Régulation et conformité : Recodification des règles d’organisation interne : l’arrêté du 3 novembre 2014 relatif au contrôle interne *

Le règlement CRBF n° 97-02 relatif au contrôle interne vient d’être abrogé [1] . Véritable code de l’activité bancaire, il avait fait l’objet de très nombreuses modifications, d’importance variable, depuis son adoption en 1997 [2] . Le règlement CRBF n° 97-02 avait été victime des réformes incessantes en la matière, de telle sorte qu’il avait depuis longtemps perdu son allure d’ origine [3] . Saisissant l’occasion du big-bang réglementaire réalisé par les autorités européennes en juin 2013, avec l’adoption du règlement CRR [4] et de la directive CRD 4 [5] , le législateur a décidé de rénover cette petite bible des établissements bancaires et financiers. Il avait déjà pris soin d’ajuster le droit français, avec une réactivité remarquable, dès juin 2013 [6] puis en février 2014 [7] . Mais il devait encore préciser les modalités d’application de nombreux dispositifs avant le 1er janvier 2015. Le législateur a saisi l’occasion pour procéder, grâce à l’arrêté du 3 novembre 2014, à une véritable « recodification » des textes relatifs au contrôle interne dans les secteurs bancaire et financier, mais aussi à leur « fortification », donnant naissance à un petit monstre de 279 articles.
L’arrêté va donc devenir le nouveau livre de chevet des opérateurs bancaires et financiers. Il est l’oeuvre de Bercy, le ministre de l’ économie [8] s’étant vu transféré depuis 2003 le pouvoir réglementaire auparavant dévolu au Comité de la réglementation bancaire et financière (« CRBF [9] »). Le monde bancaire va devoir l’assimiler rapidement, car il est applicable depuis le 6 novembre 2014. Il n’y a que pour la mise en place de nouveaux dispositifs de gouvernance, qui font une large place à la comitologie, que les établissements ont bénéficié d’un petit délai (1er janvier 2015).
Le règlement CRBF n° 97-02 a donc rejoint la loi du 24 janvier 1984 au Panthéon des grands textes du secteur bancaire. Mais son esprit perdure, puisque son contenu est quasi intégralement repris par l’arrêté du 3 novembre 2014, qui ce faisant l’enrichit, en précisant les nouvelles obligations prudentielles résultant du Règlement européen et en fixant les modalités d’application des nouvelles règles de gouvernance des établissements de crédit. Si l’arrêté introduit des nouveautés, il se situe néanmoins dans la continuité du règlement n° 97-02. Pour les juristes et acteurs de la conformité, il faudra retenir que ses innovations majeures tiennent à l’organisation de la gouvernance, notamment par la mise en place de comités spécialisés, ainsi qu’à la création d’une véritable autonomie entre les fonctions de contrôle interne et l’exécutif.

