Souvenez-vous des années 2010, la libéralisation du marché des paiements, l’après DSP, l’apparition de la fintech et son entreprise star Wirecard. Mais voilà, des révélations du Financial Times, que les autorités politiques (le ministre des Finances à l’époque était Olaf Scholtz) et de supervision (la fameuse BaFin) allemandes commencèrent par ignorer, révélèrent ce qui est généralement considéré comme le plus grand scandale financier allemand de l’après-guerre. S’est ouvert, à Munich, le 8 décembre dernier, le procès au long cours (jusqu’en 2024) de l’ex-patron de Wirecard qui, avec d’autres dirigeants, devra justifier de quelque deux milliards d’euros d’actifs fictifs, soit un quart de la taille du bilan de l’entreprise. La déconfiture de Wirecard marquait-elle l’échec de la régulation des paiements ? celui de sa supervision ?
L’ironie de l’actualité veut que l’on parle aujourd’hui d’une autre faillite éclair, celle de la plateforme FTX, à propos de laquelle l’hebdomadaire Le Point titre, la photographie de son fondateur en arrière-plan : « Après Madoff... L’escroc du siècle – 10 milliards partis en fumée ». Avons-nous sous les yeux le Lehman Brothers des crypto-actifs ? le « Bitcoin’s last stand », pour reprendre l’intitulé d’un article à (très grosse) charge de l’ECB Blog1 ? un criant besoin de régulation et de supervision ?
Autant de questions qui paraissent certes légitimes, sauf à se déporter d’un ou deux pas et d’y voir la banalité crasse d’une délinquance d’affaires faisant allègrement fi de la masse des normes prudentielles qui s’abattent sur les nouveaux marchés. Formulons dès lors l’hypothèse que la sobriété à laquelle nous sommes tous appelés gagnerait à toucher également les réglementations et régulations qui nous attendent.
Quand la peur s’empare
des superviseurs
Nos banquiers centraux perdraient-ils à ce point leurs nerfs qu’ils ne pourraient s’empêcher de nous transmettre leur peur ? Du côté de la BCE, on lit par exemple : « After the crisis is before the crisis » (Interview with Mark Branson, Member of the Supervisory Board of the ECB and President of the German Federal Financial Supervisory Authority – Bundesanstalt für Finanzdienstleistungsaufsicht, BaFin –, Supervision Newsletter, 17 November 2022) ; ou, encore : « Resilience in an uncertain environment » (Introductory statement by Andrea Enria, Chair of the Supervisory Board of the ECB, Hearing of the Committee on Economic and Monetary Affairs of the European Parliament, December 1st, 2022).
Les dernières prises de parole du Gouverneur de la Banque de France François Villeroy de Galhau ne sont guère plus rassurantes ; à preuve l’intitulé de son discours d’ouverture de la dernière conférence annuelle de l’ACPR, le 5 décembre 2022 : « Quelle solidité de notre système financier dans la nouvelle donne économique ? ». Quant au titre retenu par l’ACPR sur le programme de sa conférence, il est proprement saisissant : « Le superviseur face à l’incertitude ». Fichtre, les temps sont durs...
Il n’est pas jusqu’au Comité européen du risque systémique (CERS), qui y est allé, pour la première fois depuis sa création en 2010, d’une alerte générale sur les vulnérabilités du système financier de l’Union : « Compte tenu de l’augmentation des risques systémiques pesant sur la stabilité financière, le CERS estime qu’il est nécessaire que les établissements du secteur privé, les acteurs du marché et les autorités concernées continuent de se préparer à la concrétisation de scénarios de risque extrême. Il demeure essentiel de préserver ou de renforcer la résilience du secteur financier de l’Union afin que le système financier puisse continuer à soutenir l’économie réelle en cas de concrétisation des risques pour la stabilité financière. Une coordination étroite entre les autorités concernées ainsi qu’une gestion prudente des risques au sein de l’ensemble des secteurs financiers et de la part de l’ensemble des acteurs du marché demeurent essentielles pour remédier efficacement aux vulnérabilités, tout en évitant la fragmentation du marché et les externalités négatives pour les autres États membres »2. Mais la martingale existe ; elle a pour nom « résilience ».
