COMMISSION EUROPÉENNE
Bruxelles, le 8.3.2018
COM(2018) 109 final
COMMUNICATION DE LA COMMISSION
Plan d’action pour les technologies financières: Pour un secteur financier européen plus compétitif et plus innovant
Introduction
Les FinTech, ou innovations en matière de services financiers fondées sur les technologies, se sont nettement développées ces dernières années et influent sur la manière dont ces services sont conçus et fournis. Ces technologies financières se situent à l’intersection des services financiers et du marché unique numérique. Le secteur financier, qui est le principal utilisateur de technologies numériques, joue un rôle moteur dans la transformation numérique de l’économie et de la société. Il existe d’importantes synergies entre la stratégie de la Commission pour un marché unique numérique, la stratégie de l’UE en matière de cybersécurité, le règlement eIDAS et les initiatives relatives aux services financiers, comme le plan d’action relatif aux services financiers pour les consommateurs et l’examen à mi-parcours de l’union des marchés des capitaux UMC).
Si l’innovation n’est pas une nouveauté dans la finance, l’on assiste à une accélération considérable des investissements dans les technologies et du rythme des innovations. Les solutions FinTech faisant appel à l’identification numérique, aux applications mobiles, à l’informatique en nuage, à l'analyse de mégadonnées, à l’intelligence artificielle et aux technologies de chaînes de blocs et de registres distribués sont en plein essor. Les nouvelles technologies sont en train de transformer le secteur financier et l’utilisation de ses services par les consommateurs et les entreprises, en permettant, par le recours à des solutions basées sur les technologies financières, de faciliter l'accès au financement et d'améliorer l’inclusion financière des citoyens bénéficiant d'une connexion numérique. Elles placent les consommateurs aux commandes, permettent des gains d’efficacité opérationnelle et rendent l’économie de l’UE plus compétitive. Les technologies financières sont également importantes pour l’union des marchés des capitaux. Elles peuvent en effet contribuer à approfondir et à élargir les marchés de capitaux de l’UE en intégrant la numérisation, par exemple dans la gestion d’actifs, l’intermédiation de l'investissement et la distribution de produits, pour faire évoluer les modèles d’entreprise grâce à des solutions fondées sur l’exploitation de données.
Par ailleurs, les technologies financières peuvent présenter des opportunités et poser des difficultés en termes de conformité et de surveillance réglementaires. Elles peuvent faciliter, rationaliser et automatiser les procédures de conformité et de déclaration et améliorer la surveillance. Les prestataires de services peuvent proposer des services de mise en conformité basés sur ces technologies aux entités réglementées, qui restent néanmoins responsables du respect de leurs obligations. Les entités soumises à des obligations de vigilance à l’égard de leurs clients dans le cadre du règlement sur le blanchiment de capitaux, par exemple, ne peuvent pas déléguer la responsabilité du respect de ces obligations à des prestataires de services extérieurs.
Les FinTech posent également des problèmes liés par exemple aux cyber-risques et à la protection des données, des consommateurs et des investisseurs dans le cyberespace et à l'intégrité du marché. Le règlement général sur la protection des données et la directive sur le blanchiment de capitaux offrent des garanties fondamentales pour la protection des données à caractère personnel et de l’intégrité du système financier de l’UE contre le blanchiment de capitaux et le financement du terrorisme. Un marché financier de l’UE fondé sur les technologies exige le plein respect de ces garanties fondamentales. Les risques de cyberattaque, en particulier, minent la confiance et constituent une menace pour la stabilité du système financier. Les fréquentes défaillances de sécurité confirment que les cyberattaques constituent un risque croissant. Il convient de lutter efficacement contre ces attaques afin d’en prévenir et d’en atténuer les éventuels effets négatifs pour le secteur financier, pour ses clients et pour les consommateurs de ses services. Il est donc primordial de renforcer la cyber-résilience du secteur financier afin qu’il soit bien protégé, que les services financiers puissent être fournis efficacement et sans accrocs dans toute l’UE et que la confiance des consommateurs et des marchés soit préservée.
Les cadres de réglementation et de surveillance européens devraient permettre aux entreprises opérant dans le marché unique de l’UE de bénéficier des innovations financières et de fournir à leurs clients les produits les mieux adaptés et les plus accessibles. Ces cadres devraient aussi assurer un haut niveau de protection aux investisseurs et aux consommateurs et garantir la solidité et l’intégrité du système financier. Les avantages de l’innovation technologique étaient déjà au cœur de la révision de la directive sur les services de paiement et de la directive et du règlement concernant les marchés d’instruments financiers.
L’innovation technologique a donné naissance à de nouveaux types d’actifs financiers, comme les actifs cryptographiques. Ces actifs cryptographiques, et les technologies des chaînes de blocs sur laquelle ils reposent, ouvrent des perspectives aux marchés financiers et aux infrastructures financières. Ils présentent aussi des risques, comme l’ont montré leur très forte volatilité et les fraudes et failles opérationnelles sur les plates-formes d'échange de ces actifs. Au niveau de l’UE, des mesures ont déjà été prises pour parer à certains risques spécifiques. Les menaces et sources de vulnérabilité que représente l’utilisation de monnaies virtuelles aux fins du blanchiment de capitaux et du financement du terrorisme ont été évaluées comme correspondant à une exposition élevée, voire très élevée, dans le rapport de la Commission sur l'évaluation des risques de blanchiment de capitaux et de financement du terrorisme. En décembre 2017, les législateurs européens ont décidé d’élargir le champ d’application de la directive anti-blanchiment aux plates-formes de change de monnaies virtuelles et aux fournisseurs de portefeuilles de stockage de monnaies virtuelles. Les autorités de surveillance européennes ont averti du caractère spéculatif des marchés de monnaies virtuelles et d’autres risques liés aux actifs cryptographiques. Tous ces avertissements soulignent le risque élevé que comporte l’investissement dans ces actifs et les pertes importantes que peuvent subir les investisseurs en raison de leur volatilité, mais aussi en raison du manque de transparence et d’intégrité de ce marché ainsi que des faiblesses opérationnelles et des vulnérabilités qui caractérisent les services liés à ces actifs et les plates-formes où ils se négocient.
