revue banque club banque du 23 juin 2016 … · nous exposer les attentes du superviseur en la...

REVUE BANQUE

CLUB BANQUE DU 23 JUIN 2016

Les enjeux de la conformité aujourd’hui

Président de séance : Valérie HAUSER, directeur associée, Practice Banque & Assurance, Solucom Les attentes du superviseur : de la conformité au comportement Frédéric VISNOVSKY, secrétaire général adjoint, ACPR La conformité sur le terrain : les actions métiers, les exigences de conformité et le rôle de conseil Cédric DUCHATELLE, responsable fonction clé de vérification de la conformité, AG2R La Mondiale et vice-président Club-Pro du Cercle d'Éthique des Affaires Les défis téchnologiques de la conformité Valérie HAUSER, directeur associée, Practice Banque & Assurance, Solucom Laurent RENAUDOT, Senior Manager, Solucom

La société Téléscribe a rédigé ce compte rendu. Pour faire appel à ses services : www.telescribe.fr

Revue Banque – Club Banque du 23 juin 2016 2

Table des matières

LES ATTENTES DU SUPERVISEUR : DE LA CONFORMITE AU COMPORTEMENT ........ 4

LA CONFORMITE SUR LE TERRAIN : LES ACTIONS METIERS, LES EXIGENCES DE CONFORMITE ET LE ROLE DE CONSEIL ................................................................................. 10

LES DEFIS TECHNOLOGIQUES DE LA CONFORMITE ......................................................... 17

QUESTIONS DE LA SALLE ............................................................................................................ 28

Auditorium FBF, 18 rue La Fayette, 75009 Paris http://www.revue-banque.fr

http://www.revue-banque.fr/


Mme Valérie HAUSER Bonsoir à tous. Je vous remercie d’être venus si nombreux, ce soir, pour ce Club sur les enjeux de la conformité. Pour me présenter rapidement, je suis Valérie HAUSER, Directeur associé au sein du cabinet Solucom. C’est un cabinet de conseil en management qui, au sein de sa Practice Banque et Assurance, compte une équipe de consultants qui travaillent dans les domaines de la conformité et du contrôle interne. Je vais vous parler de notre actualité aussi. En début d’année, Solucom a annoncé son rapprochement avec les activités européennes de Kurt Salmon, ce qui va faire de la nouvelle entité un des premiers acteurs du conseil indépendant en France, présent dans tous les secteurs d’activité. Solucom intervient non seulement dans la banque, mais aussi dans l’industrie, les services, la grande distribution. Avec 2 500 collaborateurs, Solucom dispose d’une présence en France, mais aussi aux États-Unis, à Londres, en Suisse, au Luxembourg et a vocation à se développer à l’International. Le nouvel ensemble Solucom Kurt Salmon donnera naissance à une entité dont le nom sera annoncé début juillet. Il y a encore un peu de suspense avant de vous dévoiler notre nouveau nom. Ce soir, nous allons consacrer du temps aux enjeux de la conformité. Je remercie nos intervenants :

− Monsieur Frédéric VISNOVSKY, Secrétaire général adjoint de l’ACPR, qui va nous exposer les attentes du superviseur en la matière ;

− Monsieur Cédric DUCHATELLE, Responsable de la fonction clé de vérification de la conformité au sein d’AG2R La Mondiale et également Vice-président du Club pro du cercle d’éthique des affaires. Il nous donnera une vision terrain de la conformité, ce que cela recouvre aujourd’hui, les actions auprès des métiers notamment ;

− Monsieur Laurent RENAUDOT, senior manager chez Solucom. Nous travaillons donc ensemble. Nous vous exposerons notre vision des défis que la conformité doit relever aujourd’hui sur le plan de la technologie et de l’innovation. Nous essaierons de tirer quelques éléments de constat et d’avoir une réflexion un peu prospective sur l’avenir.

Si vous avez des questions, nous garderons quelques minutes à la fin des présentations pour que vous puissiez les poser. Nous pourrons aussi continuer les échanges après 20 heures, puisqu’un cocktail nous attendra à ce moment-là. Je vous souhaite une bonne conférence. Je passe la parole à Monsieur VISNOVSKY.




Les attentes du superviseur : de la conformité au comportement M. Frédéric VISNOVSKY Bonsoir à toutes et à tous. J’ai choisi un thème qui illustre l’attente que nous avons aujourd’hui. La conformité était ce que l’on demandait il y a dix ans, lorsque nous avons mis en place la réglementation qui imposait un certain nombre de choses en la matière. Aujourd’hui, ce n’est plus le sujet, parce que nous nous attendons, bien évidemment, dans l’ensemble des établissements de crédit, voire des assurances, même si la réglementation est loin d’être la même, à ce que ces dispositifs soient en place. Je vais donc vous dire quelques mots de la conformité, mais je vais surtout vous parler du comportement ou de l’éthique qui nous paraissent beaucoup plus essentiels dans les attentes que nous avons aujourd’hui en tant que superviseur et qui, en fait, correspondent aux attentes de vos clients. La conformité réglementaire, je ne vais pas trop en parler, mais elle reste importante, bien évidemment. Elle est en place dans vos structures, elle couvre un champ très vaste, c’est l’une des difficultés du métier de responsable de conformité. Cela touche à des questions de lutte contre le blanchiment, à l’intégrité des marchés, à l’éthique professionnelle, de lutte contre les montages d’évasion fiscale. En fait, vos gestionnaires de banque privée ou de gestion de fortune parlent d’optimisation. Parlons d’évasion fiscale, nous sommes entre nous. Il s’agit, bien entendu, de protéger les intérêts de vos clients. Il y a deux objectifs. Un objectif est d’éviter de détruire de la valeur. Nous verrons, au travers de quelques chiffres, que la non-conformité peut coûter cher. Cela coûte même très cher, au travers des sanctions judiciaires, administratives, des pertes financières que cela peut entraîner ou de l’atteinte à la réputation. Au travers de chiffres d’études, nous verrons que la réputation des banques est toujours aussi mauvaise, même si elle a tendance à s’améliorer un peu récemment. C’est l’une des industries qui a la plus mauvaise image de marque dans le public. Mais il faut aussi voir la conformité de manière positive et ne pas simplement dire à vos patrons que c’est pour éviter des sanctions. Ce serait un mauvais argument. C’est créateur de valeur. La conformité est aussi un moteur de performance, c’est l’image positive que cela renvoie de la banque, la valorisation des travaux de l’ensemble des employés de la banque. C’est une manière d’assurer une meilleure satisfaction de vos clients, ce qui est quand même normalement le métier principal. La réglementation impose donc un certain nombre de choses, la cartographie des risques de non-conformité des plans de contrôle, les dispositifs de prévention, le reporting, la veille. Je n’insiste pas, tout cela est dans les dispositifs réglementaires, c’est en place depuis dix ans maintenant dans les établissements. Il s’agit en réalité, aujourd’hui, de passer à une autre étape. Comme d’habitude, il y a ceux qui ont déjà compris, qui ont donc réalisé un certain nombre de choses et ceux qui attendent plutôt qu’on les pousse un petit peu. Loin de moi l’idée de parler de nouvelles réglementations, nous ne sommes pas du tout dans cette optique-là. C’est




pour cela que je parle de comportement lorsque j’évoque les évolutions nécessaires. Pourquoi parler de comportement ? Il faut rétablir la confiance. Comme je vous le disais, le système financier et les banques sont considérés, dans les sondages, comme étant l’industrie qui a la plus mauvaise image de marque. Les patrons de banque sont ceux à qui l’on fait le moins confiance. Après, on peut discuter des bien-fondés de ces analyses. C’est quelque chose à prendre en compte. Il y a une mauvaise image. Il s’agit donc de rétablir et de faire valoir que la mauvaise image de l’industrie bancaire ou de l’industrie financière n’est pas représentative de la réalité. Cette mauvaise image a trouvé une traduction concrète. C’est vrai que le mal est assez anglo-saxon. Quand on regarde les chiffres des sanctions, les banques américaines sont au premier rang. En Europe, ce sont les banques anglaises. Il doit y avoir un problème de comportement dans la psychologie. Je m’excuse pour les gens qui seraient d’origine anglo-saxonne, mais c’est la réalité des chiffres. Il s’agissait de comportements vis-à-vis des clients. Il y a des choses vis-à-vis d’opérations de marché, les questions d’embargo. Je ne développerai pas parce que je devrais parler de racket de la part des autorités américaines si j’abordais ce sujet-là. Essentiellement, nous sommes dans une situation où ce sont de mauvais comportements vis-à-vis des clients qui sont mis en avant. Cela retrace, finalement, l’image que les banques ou le système financier au sens large peuvent avoir auprès du grand public, que l’on peut résumer par : « Tous pourris. La preuve, d’ailleurs, est qu’ils sont massivement sanctionnés lorsqu’ils ont des comportements déviants. » C’est pour cela qu’il nous paraît important, en tant que superviseur – beaucoup d’acteurs l’ont bien compris – de transformer cette notion de conformité réglementaire du type : « Je coche les cases, j’ai mon responsable, mon plan de contrôle… » C’est très bien, mais ce n’est pas ça, en fait, la conformité telle qu’on l’attend aujourd’hui. Elle doit être une véritable culture dans l’ensemble du fonctionnement de la banque. Cela couvre quatre aspects sur lesquels je vais revenir.

− Il y a d’abord un aspect de direction générale. Il n’y a pas de comportement, d’éthique, dans un groupe si la direction générale, l’équipe de management de l’établissement n’y donnent pas le sens. Il y avait, de ce point de vue, un très bon rapport du G30 publié l’année dernière qui le soulignait. Il y a le leadership qui est nécessaire dans cet objectif.

− La deuxième est tout ce qui concerne l’organisation, la manière dont la

gouvernance est mise en place, les responsabilités sont distribuées.

− Le troisième aspect est tout le dispositif de gestion des risques. Cela concerne toutes les problématiques d’agrégation des risques. Le dispositif sur lequel on insiste beaucoup aujourd’hui au niveau international est l’appétit au risque qui est représentatif, justement, de la manière dont la culture de risque doit s’intégrer au sein d’un établissement.

− Cela concerne, à la fin aussi, tous les systèmes d’incitation, que ce soient les

systèmes de rémunération, pour mettre fin à la perversité des systèmes qui




existent, ou tout le débat d’actualité sur le droit d’alerte, notamment dans le cadre des renforcements des dispositions prévues dans le projet de loi Sapin 2.

Si je reviens sur chacun de ces éléments rapidement, le leadership, c’est le principe d’un leader. Il faut d’abord qu’il soit capable de donner une vision. Aucune entreprise ne peut fonctionner directement s’il n’y a pas une vision stratégique qui est donnée. C’est bien pour ça que l’importance de la Direction générale et du management est fondamentale. Cette stratégie ne doit pas être court-termiste. Le risque souvent est de penser que le dirigeant est là pour un temps peut-être limité. Non, il doit penser à son entreprise qui est amenée à rester après son départ. On est donc bien dans une stratégie qui doit être de long terme et qui doit reposer sur l’intérêt des clients. En effet, si les clients ne sont pas satisfaits, l’entreprise ne pourra pas survivre. Ils iront ailleurs et ils auront raison. Ceci doit être, bien évidemment, complètement décliné dans l’ensemble de l’entreprise. Il ne s’agit pas simplement que ce soit l’idée géniale du dirigeant : « Tiens, on va mieux se comporter maintenant, on va faire un code d’éthique. » Non, cela doit être insufflé aux différents niveaux. Toutes les actions qui sont entreprises – j’y reviendrai lorsque j’évoquerai l’appétit au risque – doivent s’inscrire dans cette stratégie. Il est donc important qu’au travers de cette stratégie, de la réponse aux intérêts des clients, donc au travers de ce que les entreprises peuvent avoir développé, qu’on appelle cela code de conduite, d’éthique ou autre, ce soit la démarche, le comportement que doit avoir chacun des employés de l’entreprise dans le fonctionnement quotidien. Le deuxième aspect est la gouvernance. Vous avez peut-être vu, d’ailleurs, que la BCE a publié, hier ou avant-hier, la synthèse de la revue de gouvernance qu’elle avait faite des principaux établissements et donc les points d’attention qu’elle a détectés dans cette revue. C’est un sujet sur lequel j’ai eu l’occasion de dire plusieurs fois que la commission bancaire avant et l’ACPR étaient extrêmement attentifs. Le fonctionnement de la gouvernance est quelque chose de fondamental. Quand je parle de gouvernance, cela commence, bien évidemment, par les conseils. C’est pour cela que les pouvoirs des autorités vis-à-vis des conseils et des administrateurs ont été renforcés. Ils sont passés, vous le savez, au crible de ce que l’on appelle le fit and proper. Il vise, à la fois, à apprécier la compétence collective des administrateurs parce qu’un conseil d’administration ou conseil de surveillance est une structure collective faite d’individualités, et les différents individus, en termes de compétences, bien évidemment – celles-ci sont nécessairement diverses au sein des conseils – et en termes de disponibilités. C’est un point aussi majeur que l’on peut voir dans les dossiers qui sont examinés parce que, pour pouvoir apprécier la manière dont une entreprise, une banque ou une assurance fonctionne, il faut y consacrer un minimum de temps. La dispersion que l’on peut voir quelques fois de certains membres des conseils ne se prête pas à cela. S’agissant des conseils, je ne développerai pas ce que l’on attend d’eux. Ils ont un rôle très important et l’expérience que l’on tire de la crise, au niveau international, est que ces conseils n’ont pas suffisamment joué leur rôle parce qu’il n’y avait pas l’appétit nécessaire. Il y a, en général, une influence très forte des dirigeants. C’est pour cela que nous souhaitons la séparation claire des fonctions, entre la fonction de direction générale et la fonction de président de conseil. Les présidents de conseil n’ont pas à être dirigeants effectifs. Les assureurs n’ont pas encore atteint ce degré




