ;
- ces enregistrements doivent être conservés 5 ans ;
- ils doivent demeurer accessibles pour les autorités compétentes : accès immédiat le cas échéant ; fichier permettant de reconstituer chaque étape de la transaction, devant contenir l’ensemble des informations afférentes aux modifications éventuelles, sécurisé ne pouvant pas être modifié a posteriori (typiquement via le stockage dans une archive WORM « Write Once, Read Many ») ;
- les autorités compétentes établissent la liste des données qui doivent être conservées.
- article 16 : « An investment firm shall arrange for records to be kept of all services, activities and transactions undertaken by it which shall be sufficient to enable the competent authority to fulfil its supervisory tasks and to perform the enforcement actions under this Directive, Regulation (EU) No 600/2014, Directive 2014/57/EU and Regulation (EU) No 596/2014, and in particular to ascertain that the investment firm has complied with all obligations including those with respect to clients or potential clients and to the integrity of the market » ;
- ainsi il est requis de communiquer une information suffisante pour que les régulateurs puissent effectuer leurs contrôles en relation avec les abus de marché et la protection des clients ; il est donc induit que les régulateurs pourront utiliser ces informations dans le cadre de leurs contrôles, y compris pour contrôler la conformité à ces réglementations connexes.
- les PSI doivent avoir une organisation effective afin d’être en conformité avec les obligations de record keeping ;
- le management des PSI doit exercer un contrôle effectif sur la politique et les procédures relatives à ces obligations ;
- les PSI doivent avoir une politique précise concernant l’enregistrement des conversations, et doivent avoir déterminé quelles communications rentrent dans le périmètre des enregistrements ;
- ces procédures ne doivent pas adhérer à des technologies particulières afin de pouvoir être mise à jour au gré des évolutions technologiques ;
- les PSI doivent former leurs collaborateurs sur ces sujets ;
- les PSI doivent surveiller périodiquement leurs enregistrements afin d’assurer la Conformité des communications ;
- les PSI doivent être en mesure de présenter leur dispositif (politique, procédures et surveillance effective du management) auprès des autorités compétentes.
L’obligation de surveillance périodique pour assurer la conformité des communications est sujette à interprétation quant à la périodicité, mais dans tous les cas, celle-ci devra être justifiée au sein du dispositif.
