Services financiers sur Internet : recommandations du régulateur luxembourgeois
Publié le 03/01/2002 par Charles OSSOLA
A l’heure où l’Union Européenne paufine sa directive sur la commercialisation à distance de services financiers, la Commission de Surveillance du Secteur Financier luxembourgeois, ci-après dénommée la « CSSF », a procédé, au 31 décembre 2000, à un recensement des services financiers disponibles par Internet auprès des établissements financiers – établissements de crédits et PSF…
A l’heure où l’Union Européenne paufine sa directive sur la commercialisation à distance de services financiers, la Commission de Surveillance du Secteur Financier luxembourgeois, ci-après dénommée la « CSSF », a procédé, au 31 décembre 2000, à un recensement des services financiers disponibles par Internet auprès des établissements financiers – établissements de crédits et PSF (Banques et Professionnels du Secteur Financier au sens de la loi modifiée du 5 avril 1993 sur le secteur financier) – établis au Luxembourg, via un questionnaire leur soumis.
Sur base de ce recensement, la CSSF a dégagé, dans un document de 66 pages daté au 27 décembre 2001, des principes et des recommandations à intégrer dans le développement de l’exploitation de services financiers en ligne, dans l’attente d’éventuelles règles en la matière.
Dans le cadre des trois catégories de sites existants – sites informatifs, sites consultatifs, sites transactionnels -, la CSSF a mis en avant trois piliers sur lesquels doivent reposer tout site permettant la fourniture de services financiers en ligne :
- Sécurité et Maintenance
- Authentification du client
- Confidentialité
La CSSF a également établi des principes sur le fonctionnement même du site.
Le contenu des recommandations de la CSSF sont développés ici.
Sécurité et Maintenance
Internet, de par sa nature même de réseau ouvert, présente des risques certains de pénétration.
La CSSF recommande l’application des « best practices » reposant notamment sur la technologie des « firewalls » et d’un système IDS – Intrusion Detection System.
L’utilisation de deux « firewalls » différents, séparés par une DMZ – Demilitarised Zone-, est conseillée. Des procédures adéquates de contrôles sont à mettre en place. Des règles particulières sont à respecter en cas de mise en place d’un traitement automatisé de bout à bout, désigné par « Straight-through processing (STP) -.
Bien évidemment, l’ensemble du projet ou concept de sécurité, à l’instar de tout projet de création de sites non exclusivement informatifs, doit être soumis et accepté par la CSSF. Même les aspects légaux, incluant les éventuels contrats de sous-traitance, les contrats ou conventions avec les clients et les clauses limitatives publiées sur le site – disclaimer clauses- sont soumis au contrôle de la CSSF.
Dans le contexte des sites informatifs, la CSSF insiste néanmoins sur le risque de réputation liés à ces derniers en cas d’attaques externes, de sorte que la sécurité ne doit pas être négligée.
Le fameux principe des 4 yeux et le principe de la séparation des tâches sont les deux clefs de voute de la gestion et de la maintenance du site.
Notons que lorsque le site est connecté au réseau interne de l’établissement financier, un audit technique externe avant la mise en production du site, par une société possédant des connaissances spécialisées, est préconisé par la CSSF. Cette société ne doit pas avoir participé au développement du site. Cette question nous amène à la problématique des sociétés externes pour le développement et l’exploitation de plateformes Internet.
Le recours à la sous-traitance, qui est admis par la CSSF, doit reposer sur le respect de la confidentialité qui doit être sous le contrôle exclusif de l’établissement financier et du client.
En d’autres termes, le sous-traitant ne doit pas avoir accès à des données confidentielles et l’établissement financier doit garder une maîtrise de son réseau. Ces principes sont tout particulièrement impératifs lors de l’existence d’éléments du site hors du Luxembourg ( serveurs, bases de données,…), en ce sens qu’aucun transcodage, à savoir décryption et réencryption, ne peut avoir lieu hors de l’établissement luxembourgeois.
La Circulaire IML 96/126 du 11 avril 1996 sur l’organisation administrative et comptable, bien connue des responsables informatiques et sécurité, reste bien évidemment applicable. Enfin, le service d’audit interne, mis en place conformément aux prescriptions de la circulaire IML 98/143 du 1er avril 1998 sur le contrôle interne, doit posséder les connaissances nécessaires et une maîtrise suffisante pour exercer les contrôles spécifiques à l’activité Internet.
Authentification du client
L’authentification permet de garantir l’identification du client qui est tout particulièrement sensible dans le cadre des activités financières en ligne, eu égard au don d’ubiquité d’Internet.
La CSSF est en faveur de l’utilisation de solutions d’authentification basées sur des mécanismes de PKI – Public Key Infrastructure -.
Pour le cas où l’établissement de crédit ou le PSF serait sa propre autorité de certification, la CSSF recommande l’émission de certificats qualifiés respectant les dispositions de la loi du 14 août 2000 sur le commerce électronique et son règlement grand-ducal d’application du 1er juin 2001 relatif aux signatures électroniques, au paiement électronique et à la création du comité « commerce électronique », afin de garantir une valeur juridique à la signature électronique avancée.
Il est à noter que les solutions d’authentification qui n’utilisent pas la notion de clé publique / clé privée, peuvent être acceptées par la CSSF après un examen et une analyse au cas par cas.