de compréhension puisqu’ils ont obtenu de l’État français la possibilité de maintenir le cumul des fonctions. Nous veillerons progressivement à les faire revenir dans un schéma de pensée plus sain de séparation de la direction et des conseils. En tous les cas, ce fonctionnement est, pour nous, véritablement indispensable. Le troisième élément est tout le dispositif de risque. Il y a tous les systèmes de mesure des risques qui existent dans vos établissements ou sur lesquels, régulièrement, on peut être amené à faire des remarques s’ils sont insuffisants. C’est quelque chose qui existe, donc le sujet n’est pas nécessairement celui-là. Le sujet, parfois, est la capacité, surtout lorsque les groupes sont importants, à agréger les risques. C’est tout le débat de ce que l’on appelle le BCBS 239. C’est le nom du document du comité de Bâle sur le sujet. C’est un point que la Banque centrale européenne, d’ailleurs, va regarder de manière attentive, cette année, dans ses priorités de contrôle. Il y a, je dirais, la nécessité d’avoir un dispositif de risque qui soit à même de capturer les principaux éléments. Au-delà, c’est en ce sens que cela rejoint la notion de culture. L’idée d’appétit, d’appétence au risque est un élément majeur. L’appétence au risque, ce n’est pas : « Quels sont mes risques ? » ou mon profil de risques, ce que j’ai dans mon bilan ou mon hors bilan. Il s’agit de définir le niveau de risque que la banque est prête à assumer. Bien évidemment, des limites peuvent exister à des niveaux globaux ou de manière opérationnelle. Il y a, nécessairement, dans la tête de ceux qui dirigent les différentes lignes métier ou les différentes filiales, le type de risque qu’ils sont prêts à prendre, mais, le plus souvent, très largement, ce n’était pas matérialisé au niveau d’un groupe, vis-à-vis d’un conseil. Quand on parle de stratégie, on parle aussi de jusqu’où cette stratégie peut nous conduire et de ce que l’on est prêt à assumer comme type de risque. C’est donc cela que nous attendons. C’est en fait la formalisation de ce qui existe souvent, mais qui est éparpillé, des indicateurs qui peuvent exister dans certaines lignes métier. Là, il s’agit de formaliser, dans un document approuvé par le conseil et sur lequel il est régulièrement informé, la manière dont la situation effective de la banque va se trouver, par rapport au risque qu’elle a accepté de prendre. Après, bien évidemment, quand on dit qu’il y a un risque que l’on est prêt à assumer, on l’assume ou on ne l’assume pas. Il appartient aux différents organes, dans le cadre des délégations, éventuellement, de décider quels sont les types de mesures qu’il s’agit de prendre. Mais cette notion d’appétit au risque est bien l’idée d’avoir une sorte de tableau de bord, finalement, de différents types de risques auxquels la banque va être soumise, même si cela correspond un peu à l’ORSA qu’on demande en assurance, jusqu’où on est prêt à assumer et où on se trouve. Cela rejoint aussi des notions de risque maximal qui tendent vers ce que l’on attend aussi en matière de plans de rétablissement qui sont des obligations qui s’imposent aux établissements de crédit. Il s’agit d’apprécier la capacité d’une banque à répondre à un choc extrême. On n’est plus dans le fonctionnement normal, on est à un choc extrême. On dépasse les limites d’appétit au risque. Il y a un gros problème. Quels sont alors les moyens que l’on peut mettre en œuvre ? On voit qu’il y a un continuum qui doit exister par rapport à ces différents éléments. Le quatrième point, ce sont les mécanismes d’incitation. Même s’il y a une réglementation qui a été mise en place, dont la philosophie visait essentiellement au




départ les traders, au final, on parle de preneurs de risques, donc cela va bien au-delà et montre que cela doit continuer dans ce sens. On reste aujourd’hui avec des politiques de rémunération – cela commence à évoluer – principalement fondées sur la performance financière. C’est la capacité à produire du PNB, pour les traders à générer des revenus, etc. Il est important, lorsque l’on parle de culture et de comportement, que les mécanismes de rémunération restent assis, bien évidemment, en partie sur la performance. Il ne s’agit pas de dire que cela doit être complètement déconnecté de la performance financière, mais il est important qu’il y ait des éléments liés à la performance en termes de maîtrise des risques. Cela doit commencer aussi par les dirigeants. Pour les dirigeants, de la même manière, c’est la notion de top management. Nous ne pourrons faire évoluer, d’ailleurs, les mentalités dans vos établissements, que le jour où les dirigeants eux-mêmes auront des bonus qui seront fonction de leur capacité à, effectivement, diffuser au sein de leur entreprise, des comportements qui soient tournés vers la satisfaction du client et non pas vers la recherche d’un profit à court terme ou de retour de ROE vis-à-vis des investisseurs. Ce n’est pas quelque chose qui est conforme à ce qui est attendu aujourd’hui des établissements de crédit. Ceci doit vraiment être cohérent avec à la fois la stratégie, ce dispositif d’appétit au risque et finalement l’intérêt de long terme de l’entreprise. L’autre aspect, dans les incitations, ce sont tous ces mécanismes de procédure d’alerte. S’il y a des comportements déviants, il est important de pouvoir les identifier et d’apporter des solutions. De ce point de vue, les procédures d’alerte sont essentielles. Si vous êtes dans un système où quelqu’un qui détecte un problème doit aller voir son patron direct qui, en fait, a envie de cacher le problème, ce n’est pas la solution. Donc ces procédures sont essentielles et le respect de la confidentialité de ceux qui sont à l’initiative de ces procédures est extrêmement important. Des dispositifs existent donc et ils permettent, d’ailleurs, d’aller vers les autorités. Nous-mêmes sommes saisis d’un certain nombre de dossiers qui sont examinés avec une grande attention. Il y a, dans la loi Sapin 2, l’idée de renforcer encore ces dispositifs. Cela nous paraît crucial. Pour conclure sur nos attentes, quelle va être notre action vis-à-vis de cela ? Comme je l’ai dit, je ne parle pas ici de réglementation. Il n’y a absolument pas l’idée de bâtir un dispositif réglementaire nouveau. On voit bien que l’on n’est pas dans ces concepts-là. L’idée est, au contraire, dans la manière dont on est capable de juger du fonctionnement de la banque. C’est ce qui existe déjà, à travers une multitude d’entretiens. Le fait que la supervision se fasse maintenant à la Banque centrale européenne a décuplé ces entretiens, plus que ce que nous avions l’habitude de faire. Ils sont peut-être allés un peu trop loin. En tous les cas, concernant les entretiens avec les dirigeants, les responsables de fonctions clés, même s’il n’y a pas cette terminologie, qui fait partie du domaine des assurances, elle viendra dans le domaine bancaire. S’agissant de ces responsables de l’audit, de la conformité, des risques, les différentes lignes métier, les présidents des conseils et les présidents de comité d’audit, ce qui est nouveau, dans le cadre des pouvoirs qui ont été initiés par CRD 4, est que l’on a introduit dans la loi, avec la loi de séparation, la capacité que nous avons à dialoguer avec ces personnes. Cela vient en plus des dialogues que l’on pouvait avoir sur les lignes métier, qui sont importants à la fois pour discuter du




fond, des risques, etc., mais également pour voir la manière dont les responsables pensent et appliquent la stratégie définie. On le fait, aussi, bien sûr, au travers du fit and proper, pour reprendre le jargon des textes, des dirigeants, et maintenant des membres des conseils. Ce sont des dossiers qui sont regardés de manière très approfondie. Comme je le disais, notamment la disponibilité des membres des conseils, notre ligne directrice, c’est bien évidemment la séparation des fonctions, même si on a des recours en cours devant la Cour de justice européenne, pour des gens qui préfèrent le cumul des fonctions. Nous ferons tout pour qu’ils n’aient pas gain de cause parce que le mélange des genres entre le dirigeant et celui qui surveille est quelque chose que, personnellement, je ne comprends pas. C’est ainsi, la justice est saisie et nous verrons les décsions. Ce qui sera nouveau, c’est ce que va développer, à titre de test, pour l’instant, la Banque centrale européenne. Ce sont des interviews des dirigeants et des présidents de conseil au moment de leur nomination. Pour compléter le dispositif où on avait un dossier qui était examiné, il y aura une interview de la personne, de manière à juger ce qu’elle prévoit de faire, sa vision du groupe, sa manière de manager, etc. C’est quelque chose qui sera fait, pour l’instant, sous forme de test. Il y a l’idée, derrière, de l’appliquer, pas forcément de manière systématique, parce que cela peut être assez lourd, mais dans un certain nombre de cas ou à certains des dirigeants, en fonction du type de groupe. C’est quelque chose qui se mettra en place. Le quatrième outil, c’est au travers des documents internes que l’on vous demande régulièrement, des procès-verbaux des conseils des principaux comités qui permettent de voir comment les discussions se déroulent et de quelle manière la contradiction s’opère. Le dernier aspect qui me paraît essentiel est la participation à des séances de conseil d’administration ou de surveillance. Il ne s’agit absolument pas, bien sûr, pour le superviseur, de se substituer à qui que ce soit ni de participer à chaque séance de conseil. C’est quelque chose qui existait, notamment en Allemagne, et qu’en Grande-Bretagne, ils pratiquaient assez, je crois. Finalement, ils en sont revenus. Il ne s’agit pas du tout de cela. Il s’agit de participer, ponctuellement, à une ou deux séances maximum par an, ce qui permet, en plus de toutes les discussions avec les dirigeants et l’analyse des documents, de mieux percevoir ce fonctionnement collectif que j’évoquais du conseil, au-delà de l’échange qu’il peut y avoir entre le superviseur et les membres des conseils, qui est aussi quelque chose d’important. Il est fondamental que chaque acteur dans la chaîne de contrôle comprenne bien les attentes des superviseurs. Jusqu’à maintenant, on avait l’habitude de dialoguer avec la Direction générale qui allait dire au conseil : « Voilà ce que le superviseur m’a dit. » Le fait de dialoguer directement avec le conseil, c’est un changement de culture. Je ne vous dis pas l’accueil que nous avons eu des patrons de banques françaises le jour où on leur a dit : « Nous venons. » Ils nous ont dit : « La porte est fermée. » Le problème est que la loi a imposé l’ouverture de la porte. Maintenant, la porte est donc ouverte, mais nous ne venons que de manière très ponctuelle. Je pense qu’au final, ils ont compris que c’était quelque chose d’utile. C’est quelque chose que la Banque centrale européenne va poursuivre, mais que nous allons appliquer également dans les banques moyennes et dans les entreprises d’assurance, puisque les questions de gouvernance se posent de la même façon.




Voilà la manière dont nous percevons l’évolution nécessaire de la fonction de conformité. Cela ne doit pas se limiter à une question de fonction, d’effectifs alloués à la fonction de conformité. Cela reste important, bien évidemment, mais il est fondamental d’aller au-delà, de façon à comprendre, en réalité, que la conformité, ce n’est pas l’affaire de la Direction, du département de l’unité de conformité, des gens qui y travaillent, mais c’est bien l’affaire de tout le monde. C’est l’affaire de la personne qui est au guichet face à son client et cela commence par là, d’ailleurs. En effet, si celui qui est au guichet se comporte mal vis-à-vis du client, la conformité mettra un certain temps avant de s’en apercevoir. Nous aussi, sauf si le client dépose une réclamation. C’est véritablement dans la culture que doit s’approprier cette fonction de conformité. Au travers de ces différents outils, nous ferons en sorte de nous assurer que cette culture de conformité et ce changement de comportement existent. Cela fait partie de l’ensemble de nos missions. C’est encore plus fondamental vis-à-vis de notre mission de protection de la clientèle, mais cela ne se limite pas à cela. Comme je l’ai dit, c’est moteur de performance. C’est donc dans l’intérêt, de manière générale, du développement de l’entreprise et de l’image que l’entreprise peut avoir vis-à-vis du public et pas uniquement des clients, vis-à-vis des investisseurs, des pouvoirs politiques, des régulateurs et des superviseurs aussi. Nous vous connaissons mieux que les gens un peu plus externes. J’ai terminé avec ce que je voulais vous dire de nos attentes. Je vous remercie de votre attention.