La Commission a proposé, dans sa récente initiative en faveur d’un réexamen du cadre européen de surveillance, que les autorités européennes de surveillance intègrent systématiquement la question des technologies financières dans tous leurs travaux. Le règlement général sur la protection des données, qui entrera en application en mai 2018, revêt également une importance capitale pour la bonne utilisation de services financiers innovants fondés sur l’exploitation de données, tout comme la proposition de règlement concernant un cadre applicable à la libre circulation des données à caractère non personnel dans l’Union européenne, qui vise à permettre aux données à caractère non personnel de circuler sans entrave au sein du marché unique. En outre, la reconnaissance transfrontière des moyens d’identification électronique, telle que la prévoit le règlement eIDAS, apportera des garanties et réduira les risques liés aux technologies émergentes, tout en facilitant le respect, aux fins de la lutte contre le blanchiment de capitaux, des obligations de vigilance à l'égard des clients et d’authentification forte des parties dans un environnement numérique.
Les technologies financières sont aussi un domaine prioritaire au niveau international, par exemple pour le G20. La Commission participe aux débats d’orientation organisés au sein du Conseil de stabilité financière et d’autres enceintes internationales. Un nombre croissant de juridictions élaborent de nouveaux cadres de réglementation et de surveillance pour certaines formes d’innovations en matière de technologies financières. Hors d’Europe, les autorités réglementaires se sont surtout concentrées sur les instruments et services de paiement et sur les modes de financement alternatifs comme le financement participatif ou le prêt de pair à pair. Pour renforcer les interactions avec les développeurs de technologies financières, un certain nombre d’autorités de surveillance (par exemple en Australie, au Canada, aux États-Unis, à Hong Kong, à Singapour ou au Japon) ont créé des centres de technologies financières. Plusieurs pays (comme l’Australie, Hong Kong, Singapour et le Canada) ont aussi mis en place des cadres d’expérimentation, dits «sas réglementaires» (regulatory sandboxes) pour les entreprises innovantes.
La Commission entend répondre aux appels du Conseil européen et du Parlement européen en faveur d’un cadre réglementaire davantage tourné vers l’avenir et qui accompagne le passage au numérique, en créant un environnement où les produits et solutions issus de technologies financières innovantes pourront se déployer rapidement dans toute l’UE et bénéficier des économies d’échelle du marché unique, sans compromettre la stabilité financière ni la protection des investisseurs et des consommateurs.
La Commission, s’appuyant sur les conclusions de la consultation publique organisée de mars à juin 2017, et compte tenu des initiatives déjà présentées, ne juge pas opportun, à ce stade, d’entreprendre de grandes actions ou réformes législatives ou réglementaires au niveau de l’Union. En revanche, un certain nombre d’initiatives ciblées seraient justifiées pour permettre à l’UE d'accompagner le passage au numérique du secteur financier.
1.Permettre aux modèles d’entreprise innovants d'atteindre une dimension européenne
1.1.Permettre aux modèles d’entreprise innovants de se développer dans l’ensemble de l’UE, grâce à des exigences claires et convergentes en matière d’agrément
Dans le secteur financier, les entreprises sont agréées et surveillées sur la base de leurs activités, services ou produits, quels que soient les moyens, innovants ou traditionnels, qu’elles emploient pour fournir ces services. Selon les services et produits qu’elles proposent, les entreprises peuvent être agréées et réglementées en vertu du droit de l’UE ou du droit national, ou n’être soumises à aucune réglementation spécifique aux services financiers.
Les exigences en matière d’agrément permettent de soumettre les prestataires de services à une surveillance effective dont le but est de garantir la stabilité, l’intégrité et l’équité des marchés. Elles sont aussi un gage de protection des consommateurs et des investisseurs. Parallèlement, le respect de conditions d’exercice uniformes permet aux entreprises de l’UE prestataires de services financiers qui sont dûment agréées et surveillées par leur État membre d’origine de bénéficier d’un passeport européen, qui leur donne la possibilité de fournir leurs services dans tous les autres États membres et de les étendre à tout le marché unique de l’UE.
Les participants à la consultation sur les technologies financières ont estimé que la plupart des modèles d’entreprise novateurs pouvaient fonctionner dans le cadre des règles existantes de l’UE, puisque le cadre législatif de l’UE permet de faire jouer la proportionnalité dans le processus d’agrément.
Toutefois, les autorités de surveillance peuvent suivre des approches différentes lorsqu’il s'agit d’identifier la législation applicable de l’UE et d’appliquer le principe de proportionnalité à l’agrément de modèles d’entreprise innovants. L’Autorité bancaire européenne a constaté que les régimes d’agrément et d’enregistrement présentaient des différences qui méritent, selon elle, un examen plus approfondi. L’AEAPP a relevé des tendances similaires. La Banque centrale européenne (BCE) a elle aussi lancé récemment une consultation sur un «guide relatif à l’évaluation des demandes d’agrément en qualité d’établissement de crédit Fintech».
Les nouveaux services financiers n’entrent pas toujours entièrement dans le champ d'application du cadre réglementaire existant de l’UE; c’est le cas des activités de financement participatif et de prêts de pair à pair pour les jeunes entreprises (start-up) et les entreprises en phase de décollage (scale-up). Un grand nombre de participants à la consultation sur les FinTech ont souligné qu’un cadre réglementaire de l’UE clair et proportionné serait bénéfique pour les activités de financement participatif reposant sur l’investissement ou le prêt ou l’emprunt. Onze États membres ont déjà adopté des régimes sur mesure pour ces activités, lesquels sont souvent divergents, ce qui fait obstacle au développement d’un marché unique pour les services de financement participatif. L’absence de cadre européen commun empêche en outre les fournisseurs de services de financement participatif de se développer au sein du marché unique, principalement en raison des divergences entre les approches nationales en matière de surveillance et de réglementation. Le cadre de l’UE proposé dans le présent plan d'action permettra aux acteurs du marché qui décident de devenir des prestataires européens de services de financement participatif de bénéficier d'un mécanisme complet de passeport européen. Ce cadre encouragera les prestataires de services de financement participatif à se développer tout en garantissant une protection suffisante aux investisseurs et aux porteurs de projets.