DANS LA CONTINUITÉ DU RÈGLEMENT 97-02 : LE PRUDENTIEL

L’arrêté du 3 novembre se situe évidemment dans la lignée du règlement n° 97-02 ; il en est même l’héritier direct. Il prévoit que « la référence au règlement du comité de la réglementation bancaire et financière n° 97-02 du 21 février 1997 est remplacée par une référence au présent arrêté » et énumère les dispositions réglementaires concernées par cette substitution [10] . De même et par extension, toutes les précisions qui ont pu être apportées par l’autorité de contrôle – Commission bancaire, puis ACP devenue ACPR – dans le cadre de ses instructions, de ses positions ou des décisions de sanctions prises sous l’empire du règlement du 97-02 ont vocation à perdurer sous l’empire du nouvel arrêté.
La filiation entre les deux textes est aussi spirituelle. Comme le règlement CRBF n° 97-02, l’arrêté du 3 novembre 2014 procède de l’internationalisation du droit bancaire français. L’ancien texte incarnait en effet les sources internationales du droit bancaire, puisqu’il transposait fidèlement en droit français les « principes fondamentaux pour un contrôle bancaire efficace » formulés par le Comité de Bâle en 1997 et réactualisés à maintes reprises par la suite [11] . Il a permis à la France de se mettre aux normes des standards internationaux, et de faire figure de bon élève en la matière. De ce fait, le règlement n° 97-02 était aussi le vecteur de réception des normes de droit souple dans le droit positif (« droit dur »). Comme lui, l’arrêté du 3 novembre décalque les règles venues d’ailleurs, du droit européen bien sûr, mais aussi du comité du Bâle, dont les textes européens sont eux-mêmes le relais.
Sur le fond et si l’on adopte une perspective historique, l’arrêté prolonge aussi le mouvement de « prudentialisation » du secteur bancaire et financier. Il illustre la part croissante prise par les règles prudentielles dans la réglementation bancaire, et de ce fait dans l’accomplissement des opérations quotidiennes et l’organisation opérationnelle des banques et des autres acteurs assujettis. Le texte fait ainsi place aux nouveaux dispositifs de gestion du risque de liquidité [12] , étend à de nouveaux risques (de base, de dilution, de titrisation, systémique, lié au modèle, de levier excessif [13] ) le périmètre des systèmes de mesure des risques, et précise les méthodes d’évaluation et de suivi des risques de crédit et de marché que les établissements sont supposés mettre en place [14] .
Mais, les juristes le savent mieux que quiconque, cette « prudentialisation » n’affecte pas seulement la comptabilité bancaire. Elle se développe dans tous les pans de l’activité, en imposant une prise en compte des risques dans l’ensemble des domaines d’intervention des acteurs du monde bancaire et financier. Aussi s’il s’est d’abord agi de prévenir les risques financiers, les risques opérationnels et juridiques ne sont aujourd’hui pas en reste.

DANS LA CONTINUITÉ DU RÈGLEMENT 97-02 : LE RISQUE JURIDIQUE

Pour le lecteur de Banque et Droit, attaché au service juridique, au service conformité ou au Secrétariat général d’un établissement, le nouveau texte présente donc aussi une importance certaine. Bien qu’il consacre une grande place aux obligations prudentielles des établissements de crédit et concerne en premier lieu les services chargés de la gestion des risques, il comporte également de nombreuses implications juridiques.
D’abord, parce qu’il est le siège d’un certain nombre d’obligations disciplinaires qui peuvent donner lieu à des sanctions de la part de l’ACPR et désormais, pour les plus grandes banques, de la BCE. Depuis 1997, la qualité du système de contrôle interne est devenue l’outil principal de prévention des risques. Partant, elle constitue l’un des éléments contrôlés par l’ACPR et provoque des sanctions fréquentes sur le terrain disciplinaire. L’arrêté du 3 novembre donnera de nouveaux leviers de contrôle à cette autorité, puisqu’il renforce l’objet du contrôle interne (voir infra).
Plus précisément, les juristes et les services conformité sont principalement concernés par deux types de dispositions. Le risque juridique reste défini comme « le risque de tout litige avec une contrepartie, résultant de toute imprécision, lacune ou insuffisance susceptible d’être imputable à l’entreprise assujettie au titre de ses opérations [15] ». Il est présenté comme une composante du risque opérationnel qui doit être surveillé et maîtrisé [16] , ce dont les juristes ont quotidiennement la charge. Ceux qui sont chargés de mettre en place les contrats, la documentation des produits et d’accompagner la mise en place des dossiers et le montage de nouveaux projets sont aussi intéressés par les règles relatives à l’externalisation des prestations de services essentielles qui sont préservées [17] . Relevons que comme auparavant, la fourniture de conseils par des cabinets d’avocats ne relève pas de ce régime [18] .
Le risque juridique est donc toujours partie intégrante du risque de non-conformité, qui demeure « le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou d’atteinte à la réputation, qui naît du non-respect de dispositions propres aux activités bancaires et financières, qu’elles soient de nature législative ou réglementaire, nationales ou européennes directement applicables, ou qu’il s’agisse de normes professionnelles et déontologiques, ou d’instructions des dirigeants effectifs prises notamment en application des orientations de l’organe de surveillance [19] ». Soulignons que la mention « des normes professionnelles et déontologiques » conduit à prendre en considération un certain nombre de dispositions de droit « souple » qui, per se, ne revêtent pas une « juridicité » particulière mais qui, au travers du superviseur, peuvent devenir source de risques [20] .
La prévention et la maîtrise du risque de non-conformité continuent d’être confiées à un responsable dédié dont l’identité doit être communiquée à l’ ACPR [21] . Les juristes sont également chargés de suivre l’évolution de l’environnement économique et juridique qui participe, comme par le passé, du risque de crédit [22] .
Puisqu’il n’y a pas de changement à souligner dans ces secteurs, c’est donc sans doute aux juristes chargés de fonctions plus institutionnelles qu’incombera le plus gros travail d’assimilation, parce que l’arrêté alourdit l’organisation des établissements.