Mme Valérie HAUSER Merci beaucoup. C’était effectivement très intéressant d’entendre votre éclairage, ce que vous considérez comme acquis. Là vous positionnez les attentes désormais. Lors de ce second temps de notre Club, Monsieur DUCHATELLE va nous donner son éclairage sur la conformité sur le terrain.



Frédéric VISNOVSKY Secrétaire général adjoint

Les attentes du superviseur : de la conformité au comportement

Paris, le 23 juin 2016

Les enjeux de la conformité aujourd’hui

Frédéric VISNOVSKY Secrétaire général adjoint 2

1 – La conformité réglementaire est essentielle (1/2)

Le respect des lois, règlements, normes professionnelles et déontologiques, instructions des dirigeants, orientations du conseil

Sécurité financière lutte contre le blanchiment et le financement du terrorisme connaissance de la clientèle gel des avoirs, embargos financiers

Intégrité des marchés

Déontologie, éthique professionnelle

Lutte contre les montages d’évasion fiscale

Protection des intérêts des clients

Eviter de détruire de la valeur

sanction judiciaire, administrative ou disciplinaire perte financière significative atteinte à la réputation

Créer de la valeur

image de la banque valorise les employés meilleure satisfaction des

clients


1 – La conformité réglementaire est essentielle (2/2)

Veille Plans de contrôle

Reporting Prévention

Cartographie des risques de

non conformité


2 – Il y a un besoin de restaurer la confiance (1/2)

2016 Edelman Trust Barometer

L’industrie financière a la plus mauvaise image, même si elle s’améliore

Une confiance insuffisante envers les dirigeants


2 – Il y a un besoin de restaurer la confiance (2/2)

ECB - Financial Stability Review, May 2016 – Special Features


Leadership

Organisation

Incitations

Dispositif de risque

6

3 – Une vraie culture du risque est indispensable (1/5)

Tone from the top

Comportement Gouvernance

Responsabilités

Appétit aux risques

Agrégation des risques

Droit d’alerte

Rémunérations

Culture du risque


Leardership : tone from the top / comportement

7


Capacité de définir une vision stratégique

La stratégie tient compte des intérêts à long terme de la banque et des intérêts des clients

La stratégie et les politiques sont déclinées/métiers et partagées

Les décisions/actions sont conformes à la stratégie

Un comportement qui véhicule des valeurs éthiques en dotant la banque d’un code de conduite

Une capacité de s’adapter aux évolutions de l’environnement


Organisation : gouvernance / responsabilités

8


Une structure de gouvernance dans laquelle le conseil joue tout son rôle

Des membres du conseil qui satisfont aux critères de saine gouvernance L’honorabilité Les connaissances

et la compétence

La compétence collective L’expérience

Les conflits d’intérêt La disponibilité


Profil de risques Limites de risques Appétit aux risques Risque maximal

Expositions brutes et nettes aux risques

Limites de risques

Niveau et nature de risques que la banque est prête à assumer

Niveau et nature de risques que la banque peut assumer

Cadre d’appétit aux risques Des responsables, une politique, des systèmes, des procédures et des contrôles

Groupe Métiers/entités Nature de risques

Les autorités attendent des conseils qu’ils définissent leur « appétence pour le risque », c’est-à-dire « le niveau et le type de risque qu’un établissement peut et souhaite assumer dans ses expositions et ses activités, compte tenu de ses objectifs opérationnels et de ses obligations »

9


Dispositif de risque : appétit aux risques / agrégation des risques

Les dispositifs de risques doivent s’appuyer sur une capacité d’agrégation des données, assurant leur exactitude/intégrité, leur exhaustivité , leur actualisation.


Incitations : rémunérations /droit d’alerte

10


Une politique et des pratiques en matière de rémunération cohérentes avec le profil de risque et qui favorise une gestion des risques fiable et efficace

Une politique qui correspond aux valeurs, à la stratégie, à l’appétit au risque et aux intérêts à long terme

Des procédures d'alerte interne appropriées pour communiquer les inquiétudes exprimées par le personnel

Des procédures d’alerte qui respectent la confidentialité et des inquiétudes qui puissent être formulées en dehors des voies hiérarchiques traditionnelles


Merci de votre attention et retrouvez les analyses de l’ACPR sur notre site internet : www.acpr.banque-france.fr

4 – Les outils du superviseur

Les entretiens réguliers avec les dirigeants / responsables de fonctions clés / responsables de lignes métiers/ présidents de conseil / présidents des principaux comités

La procédure de « fit and proper » des dirigeants et membres des conseils

La possibilité de conduire des interviews préalables aux nominations des dirigeants et présidents de conseil

L’analyse des documents internes et procès verbaux des conseils et des principaux comités

La participation à des séances de conseil

http://www.acpr.banque-france.fr/


La conformité sur le terrain : les actions métiers, les exigences de conformité et le rôle de conseil M. Cédric DUCHATELLE, Responsable Groupe Fonction Clé de vérification de la conformité, Vice-Président Club-Pro du Cercle d’Ethique des Affaires. Bonsoir à tous. Je suis Cédric DUCHATELLE. Je fais partie du Groupe AG2R La Mondiale. Comme je suis invité à m’exprimer aujourd’hui à l’invitation du Club Banque de la Revue Banque et Finance et que nous sommes au sein du siège de la Fédération Bancaire Française, je vais vous présenter le Groupe AG2R La Mondiale en quelques mots. C’est le 1er Groupe de protection sociale en France. Qu’est-ce que cela signifie ? Nous avons une double activité : une activité de gestion des régimes de retraite obligatoire AGIRC-ARRCO par délégation, et une activité qualifiée de concurrentielle en assurance qui couvre tout le spectre de l’assurance de personnes. Nous proposons de l’épargne, de la retraite, de la prévoyance, de la santé, pour l’individuel et le collectif. Voilà, de manière synthétique, le positionnement de mon Groupe. La Fonction de Conformité dans le Groupe intervient principalement sur le domaine concurrentiel. J’ai également pensé cette intervention avec ma casquette du Cercle d’Ethique des Affaires. Le Cercle d’Éthique des Affaires est un club de réflexion qui regroupe des professionnels de tous horizons, l’industrie, les services. J’essaie, au sein du Club-Pro dont je suis le Vice-Président avec M. Dominique Lamoureux VP International de Thales de développer la dimension services avec l’organisation de rencontres sur des problématiques diverses comme celles de la corruption, des conflits d’intérêts, du blanchiment, et de la gestion des données personnelles et bien sûr celle de la Conformité. Le thème de cette conférence sur les enjeux de la Conformité est un sujet ambitieux. La Conformité dans le domaine de l’assurance, comme Monsieur VISNOVSKY vous l’a indiqué, est beaucoup plus récente que dans le domaine bancaire. Nous sommes depuis le 1er janvier 2016 soumis à la directive Solvabilité2. Le recul par rapport à ce sujet, le niveau de maturité en assurance par rapport au monde bancaire est beaucoup plus faible. J’ai préparé cette intervention par rapport à mon expérience qui remonte maintenant à trois ans sur le sujet. Le premier enjeu que je voulais développer est l’intégration au système de gouvernance qui vise à conseiller d’une manière efficace, la direction générale de nos entreprises. Pour arriver à être efficace sur ce terrain-là, il y a une véritable approche réflexive. Qu’est-ce que la conformité dans le domaine de l’assurance ? Quels sont mes sujets ? Où vais-je intervenir ? Comment faire comprendre ma légitimité ? Un 2ème enjeu concerne la dynamique conformité : effectivement, le plus gros écueil serait que la Conformité soit perçue et vécue comme une fonction « d’empêcheurs




de tourner en rond », qui empêcherait de faire alors que la finalité est bien évidemment toute autre. Je rejoins Monsieur VISNOVSKY sur ce point-là, c’est le développement d’une culture de la Conformité qui est déterminante. Comment accompagner les métiers, la Direction générale, pour faire en sorte qu’ils pensent aussi conformité dans le cadre de leurs démarches ? Pour y arriver, le sujet de l’anticipation et de la prévention des risques est déterminant. Comment être présent en amont, plutôt qu’en « pompier », en aval, lorsque, par exemple, une autorité de contrôle réalise une mission d’audit ? Enfin, le dernier enjeu qui a déjà été évoqué est effectivement celui de la communication. Comment porte-t-on la parole de la conformité dans l’entreprise ? Comment élève-t-on le niveau de culture du risque ? Comment peut-on s’appuyer sur l’éthique des affaires ? Je trouve que c’est aujourd’hui une idée extrêmement intéressante de dire : « Élargissons la vision et la perspective en communiquant de plus en plus sur ce sujet de l’éthique des affaires, de façon à pouvoir adopter les bons comportements dans l’entreprise. » J’ai essayé de modéliser, sur ce premier slide, Solvabilité 2 et la fonction de vérification de la conformité. Solvabilité 2 crée une fonction de vérification de la conformité. Nous avons donc l’appui de la réglementation qui nous installe dans la gouvernance de l’entreprise. La fonction de vérification de la conformité, s’insère dans le dispositif de gestion des risques et est intégrée dans le système de gouvernance de l’entreprise. Un des premiers enjeux est d’attirer l’attention sur l’importance des mots. Je ne représente pas une fonction de conformité, mais une fonction de vérification de la conformité. La première ambiguïté à lever dans l’entreprise est bien que ce n’est pas notre fonction qui porte le risque de conformité. Cette responsabilité reste bien entre les mains des décideurs de l’entreprise et c’est finalement tous les métiers aux différents niveaux de l’entreprise qui doivent s’assurer d’être conformes à la réglementation. Nous sommes là pour accompagner et vérifier cette dimension de conformité pour pouvoir orienter et conseiller. C’est le premier point. Il faut faire comprendre à la gouvernance de nos entreprises cette dimension-là. Pour pouvoir exercer cette fonction de vérification de la conformité, il y a eu le passage du dossier devant l’ACPR. Il faut que l’on soit expérimenté, compétent et honorable. Avec ma formation d’avocat et mon expérience de responsable juridique j’ai rempli ces critères. En quelques lignes, les grandes missions de la fonction de vérification de la conformité sont d’identifier dans le Groupe les éventuelles non-conformités – sujet complexe –, de conseiller et d’alerter l’organe de direction sur le respect des dispositions législatives. Cela pose la question de la capacité à identifier les évolutions réglementaires, de les suivre, et de s’assurer qu’elles soient bien mises en œuvre dans le Groupe et de veiller à la bonne réalisation des actions de mise en conformité. Je considère qu’il existe deux dimensions par rapport à la réglementation que j’appelle le flux et le stock. On travaille en effet à la fois sur l’avenir (le flux), qui concerne les nouvelles réglementations à intégrer dans l’activité opérationnelle du Groupe, mais on a également tout le travail de vérification de la conformité sur le stock, c’est-à-dire toutes les réglementations passées qui se sont empilées pendant




