Depuis son origine en 2005 jusqu’aux modèles ajustés pour Bâle 4 annoncés pour 2025, le cadre de reporting périodique européen initié par l’Autorité bancaire européenne (EBA) est centré sur les ratios prudentiels et les données financières et calculatoires associées. Mais dans ses dernières évolutions, ce cadre tend à s’enrichir pour couvrir d’autres domaines de conformité. Les états 3.5 à publier sur décembre 2024 seront complétés avec des données FICOD sur les conglomérats financiers et DORA sur la résilience opérationnelle des systèmes d’information, tandis qu’on prévoit (en 2025) des états MICAR sur les crypto-actifs.
Surveiller les conglomérats financiers
Les conglomérats financiers fournissent des services dans au moins deux secteurs différents parmi la banque, les titres et l’assurance. Ils se situent donc à l’intersection des domaines régulés respectivement par l’EBA, l’ESMA (Autorité européenne des marchés financiers) et l’EIOPA (Autorité européenne des assurances et des pensions professionnelles). Après plus de vingt ans de réglementation imposée aux conglomérats avec la directive FICOD (Financial Conglomerates Directive) de 2002, l’EBA intègre dans son cadre général de reporting, à partir de l’arrêté du 31 décembre 2024, les tableaux déclaratifs associés pour les bancassureurs, tels que définis par l’ITS 2022/2451 et portant sur la concentration des risques et sur les transactions intra-groupe (articles 7 et 8 de la directive).
Il ne s’agit pas de nouveaux états mais d’une intégration technique des gabarits au modèle commun de l’EBA, comme l’a fait l’EIOPA pour les assurbanques dans sa taxonomie 2.8.1. C’est surtout le signal que le cadre européen de reporting, usuellement désigné dans les établissements par les acronymes COREP et FINREP, ne se limite plus aux ratios de solvabilité et de liquidité des banques. Il comprend depuis 2021 des gabarits propres aux entreprises d’investissement, pour leur cadre prudentiel spécifique (IFD/IFR), mais celui-ci est apparu comme une évolution naturelle du cadre CRD/CRR (sur les fonds propres) des groupes bancaires. En 2025, il sort véritablement du périmètre prudentiel pour adresser en outre les exigences complémentaires sur les conglomérats financiers.
Renforcer la résilience opérationnelle
Le règlement DORA (Digital Operational Resilience Act) marque une avancée significative dans la régulation des risques informatiques au sein du secteur financier européen, en harmonisant et renforçant les dispositions actuelles. Les textes élaborés par les trois autorités européennes de supervision ESMA, EBA et EIOPA sont divisés en deux publications, l’une réalisée le 17 janvier 2024 et l’autre programmée au 17 juillet 2024, avec une entrée en vigueur prévue le 17 janvier 2025. Le règlement s’applique à presque toutes les entités financières, aux compagnies d’assurance et aux prestataires de services informatiques.
DORA exige une cartographie détaillée des flux de données et une architecture précise des systèmes d’information avec des cloisons pour limiter la contagion en cas d’attaque. Les organisations devront utiliser des systèmes d’authentification forte à plusieurs facteurs, reposant sur des clés de chiffrement puissantes pour mieux résister aux cybermenaces. Dans le choix et la maintenance des logiciels, il faudra, en plus des fonctionnalités, considérer les conditions de stockage et la capacité des éditeurs à protéger les données. DORA impose une gouvernance stricte intégrant le modèle des trois lignes de défense et des formats standardisés pour la restitution des incidents, avec des niveaux de sévérité réglementés. Une implication accrue du management est attendue dans la construction et la validation des stratégies de tests de résistance, ainsi que dans l’encadrement des prestataires de services, dont il faudra régulièrement évaluer le niveau de criticité et l’ampleur de leurs interventions.
La mise en œuvre de DORA représente un défi majeur pour les entités financières, avec une quinzaine de rapports à déclarer, structurés en cinq grandes familles : la gestion des risques liés aux technologies de l’information et de la communication (TIC), les incidents majeurs, les prestataires de services TIC tiers, les programmes de tests de résilience et le partage d’informations sur les cybermenaces. Dans le cadre de reporting 3.5 ouvert avec l’arrêté du 31 décembre 2024, l’EBA a inclus le registre d’information sur les contrats et prestataires TIC critiques. Aux dires même du président de l’EBA, Jose Manuel Campa, le 22 mai au Comité de Bâle, c’est un nouveau pan de responsabilités pour la supervision financière et pour son cadre de reporting. L’ampleur de l’évolution justifie un test à blanc, pour lequel le matériel déclaratif vient d’être publié ; les établissements volontaires peuvent y participer entre le 1er juillet et le 31 août.
Réglementer l’industrie des crypto-actifs
Le règlement européen MiCA (Markets in Crypto-Assets) marque un tournant pour l’industrie en créant un marché unifié pour les crypto-actifs. Il couvre l’offre, l’admission aux négociations et la fourniture de services. MiCAR protège les investisseurs en renforçant la transparence et en établissant un dispositif contre les abus de marché. Publié le 9 juin 2023, il entrera en vigueur le 30 décembre 2024, avec des dispositions sur les stablecoins dès le 30 juin 2024.
Les entreprises de crypto-actifs exerçant des activités comme la conservation, l’achat/vente, l’exécution d’ordres, le transfert de tiers, le conseil en investissement devront être homologuées comme prestataires de services sur crypto-actifs (PSCA). L’agrément est similaire à celui des PSAN (prestataire de service sur actifs numériques) aujourd’hui ouvert en France, qui bénéficieront d’une période transitoire de 18 mois pour se conformer au nouveau modèle. Le cadre MiCAR offrira un passeport européen aux prestataires agréés, supervisés par les autorités nationales, tandis que l’EBA supervisera les émetteurs de stablecoins significatifs de type ART (Asset Referenced Tokens) et EMT (Electronic Money Tokens). À ce titre, l’EBA prépare pour 2025 des tableaux de reporting pour superviser ces acteurs et activités. Les émetteurs de stablecoins doivent en effet respecter des exigences strictes en matière de réserves, de stabilité et de transparence.
Reporting pour la conformité
En France, le reporting réglementaire issu de la Loi bancaire de 1984 a commencé par une collecte de l’identité des établissements (avec la BAFI, base des agents financiers) et d’informations au cœur des préoccupations de supervision à cette époque : la rigueur comptable, contrôlée en ventilant sur des attributs réglementaires les postes du bilan et du compte de résultat. Le périmètre s’est, avec le temps et sous de nouvelles appellations (SURFI puis RUBA), élargi à des mesures prudentielles, un questionnaire sur la lutte antiblanchiment et des données statistiques notamment.
De la même façon, le cadre de reporting de l’EBA, qui a d’abord placé le ratio de solvabilité comme pièce maîtresse de la supervision européenne, couvre désormais d’autres domaines de conformité.
Pour les établissements, cela ouvre des réflexions sur l’organisation des déclarations réglementaires. Celle-ci doit-elle rester centralisée par une équipe responsable de l’outil déclaratif vers OneGate, le point central pour déposer les rapports en France, ou au contraire progressivement répartie ? Les banques qui se préparent actuellement aux nouveaux états pour Bâle 4 (CRD6/CRR3) en 2025, doivent considérer dans leurs choix d’architecture et d’organisation l’élargissement progressif des thématiques de reporting. n