Des efforts supplémentaires sont nécessaires afin de recenser les différences d’exigences en matière d'agrément auxquelles sont confrontées les entreprises de technologie financière. Les mesures de suivi pourraient notamment consister à:
·clarifier le cadre législatif de l’UE qui s’applique à ces services;
·évaluer la nécessité d’établir un cadre de l’UE régissant les nouveaux modèles d’entreprise innovants; et
·fournir des orientations aux autorités de surveillance nationales afin de garantir une plus grande convergence entre les régimes réglementaires nationaux.
Par ailleurs, les autorités de surveillance ont observé les évolutions du marché des actifs cryptographiques et l'avènement des ICO (Initial Coin Offerings), nouveau mode de levée de fonds par l’émission d'actifs numériques sous forme de pièces («coins») ou de jetons («tokens»). Si ces ventes de jetons peuvent constituer, pour les entreprises, un nouveau moyen innovant de lever des capitaux, elles ne sont pas sans risques pour les investisseurs. En spéculant sur les actifs cryptographiques et les jetons numériques, les investisseurs s’exposent à un risque de marché significatif, à la possibilité de fraudes ainsi qu'aux risques en matière de cybersécurité qui entourent les bourses et les prestataires de services par l’intermédiaire desquels ils achètent, détiennent et échangent ces actifs et jetons. En novembre 2017, l’Autorité européenne des marchés financiers (AEMF) a publié deux déclarations pour informer les investisseurs des risques que présentent certaines ICO et pour rappeler aux entreprises impliquées dans des ICO que celles-ci sont susceptibles, selon leur structure et leurs caractéristiques précises, de relever de la législation existante de l’UE. Dans l’UE et dans le reste du monde, les autorités sont en train de passer au crible les ICO et la réglementation susceptible de s’y appliquer, la Chine et la Corée ayant quant à elles décider de les interdire.
L’envolée et la volatilité des cours des actifs cryptographiques ces derniers mois engendrent la nécessité de mieux cerner les risques et les avantages attachés à leur utilisation, et de mieux appréhender l’applicabilité de la réglementation de l’UE. Cependant, les actifs cryptographiques et les jetons peuvent aussi échapper à la réglementation et aux objectifs de transparence, de gouvernance et de protection des investisseurs que celle-ci poursuit. En février 2018, à la demande de la Commission européenne, les trois autorités européennes de surveillance (les «AES») ont publié conjointement un avertissement à l'intention des investisseurs et des utilisateurs quant aux risques qu'ils encourent en achetant des actifs cryptographiques. Par ailleurs, les modifications de la quatrième directive anti-blanchiment sur lesquelles le Parlement européen et le Conseil sont parvenus à un accord en décembre 2017 restreindront l’anonymat et augmenteront la traçabilité des transactions en imposant aux bourses d'actifs cryptographiques et aux fournisseurs de portefeuilles de stockage au sein de l’Union européenne des exigences d’identification des clients et de vigilance à leur égard.
Il est nécessaire d'évaluer l'adéquation du cadre réglementaire actuel de l’UE en ce qui concerne les ICO et, de manière plus générale, les actifs cryptographiques. Il faut d'une part que les entreprises, les investisseurs et les consommateurs de l’UE puissent tirer parti de cette innovation technique dans un cadre équitable et transparent afin de permettre à l’Europe de jouer un rôle de premier plan dans le développement de nouveaux modes rapides de financement des entreprises en croissance. Mais il convient d'autre part que les risques pour la stabilité financière, pour l'intégrité du marché, pour la protection des investisseurs et des consommateurs, pour la protection des données à caractère personnel ainsi que les risques de blanchiment de capitaux et de financement du terrorisme soient dûment pris en compte. L'avènement des actifs cryptographiques étant un phénomène mondial, une coordination et une harmonisation internationales sont indispensables, par exemple au sein du G20, du Conseil de stabilité financière (CSF) et des normalisateurs financiers internationaux. La Commission collaborera avec les autorités de surveillance, les autorités de réglementation, les entreprises et la société civile, aussi bien au sein de l’UE qu'avec ses partenaires à l'international, afin de définir les éventuelles mesures supplémentaires à prendre.
|
Encadré 1
|
|
1.Parallèlement à la présente communication, la Commission présente une proposition de règlement de l’UE sur les prestataires de services de financement participatif par investissement ou prêt destinés aux entreprises. Cette proposition vise à établir un cadre réglementaire approprié et proportionné qui, grâce à un mécanisme complet de passeport, permette aux plates-formes de financement participatif d’exercer leurs activités sur une base transfrontière si elles le souhaitent, en étant soumises à une surveillance unifiée.
2.La Commission invite les autorités européennes de surveillance à répertorier, d’ici le premier trimestre 2019, les approches en matière d'agrément actuellement suivies pour les modèles d’entreprise FinTech innovants. Il conviendrait en particulier qu’elles examinent de quelle manière la proportionnalité et la flexibilité prévues par la législation des services financiers sont mises en œuvre par les autorités nationales. S'il y a lieu, les AES devraient publier des lignes directrices sur les approches et procédures ou présenter des recommandations à la Commission sur la nécessité d’adapter la législation de l’UE qui encadre les services financiers.
3.Au cours de l’année 2018, la Commission continuera, en collaboration avec les AES, la Banque centrale européenne et le CSF, ainsi que d'autres organismes internationaux de normalisation, à suivre les évolutions des actifs cryptographiques et des ICO. En se fondant sur l’évaluation des risques, des opportunités et de l'adéquation du cadre réglementaire applicable, la Commission déterminera s'il est nécessaire de prendre des mesures de réglementation au niveau de l’UE.
|
1.2.Accroître la concurrence et la coopération entre les acteurs du marché au moyen de normes communes et de solutions interopérables
La production et la prestation de services financiers nécessitent que les différents opérateurs de la chaîne de valeur coopèrent et interagissent. Un marché des FinTech à l’échelle de l’UE ne pourra pleinement atteindre son potentiel que si l'on élabore des normes ouvertes qui accroissent la concurrence, améliorent l’interopérabilité et simplifient l’échange de données entre acteurs du marché et leur accès à celles-ci.