des années et sur lesquelles il faut aussi savoir être attentif afin de s’assurer qu’il n’y aurait pas une non-conformité potentiellement explosive dans nos entreprises. Pour mener à bien ces missions, le texte nous dit : « Sous la responsabilité ultime de l’organe de direction ». Cela ne signifie donc pas que toutes les fonctions clés de l’assurance sont rattachées au directeur général. En revanche, nous devons lui référer, le conseiller et l’alerter. Sa porte doit nous être ouverte. Nous devons pouvoir évoquer avec lui les différents sujets. Nous coopérons également avec les autres fonctions clés. En effet, le succès de la fonction de vérification de la conformité dans l’entreprise passe par la transversalité et notre capacité à échanger avec l’ensemble des métiers, que cela soit le contrôle interne, la fonction juridique et les fonctions d’audit…. À titre d’exemple, des points très réguliers avec l’audit sont organisés pour pouvoir prioriser nos actions. Je leur donne la vision de la conformité que je peux avoir sur les sujets sensibles. De leur côté, ils me font un retour extrêmement précis sur ce qu’ils ont pu identifier, de façon à me permettre de faire évoluer, les priorités dans les cartographies de risques et le suivi des plans de mise en conformité. Enfin, nous coopérons avec les autorités de contrôle. Très souvent, quand l’ACPR vient nous contrôler, la conformité est l’interlocuteur privilégié et le point d’entrée de la relation. J’ai évoqué l’importance de définir le périmètre d’intervention de la fonction de vérification de la conformité. La présentation de l’organigramme de la fonction permet de matérialiser les champs d’intervention de la fonction. En trois ans j’ai fait évoluer l’organisation à plusieurs reprises, pour tenir compte de l’extension des périmètres à traiter. Cette organisation n’est pas figée et tient compte des choix de l’entreprise et de la réglementation. Je partage mon action entre deux dimensions, une première dimension plus opérationnelle, qui est finalement la dimension historique de la conformité. Traditionnellement, dans le monde de l’assurance, la conformité s’occupait des données personnelles et de la lutte anti-blanchiment d’une manière très opérationnelle, en réalisant des expertises sur les dossiers. Avec Solvabilité 2, on change de paradigme. On reste avec un pied dans l’expertise et l’opérationnalité, mais on avance aussi avec un autre pied dans la prospective la stratégie, et la gouvernance de l’entreprise. J’ai essayé de faire en sorte que l’organisation (slide organigramme de la fonction) que je vous présente reflète ces deux dimensions. Dans le « premier pilier », que j’ai appelé sécurité financière et éthique des affaires, la notion d’éthique des affaires ouvre un peu le champ des possibles et de la prospective, mais une autre dimension demeure extrêmement opérationnelle autour de la lutte contre le blanchiment des capitaux et le financement du terrorisme. En revanche, la lutte contre la fraude offre une ouverture qui touche directement le domaine de l’éthique des affaires sur la prévention du risque de corruption et du conflit d’intérêts. Le « deuxième pilier » de l’organisation s’intéresse directement au domaine de la protection de la clientèle. L’autorité de contrôle (ACPR) a fait de la protection de la clientèle un sujet majeur. Il est donc normal que l’organisation que j’ai établie reflète ce niveau d’exigence avec trois lignes de force : les pratiques commerciales, la




conformité des produits d’assurance et des services que l’on met sur le marché et le sujet de la conformité des évolutions réglementaires qui structurent, aujourd’hui, d’une manière très forte, notre action dans le Groupe. À titre d’exemple, j’ai créé plusieurs comités. Un premier comité « veille » a été créé, en s’appuyant sur les services de veille et la fonction juridique, afin :

− D’identifier tous les textes qui peuvent potentiellement impacter l’activité, de les répartir entre les différentes grandes familles d’activité que sont : la retraite, la prévoyance, la santé, l’épargne ;

− D’identifier aussi les réglementations devant faire l’objet de projets transverses.

Ensuite avec mon équipe, nous prenons en charge la réalisation des analyses d’impact sur la base de ces évolutions réglementaires, de façon à pouvoir mesurer l’importance de la nouvelle réglementation dans les activités opérationnelles avec des clés d’entrée extrêmement claires. Par exemple : les produits commercialisés vont-ils être impactés, convient- il de réviser la documentation commerciale ? Faudra-t-il faire évoluer les systèmes d’information ? Nous avons également établi une check-list intégrant un niveau d’impact régi par un code couleur, du vert jusqu’au rouge, pour pouvoir, lorsque la réglementation est publiée, arriver à mesurer la sensibilité à le traiter, l’urgence à la mettre en œuvre et finalement le risque d’exposition du Groupe à la non conformité. Un deuxième « comité réglementaire/conformité » regroupe les directeurs généraux de toutes les structures métier. Devant celui-ci, nous présentons le résultat de ces analyses d’impact pour permettre de désigner le sponsor, (le sponsor est le DG en responsabilité du projet) et de lancer officiellement le projet. Nous vérifions et contrôlons ensuite l’intégration de la réglementation dans sa dimension opérationnelle (procédures, système d’information, documentation…), en nous appuyant sur des relais dans les métiers. Une organisation a été mise en place pour faire en sorte que chaque fonction métier du Groupe (retraite, prévoyance, santé, épargne) s’approprie les nouvelles réglementations, les mette en œuvre et nous fasse le bon reporting pour que l’on s’assure que les textes ont bien été intégrés. Le « troisième pilier », de l’organisation de la fonction de vérification de la conformité que j’ai intitulé « conformité et gouvernance », représente spécifiquement celui de la transversalité et de la culture du risque (dispositifs d’information, les cartographies de risques de conformité, la gouvernance et la supervision des dispositifs de conformité). Le diagramme de la roue que je vous présente sur ce nouveau slide me plaît parce qu’il renvoie bien à l’idée de la nécessaire dynamique de la conformité. Vous connaissez tous cela dans vos entreprises. Que l’on soit en banque ou en assurance, les standards sont les mêmes.




L’enjeu, pour moi, aujourd’hui, est l’arbitrage entre l’énergie que je dépense sur la partie flux (projets) et celle que je vais dépenser sur la partie stocks. Et comment je décide d’affecter mes collaborateurs sur les thèmes du flux ou du stock. Pour un sujet concernant le stock, je vais prendre l’exemple du secret médical. Aujourd’hui, nous n’avons pas de nouvelles réglementations sur le secret médical. Néanmoins nous gérons des données de santé qui y sont soumises. Sommes-nous conformes ou pas ? D’autres sujets vont concerner le flux (çàd les nouvelles réglementations à mettre en œuvre) comme par exemple l’obligation de conseil avec la recommandation de l’ACPR, ou les capitaux en déshérence. L’objectif d’une action efficiente de vérification de la conformité est véritablement de trouver le bon équilibre entre :

− Être suffisamment proche des opérationnels pour instaurer une relation de confiance réciproque. Comprendre ce qui se passe dans la traduction opérationnelle donnée à l’exigence réglementaire et faciliter la mise en œuvre opérationnelle des textes.

− Avoir le recul suffisant pour être ensuite capable de hiérarchiser les informations réceptionnées. Les traduire en risques de non-conformité, les hiérarchiser pour pouvoir remonter les plus importants auprès de la direction générale afin d’orienter les actions de mise en conformité qui s’imposent.

L’autre dimension qui a mes yeux est importante concerne, l’anticipation et la prévention des risques. Elle se formalisme par une démarche classique d’identification des obligations réglementaires que l’on traduit en risques. Nous identifions ensuite les causes qui peuvent générer la survenance du risque. Cela nous permet d’avoir une approche décryptée de la réglementation. Cette étape est cruciale car elle identifie les risques qui seront « suivis » dans le cadre de la démarche de vérification de la conformité. Cette anticipation du risque nécessite également de former et de s’assurer de la bonne compréhension par les métiers des exigences réglementaires. Cette étape est indispensable pour leur permettre de gagner en autonomie et d’être en mesure de rendre leur activité conforme à la réglementation. Ensuite, la fonction de vérification de la conformité intervient pour vérifier si les métiers ont intégré la bonne traduction opérationnelle (dans les processus et dans les systèmes d’information) des recommandations faites par la fonction de vérification de la conformité. Si des écarts sont identifiés entre mes recommandations et leurs applications par les métiers, l’information du risque de non-conformité est remontée aux décideurs. Les décideurs aujourd’hui, dans le Groupe, sont le comité de direction générale et les conseils d’administration qui ont cette capacité de décider d’allouer tel budget pour remédier à telle non-conformité ou de sanctionner. Nous avons créé un comité




des risques que nous appelons le « comité des risques Groupe » qui est là pour faire le lien avec l’ensemble des conseils d’administration. Ce matin, j’avais une réunion avec ce comité des risques et je leur ai exposé où nous en étions de l’évolution d’un certain nombre de projets. Cela me permettrait en cas de nécessité d’exercer mon devoir d’alerte directement auprès des représentants des conseils d’administration. Enfin, la dernière dimension que je souhaitais aborder concerne la communication et la culture du risque, dont la finalité est de contribuer à développer les bons comportements et bonnes pratiques dans le Groupe. J’ai mis en place des outils qui ont des objectifs distincts.

- Il existe des « Politiques », ce sont des documents qui me permettent d’asseoir des organisations. Par exemple, en matière de dispositif de lutte contre le blanchiment, j’ai une politique spécifique qui me permet de mettre en responsabilité aussi bien les métiers, que la MOA réglementaire, que les équipes du contrôle interne. Les « politiques » sont des documents extrêmement utiles qui nous obligent à avoir une approche réflexive sur comment cela fonctionne dans le Groupe.

- Le Rapport annuel de conformité est un document qui fait la synthèse des actions écoulées et des projets en cours et à venir. Il présente les principaux risques de non-conformité identifiés et les plans d’action qui ont été mis en place pour y remédier.

- Les cartographies. La spécificité de notre Groupe, est qu’il y a X assureurs, X systèmes d’information. Donc sur chaque sujet, je me retrouve à démultiplier mes cartographies. Si je prends, par exemple, un sujet comme celui des capitaux en déshérence, je vais avoir la déshérence pour l’institution de prévoyance, qui est sur un système d’information qui peut ne pas avoir le même niveau de maturité qu’un assureur qui fait de l’épargne. J’ai autant de cartographies sur un sujet que d’assureurs et de systèmes d’information concernés.

- Les normes et les procédures me permettent de faire des focus sur un certain nombre de sujets. C’est un outil extrêmement utile.

- Le reporting, que j’ai déjà évoqué.

- Le dispositif de formation. C’est un vrai enjeu, aujourd’hui, pour moi, de compléter l’approche métier que j’évoquais tout à l’heure, extrêmement opérationnelle, pour aborder des formations autour du thème de la culture du risque de la conformité dans l’entreprise qui concerne tous les collaborateurs indépendamment de leur métiers. Je dois donc m’adresser à la totalité des collaborateurs dans l’entreprise. Aujourd’hui par exemple, sur les 11 000 collaborateurs du Groupe, tous ne sont pas concernés dans leurs métiers par la lutte anti-blanchiment. J’estime néanmoins que tous doivent avoir un minimum de connaissances sur ce sujet, d’où une approche de




vulgarisation d’un certain nombre de notions à travers des guides de bonnes pratiques et un système de TV learn. Ce sont des formations mises à disposition de l’ensemble des collaborateurs qui leur permettent d’accéder aux connaissances indispensables. Nous avons commencé la démarche sur la lutte anti-blanchiment et la lutte contre le financement du terrorisme. Je vais la poursuivre autour de la protection de la clientèle ; de la gestion des conflits d’intérêts, etc. Typiquement, le prochain sujet est aussi la corruption, avec la loi Sapin 2. Pour tous les sujets, je développe la même démarche consistant à mettre en place : un guide de bonnes pratiques et des TV learn.

Je vous remercie pour votre attention.

Mme Valérie HAUSER Merci beaucoup. C’était très intéressant d’avoir votre éclairage. Vous avez indiqué, notamment, que chacun est responsable d’être conforme. Il y aura peut-être des réactions de la salle tout à l’heure. Est-ce un message acquis et partagé au sein de tous les établissements ? On peut s’interroger encore là-dessus.