DANS LA CONTINUITÉ DU RÈGLEMENT 97-02 : RENFORCEMENT DU CONTRÔLE INTERNE

L’arrêté du 3 novembre élargit le champ d’application et le domaine du contrôle interne et accentue ce faisant la complexité institutionnelle des acteurs du domaine bancaire et financier.
Comme le règlement n° 97-02, l’arrêté du 3 novembre a vocation à irradier, au-delà des activités bancaires et des services d’ investissements [23] , une sphère périphérique : les acteurs parabancaires, comme les établissements de paiement, sont ainsi soumis à une partie des obligations relatives au contrôle interne [24] . Le nouvel arrêté parachève aussi l’application du dispositif aux établissements électroniques qui avait été réalisée suite à l’adoption de la loi du 28 janvier 2013 transposant la deuxième directive relative à la monnaie électronique [25] . À cet égard, il renforce le dispositif de lutte contre le blanchiment de capitaux sur les opérations réalisées en monnaie électronique [26] . De même, l’arrêté étend-il les règles de contrôle interne aux sociétés de financement, qui ont vu le jour à la suite de l’adoption du règlement CRR [27] .
Ensuite, il poursuit aussi le mouvement de complexification induit par la mise en place d’un système de contrôle des risques, en élargissant les risques visés. Les mesures de contrôle permanent et périodique qui portaient jusqu’ici sur la taille, les implantations et la nature des activités, doivent être étendues pour tenir compte de la nature, de l’échelle et de la complexité des risques inhérents au modèle d’ entreprise [28] . Les établissements devront également mettre en place un système de suivi des risques opérationnels [29] .