Il existe plusieurs manières de mettre en œuvre l’interopérabilité. Les entreprises ou les fournisseurs de technologie peuvent développer des interfaces ad hoc auxquelles les autres parties sont obligées de s’adapter. Une autre approche consiste à parvenir à un consensus sur des normes d’interopérabilité pour l’ensemble du marché, ce qui réduit les efforts que doivent déployer les prestataires de services pour échanger des données avec les différentes plates-formes. Les processus de normalisation devraient reposer sur les principes d’ouverture, de transparence et de consensus, conformément aux dispositions du règlement (UE) nº 1025/2012 relatif à la normalisation européenne. Pour que les normes favorisent la concurrence, il ne devrait pas y avoir de restrictions à la participation et la procédure d'adoption des normes devrait être transparente et permettre aux parties prenantes de s’informer effectivement sur les travaux de normalisation. L'accès effectif aux normes devrait être accordé dans des conditions équitables, raisonnables et non discriminatoires.
La plupart des répondants à la consultation FinTech ont souligné qu'il était primordial d’élaborer des normes, de promouvoir leur adoption et de garantir l’interopérabilité entre les systèmes. L’approche privilégiée est une approche qui serait conduite par les acteurs du secteur et les participants du marché et qui consisterait à élaborer des normes mondiales plutôt que locales ou régionales. La demande d'une normalisation accrue concerne particulièrement la technologie des chaînes de blocs et des registres distribués, les interfaces de programmation applicatives (API pour Application Programming Interfaces) et la gestion des identités. La directive révisée sur les services de paiement, en application depuis janvier 2018, constitue un test intéressant: les banques sont tenues de mettre en place des canaux de communication appropriés pour que les technologies financières puissent fournir des services qui reposent sur l’accès aux comptes de paiement. Le développement d’interfaces de programmation applicatives normalisées créerait des conditions de concurrence égales permettant des services nouveaux et améliorés dans un environnement véritablement ouvert, tout en maintenant des normes élevées de protection des données à caractère personnel et de protection des consommateurs.
|
Encadré 2
|
|
1.La Commission aidera à l’élaboration d’approches plus coordonnées en matière de normes pour les technologies financières d'ici le quatrième trimestre 2018, en dialoguant et en collaborant avec les principaux organismes de normalisation, tels que le Comité européen de normalisation et l’Organisation internationale de normalisation, notamment dans le domaine des chaînes de blocs.
2.La Commission encourage les acteurs du marché à joindre leurs efforts, qu’elle soutiendra, en vue de mettre au point, d’ici la mi-2019, des interfaces de programmation applicatives normalisées qui respectent la directive sur les services de paiement et le règlement général sur la protection des données, pour servir de base à un écosystème bancaire ouvert européen couvrant les comptes de paiement et autres types de comptes.
|
1.3.Faciliter l’émergence de modèles d’entreprise innovants dans l’ensemble de l’UE au moyen de facilitateurs d’innovation
Les entreprises innovantes lancent de nouveaux produits sur le marché ou conçoivent des moyens de fournir des services existants sous une forme innovante, ou à des prix plus compétitifs. Les innovateurs doivent pouvoir proposer leurs services à une clientèle aussi large que possible afin de dégager des économies d’échelle. Pour tirer pleinement parti du marché unique, il faut qu’ils puissent bénéficier d'un passeport européen. Ils doivent pour cela satisfaire à des exigences réglementaires, qui peuvent être difficiles à remplir. Cela vaut en particulier pour les entreprises nouvellement établies ou pour celles qui ont recours à des technologies ou des modèles innovants susceptibles de s'écarter des pratiques usuelles qui prévalaient lorsque la réglementation a été adoptée.
Les approches et technologies innovantes posent en outre des difficultés aux autorités de surveillance financière lorsqu’elles doivent décider d’agréer ou non une entreprise ou une activité et définir la manière de s’acquitter de leurs obligations de surveillance. Les réponses à la consultation publique organisée par la Commission mettent en évidence une volonté marquée des autorités de surveillance de mieux cerner les dernières tendances en matière de technologies financières et de renforcer les contacts avec les entreprises et autres fournisseurs de technologies.
Dans l’UE, treize États membres ont mis en place des «facilitateurs FinTech» (pôles d'innovation ou sas réglementaires), qui fournissent des orientations générales aux entreprises durant le processus d’agrément. Cela permet aux entreprises d'avoir plus rapidement accès au marché et de mieux cerner les règles et les exigences prudentielles. Ces facilitateurs peuvent également fournir des orientations aux établissements financiers déjà établis. Du point de vue des autorités de surveillance, ces approches constituent une source importante d’informations qui les aident à mieux appréhender les modèles d’entreprise innovants et les évolutions du marché à un stade précoce.
Les sas réglementaires reposent sur la même idée que les pôles d’innovation mais la portent plus loin, créant un environnement dans lequel le cadre de surveillance est adapté aux entreprises ou services innovants. Les autorités nationales compétentes doivent appliquer la législation pertinente de l’UE relative aux services financiers. Toutefois, ces règles prévoient une marge d’appréciation en ce qui concerne l’application des principes de proportionnalité et de flexibilité qui y sont inscrits. Cette possibilité peut être particulièrement utile dans le contexte de l’innovation technologique.
Les acteurs du secteur qui ont répondu à la consultation publique se sont déclarés en faveur de l’approche des sas réglementaires. Les autorités nationales de surveillance ont quant à elles exprimé des avis partagés: certaines estiment que ces initiatives ne font pas partie de leur mandat, alors que d'autres sont favorables aux sas réglementaires mais estiment que les autres devraient prendre des initiatives similaires. Une approche harmonisée entre les autorités de surveillance favoriserait le déploiement des innovations dans l’ensemble du marché unique de l’UE.
L’ABE, l’AEAPP et l’AEMF ont récemment recensé les facilitateurs d’innovation déjà en place dans l’ensemble de l’UE. La Commission souhaiterait que de nouveaux efforts soient consentis afin de répertorier les bonnes pratiques dans l’ensemble de l’Union et d’établir des principes et critères communs pour les pôles d’innovation et les sas réglementaires. Parmi les autres mesures de suivi utiles, il pourrait être opportun de promouvoir la création de pôles d’innovation dans tous les États membres et de coordonner leur fonctionnement. Cela pourrait conduire à envisager un «cadre d’expérimentation de l’UE» pour l'adoption des nouvelles technologies et l’adaptation à celles-ci.
|
Encadré 3
|
|
1.La Commission invite les autorités européennes de surveillance (AES), dans le prolongement des travaux qu’elles ont menés récemment en vue de répertorier les «facilitateurs FinTech» mis en place par les autorités nationales de surveillance, à mener une analyse plus approfondie et à recenser les meilleures pratiques d’ici au quatrième trimestre de 2018 et, le cas échéant, à publier des orientations sur ces facilitateurs.
