ÉDITORIAL

EDITORIAL N°158 – Mai 2023

Paris le 17 mai 2023

EDITORIAL N°158 – Mai 2023

Fin avril, l’AMF a rendu public le rapport du groupe de travail de Place chargé d’analyser les difficultés rencontrées par certains épargnants dans l’usage de leur PEA et notamment en termes de délais de transfert entre les teneurs de comptes.

Ce rapport détaille une quinzaine de propositions visant à améliorer et harmoniser les procédures, à automatiser le processus de transfert et surtout à mieux informer les clients sur les facteurs de complexité propres à leurs PEA ainsi que sur le déroulement du processus de transfert.

Toutes ces propositions ont été soumises en consultation aux acteurs de la Place concernés avec une réponse attendue au plus tard le 5 juin 2023.

En avril, les députés européens ont planché sur les nouvelles recettes dont l’Union Européenne pourrait se doter à horizon 2026.

Parmi celles-ci, figure le serpent de mer de la taxe sur les transactions financières.

Pour donner une idée de l’ancienneté du projet rappelons que la première proposition de la Commission européenne relative à une taxe sur les transactions financières au niveau de l’Union Européenne date de … septembre 2011.

Il serait trop laborieux de relater en détail l’historique de ce projet mais, en résumé, rappelons qu’il a été présenté par la Commission en septembre 2011 et s’est heurté au rejet de plusieurs pays. En Juin 2012, les ministres des Finances des 27 Etats membres prenant acte du fait qu’ils ne parviendraient jamais à l’unanimité ont décidé d’utiliser le dispositif de « coopération renforcée » qui aurait permis de mettre en place la taxe sur un périmètre réduit de pays (11 pays à l’époque).

Malgré la réduction du nombre de pays concernés et les nombreuses discussions autour de ses modalités, aucun accord n’a pu être trouvé et le projet s’est rapidement trouvé au point mort. En 2014, la France et l’Allemagne ont tenté de relancer le projet sur des dispositions allégées mais en vain.

Il aura fallu attendre 2021 pour que l’idée réapparaisse via la feuille de route de l’Union Européenne introduisant de nouvelles sources de revenus de l’UE avec, parmi elles, une taxe sur les transactions financières. La Roadmap prévoyait que la Commission présente une proposition sur ces nouvelles ressources d’ici juin 2024 pour une délibération du Conseil au plus tard le 1er juillet 2025 en vue de leur introduction au 1er janvier 2026.

Dans un projet de résolution adopté le 17 avril 2023, les membres de la commission du budget du Parlement Européen ont demandé à la Commission Européenne d’accélérer ce calendrier et de présenter le prochain lot de propositions « dès que possible et au plus tard au troisième trimestre de 2023 » pour une mise en œuvre anticipée par rapport à l’échéance initialement prévue (2026).

Nous l’avions évoqué en février, le nouveau règlement de l’UE sur la résilience opérationnelle numérique du secteur financier (DORA comme Digital Operational Resilience Act) est entré en vigueur le 17 janvier 2023. Cependant, les entités financières bénéficient d’une période de transition de deux ans pour se préparer ce qui amène à une mise en application le 17 janvier 2025.

Divers actes délégués et normes techniques de réglementation devraient être publiés par la Commission entre le 17 janvier 2024 et le 17 janvier 2025.

Précisons un petit peu le contour de ce règlement.

DORA concerne les systèmes et les services Technologiques de Communication et d’Information (TIC) utilisés par les entités financières telles que les établissements de crédit, les entreprises d’investissement, les chambres de compensation, les dépositaires centraux gestionnaires de fonds d’investissement alternatifs (AIFM) etc

DORA concerne également les fournisseurs de services TIC considérés comme critiques et qui fournissent des services à des entités financières réglementées.

L’objectif de DORA est d’atteindre un niveau commun élevé de résilience opérationnelle numérique pour le secteur financier en améliorant et rationalisant la gestion des risques informatiques par les entités financières, en instaurant une procédure de test approfondi des systèmes informatiques et en instaurant un mécanisme cohérent de notification des incidents.

Pour ce faire, le règlement établit des exigences uniformes concernant la sécurité des réseaux et des systèmes d’information soutenant les processus métiers des entités financières.

En raison de la nature complexe des exigences DORA, les entreprises devront tout d’abord évaluer si elles relèvent, ou non, de son champ d’application, soit en tant qu’entité financière, soit en tant que fournisseur de services tiers TIC.

Les entités financières relevant du champ d’application de DORA seront soumises à de nouvelles obligations (cf. Chapitre II du règlement).

Elles devront en premier lieu mettre en place un cadre de gouvernance et de contrôle interne qui assure une gestion efficace et prudente des risques liés aux TIC, qui couvrira par exemple, les reprises après sinistre, la continuité d’activité, le contrôle d’accès, la réponse aux incidents, etc. avec toutes les procédures associées.

Elles devront mettre en œuvre des mesures de sécurité informatique pour protéger les données et les actifs TIC et prévoir une cyberformation obligatoire pour le personnel.

Elles devront également mettre en œuvre des mesures de gestion renforcée des incidents c’est-à-dire des mesures pour détecter, enregistrer et classer les incidents et les signaler le cas échéant.

Enfin, elles devront mettre en place des mesures relatives à la gestion des risques liés aux fournisseurs de services TIC tiers comme des accords contractuels adéquats, effectuer une diligence raisonnable conformément aux exigences de DORA avant d’engager le fournisseur…

Précisons que, compte tenu du large champ d’application de DORA et des obligations étendues qu’elle impose aux entités financières, DORA introduit un « principe de proportionnalité ».

Selon ce principe, les entités financières doivent mettre en œuvre les règles énoncées au chapitre II de DORA en fonction de leur taille et de leur profil de risque global, ainsi que de la nature, de l’échelle et de la complexité de leurs services, activités et opérations.

Les normes techniques qui seront publiées en 2024 devraient préciser tous ces points.

PARTAGEZ L’ARTICLE