LES ENJEUX DE LA FONCTION CONFORMITE

Cédric Duchatelle Fonction vérification de la conformité AG2R LAMONDIALE Vice-président du Club des Professionnels du Cercle d’éthique des affaires

Jeudi 23 juin 2016

LES ENJEUX EN QUELQUES IDÉES CLÉS:

S’INTEGRER AU SYSTÈME DE GOUVERNANCE ET CONSEILLER DEFINIR LES PERIMETRES DE SON

INTERVENTION CRÉER UNE DYNAMIQUE

CONFORMITE ET IDENTFIER LES RISQUES ANTICIPER ET PREVENIR LES RISQUES COMMUNICATION ET CULTURE DU

RISQUE. ADOPTER LES BONS COMPORTEMENTS

Système de gouvernance de

l’entreprise

Fonction clé de vérification

de la conformité

Système de gestion de risques

Le risque de (non) conformité est porté par

les assureurs et leurs représentants

Identifie les écarts de non conformité

Conseil l’organe de direction sur le respect des dispositions législatives

S’assure de la mise en œuvre des actions de mise en conformité

Compétence Honorabilité

S INTEGRER AU SYSTÈME DE GOUVERNANCE ET CONSEILLER

Une fonction indépendante

Sous la responsabilité ultime de l’organe de direction

Qui coopère avec les autres fonctions

Qui coopère avec les autorités de contrôle: Tracfin, ACPR, DGCCRF,…

DEFINIR UN PERIMETRE D’INTERVENTION

SECURITE FINANCIERE ET ETHIQUE DES AFFAIRES

CONFORMITE DES EVOLUTIONS

REGLEMENTAIRES

GOUVERNANCE ET SUPERVISION DES DISPOSITIFS CONFORMITE

LUTTE CONTRE LE BLANCHIMENT DES CAPITAUX ET LE FINACEMENT DU

TERRORISME

SECURITE DES TRANSACTIONS ET PREVENTION DU RISQUE CORRUPTION

ET CONFLIT D’INTERETS

LUTTE CONTRE LA FRAUDE

CONFORMITE ET GOUVERNANCE

CONFORMITE DE LA PROTECTION DE LA CLIENTELE

CONFORMITE DES PRATIQUES COMMERCIALES

CONFORMITE PRODUITS D’ASSURANCE ET SERVICES

CULTURE DU RISQUE CONFORMITE ET ETHIQUE

GESTION DES RISQUES CONFORMITE

Identification des obligations

Cartographie des risques

1 Identification des écarts

Plan annuel de conformité et plan

de contrôle

2

Normes conformité

3

Suivi de la Déclinaison

opérationnelle

4

Reporting et pilotage des

risques

5

Comitologie et Alerte

6

CRÉER UNE DYNAMIQUE CONFORMITE ET IDENTIFIER LES RISQUES

Documents de

référence et relais Métiers

Formation et Culture du risque

ANTICIPER ET PREVENIR LES RISQUES

FORMER ET S’ASSURER DE LEUR

COMPREHENSION PAR LES METIERS

VERIFIER LEUR BONNE TRADUCTION

OPERATIONNELLE

IDENTFIER LES EVENTUELLES NON

CONFORMITE

ALERTER EN CAS DE NECESSITE

IDENTIFIER LES OBLIGATIONS

REGLEMENTAIRES ET LES

HIERARCHISER

IDENTIFIER ET SUIVRE LES PLANS

D’ACTION

INFORMER ET CONSEILLER LES

DECIDEURS

COMMUNICATION ET CULTURE DU RISQUE ADOPTER LES BONS COMPORTEMENT


Les défis technologiques de la conformité Mme Valérie HAUSER Nous allons poursuivre sur la troisième partie du Club. Laurent et moi avons choisi d’orienter notre présentation sur la conformité et les défis technologiques qu’elle est amenée à relever, étant donné qu’aujourd’hui, il nous semble difficile, voire impossible de faire de la conformité sans être au fait ou équipé au plan informatique et technologique. Pour introduire l’exposé, voici quelques éléments et constats. On relève que l’écosystème dans lequel la conformité évolue aujourd’hui est en pleine mutation. Nous avons évoqué le cadre réglementaire qui se complexifie et s’intensifie, aussi bien sur le plan de la protection de l’intérêt du client et du devoir de conseil que de la lutte contre le blanchiment des capitaux et contre le financement du terrorisme. Nous sommes obligés aujourd’hui d’avoir une perception de notre client et de sa relation d’affaires sous différents angles, sous différentes dimensions, ce qui n’était pas le cas il y a encore quelques années. Le niveau de complexité s’accroit et cela impacte le dispositif de surveillance que nous devons mettre en place. Nous voyons aussi que la conformité au sein de l’établissement doit s’adapter aux innovations qui sont celles des métiers. On parle de digitalisation des process, du parcours client dans les établissements de crédit, de paiement. Les nouveaux acteurs qui émergent ont aussi à mettre en place des dispositifs de conformité. Certains proposent même des offres de conformité : les RegTechs proposent des solutions à destination des directions des risques et des directions de conformité. Il y a une émergence de solutions innovantes dans l’environnement même des établissements financiers qui nécessite que la conformité s’adapte. Aujourd’hui, la multiplicité des activités, dans un contexte international pour les groupes, nécessite un pilotage de plus en plus accru et performant, et une adaptation. L’extraterritorialité des réglementations est un sujet majeur. Le montant exorbitant des sanctions qui ont pu être infligées à certains établissements montre qu’il y a effectivement un vrai enjeu à comprendre et maîtriser les réglementations qui ne sont pas celles du pays d’implantation de la maison mère. Nous avons parlé de la lutte contre le financement du terrorisme, le traitement des paradis fiscaux. Il y a aujourd’hui une vraie nécessité à déployer un pilotage pointu du risque pays et des zones régionales dites sensibles ; il est en tout cas essentiel de donner à la surveillance une dimension plus complexe qu’on pouvait ne le faire il y a encore quelques années. Nous nous posons de véritables questions aujourd’hui. Comment se positionne-t-on par rapport à certaines de ces implantations, succursales, filiales implantées près de zones sensibles ? Comment gère-t-on la relation avec des clients qui peuvent répondre à la définition d’US persons ? Comment gère-t-on des clients dont on sait qu’ils effectuent ou sont susceptibles d’effectuer des transactions en dollars ? Il y a un double risque pays :

− Le risque du pays sensible, de la zone sensible ; − Le risque, qui émerge maintenant d’avoir une sanction si on ne maîtrise pas

une réglementation qui n’est pas la nôtre et qui peut s’avérer très complexe et très difficile à appréhender.




En résumé, nous constatons des exigences accrues en termes de pilotage et d’analyse, avec des volumes de données à traiter croissants. Avec un certain nombre de contraintes à gérer : problématique d’hétérogénéité des données et des systèmes, périmètre consolidé pour lequel il une supervision centralisée et globale. M. Laurent RENAUDOT Merci Valérie. Effectivement, au-delà de ces aspects liés à la conformité et à cette mondialisation des échanges, l’ampleur que prend la réglementation, un décalage est susceptible d’émerger au sein des établissements, entre des métiers qui sont de plus en plus technologiques, dans la course à l’innovation qui devient un facteur différenciant, et la fonction de conformité. Cette révolution technologique, nous la connaissons tous, concerne la maîtrise et le traitement de la donnée, notamment le « digital » dans la relation client et l’apparition d’une quantité de FinTechs. On parle, par exemple, de la révolution des blockchains dans les transferts de fonds, de nouveaux produits comme les cartes prépayées, la banque digitale. Toutes ces innovations technologiques sont difficiles à gérer pour la conformité, et posent de nouvelles questions. Cela peut être des difficultés concernant l’hétérogénéité des données sources. Aujourd’hui, le traitement de la donnée en conformité est fondamental. S’agissant de l’hétérogénéité des données sources, tout responsable de la conformité, pour analyser un client, se heurte, par exemple, à la question du client unique ou l’appréhension d’un tiers de façon consolidée. Un tiers, aujourd’hui, peut être client, mandataire, bénéficiaire effectif, US person, ou en charge de gens sous tutelle ou sous curatelle. Nous demandons donc à la conformité d’avoir une appréhension protéiforme de toutes les relations d’affaires. Il y a aussi la succession des fusions-acquisitions auxquelles le responsable de la conformité se heurte vraiment de façon opérationnelle en termes de systèmes d’information. Il y a donc une grande hétérogénéité de sources et on n’entre même pas sur le sujet de l’obsolescence des données, de traiter et de savoir si un client est actif ou pas, etc. Le deuxième aspect est la nécessité de rationaliser et de mutualiser les systèmes d’information de la conformité. Concrètement, ce qu’on a pu constater depuis l’apparition des premières réglementations, mais particulièrement depuis le milieu des années 2000, c’est qu’à chaque réglementation, une réponse de la part de la conformité était produite avec une organisation, des procédures, des outils dédiés. Ces outils s’empilaient au fur et à mesure. Actuellement, ces outils qui sont très hétérogènes, souvent assez chers, longs à implémenter et ne communiquent pas forcément. Comme cela a été mentionné tout à l’heure, dans l’aspect dimension groupe, tous ces outils doivent pouvoir communiquer. La conformité, aujourd’hui, est face à un enjeu d’efficacité opérationnelle dans le traitement de toutes ces données et de la communication entre ces différents outils.




Le troisième aspect que l’on a constaté chez nos clients porte sur un sous-équipement dans certains domaines. Nous pensons, par exemple, en termes de sécurité financière pour des établissements à taille humaine où il n’y a pas forcément les solutions technologiques les plus modernes qui peuvent leur être proposées. Cela peut être des outils relativement rigides dont le paramétrage est à la main de la DSI ou éventuellement d’un éditeur. La fonction conformité est tributaire de tierces personnes avec qui la communication ne se passe pas forcément ou doit être contractualisée. Ce que requiert la conformité aujourd’hui, c’est la réactivité. Je pense, par exemple, suite aux attentats, aux autorités françaises qui ont requis auprès de tous les responsables de la conformité pour savoir si les auteurs des attentats n’étaient pas clients, n’avaient pas eu un comportement atypique dans leurs outils. Il y a donc un besoin de communiquer, d’être réactif. Un autre aspect, ce sont les nouvelles technologies à maîtriser. Nous avons parlé des nouvelles technologies en matière d’offres client et de la perception de la clientèle, des relations d’affaires sous tous les angles. Mais aussi, éventuellement, ces nouvelles technologies peuvent offrir des opportunités aux fonctions de conformité. Je pense à travers la mise en place, par exemple, du pilotage des systèmes d’information. C’est intégrer des gens qui ont une appétence, une appréhension de l’informatique, des outils informatiques, des outils les plus modernes – nous les regarderons tout à l’heure – au sein des fonctions de conformité, pour pouvoir faire communiquer des outils entre eux ou alors avoir des approches consolidées. Enfin, le dernier aspect, la dernière nouveauté est l’augmentation significative des volumes d’information. On sait qu’aujourd’hui, avec toute la collecte des données, si vous vous entretenez avec les responsables du marketing, par exemple, ou les responsables commerciaux, la donnée devient un enjeu essentiel pour les établissements. La conformité peut développer et aura des gains assez rapides à s’intégrer dans ces nouveaux outils et dans le traitement de ces volumes d’information. Par rapport à il y a encore cinq ans, ceux-ci ont explosé. Les temps de traitement ont beaucoup diminué en quelques années. Les données sont très diverses. Nous avons les données internes liées directement à notre métier, métier de la banque de détail ou de l’assurance santé, par exemple, mais nous avons beaucoup d’autres données qui sont disponibles au sein de l’établissement, avec, éventuellement, des données publiques ou semi-publiques à traiter. Aujourd’hui, on sait qu’en sécurité financière, par exemple, on peut traiter de la voix, la géolocalisation, les connexions. Tout cela peut nous aider à avoir une approche un peu plus fine et à ajouter de l’intelligence logicielle dans l’analyse du risque de conformité. Mme Valérie HAUSER Nous avons identifié deux catégories d’enjeux majeurs. Le premier est le fait d’asseoir la légitimité de la conformité auprès des métiers et des instances de gouvernance qui nous semble indispensable. Un premier axe sur ce premier pilier est de constituer un réseau. La conformité ne doit plus être isolée et agir en silo en sein de l’établissement. Cela a été évoqué tout à l’heure, mais il faut effectivement travailler en coopération avec les directions




juridiques, l’audit, les métiers, la direction informatique pour faire valoir la valeur ajoutée de la conformité au sein de l’établissement. Une deuxième piste est de créer un pôle système d’information au sein de la conformité. C’est une tendance que l’on relève, ce qui permet aussi de garantir une certaine indépendance de la conformité en matière de technologie et d’informatique. Il y a la possibilité de mettre en avant et de faire valoir les évolutions qu’elle souhaite mener. Notre point est que la conformité doit être en mesure de challenger les orientations qui sont prises au plan commercial, voire stratégique. On cataloguait, il y a quelques années – c’est encore parfois le cas dans certains établissements – la conformité comme fonction de contrôle uniquement. Il y a un rôle de conseil. Il nous semble important que la conformité puisse être embarquée dans les projets purement métier dès leur lancement, très en amont pour, justement, amener et embarquer la vision conformité dès le début, comme partie prenante de la réflexion et des projets. C’est le premier point. Le deuxième point est que la conformité, aujourd’hui, doit développer et faire valoir – cela rejoint la question de la légitimité – une expertise pointue sur ses domaines de compétence et, de fait, gagner en efficacité et en pertinence. Cela suppose d’assurer une veille technologique sur les nouveaux produits, les nouveaux acteurs du marché. Il faut que la conformité soit très à l’écoute de ce qui se passe dans son environnement, de l’évolution de l’écosystème pour pouvoir anticiper et s’adapter aussi, au fur et à mesure. Laurent évoquait, tout à l’heure, les technologies de type blockchain. Cela reste, effectivement, pour l’instant très hypothétique et très abstrait, mais il faut, dès à présent, s’y pencher, essayer de comprendre en quoi cela consiste. Un jour ou l’autre, nous serons amenés à adapter notre mode de fonctionnement, notre dispositif de contrôle pour l’intégrer. Cela nécessite un pilotage de l’efficacité opérationnelle. La conformité, aujourd’hui, doit être réactive. On ne peut plus, vu le contexte, l’évolution des réglementations, l’actualité aussi, qui impacte beaucoup la conformité, se permettre une certaine inertie dans le processus de décision et dans l’évolution des pratiques. La conformité peut être aussi à l’initiative de projets métiers, pour autant que cela contribue à améliorer et à accroître son efficacité. On citait l’exemple de référentiel tiers. La conformité, aujourd’hui, pour mener à bien ses missions, a besoin d’un certain nombre de données complètes sur le client, la relation d’affaires dans son ensemble, sur les liens entre plusieurs relations d’affaires. Pour cela, elle a besoin que les outils dont elle dispose soient complets, avec des données fiables, les plus accessibles possible. Cela nécessite parfois des aménagements qui touchent les outils, les bases de données, les référentiels qui sont à l’origine à la main des métiers. Il faut aujourd’hui faire preuve de souplesse, d’agilité. Nous avons parlé de réactivité. Il y a encore quelques années, dès qu’une nouvelle réglementation sortait, on analysait, on mettait en place des process, des procédures, on développait un nouvel outil. On menait des projets parfois sur deux ans ou trois ans. Aujourd’hui, il faut faire preuve de réactivité et d’agilité non seulement dans les projets, mais aussi sur les solutions existantes. Il faut pouvoir avoir à sa main des modifications de seuil, de