2.La Commission invite les autorités compétentes au niveau des États membres et de l’UE à prendre des initiatives visant à faciliter l’innovation, sur la base des bonnes pratiques qui auront été répertoriées, et invite les AES à faciliter la coopération dans le domaine de la surveillance, notamment la coordination et la diffusion des informations concernant les technologies innovantes, l’établissement et l’exploitation de pôles d'innovation et de sas réglementaires («regulatory sandboxes») ainsi que la cohérence des pratiques de surveillance.
3.Sur la base des travaux des AES, la Commission présentera, d’ici au premier trimestre de 2019, un rapport concernant les bonnes pratiques en matière de sas réglementaires.
|
2.Encourager l'adoption des technologies innovantes dans le secteur financier
2.1.Évaluer l’adéquation de la réglementation de l’UE et mettre en place des garanties pour les nouvelles technologies dans le secteur financier
La neutralité technologique constitue l’un des principes directeurs des politiques de la Commission.
Il se peut néanmoins que, dans la pratique, les règles adoptées par l’Union avant l’émergence des technologies innovantes ne soient pas toujours neutres sur le plan technologique. Des participants à la consultation publique ont, par exemple, cité les exigences ou préférences relatives aux déclarations papier, ou encore la nécessité d'une présence physique. L’absence de procédures claires et harmonisées qui permettent d’identifier les consommateurs et les entreprises en ligne, dans le plein respect des règles relatives à la protection des données et à la lutte contre le blanchiment de capitaux, est également considérée comme un obstacle à l'adoption de solutions de technologie financière. Dans le même ordre d’idées, des répondants ont exprimé leurs craintes que les règles prudentielles qui s'appliquent actuellement aux banques rendent les investissements en logiciels moins intéressants: les banques de l’Union doivent déduire ces investissements de leurs fonds propres réglementaires alors que celles installées aux États-Unis bénéficient d’un traitement plus favorable.
La Commission s’est déjà penchée sur quelques-unes de ces questions. Dans le plan d’action relatif aux services financiers pour les consommateurs, la Commission a annoncé son intention de faciliter l’acceptation transfrontière des processus d’identification électronique et de connaissance du client à distance afin de permettre aux banques d’identifier leurs clients par des moyens numériques qui satisfont aux exigences de protection des données et de lutte contre le blanchiment de capitaux, en tirant pleinement parti des outils d’identification et d’authentification électroniques prévus par le règlement eIDAS. Pour faciliter l’utilisation de l’identification et de l’authentification électroniques, la Commission a institué un groupe d’experts sur les processus d’identification électronique et de connaissance du client à distance. L’adoption de technologies dites de rupture, telles que les technologies des registres distribués et l’intelligence artificielle, peut poser d’autres problèmes réglementaires. La question des exigences en matière de déclarations papier devrait être traitée. Des participants à la consultation publique s’inquiètent que les règles existantes puissent empêcher ou restreindre l’utilisation de ces technologies, notamment des façons suivantes:
·les applications de chaînes de blocs peuvent soulever des problèmes juridictionnels, du point de vue du droit applicable et de la responsabilité;
·les questions de la validité juridique et de l’opposabilité des contrats intelligents nécessitent des éclaircissements;
·des incertitudes entourent le statut juridique des offres initiales de jetons (ICO) et les règles qui leur sont applicables, comme déjà indiqué au point 1.1.
Il est nécessaire de procéder à une analyse plus approfondie du cadre juridique des services financiers afin d’évaluer sa neutralité technologique et sa capacité d'adaptation aux innovations du domaine des technologies financières, ou de déterminer s’il doit être adapté à cette fin, tout en veillant au respect des exigences et dispositions législatives en matière de stabilité financière, de protection des consommateurs et des investisseurs ou de blanchiment de capitaux.
|
Encadré 4
|
|
D’ici au deuxième trimestre de 2019, la Commission mettra en place un groupe d’experts chargé d'évaluer si des dispositions du cadre réglementaire applicable aux services financiers entravent de manière injustifiée l’innovation financière.
|
2.2.Supprimer les obstacles aux services d’informatique en nuage
L’informatique en nuage peut accroître l’efficacité de l’infrastructure numérique sur laquelle reposent les services financiers. L’externalisation du traitement et du stockage de données à des fournisseurs de services d’informatique en nuage permet aux entreprises de réduire leurs coûts d’hébergement, d’infrastructure et de logiciels et peut les aider à rationaliser leurs dépenses informatiques, tout en leur garantissant des performances, une souplesse et une capacité d’adaptation accrues.
Les entreprises réglementées qui sous-traitent des activités à un prestataire de services d’informatique en nuage doivent respecter toutes les exigences légales (en matière, par exemple, de gestion des risques propres, de protection des données et de supervision par les autorités de surveillance). Dans le cadre de la consultation organisée par la Commission, des parties prenantes ont attiré l’attention sur le fait que l’utilisation des services d’informatique en nuage est actuellement restreinte par les incertitudes qui entourent les attentes des autorités de surveillance financière et qui sont imputables en particulier à l’absence d’harmonisation des règles nationales et aux différences d’interprétation des règles d’externalisation.
L’ABE a publié récemment des recommandations sur l’externalisation à des services d’informatique en nuage. L’AEMF, en sa qualité d’autorité de surveillance directe des agences de notation de crédit et des référentiels centraux, étudie ces questions et précisera, en 2018, quelles exigences ces entreprises doivent respecter lorsqu’elles font appel à un prestataire extérieur de services d’informatique en nuage. La question de la sous-traitance à des prestataires de services d'informatique en nuage fait également partie du mandat confié à l’AEAPP dans le domaine de la technologie des assurances («InsurTech»). La question mérite néanmoins un examen attentif qui sorte du cadre des initiatives existantes. L’incertitude pourrait être réduite si les attentes prudentielles étaient exprimées sous forme de lignes directrices officielles des AES.