NOUVEAUTÉ PRÉCISÉE PAR L’ARRÊTÉ DU 3 NOVEMBRE : LA GOUVERNANCE PAR LA COMITOLOGIE

Au-delà de la reprise et du renforcement des dispositions du règlement CRBF n° 97-02, l’arrêté du 3 novembre a surtout pour objet d’achever la transposition de la directive CRD 4 en matière de gouvernance, en précisant les textes relatifs aux organes de direction et à la rémunération des membres de la direction générale, des preneurs de risques, des personnes exerçant une fonction de contrôle et des salariés ayant des rémunérations équivalentes [30] . La directive CRD 4 [31] a en effet imposé une adaptation du droit interne qui a été opérée en 2014 à la fois au niveau législatif, par l’intégration de nouvelles règles au sein du Code monétaire et financier [32] , et au niveau réglementaire [33] . Différentes dispositions légales prévoyaient ainsi l’adoption de ce nouvel arrêté [34] .
De manière quelque peu formelle, et pour assurer l’arrimage au terreau européen, l’arrêté substitue les notions d’organe exécutif et d’organe délibérant, employées dans le règlement CRBF n° 97-02, par celles de dirigeants effectifs [35] et d’organe de surveillance, tirées de la CRD 4 [36] .
Mais l’innovation principale de l’arrêté résulte de la mise en application du dispositif de comitologie prévu par la CRD 4 pour les grands établissements. Les entreprises assujetties devront ainsi constituer trois comités distincts, dès lors que le total de leur bilan social ou consolidé est supérieur à 5 milliards d’ euros [37] . Ces trois comités sont supposés être constitués, depuis le 1er janvier 2015, par le conseil d’administration, le conseil de surveillance ou tout autre organe exerçant des fonctions de surveillance équivalentes [38] .
Le comité des risques devait déjà être institué sous l’empire du règlement CRBF n° 97-02, mais n’était pas imposé par les textes européens. Aujourd’hui, ce comité « conseille le conseil d’administration, le conseil de surveillance ou tout autre organe exerçant des fonctions de surveillance équivalentes sur la stratégie globale de l’établissement de crédit ou de la société de financement et l’appétence en matière de risques, tant actuels que futurs » et exerce toutes sortes de missions en matière de politique des risques [39] . Il gagne mécaniquement en importance par rapport au passé, puisque les obligations prudentielles des établissements ont été multipliées. Corrélativement, l’arrêté procède au recentrage des missions du comité d’audit qui était jusque-là compétent en matière de risques. Sa mission est désormais cantonnée au contrôle de l’information financière [40] .
Le deuxième comité, le comité des nominations [41] , est chargé d’identifier et de recommander au conseil d’administration, au conseil de surveillance ou à tout autre organe exerçant des fonctions de surveillance équivalentes, des candidats aptes à l’exercice des fonctions d’administrateur, de membre du conseil de surveillance ou de tout autre organe exerçant des fonctions de surveillance équivalentes, en vue de proposer leur candidature à l’assemblée générale. Il fixe la politique en matière de nominations [42] .
Enfin, le comité des rémunérations était déjà prévu par la CRD 3, mais la CRD 4 a élargi sa compétence [43] . Il est non seulement chargé de préparer « les décisions que le conseil d’administration, le conseil de surveillance ou tout autre organe exerçant des fonctions de surveillance équivalentes arrête concernant les rémunérations, notamment celles qui ont une incidence sur le risque et la gestion des risques dans l’établissement de crédit ou la société de financement [44] », mais aussi de mettre en place la politique de rémunération résultant de la CRD 4 et d’en assurer le suivi [45] .
La loi prévoyait que pour la mise en place de ces comités, un arrêté préciserait les critères des établissements d’importance significative. C’est donc chose faite.

NOUVEAUTÉS INTRODUITES PAR L’ARRÊTÉ DU 3 NOVEMBRE : L’INDÉPENDANCE DES FONCTIONS DE CONTRÔLE

En instituant un dispositif de contrôle interne, le règlement CRBF n° 97-02 a été synonyme de complexification à la fin des années quatre-vingt-dix. L’organisation de la banque s’est trouvée alourdie par l’apparition de nouveaux organes, de nouveaux départements, de nouveaux responsables et de nouvelles fonctions. Ce faisant, ce sont toutes les procédures, toutes les prises de décisions qui sont devenues plus compliquées. Concrètement, les établissements ont dû se doter de service de contrôle de risque et de service de conformité [46] . À l’époque, de nombreux travaux avaient été consacrés à la mise en place du contrôle interne [47] et le diagnostic posé quelques années après a donné lieu à des bilans globalement positifs [48] .
L’arrêté apporte à cet égard différents changements. Le premier, d’ordre sémantique, traduit là aussi une nouvelle montée en puissance de l’attention portée au risque : la « filière risques » devient « fonction de gestion des risques ». Mais la principale modification touche au fond et vise à renforcer les organes de contrôle interne en assurant leur autonomie par rapport à l’exécutif. Le responsable de la fonction de gestion des risques est désormais pleinement indépendant de l’exécutif : il peut notamment saisir directement le comité des risques ou l’organe de surveillance sans en référer aux dirigeants effectifs [49] et ne peut être démis sans accord de l’organe de surveillance [50] . De même, le responsable de la conformité est directement rattaché à l’organe de surveillance et au comité des risques [51] .