scénarios dans les outils, pour pouvoir réagir à l’actualité ou à un élément de contexte particulier. Deux voies, selon nous, permettraient de relever ces enjeux. Il s’agit de la proximité avec les métiers, d’abord, et de l’efficacité des systèmes. Sur la proximité avec les métiers, asseoir et renforcer le rôle de conseil nous semble être une voie essentielle. Il faut que la conformité soit à l’écoute des problématiques et des enjeux des business. Instaurer un dialogue et un travail de coopération nous semble être une orientation indispensable. Cela permet aussi de sensibiliser les métiers au problème dit de la conformité, en amenant la conformité sur le terrain. On parlait tout à l’heure de culture de conformité. Elle doit être diffusée au sein des métiers. Il y a des actes de sensibilisation, des actions de conduite de changement à mener pour que la responsabilité de se sentir conforme incombe à chacun, comme le disait tout à l’heure Monsieur DUCHATELLE. Il y a encore, selon nous, beaucoup d’efforts à mener pour que cette responsabilité soit comprise et partagée. Il faut que la conformité participe à l’évolution technologique dès le début, que l’on comprenne bien les enjeux et que l’on mène des actions de lobbying interne pour être embarqué en amont dans les projets. Les problématiques et les enjeux de la conformité doivent être compris . Sur le plan de l’efficacité des systèmes, le premier point est le sujet de la rationalisation, notamment, au sein des groupes. L’évolution des réglementations, les fusions, les rapprochements successifs font parfois que, pour une même thématique, nous avons des outils différents, des versions différentes du même outil. Parfois, nous mettons en avant le fait que les activités ne sont pas exactement les mêmes, qu’il faut bien avoir un outil spécifique pour telle activité. Néanmoins, pour des raisons d’amélioration de la performance et d’efficacité, une réflexion sur la rationalisation et l’optimisation nous semble quand même intéressante à mener. Il y a un sujet aussi sur les démarches en silo que l’on voit souvent. C’est-à-dire que l’on va avoir des process et des outils sur le KYC, sur la protection de la clientèle, sur la prévention, la détection des abus de marché, alors qu’à la base, on a un objectif commun qui est la connaissance de la relation d’affaires, de ses objectifs, de son activité. On voit encore trop souvent des démarches en silo, par domaine, sans forcément de réflexion menée sur des approches conjointes qui pourraient faire gagner en efficacité. La notion de client 360, qui est utilisée par les personnes du marketing ou du commercial, pourrait être ainsi reprise par la conformité. Un autre point est l’embarquement des contrôles de conformité dans les outils métiers. Tout à l’heure, je disais qu’il nous semblait important que la conformité puisse être embarquée dans les projets des métiers très en amont. Nous y voyons aussi un intérêt. Nous pouvons et nous devons déléguer un certain nombre de contrôles de premier niveau de conformité aux métiers et faire nos meilleurs efforts pour les intégrer dans les outils (contrôles de rapprochement de données par exemple, ou de complétude d’information, qui ne nécessitent pas forcément une analyse d’expert de la conformité). Ces contrôles gagneraient à être embarqués dans les outils métier, ce qui permettrait à la conformité de se libérer de la réalisation de tâches à peu de valeur ajoutée.




Concernant l’amélioration des interfaces entre les systèmes de conformité et les outils, les bases, les référentiels métier ne dialoguent pas forcément entre eux. Là aussi, cela complexifie les tâches, les travaux de contrôle et d’analyse. Il y a un travail à mener pour faciliter le dialogue entre les systèmes et les référentiels. Un autre point est l’agilité dans les projets, dans le paramétrage dynamique, d’où l’importance que la conformité soit réactive, puisse modifier des scénarios et des seuils sans être dépendante d’un éditeur qui impose un coût à chaque fois que l’on veut changer un seuil dans un scénario de filtrage ou de lutte contre le blanchiment. Tout cela nécessite une conduite du changement. Nous devons changer la fonction conformité telle qu’elle a l’habitude d’évoluer et aussi telle qu’elle est perçue. Cela suppose de mettre l’accent sur la formation, sur la veille technologique et aussi de mixer les profits au sein des équipes avec des personnes qui sont à l’aise avec la technologie informatique, des spécialistes des données. C’est une tendance que l’on commence à percevoir et qui ira peut-être en s’accroissant. M. Laurent RENAUDOT Effectivement, les spécialistes de l’analyse des données deviennent des acteurs de la conformité. Nous avons des clients qui commencent à avoir des data scientists pour pouvoir traiter les sujets de conformité. Les équipes multicompétentes ne regroupent pas simplement des juristes ou des gens du métier qui doivent venir au niveau de la conformité. On peut rencontrer des informaticiens, des data scientists. On pourrait même suggérer l’idée de graphiste, de façon à pouvoir présenter des reportings clairs, pertinents, qui nécessitent des connaissances en communication et en graphisme. L’idée est que cette nouvelle fonction de conformité soit créatrice de valeur en termes d’efficacité opérationnelle, étant donnée la charge qu’ont les équipes de conformité en interne. Il faut qu’elles commencent à intégrer le sujet de leur propre efficacité, donc piloter l’efficacité de la conformité, mais aussi être acteur sur des projets. Nous avons pu rencontrer cela, par exemple, sur la notion de bases tiers, les référentiels de tiers où la conformité peut vraiment être proactive pour permettre à l’établissement d’avoir la vision du client, par exemple à 360 degrés, comme disait Valérie. Au-delà de toute cette fonction de conformité, nous voulions terminer en faisant un petit focus sur un sujet qui nous apparaît de plus en plus important. C’est la perspective de l’analyse des données. Dans les établissements bancaires, assurantiels et financiers, la donnée devient un enjeu majeur, mais aussi pour la fonction conformité. Il faut savoir qu’aujourd’hui, la fonction conformité, par exemple, a besoin de connaître les profils financiers et d’avoir une actualisation permanente de ces profils financiers de la part de leurs clients, les informations en termes d’activité. Je pense, par exemple, à un client entreprise qui développe une nouvelle activité ou qui offre une nouvelle filiale dans une zone qui pourrait être plus ou moins à risques, dans un pays de l’Est proche de l’Ukraine, en Afrique, dans une zone proche de troubles. On va demander aujourd’hui au banquier d’avoir une vision sous l’angle conformité de l’implantation de ses clients. Il peut y avoir aussi le traitement des informations issues des fournisseurs d’informations financières. Je pense, en sécurité financière, à un tiers, une entreprise, ou quelqu’un qui serait mis en examen pour corruption de l’autre côté du monde. Il est intéressant, quand même, que




l’établissement de crédit soit au courant au moment de l’ouverture du dossier KYC ou dans la surveillance des opérations pour avoir une surveillance plus fine. Des informations sont disséminées au sein de la fonction conformité, évidemment, les informations concernant le KYC, la surveillance des opérations. Cela concerne aussi les abus de marché, la protection des intérêts du client. Tous ces sujets de conformité dont on sait que les données s’entrecroisent et peuvent provoquer de la valeur ajoutée si on arrivait à les croiser de façon pertinente, peuvent être aussi créateurs de valeur. Les habitudes de consommation des clients sont utilisées par le marketing pour segmenter, pour avoir une publicité plus pointue, plus personnalisée. Ces informations-là peuvent être aussi utilisées par la conformité ou la sécurité financière, par exemple, pour protéger le client contre des fraudes externes ou, éventuellement, des fraudes internes. C’est une quantité de sujets qui émergent, tous autour de la donnée. C’est un des enjeux centraux. Je pense que les grands groupes bancaires et assurantiels, vu les volumes de données, les millions de données à traiter, actuellement, en font un enjeu majeur, de façon à pouvoir rationaliser. L’appréhension du traitement de la donnée, comme il a été réalisé par le marketing et le commercial, doit obliger les fonctions de conformité à s’extraire des modèles figés qu’on leur proposait aujourd’hui, de façon à avoir des approches différentes, innovantes. Ces approches innovantes sont vraiment différentes et assez révolutionnaires. Elles collent aux nouvelles technologies et se traduisent par de nouveaux outils. Ce sont de nouveaux outils plus agiles, des algorithmes de rapprochement d’informations qui peuvent produire autant de pertinence que les outils actuels, mais dans des délais beaucoup plus rapides, avec des temps de traitement et des gens qui traiteront la donnée de façon beaucoup plus efficiente. Pour faire un parallèle, on voit qu’aujourd’hui, les entreprises qui fonctionnent, de type Google, n’utilisent que de la nouvelle technologie avec du code ouvert. En fait, ils permettent aux établissements, aux informaticiens eux-mêmes de développer, de s’enrichir des apports des autres, de faire de nouveaux développements et de communiquer à l’ensemble de la place. Toutes ces nouvelles technologies sont très intéressantes pour les fonctions de conformité dans le sens où elles peuvent produire de l’agilité et de la réactivité et dans un premier temps, s’inscrire comme une couche un peu plus Hi-Tech d’intelligence logicielle au sein, par exemple, de cellules de sécurité financière, en plus des outils traditionnels de scoring de clients ou de scénarios du type versement ou dépôt d’espèces supérieur à un seuil, etc. C’est donc rajouter une couche d’intelligence logicielle qui ne nécessite pas forcément un investissement, a priori, qui serait important. On ne s’engage pas dans des projets à trois ans pour plusieurs millions d’euros avec un résultat qui sera tangible au bout de plusieurs années, mais éventuellement qui peuvent produire des résultats assez significatifs et très ciblés au bout de quelques semaines ou de quelques mois.