La proposition de la Commission relative à un règlement établissant un cadre pour la libre circulation des données à caractère non personnel dans l’UE vise à supprimer les restrictions injustifiées à la localisation des données et s'attaque ainsi à l’un des principaux problèmes qui se posent. La proposition aborde également d’autres questions ayant trait à l’informatique en nuage, telles que la prévention de la dépendance des clients à l’égard de leurs fournisseurs de services d’informatique en nuage («enfermement propriétaire»). Afin de faciliter la mise en œuvre du règlement proposé, particulièrement en ce qui concerne l’utilisation des services d’informatique en nuage, la Commission réunira, en 2018, les principales parties concernées (utilisateurs et prestataires de services d'informatique en nuage et autorités de réglementation).
|
Encadré 5
|
|
1.La Commission invite les AES à étudier, d'ici au premier trimestre de 2019, la nécessité de lignes directrices sur la sous-traitance à des prestataires de services d’informatique en nuage.
2.Dans le contexte de la communication «Créer une économie européenne fondée sur les données», la Commission invite les parties prenantes du secteur de l’informatique en nuage à élaborer des codes de conduite transsectoriels par autorégulation afin de faciliter le changement de prestataire de services d’informatique en nuage. Elle invitera également les représentants du secteur financier en vue de rendre le portage de données plus facile aussi pour les établissements financiers.
3.À ce propos, la Commission encouragera et facilitera l’élaboration de clauses contractuelles types pour l’externalisation des activités d'informatique en nuage par les établissements financiers, en s’appuyant sur les efforts déjà consentis, sous son impulsion, par les parties prenantes de l’informatique en nuage au niveau transsectoriel et en faisant participer le secteur financier à ce processus. Il convient que ces travaux soient menés par un éventail d’entreprises du secteur financier et de prestataires de services d'informatique en nuage, représentés de manière équitable, et qu’ils portent en particulier sur les exigences en matière d’audit et de déclaration ou sur la détermination du caractère significatif d'activités à externaliser.
|
2.3.Favoriser les applications de technologie financière au moyen de l’initiative de l’UE en matière de chaînes de blocs
Les technologies des chaînes de blocs et des registres distribués donneront sans doute naissance à une innovation majeure qui transformera la manière d’échanger, de valider et de partager les informations ou actifs, ou d’accéder à ceux-ci, par les réseaux numériques. Elles devraient continuer à se développer au cours des prochaines années et devenir un rouage essentiel de l’économie et de la société numériques.
Il importe d’éviter toute confusion entre les technologies des chaînes de blocs et les actifs crytographiques, qui ne représentent qu’un type d’application de la chaîne de blocs (voir plus haut). Nombreuses, les applications de la chaîne de blocs se déploient dans différents secteurs, qui ne sauraient être limités aux seuls actifs crytographiques ou même aux technologies financières.
Le secteur financier joue un rôle moteur dans l’étude du potentiel de la chaîne de blocs en menant de nombreux exercices de validation de concept et projets pilotes dans des domaines aussi divers que les paiements, les valeurs mobilières, les dépôts et prêts, la levée de fonds, la gestion d'investissements, l’approvisionnement des marchés, la négociation et post-négociation ou encore le financement du commerce extérieur et les déclarations (la «RegTech», par exemple).
Les technologies des registres distribués et les chaînes de blocs offrent un potentiel considérable pour favoriser la simplicité et l’efficacité par l’établissement de nouvelles infrastructures et de nouveaux processus. Elles pourraient devenir un élément central des futures infrastructures de services financiers. Une collaboration approfondie entre les acteurs établis du secteur, les innovateurs et les autorités de réglementation sera nécessaire pour assurer le succès de la mise en œuvre des applications les plus prometteuses et en tirer tous les avantages. Le champ d'application potentiel est très vaste et devrait faire l’objet d’un étroit suivi.
Même si les technologies de chaînes de blocs n’en sont encore qu’à leurs débuts, un certain nombre de défis et de risques méritent d’ores et déjà des mesures. L’Observatoire-forum des chaînes de blocs de l’UE, qui a été inauguré en février 2018 pour une période de 2 ans, a pour mission de suivre les tendances et les évolutions du domaine, de mettre en commun les compétences nécessaires pour traiter les questions sectorielles et transsectorielles, de rechercher des solutions communes pour l’utilisation des chaînes de blocs et d’étudier les cas d’utilisation de cette technologie dans le monde. Le Parlement européen a également soutenu la création du portail européen de transparence financière (EFTG), projet pilote destiné à faciliter, au moyen de la technologie des registres distribués, l’accès à l’information relative à l’ensemble des sociétés cotées sur les marchés réglementés des valeurs mobilières de l’UE dans le cadre de la directive sur la transparence. Cette initiative vise à renforcer la transparence des marchés réglementés de l’UE, en favorisant à la fois l’intégration et la liquidité des marchés, conformément aux objectifs de l’union des marchés des capitaux. La Commission européenne a également lancé, par exemple, l’initiative «Blockchain for industrial transformations» (#Blockchain4EU) ainsi qu'un exercice de validation de l’utilisation des chaînes de blocs pour faciliter la perception des droits d’accise.
Compte tenu de la nature transversale des chaînes de blocs, qui concernent non seulement les services financiers, mais aussi potentiellement tous les secteurs de l’économie et de la société, la Commission a déjà pris des mesures en vue de mettre en place une initiative européenne dans le domaine des chaînes de blocs avec le lancement de l’Observatoire-forum des chaînes de blocs de l’UE. Cette initiative prévoit différentes actions, des mesures de financement et la définition d’un cadre pour les chaînes de blocs afin de permettre l’extensibilité, de développer la gouvernance, d’élaborer des normes et de favoriser l’interopérabilité. Conjuguée aux autres mesures prévues dans le présent plan d'action (notamment l’évaluation de l’adéquation de la législation financière de l’UE), cette initiative transsectorielle est censée accélérer l’adoption de cette technologie dans le secteur financier et renforcer la compétitivité et l’avance technologique de l’Europe. Elle reposera également sur des actions pilotes financées par le programme «Horizon 2020», dont le périmètre sera élargi sur la période 2018-2020. La Commission a également noué des liens avec le comité technique 307 pour les technologies des chaînes de blocs et des registres distribués de l’Organisation internationale de normalisation. Les organismes européens de normalisation ont été invités à jouer un rôle de premier plan dans la définition des spécificités de l’UE concernant les chaînes de blocs.
|
Encadré 6
|
|
1.La Commission mènera au deuxième trimestre 2018 des consultations publiques sur la poursuite de la numérisation des informations réglementées relatives aux sociétés cotées sur les marchés réglementés de l’UE, notamment en ce qui concerne la mise en place possible d’un portail européen de transparence financière basé sur la technologie des registres distribués.