CONCLUSION

La refonte des règles relatives au contrôle interne qui a été opérée par l’arrêté du 3 novembre 2014 a donc une importance considérable pour l’activité des banques au quotidien. Même si l’arrêté reprend globalement le règlement 97-02, en l’enrichissant de règles clairement identifiées, sa portée ne pourra être pleinement mesurée qu’avec le temps.

La chronique Régulation et conformité est assurée par Myriam Roussille, Martine Boccara et Emmanuel Jouffin.

1 Arrêté précit., art. 278. 2 La soussignée a pu en recenser au moins treize. 3 À tel point qu’on avait pu le comparer à la hache d’Abraham Lincoln, qui avait été utilisée par le président américain en 1862, mais dont le manche avait été remplacé en 1900 et la lame 1930 : T. Samin, « Les nouvelles obligations pesant sur les établissements de crédit et les entreprises d’investissement en cas d’externalisation d’activités », Banque et Droit n° 101, mai-juin 2005, p. 3, spéc. p. 9. 4 Règlement n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement (« CRR »). 5 Directive du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement du 26 juin 2013 (directive « CRD 4 »). 6 Ord. n° 2013-544 du 27 juin 2013 relative aux établissements de crédit et aux sociétés de financement : T. Bonneau, « La réforme des établissements de crédit - Commentaire de l’ordonnance du 27 juin 2013 », JCP E 2013, 1429. 7 Ord. n° 2014-158 du 20 fév. 2014 portant diverses dispositions d’adaptation de la législation au droit de l’Union européenne en matière financière : M.-A. Nicolet, « Gouvernance et fonctions de gestion des risques : Les avancées de la transposition de CRD 4 », Revue Banque n° 773, mai 2014 ; J.-J. Daigre, « Réforme de la gouvernance des établissements : Séparation et professionnalisation des pouvoirs », Revue Banque n° 772, avr. 2014. 8 C. monét. fin., art. L. 611-1. Le pouvoir réglementaire conféré au ministre de l’Économie inclut celui d’abroger des règlements du CRBF, ce qui a été expressément prévu par le législateur : C. monét. fin., art. L. 611-7. 9 Loi n° 2003-706 du 1er août 2003 de sécurité financière, art. 28 II. 10 Arrêté précit., art. 277. 11 Voir en dernier lieu : Comité de Bâle sur le contrôle bancaire, Principes fondamentaux pour un contrôle bancaire efficace, sept. 2012 (publication BRI) : http://www.bis.org/publ/bcbs230_fr.pdf. 12 Arrêté précit., art. 148 à 186. 13 Arrêté précit., art. 10 et 95 et s’agissant du risque de levier excessif, art. 211 à 213. 14 Arrêté précit., art. 114 et 122. 15 Arrêté précit., art. 10 k) 16 « Les entreprises assujetties se dotent des moyens adaptés à la maîtrise des risques opérationnels, y compris juridiques » : Arrêté précit., art. 216. 17 Pour une présentation très détaillée de ce dispositif : T. Samin, art. précit. 18 Arrêté précit., art. 10 r). 19 Arrêté précit., art. 10 p). 20 La jurisprudence admet qu’une norme n’ayant pas nécessairement une portée contraignante peut néanmoins produire des effets juridiques au motif que l’existence d’une norme permet de représenter un état de l’art dans le domaine auquel elle se rapporte (Cass. Civ. 3e ch., 4 févr. 1976, pourvoi n° 74-12643, Bull. civ. III, n° 49). 21 Arrêté précit., art. 28. Le responsable de la conformité est chargé de veiller à la cohérence et à l’efficacité du contrôle du risque de non-conformité. 22 Arrêté précit., art. 117. 23 Les entreprises d’investissement, autre que les sociétés de gestion de portefeuille, sont également tenues de respecter les règles du nouvel arrêté concernant l’organisation et le contrôle interne (C. monét. fin., art. L. 533-29, al. 2) ainsi que les comités spécialisés (C. monét. fin., art. L. 533-31, al. 2). 