Confidentialité
Dans le but de garantir la confidentialité des informations passant entre le client et l’établissement financier, la CSSF recommande de n’utiliser ni le nom du client, ni le numéro de compte en tant qu’identifiant.
Ainsi, l’authentification peut être basée sur un mot de passe combinée avec un élément physique comme notamment la saisie de deux caractères aléatoires de la carte de sécurité du client.
La CSSF aborde également les problème des « agrégateurs », « sociétés opérant des sites internet dont le principal service consiste à agréger des données de clients auprès de différents établissements présents sur le Web ». Bien qu’il n’existe pas encore de cas concret au Luxembourg, la CSSF préconise d’inclure la problématique de l’agrégation sauvage – « screen scraping » dans les conditions générales des établissements financiers.
Pour ce qui concerne la technologie, la CSSF préconise l’utilisation d’une connexion SSL – Secured Socket Layer – avec une encryption supérieure ou égale à 128 bits.
Fonctionnement du site
- Liens : Ils sont soumis au contrôle de la CSSF, tout comme chaque page de représentation dans le cadre d’un autre site. Chaque établissement financier est responsable (il s’agit d’une obligation de moyens et non de résultat) de ces publications en assurant la mise en œuvre de moyens techniques et organisationnels raisonnables de contrôle.
- Limite sur les transactions financières : Dans le but de garantir une gestion saine des limites, la CSSF estime indispensable au moins la vérification du disponible du client en vue de ne pas lui accorder un crédit non contrôlé. Dans le domaine du retail banking, des limites journalières, hebdomadaires ou mensuelles sont souhaitables. Celles-ci peuvent varier en fonction de la nature des transactions: virements entre deux comptes d’un même client, virements nationaux, virements internationaux. L’application de telles limites doit être portée à la connaissance du client et figurer dans les documents contractuels.
- Clientèle visée : En raison du caractère ouvert d’Internet, l’établissement financier doit éviter d’adresser explicitement à travers un site Internet une clientèle ou un marché qui ne devrait pas être ciblé. Afin d’éviter des conflits avec des juridictions étrangères, la CSSF recommande que l’établissement financier indique clairement qu’un produit ou un service ne peut être offert à une clientèle donnée, via des disclaimers.
- Entrée en relation d’affaires sans présence physique ( full online services): La CSSF n’est pas opposée à cette nouvelle pratique sous réserve d’acceptation par ses soins d’une procédure permettant d’assurer une identification du client, avant que le professionnel n’exécute une opération pour le client.
A titre d’exemple, la CSSF propose une procédure qui consisterait à ce que l’ordre de virement signé par le client soit remis par ce dernier à la banque luxembourgeoise, puis envoyé par celle-ci, complété par un numéro de référence que le client ne connaît pas, à la banque du client.
Lors de la réception du transfert, la banque luxembourgeoise peut vérifier à l’aide du numéro de compte et du numéro de référence que l’argent provient effectivement d’un compte appartenant au client auprès de sa banque d’origine. En effet, cette procédure garantit à l’établissement que le client est en possession d’un compte auprès de l’établissement émetteur et qu’il n’a pas effectué un versement.
La CSSF insiste tout particulièrement sur le fait que les établissements financiers ne sauraient déléguer leurs responsabilités pour l’identification de leurs clients, éludant ainsi leur obligation de les connaître et dès lors la responsabilité en découlant. La CSSF précise que les établissements financiers ne sauraient donc se satisfaire d’un certificat établi par un tiers, quelle que soit sa qualité, attestant que ce tiers connaît l’identité du client, l’a vérifiée et dispose de la documentation requise.
Par contre, l’établissement financier peut déléguer l’identification à d’autres établissements financiers soumis au contrôle de la CSSF ou à une autre autorité de contrôle compétente, à la condition que toute la documentation sur le client soit disponible chez l’établissement financier au Luxembourg.
- OPC : Pour toutes les entités sous la surveillance de la CSSF, qui font référence à des OPC sur leur site, la CSSF rappelle les obligations d’enregistrement des OPC et les obligations de l’administration centrale.
Conclusions
Bien que le marché des services financiers en ligne se soit profondément modifié déjà depuis le 31 décembre 2000, les recommandations de la CSSF n’en constituent pas moins un document précieux pour les professionnels du secteur financier leur permettant de connaître la position de notre autorité de contrôle au regard de ce que l’on peut ou ne peut pas faire dans ce domaine, dans l’attente d’éventuelles règles en la matière.
Les recommandations de la CSSF rappellent clairement aux professionnels du secteur financier que les services financiers en ligne, à l’instar de tout service fourni via Internet, ne peuvent être fournis sans une parfaite symbiose entre les acteurs du monde de la technologie ( notamment les informaticiens, les fournisseurs externes, les auditeurs,…) et les professionnels du droit.
Gageons finalement que le Commissariat aux Assurances luxembourgeois, dans le cadre de sa mission de surveillance des acteurs de l’assurance, interviendra également auprès de ces derniers pour établir des recommandations devant régir le domaine des produits d’assurances en ligne.
Plus d’infos
En consultant les recommandations de la CSSF, disponibles sur notre site en cliquant ici