Nouvelle circulaire de la CBFA en matière de services financiers par internet
Publié le 21/04/2009 par Etienne Wery , Gilles Collard
La Commission bancaire, financière et des assurances (« CBFA ») vient de publier sa circulaire du 7 avril 2009 intitulée « Services financiers par internet : Exigences prudentielles ». Ce texte abroge la circulaire du 5 mai 2000 concernant les services financiers par internet, afin de tenir compte de l’évolution du cadre prudentiel, du marché, de la technologie et des risques.
La circulaire met à jour un certain nombre de recommandations, et explique les principales dispositions règlementaires et prudentielles actuelles relatives à la fourniture de services financiers en ligne par les « établissements financiers ». Cela vise non seulement les établissements de crédit (en ce compris les établissements de monnaie électronique), mais aussi les entreprises d’assurances, entreprises d’investissement et sociétés de gestion d’organismes de placement collectif.
Exigences prudentielles en matière de services financiers en ligne
Les exigences prudentielles de la CBFA portent sur les informations et conseils, ainsi que sur les services fournis via internet par les établissements financiers : elles visent principalement la mise en place, par les établissements financiers, des mécanismes de contrôles internes et externes nécessaires par rapport aux services financiers offerts en ligne, particulièrement pour les sites transactionnels.
Sont ainsi notamment visées les mesures de gestion des risques juridiques, opérationnels et de réputation en termes (i) de structure et d’organisation adéquates des établissements concernés, (ii) de mécanismes de contrôle et de sécurité dans le domaine informatique ainsi que (iii) de procédures de contrôle interne appropriées (tels que l’encadrement juridique et opérationnel des activités en ligne, la sécurité, le rôle des intermédiaires, l’identification et l’authentification des clients, la sous-traitance et les audit trails).
La CBFA a défini un certain nombre de saines pratiques de gestion qu’elle s’attend à voir suivre (selon le principe du ‘comply or explain’).
Les établissements financiers seront ainsi amenés à adapter leurs plans de sécurité, notamment en ce qui concerne leur infrastructure informatique et les services financiers offerts en ligne (opérations financières, consultation et actes de gestion sur internet). Ils devront communiquer à la CBFA pour le 31 août 2009 au plus tard, l’analyse delta entre leur organisation et les instructions de la CBFA, ainsi que leur planification dans la mise en conformité de leurs activités à la circulaire et moyens mis en œuvre à cet effet.
Les exigences prudentielles de ces saines pratiques sont définies en annexe de la circulaire. Elles visent notamment à garantir la sécurité et la continuité des systèmes informatiques des établissements financiers, ainsi que l’intégrité et la confidentialité de leurs données financières et données clients, mais aussi et surtout à la sécurité des services transactionnels (telles que : mise en place d’une politique de sécurité, analyse et suivi des menaces et de la situation propre de l’établissement en matière de sécurité, protection de l’authentification des clients, protection et sécurité des opérations, sécurité des applications et serveurs internet, communication avec les clients, réalisation d’examens indépendants et participation à des services de paiement par internet fournis par des tiers).
Par ailleurs, les établissements concernés devront rapporter à la CBFA, sans délai, tout cas de fraude informatique occasionné par des tiers et présentant des risques significatifs.
Au niveau opérationnel, on attend des établissements financiers qu’ils mettent en œuvre les mesures organisationnelles et techniques nécessaires relatives à la disponibilité des services, à la continuité (plan d’urgence) et au bon déroulement des opérations (suivi et maîtrise des risques).
La circulaire rappelle par ailleurs les exigences prudentielles en matière de sous-traitance et d’implication de prestataires de services externes, d’identification du client à distance, ainsi qu’en matière de respect des règles de conduites qui demeurent intégralement applicables aux prestations de services financiers par internet.
Services financiers à caractères transfrontaliers
En ce qui concerne le caractère transfrontalier des services fournis ou exécutés, la CBFA rappelle son point de vue selon lequel « il convient de considérer qu’une prestation de services est transfrontalière non seulement lorsque la prestation caractéristique du service (c.-à-d. la prestation essentielle, pour laquelle le paiement est dû) a lieu sur le territoire d’un autre Etat membre, mais également lorsque l’entreprise sollicite des investisseurs dans cet autre Etat membre soit en se déplaçant, soit en recourant à des techniques de vente à distance ou à des procédés de publicité, autres que la publicité de notoriété ».
En cas de prestation de services financiers en Belgique selon cette définition, l’établissement concerné qui est établi au sein de l’EEE devra se conformer aux obligations de notification telles que prévues par son statut légal.
Les règles applicables à la prestation de services transfrontaliers diffèrent quant à elles selon le type de services fournis via internet.
- En matière d’intermédiation en assurance ainsi que de services bancaires ou financiers autres que les services d’investissement, l’intermédiaire est tenu de respecter les règles d’intérêt général, en ce compris les règles de conduite, du pays sur le territoire duquel il fournit ou exécute ses services (pays d’accueil ou host) ;
- En matière de services d’investissement fournis par les établissements de crédit et les entreprises d’investissement, les règles organisationnelles et les règles de conduite du pays d’origine (home) trouvent par contre à s’appliquer (cfr MiFID). Le pays d’accueil (host) ne peut donc, dans ce cas, imposer ses propres règles en matière de services d’investissement. D’autres règles du pays d’accueil demeurent toutefois applicables (la législation relative à la prévention du blanchiment et les règles éventuelles en matière d’usage des langues par exemple).
Avant qu’un établissement financier belge ne lance des services en ligne et ne démarche des clients par l’intermédiaire de son site internet sur le territoire d’un autre Etat, il devra particulièrement faire attention au fait que plusieurs autorités de contrôle étrangères considèrent que l’offre via internet de services ou d’instruments provenant de l’étranger est réputée avoir lieu sur leur territoire lorsque cette offre est adressée ou mise à la disposition d’investisseurs sur ce territoire. Il y a lieu à chaque fois de procéder au cas par cas en vue notamment de déterminer si les ressortissants d’un pays concerné sont spécifiquement visés (langue utilisée, prix dans la monnaie du pays, mention d’adresses de contact locales), si des transactions ou services sont effectivement effectués par l’intermédiaire du site internet et si les investisseurs sont sollicités par e-mail ou d’autres techniques de communication.
Les mesures de précaution suivantes sont ainsi à préconiser en vue d’éviter la qualification de services financiers transfrontaliers :
- mentionner sur le site internet que celui-ci s’adresse aux investisseurs d’une zone géographique déterminée dans laquelle l’établissement opère (mention des agréments et warnings and disclaimers d’usage);
- veiller à ce que le contenu du site internet ou de tout autre outil de promotion (par ex. dans les médias ou la presse) ne soit pas incompatible avec la zone géographique visée (par ex. si le site internet ne s’adresse pas aux investisseurs britanniques, ne pas mentionner d’adresses en Grande-Bretagne ni de prix en GBP) ;
- protéger et contrôler l’accès du site en prévoyant des mots de passe pour tout ou partie de celui-ci pour les personnes faisant partie du groupe cible (pour localiser un investisseur et vérifier s’il relève du groupe cible, il peut être faire usage du courrier, de la téléphonie ou de techniques spéciales de localisation);
- enfin, en cas de doute, de prendre contact avec les autorités de contrôle locales en vue de s’assurer que le site internet est conforme à la législation locale.
Plus d’infos ?
En prenant connaissance de la circulaire commentée, et de son annexe.