L’année 2023 sera résiliente... ou ne sera pas
On trouverait difficilement, ces temps-ci, un discours de politique monétaire et financière qui ne prononcerait pas le terme de « résilience », voire qui ne l’érigerait pas en objet principal. Rien que l’alerte précitée du CERS (ou ESRB pour European Systemic Risk Board) s’y réfère à quinze reprises ; alerte à laquelle Christine Lagarde s’est naturellement référée lors de son allocution de bienvenue à la sixième conférence annuelle du Comité, le 8 décembre dernier, intitulée « Macroprudential policy in Europe: building resilience in a challenging environment ».
Alors parlons de résilience. Mais de quoi au fait ? La présidente de la BCE nous dit : « There are two facets of resilience that are vital. First, the capacity to withstand an immediate shock. And second, the ability to adapt effectively to new conditions. » Et donc ? Il se trouve qu’au-delà de ce nouveau mot magique de résilience, se profile la publication prochaine de ce qui serait la première loi « en dur » tout entière consacrée à la résilience : le règlement DORA, dont la proposition fut présentée le 24 septembre 2020 au sein du Digital Finance Package.
Dans sa dernière version adoptée par le Conseil de l’Union européenne, le 17 novembre 2022, le futur règlement sur la résilience opérationnelle numérique du secteur financier définit celle-ci, au paragraphe 1) de son article 3, comme « la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations ».
Étant rappelé que le champ d’application de DORA couvre aussi bien les établissements de crédit que les établissements de paiement et les établissements de monnaie électronique (en ce compris les « établissements exemptés »), les prestataires d’information sur les comptes que les entreprises d’investissements ou les prestataires de services sur crypto-actifs, etc. Nul doute que les directions Conformité ou Compliance desdits établissements se réjouissent déjà (le règlement ne sera applicable que 24 mois et 20 jours après sa publication) à l’idée, bientôt, d’intégrer, dans leurs dispositifs et procédures, la gestion des risques liés aux technologies de l’information et de la communication (TIC) ; la notification, aux autorités compétentes, des incidents majeurs liés aux TIC et la notification, à titre volontaire, des cybermenaces importantes aux autorités compétentes ; la notification aux autorités compétentes des incidents opérationnels ou de sécurité majeurs liés au paiement ; les tests de résilience opérationnelle numérique ; le partage d’informations et de renseignements en rapport avec les cybermenaces et les cybervulnérabilités, et les mesures destinées à garantir la gestion saine du risque lié aux prestataires tiers de services TIC, sans compter les exigences relatives aux accords contractuels conclus avec les prestataires tiers de services TIC.
Résilience du secteur financier, mais aussi des entités critiques, aux termes d’une directive3 et d’une recommandation4 adoptées par le Conseil le 8 décembre, où la résilience est définie comme « la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir », art. 2, 2). Mais ce n’est pas tout.
En plus du règlement DORA, était adoptée par le Conseil en cette fin novembre 2022 une nouvelle directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ou « SRI 2 », qui remplacera l’actuelle directive 2016/1148 sur la sécurité des réseaux et des systèmes d’information5. Son objectif est d’améliorer... la résilience et les capacités de réaction aux incidents des entités publiques et privées, des autorités compétentes et de l’Union dans son ensemble.
Résiliente et durable
La résilience, ces derniers temps, se double volontiers d’une autre incantation : la « durabilité » (sustainability). Or, on commençait à peine à se familiariser avec la notion de « finance durable », au sens où le règlement « Taxonomie » précise ainsi son objet : « Le présent règlement établit les critères permettant de déterminer si une activité économique est considérée comme durable sur le plan environnemental, aux fins de la détermination du degré de durabilité environnementale d’un investissement »6 ; soit une finance durable au sens, même lâche, de développement durable7.
Mais voilà que survient, au terme de son parcours législatif 8, la directive sur la publication d’informations en matière de durabilité des entreprises, dite « CSRD », qui définit de la sorte, désormais, les « questions de durabilité » : « les droits environnementaux, les droits sociaux et les droits de l’Homme, et les facteurs de gouvernance, y compris les facteurs de durabilité définis à l’article 2, point 24), du règlement (UE) 2019/20889 ».