2.La Commission continuera de travailler à une stratégie globale en matière de technologies des registres distribués et des chaînes de blocs, en envisageant toutes les incidences juridiques pertinentes, à l’adresse de tous les secteurs de l’économie, qui viserait notamment à faciliter le déploiement d'applications de technologies financières et de technologies de gestion des contraintes réglementaires dans l’UE.
3.En février 2018, la Commission a lancé l’Observatoire-forum des chaînes de blocs de l’UE ainsi qu'une étude sur la faisabilité d'une infrastructure publique européenne de chaînes de blocs pour le développement des services transfrontières. La question de savoir si les chaînes de blocs peuvent être déployées en tant qu’infrastructure de services numériques dans le cadre du mécanisme pour l’interconnexion en Europe sera examinée. La Commission, avec le soutien de l’Observatoire-forum des chaînes de blocs de l’UE et des organisations européennes de normalisation, continuera à évaluer les questions juridiques ainsi que les questions de gouvernance et d’extensibilité et appuiera les travaux en matière d’interopérabilité et de normalisation; elle poursuivra notamment l’évaluation de cas d’utilisation de la technologie des chaînes de blocs et de ses applications dans le contexte de l'internet de nouvelle génération.
|
2.4.Renforcer les capacités et les connaissances des autorités de réglementation et de surveillance au sein d'un laboratoire européen des technologies financières
Les obstacles majeurs qui empêchent l'adoption de nouvelles technologies par le secteur financier sont notamment le manque de sécurité juridique et d'orientations concernant leur utilisation, ainsi que la fragmentation et l'absence d'approches communes aux différentes autorités nationales de réglementation et de surveillance.
Certains fournisseurs s'efforcent déjà d'informer les autorités de réglementation et de surveillance sur la nature des technologies qu'ils proposent et sur leur application dans le secteur financier. Toutefois, de nombreuses autorités ne sont pas disposées à recevoir des formations ou à participer à des discussions lorsque celles-ci sont organisées par des fournisseurs sélectionnés.
La Commission mettra sur pied un laboratoire des technologies financières (FinTech Lab) pour renforcer les capacités et les connaissances des autorités de réglementation et de surveillance en matière de nouvelles technologies. Il s'agira d'un laboratoire neutre et non commercial, au sein duquel des démonstrations et des débats d’experts seront organisés à cet effet. Ce laboratoire rassemblera de nombreux fournisseurs (provenant en particulier de l’UE) et les autorités concernées pour leur permettre de soulever des questions en matière de réglementation et de surveillance, et d'en débattre.
Les thèmes abordés pourraient notamment être:
·les technologies d'authentification et d'identification,
·des cas spécifiques d'utilisation de la technologie des registres distribués, de la technologie en nuage, de l’apprentissage automatique et de l’intelligence artificielle,
·les interfaces de programmation et les normes bancaires ouvertes, ainsi que
·les RegTech (technologies de gestion des contraintes réglementaires).
|
Encadré 7
|
|
La Commission mettra sur pied un laboratoire européen des technologies financières au sein duquel les autorités européennes de surveillance et les autorités nationales seront invitées, à partir du deuxième trimestre de 2018, à discuter avec des fournisseurs de solutions technologiques dans un environnement neutre et non commercial au cours de séances consacrées à des innovations spécifiques.
|
2.5.Tirer parti de la technologie pour soutenir la distribution de produits d'investissement de détail dans le marché unique
Aujourd'hui, les investisseurs de détail qui se lancent sur les marchés des capitaux sont démunis face à la grande complexité des produits d'investissement, aux coûts et à l’incertitude qu'ils entraînent. Des progrès notables ont été accomplis dans la comparabilité des produits d’investissement de détail, notamment grâce aux exigences en matière de publication. La qualité des produits devrait s'en trouver améliorée; les investisseurs de détail doivent néanmoins toujours faire face à des coûts de recherche importants pour sélectionner le produit d’investissement qui leur convient le mieux.
Des solutions fondées sur les données qui utiliseraient des technologies nouvelles et plus efficaces pour faire en sorte que les informations soient complètes, comparables et facilement accessibles devraient donc permettre d'améliorer la transparence, ce qui stimulerait la concurrence et élargirait le choix dont disposent les investisseurs de détail sur les marchés des capitaux. Ces solutions pourraient être fondées sur des informations publiques et offrir une interface conviviale qui relierait les bases de données existantes, ou des outils numériques tels que des calculatrices en ligne, des outils de comparaison, des conseillers automatiques ou des supermarchés de fonds. À cette fin, des travaux substantiels sont nécessaires pour assurer l’interopérabilité des séries de données et l'élaboration des algorithmes appropriés, tout en faisant en sorte que les résultats soient présentés de façon équitable et facile à comprendre. La Commission examinera donc le paysage actuel des interfaces numériques fondées sur la technologie qui aident les particuliers à trouver des produits d'investissement appropriés à bon rapport coût/efficacité sur les marchés des capitaux de l’UE.
3.Renforcer la sécurité et l’intégrité du secteur financier
La cybersécurité reste au centre de l'action de l’UE et l’amélioration de la cyber-résilience du secteur financier européen est une priorité de l’action de la Commission. Cependant, des cyberattaques spectaculaires rappellent qu’il est nécessaire de veiller sans cesse à la résilience et à l’intégrité des systèmes. La nature transfrontière des menaces informatiques nécessite un degré élevé d'harmonisation des exigences et attentes nationales en matière de réglementation et de surveillance. Le secteur financier dépendant de plus en plus des technologies numériques, il est essentiel de veiller à ce qu’il soit sûr et résilient. À cet égard, la Commission reconnaît l’importance d'adopter, pour les services numériques, une approche prenant en compte la sécurité dès la conception; elle a déjà déposé une proposition visant à créer un cadre de certification de l’UE pour les produits et services de sécurité informatique.