Une autre révolution est ce que l’on appelle aujourd’hui les machines apprenantes, donc le machine learning. C’est un terme qui se développe et qui entre dans toutes les conversations, dont nous entendons tous parler. La machine apprenante, c’est le cas typique, si vous allez sur un site pour acheter une machine ou un ordinateur. Vous allez avoir ensuite des publicités pour des ordinateurs sur votre ordinateur, vos tablettes. En conformité, en sécurité financière, il peut être intéressant d’avoir des machines qui apprennent le comportement d’un client et qui peuvent déceler un changement de comportement de façon intelligente. Par exemple, telle entreprise qui traitait sur trois ou quatre pays, d’un seul coup, se met à traiter avec une dizaine de pays. Dans un scénario traditionnel, on déclencherait une alerte si on voyait un nouveau pays apparaître, mais il n’y a pas d’analyse plus poussée. Là, il pourrait y avoir une analyse plus pertinente et qui déclencherait une alerte au moment où on se rend compte que cela peut être réellement risqué pour la banque : collecter de l’information, la traiter, éventuellement enrichir le profil du client, sans forcément déclencher de l’alerte pure et dure. Le troisième niveau, à partir de tous ces nouveaux dispositifs, c’est gérer et analyser des alertes. Les alertes proviennent souvent d’anomalies comportementales. Une alerte peut avoir plusieurs approches. Il n’y a pas de définition d’une alerte ou d’une anomalie. Une alerte peut être un événement rare, un changement de comportement radical de la part du client. Cela peut être aussi une zone, un point, une définition bien précise. Le scénario serait le versement supérieur à 1 500 euros en espèces sur son compte. On sait vraiment qu’au-dessus de ce seuil, on doit tout analyser. Cela peut être aussi, éventuellement, dans le cadre d’une analyse statistique, un point éloigné, c’est-à-dire une opération qui n’a rien à voir avec le comportement du client. Avec les approches traditionnelles, jusqu’à présent, on avait des difficultés à appréhender cela de façon optimale. On prenait tout ce qui sortait, tout ce qui dépassait. Cela signifie donc des batteries d’analystes, ou alors on baissait les seuils. À ce moment-là, on n’avait plus d’acuité pour percevoir des comportements atypiques. Toutes ces nouvelles technologies peuvent être utilisées et de façon assez souple. Elles apporteront de la valeur ajoutée et en plus permettront à la conformité de s’inscrire vraiment dans les process Hi-Tech tels qu’ils sont développés, notamment dans la relation client. Pour terminer, c’est une petite illustration, un exemple d’application en sécurité financière pour montrer un peu les tendances vers lesquelles nous nous dirigeons. Au départ, on peut dire que le niveau zéro était le reporting, le quantitatif, le qualitatif fait à la main à partir de fichiers Excel, etc. Après, avec la troisième directive européenne à un premier niveau, sont intervenus des outils de classification des clients, des bases de déclaration de soupçons, des containers de scénarios, la gestion des listes de sanction, tout cela dans des outils qui fonctionnaient en silos. On va donc dire que la consolidation et la perception globale du client étaient manuelles. On répondait à une réglementation par un outil, des process, etc. Aujourd’hui, on passe au niveau 2 dans la constitution du référentiel de tiers. Par exemple, aussi, un sujet qui commence à émerger est la gestion d’une base documentaire lutte anti-blanchiment. Quand le groupe se met à édicter une politique, il faut que toutes les entités la déclinent. Gérer les mises à jour, les points clés d’une




politique groupe, d’une dimension groupe. Il faut que le groupe aussi ait une perception, pour voir s’il y a une faiblesse dans tel métier ou sur tel pays. S’agissant du suivi des organisations et des moyens alloués, l’efficacité opérationnelle devient un véritable enjeu pour les établissements. Il faut pouvoir garantir le risque de conformité et de sécurité financière, le minimiser sans pour autant mettre en place des batteries d’analystes qui traiteront des données souvent inintéressantes, des alertes qui seront redondantes, sans pertinence, qui ne provoqueront que du bruit à l’intérieur de l’établissement. La gestion des pays aussi est un véritable sujet. On a vu, par exemple, dans la lutte contre le financement du terrorisme qu’il y avait, pour les établissements qui ont des filiales en Turquie, des points, des distributeurs, des agences qui pouvaient être des véhicules de financement du terrorisme. Ces agences, ces DAB doivent avoir une perception et une analyse particulière, ce qui n’est pas possible avec les outils traditionnels. Enfin, la cartographie des risques et plus largement le pilotage du risque, les établissements qui ont plusieurs activités, plusieurs implantations géographiques ont besoin de savoir. Une grande banque généraliste de taille mondiale, par exemple, pourrait avoir besoin de savoir ce qu’il en est au niveau de l’ensemble de l’établissement et de ses filiales, la gestion des espèces, quel est le dispositif de gestion des espèces ou de surveillance des virements internationaux. Tout cela permettrait de produire de l’information assez rapidement et de façon très efficace, au lieu de passer une semaine à pouvoir consolider des données disparates. Demain, les perspectives qui se profilent devant nous sont, par exemple, le KYC Group, le KYC Dynamic, qui sont en mesure d’identifier le jour où un client devient US person parce qu’il a pris des participations dans une entreprise américaine ou il a nommé un dirigeant américain. Il y a une notion d’US person, potentiellement des inclusions dans les plans OFAC. Cela mérite d’être traité, c’est quand même une donnée intéressante. Si la conformité est obligée de balayer, périodiquement, de façon automatique, sans valeur ajoutée, ces US persons, cela sera fastidieux. Il y a donc l’information automatique, la mise à jour, les informations négatives sur un tiers, sur un établissement, la détection de réseau aussi, etc. Dans l’assurance, vous avez beaucoup travaillé sur les réseaux en termes de fraude. Un tiers, par exemple, peut être dirigeant d’une entreprise et bénéficiaire d’une autre entreprise. Nous avons vu cela lors des sanctions financières internationales envers des tiers russes ou ukrainiens. On s’est rendu compte qu’il y avait des personnes physiques qui étaient bénéficiaires effectives de plusieurs grandes entreprises. C’est quand même intéressant à savoir dans leur prescription. Enfin, nous avons toute une quantité d’autres types de données à agréger, comme l’audio, les données de géolocalisation, les adresses IP, les données de connexion. Plus largement, nous pouvons connecter toutes ces informations pour avoir une vision, en termes de sécurité financière du client.




Mme Valérie HAUSER Pour conclure, on pourrait aussi se poser aussi la question de savoir jusqu’où aller dans l’utilisation de la donnée. Cela pose des questions de confidentialité, d’éthique. Peut-on tout utiliser à des fins de conformité ? Peut-être que nous en parlerons la prochaine fois. Cela soulève, en tout cas, des interrogations. Merci beaucoup pour votre attention. Nous allons pouvoir prendre les questions de la salle, si vous en avez.



Les enjeux de la conformité – 23 juin 2016 Les défis technologiques de la conformité

Valérie HAUSER Directeur Associée 06 80 93 72 22 [email protected]

Laurent RENAUDOT Senior Manager 06 16 81 97 97 Laurent. [email protected]

mailto:[email protected]

mailto:[email protected]

2

Une fonction relativement jeune, face au défi de l’évolution technologique

Un écosystème en mutation qui s’avère de plus en plus exigeant

Un cadre réglementaire qui se complexifie et s’intensifie • Renforcement des exigences

• Prise en compte de la Conformité dans les innovations technologiques

• Nécessité de pilotage global de la conformité

Un environnement international qu’il faut s’approprier et maitriser

• Extraterritoralité des réglementations (ex : plan OFAC), hausse des montants de sanctions

• Lutte contre le financement du terrorisme, traitement des paradis fiscaux

• Pilotage du risque pays et des zones régionales

Avec des exigences accrues, en terme de pilotage, de centralisation et d’analyse de données, de volumes de données à traiter et de reporting

• Dimension groupe

• Hétérogénéité des données sources à intégrer dans un périmètre consolidé

Club Banque – 23 juin 2016 – présentation SOLUCOM

3


Un décalage susceptible d’émerger au sein des établissements

Entre des métiers en pleine révolution technologique et dans la course à l’innovation…

… et la Fonction Conformité

Hétérogénéité des données sources

Nécessité de rationalisation et de mutualisation des systèmes d’information de la Conformité

Sous équipements sur certains domaines à palier

Nouvelles technologies à maitriser

Augmentation significative des volumes d’informations à traiter, en lien avec les exigences réglementaires plus fines


4


Des enjeux forts

Asseoir la légitimité de la Fonction auprès des métiers et des instances

de Gouvernance

Développer une expertise pointue sur ses domaines de compétence, gagner

en efficacité et en pertinence

Constituer un réseau associant des compétences juridiques, métiers (FO, MO et BO), systèmes d’informations,…

Créer un pôle Systèmes d’Informations au sein de la Conformité

Être en mesure de challenger les orientations stratégiques et commerciales de l’établissement

Assurer une veille technologique et (nouveaux produits, nouveaux acteurs)

Piloter l’efficacité opérationnelle de la fonction Conformité

Initier des projets métiers sous l’impulsion de la Conformité (ex : référentiel tiers)

Être plus souple dans l’adaptation aux évolutions réglementaires et technologiques


5

Des constats qui appellent des actions de progrès

OBJECTIFS: relever les enjeux du

tournant technologique

Les conditions

La proximité avec les métiers L’efficacité des systèmes

Asseoir le rôle de Conseil auprès des métiers

Être à l’écoute des problématiques et des enjeux Business

Sensibiliser les métiers aux problématiques de la Conformité en amenant la Conformité sur le terrain

Participer à l’évolution technologique des métiers, en cerner les enjeux, faire en sorte que la Conformité soit « embarquée » en amont dans les projets métiers

Rationaliser les systèmes d’information, notamment au sein des groupes

Éviter les démarches en silos ; mutualiser les approches entre domaines de conformité

Embarquer les contrôles de conformité dans les outils métiers

Améliorer les interfaces entre systèmes de conformité et outils / bases / référentiels métier

Favoriser l’agilité dans les projets informatiques et dans le paramétrage dynamique

- Accompagner le changement au sein de la Fonction - Mettre l’accent sur la formation et la veille technologique - Mixer les profils au sein des équipes


6 Propriété de Solucom, reproduction interdite

Des machines apprenantes et algorithmes à designer

Analyser

Des informations connues à collecter

Aller plus loin : la perspective de l’analyse de la donnée

7

Aller plus loin : la perspective de l’analyse de la donnée

Reportings quant / quali

Classification, client, Base DS, container scénarios, listes de sanctions

KYC Groupe, informations négatives, réseaux, signaux faibles, prise en compte des enregistrements audios,…

Niveau 0

Niveau 1

Référentiel tiers, base documentaire LCB/FT (conformité, couverture, mise à jour,…), suivi des organisations et des moyens alloués, listes pays, listes internes, zones à risque, cartographie des risques,…

Niveau 2

Niveau 3

Exemple d’application en sécurité financière


Questions de la salle De la salle Bonsoir. Marc BOSVIEUX. Merci beaucoup pour vos différentes présentations très claires. J’avais une question pour Monsieur DUCHATELLE, sur les aspects de méthodologie de surveillance et d’analyse, en autres. Sur votre slide Anticiper et prévenir les risques, vous avez fait apparaître le cycle DMAIC qui est un cycle d’amélioration continue, de Six Sigma, etc. Je voulais savoir, en conséquence, si vous utilisez vraiment ce cycle DMAIC et, si tel est le cas, si vous êtes entré dans une démarche, dans un cycle de certification de type Yellow Belt, Green Belt, Black Belt, etc. La seconde question portait sur la transversalité avec les autres départements. C’est-à-dire qu’aujourd’hui, avec la mise en œuvre de cette fonction risque, des départements ne font, la plupart du temps, plus qu’un : des RCCP. L’idée était de voir comment les uns et les autres visaient de nouvelles fusions, puisque la plupart du temps, c’était séparé, puis cela a de nouveau fusionné. Quel avenir voyez-vous à ce département des RCCP ? Merci. M. Cédric DUCHATELLE Votre question est riche. Méthodologie, surveillance, analyse. Je ne peux pas répondre de manière unique à cette interrogation. Cela dépend réellement des périmètres sur lesquels je vais me pencher. Si je prends par exemple un périmètre sur lequel nous avons beaucoup travaillé qui est celui de la lutte anti-blanchiment. Des budgets importants ont été alloués afin de construire un système nous permettant d’automatiser la détection des opérations atypiques et des clients atypiques. Là, nous nous appuyons vraiment sur une technologie qui permet de croiser les données en notre possession avec, des scénarios de risques. Cela améliore la détection des opérations atypiques mais le système d’information ne remplace pas l’expertise humaine des dossiers détectés. Historiquement, la démarche était extrêmement centralisée donc la conformité prenait en charge toutes les expertises. Progressivement, je suis en train d’étendre la démarche d’expertise vers les métiers afin qu’ils puissent, après avoir été formés par nos soins, prendre le relais d’expertise sur les dossiers les moins sensibles. Avec une idée de gradation du niveau de risque du dossier, les dossiers les moins risqués seraient pris en charge directement par les métiers, les plus risqués par un niveau intermédiaire, de façon à ce que seuls les dossiers les plus sensibles soient traités à la conformité. Il y a toujours cette question, qui est revenue à plusieurs reprises, de l’agilité. Aujourd’hui, je trouve que l’un des écueils les plus forts pour nos fonctions, est de se retrouver accaparer par un sujet particulier au détriment d’autres sujets. La contrepartie de cela signifie de l’organisation, du pilotage, de la formation, de la sensibilisation, de l’accompagnement. Souvent, on est un peu en effet de ciseau : pour arriver à basculer vers l’idéal, il y a du temps à investir que l’on n’a pas




