De la banque FinTech

Contexte. Un premier Guide est paru en mars 2018 (le « Guide de mars 2018 ») ^[1] , suivi, en septembre, d’une partie 2 sous forme de Projet contenant des recommandations spécifiques en termes d’exigences de fonds propres et de programme d’activités ^[2] . Parallèlement, paraissait en ce mois de janvier 2019 la seconde édition révisée du Guide BCE relatif à l’évaluation des demandes d’agrément, portant sur les informations générales concernant les demandes d’agrément (le « Guide de janvier 2019 »).
Il nous a semblé intéressant de relever ces différents documents, surtout le premier, dans la mesure où cette approche FinTech devrait « infuser » à brève échéance, croyons-nous, le contrôle prudentiel des prestataires de services de paiement FinTech eux-mêmes. On lira d’ailleurs en marge de ces différentes publications de la BCE, deux études récentes de l’ACPR, l’une sur la révolution numérique dans le secteur bancaire français ^[3] , l’autre sur les modèles d’affaires des banques en ligne et des néobanques ^[4] ; preuve, manifestement, que le modèle FinTech (ou néobanque) tend à détacher les établissements qui le pratiquent de leur catégorie d’origine (établissement de crédit, entreprise d’investissement, établissement de monnaie électronique, établissement de paiement).
On s’attendait donc à ce que les banques FinTech fassent l’objet d’« attentes prudentielles » différentes de celles des établissements de crédit traditionnels, différentes des strictes exigences de la CRD 4 et du CRR ; du moins, à ce que ces règles soient appliquées différemment, ne serait-ce que « proportionnellement » ^[5] . Mais non ! : « Les banques FinTech doivent être soumises aux mêmes normes que tous les autres types d’établissement de crédit », plaide le Guide de mars 2018 ^[6] . À quoi bon, alors, les distinguer, si c’est pour faire peser sur elles les mêmes règles bancaires ^[7] ? À moins que cela signifie, et ce serait un comble : mêmes normes que les établissements de crédit et, de surcroît, d’autres normes propres à leurs caractéristiques essentielles. Le Comité de Bâle sur le contrôle bancaire n’avait-il pas pourtant prévenu : « Cependant, des règles et critères prescriptifs, mis au point bien avant que de nombreuses technologies actuellement utilisées ne soient même envisagées, pourraient créer des barrières indues ou involontaires » ^[8] ?
Définition de la banque FinTech. Aux termes du Guide de janvier 2019, un établissement de crédit s’entend au sens du CRR (article 4, 1, alinéa 1er ) comme « une entreprise dont l’activité consiste à recevoir du public des dépôts ou d’autres fonds remboursables et à octroyer des crédits pour son propre compte » (p. 8). Quel que soit donc le modèle pratiqué (classique ou FinTech), et malgré l’absence de définition de ces deux composantes dans la CRD 4 ou le CRR, un établissement est de crédit s’il cumule la réception de dépôts (ou d’autres fonds remboursables) et l’octroi de crédit.
La banque FinTech répond à la même définition, à ceci près qu’elle présente « un modèle d’activité dans le cadre duquel la production et la fourniture de produits et de services bancaires reposent sur l’innovation de nature technologique » ^[9] . Partant, deux cas de figure sont en particulier visés par le Guide BCE de mars 2018 : les nouvelles filiales FinTech de banque existantes, d’une part, et les nouveaux opérateurs de marché ou prestataires de services financiers qui soit adoptent l’innovation technologique pour concurrencer les banques traditionnelles, soit « montent » dans la chaîne de valeur pour étendre leur offre aux activités bancaires.
Quant à la notion même de FinTech, tant la BCE que le Comité de Bâle choisissent de se référer à la définition donnée par le Conseil de stabilité financière (ou Financial Stability Board, sorte de « bras séculier du G20 », en charge essentiellement de la mise en œuvre des recommandations de celui-ci en matière de réglementation financière ) qui, dans son rapport Financial Stability Implications from FinTech, du 27 juin 2017, retenait que « FinTech is defined as technology-enabled innovation in financial services that could result in new business models, applications, processes or products with an associated material effect on the provision of financial services » (p. 7).
Exigences prudentielles. En quoi, dès lors, l’évaluation prudentielle des demandes d’agrément des banques FinTech diffère-t-elle de celle des autres ? Davantage de souplesse dans la mise en œuvre des « exigences dures » de la CRD 4, quitte à en renforcer d’autres liées à l’innovation technologique qui caractérise de tels opérateurs ? Eh bien non, ce sont au contraire des contraintes supplémentaires (pas « autres », mais bien « supplémentaires ») qui pèseraient sur les banques FinTech plutôt que l’inverse.
Une banque FinTech est-elle exposée à un « risque informatique » particulier, au sens récemment dégagé par l’ACPR : « Le “risque informatique” (ou “risque des technologies de l’information et de la communication – TIC”, ou “risque du système d’information”) correspond au risque de perte résultant d’une organisation inadéquate, d’un défaut de fonctionnement, ou d’une insuffisante sécurité du système d’information, entendu comme l’ensemble des équipements systèmes et réseaux et des moyens humains destinés au traitement de l’information de l’institution »  ? À l’évidence, puisque la « valeur FinTech » est par définition technologique, technologie elle-même porteuse de « cyber-risques » particuliers . À quoi, toutefois, les acteurs FinTech objecteraient volontiers qu’ils sont innovants « by design » et possèdent par nature les réflexes de « cyber-résilience ». Mais peu importe pour la BCE : les membres de l’organe de direction (fonctions exécutive comme de surveillance) doivent non seulement disposer de connaissances, de compétences et d’expériences pratiques et théoriques indispensables aux activités bancaires et/ou financières, conformément à la section 5.3 du Guide de janvier 2019 (pp. 26 et s.) ; et, « en outre, étant donné que les banques FinTech disposent de modèles d’activité axés sur la technologie, les connaissances, les compétences et l’expérience dans le domaine technique sont tout aussi nécessaires que les connaissances, les compétences et l’expérience dans le domaine bancaire afin que les membres de l’organe de direction puissent accomplir leurs missions » .
Le sujet des fonds propres, enfin, préoccupe tout particulièrement la BCE. Le business model des banques FinTech est-il plus incertain que celui des établissements de crédit traditionnels ? Elles sont dès lors encouragées à préparer un « plan de sortie » qu’elles soumettront, le cas échéant, aux autorités de surveillance ; plan de sortie qui leur permettra d’identifier comment elles peuvent prendre l’initiative de cesser leurs opérations commerciales, « de façon ordonnée et solvable, sans porter atteinte à ses clients, sans perturber le système financier et sans intervention réglementaire » . La phase de démarrage des banques FinTech est-elle susceptible de comporter des risques accrus de pertes financières et, par voie de conséquence, d’entraîner une baisse progressive des fonds propres ? Des cas se présenteront, lit-on dans le Guide de mars 2018, où « une augmentation des fonds propres au-delà des exigences minimales pourrait être justifiée » . Ni moins, ni autrement, mais plus d’exigences prudentielles : tel est le sentiment qui se dégage de la lecture du Guide de la BCE.

BANQUE – FINTECH – CONTRÔLE PRUDENTIEL – BANQUE CENTRALE EUROPÉENNE.