24 Arrêté précit., art. 273 : Les établissements de paiement et les établissements de monnaie électronique ne sont pas soumis aux articles 104, 105 et 122 à 213. Les établissements de paiement et les établissements de monnaie électronique qui n’octroient pas de crédit ne sont pas soumis aux articles 106 à 121. 25 Loi n° 2013-100 du 28 janvier 2013 portant diverses dispositions d’adaptation de la législation au droit de l’Union européenne en matière économique et financière, spéc. 26 Arrêté précit., art. 67. Depuis l’arrêté du 2 mai 2013 portant sur la réglementation prudentielle des établissements de monnaie électronique, ceux-ci sont soumis aux dispositions du règlement n° 97-02. À cet égard, P. Storrer, Droit de la monnaie électronique, Éd. Banque, coll. « Droit », 2014, n° 172. 27 Règlement n° 575/2013 précit., Ord. n° 2013-544 du 27 juin 2013, précit. 28 Arrêté précit., art. 24. 29 Arrêté précit., art. 214 et 215. 30 Le législateur français devait parachever la transposition de l’article 74 « Gouvernance interne et plans de redressement et de résolution », de l’article 88 « Dispositifs de gouvernance », de l’article 91 « Organe de direction », de l’article 92 « Politiques de rémunération », de l’article 94 « Éléments variables de la rémunération » et de l’article 95 « Comité de rémunération » de la directive du 26 juin 2013. 31 Dir. précit. 32 Ord. n° 2014-158, précit. 33 Le volet réglementaire a fait en partie l’objet du décret en Conseil d’État n° 2014-1315 du 3 novembre 2014 et du décret simple n° 2014-1316 du 3 novembre 2014, qui tous deux portent diverses dispositions d’adaptation au droit de l’Union européenne en matière financière et relatif aux sociétés de financement. 34 Il s’agit notamment des règles d’organisation et de contrôle interne (C. moné. fin., art. L. 511-70). 35 Cf. Position 2014-P-07 du 20 juin 2014 relative à la désignation des « dirigeants effectifs ». 36 Arrêté précit., art. 10 a) et b), 242 et s. 37 Arrêté précit., art. 104. 38 C. monét. fin., art. L. 511-89, al. 1. 39 C. monét. fin., art. L. 511-93 à L. 511-95. 40 Les dispositions relatives au comité d’audit dont la mise en place était facultative sont également supprimées. Toutefois, le comité d’audit demeure une obligation au titre de l’article L. 823-19 du Code de commerce. 41 C. monét. fin., art. L. 511-89 et L. 511-98 à L. 511-101. 42 C. monét. fin., art. L. 511-98 à L. 511-101. En la matière, les exigences relatives à la représentation équilibrée des femmes au sein des conseils sera sans nul doute l’une des préoccupations importantes de ces comités. 43 La directive CRD 4 impose aux États de membres d’obliger les établissements de crédit à mettre en place un comité des rémunération, ce que le législateur français a donc prévu par l’ordonnance du 20 février 2014 : C. monét. fin., art. L. 511-102. 44 C. monét. fin., art. L. 511-103. 45 C. monét. fin., art.L. 511-102. 46 Les services de conformité sont, dans la pratique rattachés soit au département de contrôle des risques, soit aux secrétariats généraux. 47 Voir le numéro consacré au règlement dans Banque et Stratégie, n° 140, juill. 1997 et notamment Y. Perrier, « Les efforts d’adaptation des banques françaises au règlement 97-02 » ; du même auteur, « Les banques adoptent le règlement 97-02 et renforcent leur contrôle interne », Revue Banque n° 594, juill. 1998. 48 S. Mathérat, « Un bilan globalement positif de l’application du règlement n° 97-02 », Banque et Stratégie n° 167, janv. 2000. 49 Arrêté précit., art. 77 50 Arrêté précit., art. 83. 51 Arrêt précit., n° 31.