Quant à cette autre proposition de directive sur le devoir de vigilance des entreprises en matière de durabilité et modifiant la directive (UE) 2019/1937 (en version originale, cela donne « Corporate Sustainability Due Diligence », ce qui sonne autrement mieux), aux portes d’une première lecture devant le Parlement européen, elle entend établir rien moins que des règles concernant « les obligations des entreprises10 quant aux incidences négatives réelles et potentielles sur les droits de l’homme et aux incidences négatives sur l’environnement, en ce qui concerne leurs propres activités, les activités de leurs filiales et les activités de leurs partenaires commerciaux dans les chaînes d’activités des entreprises » (art. 1er, 1, a). « Incidences négatives », l’expression est troublante, comme le sont davantage encore les définitions qui leur sont données : est une « incidence négative sur l’environnement », une incidence « résultant de la violation de l’une des interdictions et obligations découlant des conventions internationales en matière d’environnement énumérées à l’annexe, partie II », et une « incidence négative sur les droits de l’Homme », une incidence « sur les personnes protégées résultant de la violation de l’un des droits ou interdictions énumérés à l’annexe, partie I, section 1, tels que consacrés par les conventions internationales énumérées à l’annexe, partie I, section 2 » (art. 3, c).
Passons sur le détail de toutes ces incidences négatives, les responsables Conformité ou Compliance le découvriront bien assez tôt.
En attendant MiCA
On ne peut évoquer DORA sans dire quelques mots de l’autre texte « star » du Digital Finance Package, celui que tout le monde attend et « fantasme » : MiCA, le projet de règlement européen sur les marchés de crypto-actifs (Markets in Crypto-Assets). Aux dernières nouvelles, le texte aurait fait l’objet d’un accord politique provisoire le 30 juin, à l’issue de la phase de négociations interinstitutionnelles (trilogue) entre le Parlement, le Conseil et la Commission européenne, puis aurait été validé le 10 octobre 2022 par la Commission des affaires économiques et monétaires du Parlement européen (ECON).
La dernière version, en anglais, parvenue à notre connaissance date du 5 octobre et contient cette « merveille » de considérant (recital) 9, avec lequel il faudra bien se débrouiller : « This Regulation introduces three sub-categories of crypto-assets that should be distinguished and subject to different requirements depending on the risks they entail. The classification is based on whether crypto-assets seek to stabilise their value by reference to other assets. The first sub-category consists of crypto-assets that aim at stabilising their value by referencing only one official currency. The function of such crypto-assets is very similar to the function of electronic money, as defined in Article 2, point 2, of Directive 2009/110/EC of the European Parliament and of the Council. Like electronic money, such crypto-assets are electronic surrogates for coins and banknotes and are likely to be used for making payments. These crypto-assets are defined as “electronic money tokens” or “e-money tokens” »11.
Qui dit MiCA dit désormais TFR (pour Transfers of Funds Regulation) : un brin de cuistrerie ne nuira pas à la redécouverte du très piégeux règlement (UE) 2015/847 du Parlement européen et du Conseil du 20 mai 2015 sur les informations accompagnant les transferts de fonds ; règlement redécouvert à l’occasion d’une proposition de refonte lancée par la Commission en juillet 2021 et visant, au prétexte de l’intégration des derniers travaux du GAFI (« règle de voyage » ou « travel rule »), à renommer le texte en « règlement sur les informations accompagnant les transferts de fonds et de certains crypto-actifs », illustrant ainsi la volonté du législateur européen d’étendre la « traçabilité » des transferts de fonds aux transferts de crypto-actifs12. À notre connaissance, la proposition de règlement attend sagement sa première lecture par le Parlement européen.
Qui dit TFR, enfin, dit « paquet LCB-FT » du 20 juillet 2021, qui s’annonce comme un chantier législatif majeur, dès lors qu’outre le transfert de fonds, la Commission propose trois autres textes qui viendront bouleverser la physionomie actuelle de la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT)13. À commencer par une redistribution du droit de la LCB-FT entre une 5e (ou 6e) directive, qui conserverait l’édiction des « mécanismes » de LCB-FT14, et un nouveau règlement relatif aux obligations de lutte anti-blanchiment applicables au secteur privé15. On ne peut que se réjouir : enfin un règlement général LCB-FT qui préviendra les mauvaises surprises et autres arbitrages réglementaires lors du franchissement des frontières nationales.
Et puis, pour terminer, mentionnons cette autre proposition de règlement du paquet LCB-FT instituant l’Autorité de lutte contre le blanchiment de capitaux et le financement du terrorisme (ALBC ou AMLR), qui viendrait donc mettre fin à la compétence de surveillance de l’EBA16.
Nous aurions pu évoquer encore le futur euro numérique, le droit du virement instantané en préparation et, bien sûr, la prochaine DSP 3, qui pointe le bout de son nez. Une autre fois...