forcément parce que l’on est sur de l’expertise. Il faut donc arriver, à un moment, à casser un peu le cercle vicieux. S’agissant de la transversalité avec les autres fonctions, de la même manière, il n’y a pas une réponse unique. Effectivement, travailler en silo d’une manière isolée, c’est la mort de la fonction avant même qu’elle soit née. Il y a également la discussion de périmètre avec la fonction juridique. Le vrai enjeu était de leur faire comprendre que nous allions travailler en synergie et coopération. La conformité et le juridique ne font pas le même métier, nous faisions de la gestion de risques et pas de l’expertise juridique. Aujourd’hui, la coopération est en place et la fonction juridique participe au comité veille, ils réalisent les analyses en amont et nous les traduisons ensuite en risques. Pour le contrôle interne, l’objectif est de faire en sorte d’orienter leurs contrôles sur les sujets qui nous semblent les plus prioritaires. L’enjeu est de s’accorder sur les thèmes prioritaires qui exposent le Groupe au risque de non-conformité le plus élevé pour mettre en place des contrôles. Un autre acteur de la transversalité aujourd’hui dans nos métiers est une fonction que nous avons fait émerger il y a un an et demi environ, c’est la MAO règlementaire. Cela a été extrêmement précieux pour moi. En effet, à un moment, nous étions vraiment juge et partie dans le déploiement. C’est-à-dire que nous étions là, en amont pour dire : « Voilà ce qu’il faut faire. » Nous contribuions à la mise en œuvre en prenant des décisions extrêmement opérationnelles sur le déploiement et nous étions là, en bout de course, pour dire : « Nous sommes conformes. » Pour sortir de cette problématique de juge et partie, nous avons extrait du métier de la conformité la partie MOA réglementaire que nous avons mise ailleurs, sous un autre rattachement hiérarchique, de façon à ce qu’il y ait une répartition cohérente des missions : « Nous sommes là un peu en amont pour fixer les grands enjeux, les concepts, les recommandations sur ce qu’il faut faire. La MOA réglementaire met en œuvre, avec les métiers et l’informatique notamment. Nous intervenons pendant tout le déploiement pour nous assurer de la bonne mise en œuvre de la Réglementation. » Après, il y a la relation avec les métiers en assurance que nous appelons « la gestion ». Ce sont les opérationnels qui mettent en gestion les contrats. Là, le travail tourne autour de la rédaction des procédures qui est de leur responsabilité. Il s’agit donc leur faire comprendre en amont les enjeux de la réglementation et de les amener, de les inviter à les traduire dans les meilleurs délais dans leurs procédures. Enfin, le dernier interlocuteur métier avec lequel nous travaillons souvent, ce sont les réseaux commerciaux de distribution. L’approche est délicate actuellement avec le flux des textes réglementaires qui s’accumulent ces dernières années. Là, l’enjeu est de travailler avec eux sur le sens. Nous travaillions souvent, historiquement, autour du nouveau document d’adhésion qu’il devait mettre en œuvre. Désormais, nous devons prendre un peu plus de temps pour leur expliquer : « Voilà à quoi cela sert, quel est notre rôle, quel est le sens, quelle est la vision. Par voie de conséquence, voilà les documents qu’il faut récupérer. » C’est ce type de conduite du changement, qui est nécessaire.




Finalement, un des enjeux – j’aurais peut-être dû le mettre ainsi en avant – pour nos fonctions, je trouve que c’est le temps. Que décidons-nous de faire ? Où mettons-nous notre énergie, sur quel sujet et en fonction de quel critère et de quelle priorité ? C’est une capacité à objectiver nos priorités. Je travaille beaucoup autour de cela en ce moment : objectiver mes choix. Par exemple sur la protection de la clientèle, j’ai 14 thèmes et j’ai mis en place une démarche de hiérarchisation des thèmes avec un système de points. Je suis désormais capable d’expliquer aujourd’hui, avec mon référentiel que les sujets les plus importants sont la déshérence, le conseil et les publicités. Nous le savions tous, intuitivement. Avec mon système, j’ai réussi à le démontrer. Sur mes 14 thèmes, je suis capable d’en traiter 5 en ce moment. Si jamais on veut que j’en traite 10, il faut repenser le dimensionnement de l’équipe. De la salle Sophie NERBONNE, Directrice de la conformité à la Commission nationale Informatique et Libertés. J’avais un commentaire et une question. Le commentaire était pour indiquer que dans le règlement européen sur la protection des données personnelles, je retrouve le règlement qui est entré en vigueur, mais qui ne sera applicable que dans deux ans. Cela laisse le temps à l’ensemble des responsables de traitement et sous-traitants de se préparer à ce qui ressemble énormément, sur beaucoup d’aspects à tout ce que vous avez évoqué là, dans l’obligation qui sera faite à l’ensemble des établissements financiers et entreprises d’assurance de démontrer leur conformité à ce règlement européen au travers de différents outils. Il y a notamment cette notion de Privacy by Design, c’est-à-dire d’intégration, dès la conception, de nouveaux services, de nouveaux outils produits de la notion de protection des données personnelles, de la désignation qui sera obligatoire dans vos établissements, de déléguer à la protection des données. Cependant, à l’heure actuelle, effectivement, on a cette notion de correspondant informatique et libertés qui reste facultative. Le règlement prévoit qu’il doit référer au plus haut de l’organisation, qu’il doit être doté de moyens, qu’il doit pouvoir assurer ses fonctions en ayant cette transversalité avec l’ensemble des services, que ce soit juridique, marketing, informatique, audit, etc. La notion d’étude et d’analyse de risques, au regard de la protection des droits, est quelque chose de nouveau, mais qui rejoint complètement ce que vous avez mis en avant dans la cartographie des risques. Là, je trouve qu’il y a énormément de points de convergence. S’agissant de la référence et du passage qui était fait par l’ACPR de la réglementation vers un comportement vertueux, une éthique, c’est ce qui sous-tend complètement depuis le départ, la réglementation des données personnelles. À cet égard, il a été répondu à ma première question, en tout cas, par vous, Monsieur DUCHATELLE, sur l’intérêt que pouvaient présenter les outils de certification ou de labellisation. Je comprends que vous ne vouliez pas aller dans cette voie-là. Je crois qu’effectivement, pour des établissements comme les vôtres qui sont déjà extrêmement réglementés et qui ont la conformité dans leur ADN, cela ne fait pas forcément sens, contrairement à d’autres secteurs d’activités où là, cela peut être d’un recours beaucoup plus judicieux.




Ma question portait sur le fait que la protection des données à laquelle vous avez fait référence, est encore considérée comme assez antinomique, soit avec la possibilité d’innover, soit avec d’autres pans de conformité, que ce soit lutte anti-blanchiment, lutte contre la corruption. Je me dis qu’effectivement, il est important d’arriver à converger, à ne pas avoir d’analyse en silo. Je voulais poser la question à chacun d’entre vous, sur la façon dont vous envisagez, justement, cette possibilité de sortir de cette analyse, en silo aussi, quand on parle de conformité à des réglementations différentes pour avoir une vision d’ensemble, ramener, justement, à un positionnement stratégique de l’organisme, qui se ferait au travers de politiques sur le traitement des données personnelles dans l’organisation, que ce soit au profit des intérêts de clients, des salariés. M. Frédéric VISNOVSKY Il va falloir organiser un prochain Club Banque sur le sujet. Toutes ces questions de données et des aspects connexes ont été mentionnés, la protection des données personnelles, les règles d’éthique. C’est important. C’est votre responsabilité, plus que la nôtre. Il y a les aspects sécurité. C’est un contexte où la cybercriminalité est en forte progression. S’agissant des sujets de big data, on voit bien les avantages que les entreprises, banques, entreprises d’assurance peuvent en tirer. C’est donc quelque chose que l’on voit de manière positive, mais il faut faire très attention aux autres aspects. Vous avez probablement noté que nous avons créé un pôle FinTech Innovation. Dans la partie innovation, c’est un sujet sur lequel nous comptons travailler dès cette année ou l’année prochaine, parce que c’est important. En tous les cas, c’est clair qu’au niveau des banques, on attend bien qu’il y ait une vision de direction générale. De ce point de vue-là, on ne voyait pas d’un œil très favorable les réflexions qui avaient été engagées par certains avec l’idée de vendre les données dont les banques disposent aujourd’hui. Cela ne me semble pas être une bonne direction. J’ai cru comprendre que cela avait été abandonné pour le moment. J’espère que les assureurs n’ont pas ces mauvaises idées de leur côté non plus. Cela touche à beaucoup de sujets. C’est vraiment un sujet sur lequel il faut réfléchir avec ses aspects positifs et négatifs. Ces sujets de données vont devenir, s’ils ne le sont pas déjà, des sujets de direction générale. Cela s’est développé aux États-Unis, mais on le voit maintenant arriver. Il y a des responsables de données, des data officer, quels que soient leurs termes, qui commencent à voir le jour. Cela devient un sujet de concurrence, de business avec tous les aspects liés à cela. M. Cédric DUCHATELLE Pour moi, le sujet de la conformité des données personnelles, je le traite exactement avec la même logique, la même démarche que le reste. J’ai la chance d’avoir un CIL dans le groupe, qui gère la partie opérationnelle, cartographie, suivi. J’adapte ma démarche de contrôle de conformité sur son activité. J’ai la chance d’avoir quelqu’un de très opérationnel sur le sujet, que j’ai intégré dans mon contrôle de conformité. Si j’identifie avec lui un risque de non-conformité, je le réintègre dans ma cartographie et je le remonte.




M. Laurent RENAUDOT J’ai juste une ou deux remarques pour prolonger cet échange. Ce que l’on constate, de façon opérationnelle, c’est une grande diversité des réglementations entre les différents états. Ne serait-ce qu’au niveau européen, il y a des états où il existe un numéro d’identifiant unique qui sert à tout, à payer ses impôts, aller chez le médecin, avoir une pièce d’identité, et d’autres états où la réglementation, la séparation des données est très rigoureuse. Cela provoque un sujet, c’est-à-dire où met-on le curseur ? Il y a des états dans lesquels il y a beaucoup de développements en matière de traitement de la donnée et d’autres, un petit peu moins. C’est déjà un vrai sujet à prendre en compte. Le deuxième aspect est qu’en même temps, les clients finaux des banques réclament en même temps la protection de leurs données personnelles et la protection contre la fraude. Parfois, nous sommes dans des situations un peu schizophrènes au niveau de la conformité, c’est-à-dire où place-t-on le curseur ? Cela soulève surtout beaucoup de questions. C’est un sujet qui va mettre du temps à être traité. De la salle J’ai une question pour Frédéric VISNOVSKY. Je suis Arnaud CHARENSOL de la société SAS. Vous nous avez présenté la vision cible que vous aviez, côté régulateur, de la mise en place d’une culture du risque. La question que je me posais est : quelle est la principale difficulté que vous rencontrez dans l’exercice du contrôle en tant que régulateur ? M. Frédéric VISNOVSKY Je ne vois pas bien le lien entre les deux. De la salle Je vais préciser ma question. Finalement, ce que vous demandez aux assureurs et aux banquiers, ou ce que les directives demandent est extrêmement exigeant. Concrètement, quelles sont les difficultés que vous allez rencontrer dans l’exercice de ce contrôle, dans la charge de travail que cela implique, dans l’expertise, dans la maîtrise des technologies, etc. ? M. Frédéric VISNOVSKY Ce n’est pas un problème de supervision, en tout cas de la manière dont nous concevons la supervision et que l’on a fait partager à la BCE pour réaliser la supervision. Nous avons toujours eu une habitude de discussion approfondie avec nos assujettis. Après, nous pouvons avoir des axes différents dans ce que nous allons regarder, mais les outils, nous en disposons. Ces outils, ce sont les différents entretiens que j’ai mentionnés, la capacité de participer à des conseils, des contrôles sur place. Après, cela dépend où nous plaçons nos priorités de contrôle. Dès lors que nous




jugeons qu’un élément est important, nous orientons nos priorités de contrôle vers ces éléments-là. Je n’ai pas de problème quant à notre capacité à apprécier la manière dont les groupes vont évoluer, d’autant plus que c’est quelque chose qui prendra du temps. La mise en place des dispositifs de conformité ne se fait pas du jour au lendemain. J’ai dit tout à l’heure que tout était en place, je ne voulais pas dire que tout était parfait, mais pour moi, le sujet ne doit plus être celui-là. Le comportement, cela va prendre du temps. Il nous a fallu 20 ans pour faire comprendre aux patrons de grandes banques que l’on pouvait discuter avec des gens de leurs conseils d’administration et que l’on se comporterait normalement en assistant aux conseils. Maintenant, ils ont compris et ils apprécient. On voit bien que le changement de culture n’est pas immédiat. Faire évoluer les paramètres de rémunération, c’est pareil. C’est quelque chose qui va prendre du temps. Je ne sais pas combien de temps cela prendra, quelques années. En tous les cas, nous accompagnerons, au travers de nos actions que je mentionnais, cette évolution. Je ne vois pas de difficulté, en fait. De la salle Merci beaucoup. Mme Valérie HAUSER Merci beaucoup de votre attention. Je remercie aussi Monsieur VISNOVSKY, Monsieur DUCHATELLE et Laurent. Je vous propose de poursuivre les discussions, si vous le souhaitez, autour du cocktail qui nous attend. Bonne soirée à tous.