En effet, le secteur financier est mieux préparé que d'autres secteurs, mais il est aussi le plus attaqué. Les risques opérationnels et les cyber-risques constituent une menace croissante pour la stabilité du système financier et minent la confiance vitale à nos marchés financiers. Reconnaissant la menace potentielle que ces atteintes font peser sur la stabilité du secteur financier, le Parlement européen a appelé la Commission à «faire de la cybersécurité la priorité numéro un du plan d’action relatif aux technologies financières». Les incidents de sécurité informatique à répétition résultant de failles fondamentales de sécurité dans les systèmes et les organisations soulignent l’importance critique pour toute organisation de pratiquer une hygiène informatique de base. Des mesures et des exigences plus strictes en matière d’hygiène informatique sont cruciales pour l’intégrité. Cependant, la mesure dans laquelle les entreprises sont soumises à des normes en matière d’hygiène informatique et le degré d’exigence de celles-ci varient dans l’UE, principalement en fonction des pratiques du secteur et des pratiques nationales. À l’échelle de l’UE, la législation actuelle en matière de services financiers, en particulier en ce qui concerne les infrastructures des marchés financiers et les paiements, contient déjà des exigences spécifiques concernant l’intégrité des ressources et systèmes informatiques et leur gouvernance. Dans d'autres domaines, comme la continuité des activités ou la gestion du risque opérationnel, les exigences sont plus générales.
La transposition par les États membres des dispositions de la directive sur la sécurité des réseaux et des systèmes d'information (directive SRI) relatives aux exigences de sécurité pour d’autres services financiers est en cours. Il est néanmoins possible que la législation applicable de l'UE présente encore des failles, qu'il conviendrait de combler pour améliorer la résilience du secteur financier. Avant d'agir en ce sens, il convient d'étudier attentivement les exigences et les pratiques en matière de surveillance. Les bonnes pratiques d'application des exigences générales pourront ainsi être identifiées.
L'accès aux renseignements sur les menaces et le partage d'informations sont également fondamentaux pour l'amélioration de la cybersécurité. Une coopération et une coordination plus étroites en matière d'échange de renseignements sur les menaces au sein du secteur financier de l’UE contribueront à prévenir les menaces informatiques et à les amoindrir. Certains participants à la consultation sur les technologies financières ont exprimé leur inquiétude que le partage d'informations sur les menaces informatiques soit restreint par la législation. Par exemple, il pourrait ne pas être compatible avec le règlement général sur la protection des données. Ce règlement reconnaît toutefois que le traitement des données personnelles nécessaire pour garantir la sécurité des réseaux et de l’information et proportionné à cet objectif constitue un intérêt légitime.
Les autorités de surveillance effectuent de plus en plus souvent des tests d’intrusion et des tests de résilience pour évaluer l’efficacité des défenses et de la sécurité informatiques. Des tests rigoureux constituent déjà une bonne pratique dans le secteur, et les tests et leurs modalités sont de plus en plus souvent imposés par les autorités. Les établissements financiers et les infrastructures de marchés fonctionnant sur une base transfrontière, la multiplication des cadres en matière de tests est perçue comme augmentant inutilement les coûts, voire comme renforçant potentiellement les risques. Les parties intéressées ont souligné la nécessité d'une plus grande coordination en matière de réglementation et de surveillance au niveau européen. Elles ont indiqué que cela devrait être combiné avec une coopération plus forte entre les juridictions et une acceptation mutuelle par les autorités des résultats des tests, dans le respect de la nature sensible de ceux-ci. Dans ce contexte, la Commission considère comme prometteurs les efforts menés par la BCE, les AES et les autorités nationales de surveillance, par exemple en vue de l’élaboration à l’échelle de l’UE d’un cadre de test pour le hacking éthique fondé sur les renseignements sur les menaces, TIBER-EU (Threat Intelligence Based Ethical Red Teaming). L'évaluation de la cyber-résilience des acteurs importants des marchés financiers dans l’ensemble de l’UE peut permettre de déceler de manière efficiente et efficace des vulnérabilités sur le plan de la stabilité et de l'intégrité dans tout son système financier.
Une bonne cyber-résilience nécessite une approche collective étendue, ainsi que des activités efficaces de formation et de sensibilisation. À cette fin, la Commission a adopté récemment son Plan d'action en matière d'éducation numérique, visant à améliorer les compétences numériques dans toute l’Europe, y compris en rapport avec la cybersécurité. Les menaces informatiques sont par nature mondiales, c’est pourquoi la coopération internationale est cruciale pour y faire face; la Commission participe donc activement aux travaux du G20 et du G7 sur la cybersécurité dans les services financiers.
|
Encadré 8
|
|
1.La Commission organisera au deuxième trimestre 2018 un séminaire public-privé visant à examiner et à évaluer les obstacles qui limitent le partage d'informations sur les menaces informatiques entre les participants au marché financier, et à trouver des solutions potentielles tout en assurant le respect des normes de protection des données.
2.La Commission invite les AES à faire l’inventaire, d’ici au premier trimestre 2019, des pratiques de surveillance existant dans l’ensemble du secteur financier en rapport avec les exigences de sécurité et de gouvernance informatiques et, si cela est approprié: a) à envisager de publier des orientations visant à la convergence de la surveillance et à l’application des exigences en matière de gestion et d'atténuation des risques informatiques dans le secteur financier de l’UE et b) si nécessaire, à fournir à la Commission un avis technique sur les améliorations législatives nécessaires.
3.La Commission invite les AES à évaluer, d’ici au quatrième trimestre 2018, les coûts et avantages de l’élaboration d'un cadre cohérent de test de la cyber-résilience destiné aux participants et infrastructures majeurs des marchés dans l’ensemble du secteur financier de l’UE.
|
CONCLUSIONS
L'avancée rapide des technologies financières (FinTech) entraîne des changements structurels dans le secteur financier. Dans un environnement qui se transforme aussi vite, une réglementation trop prescriptive adoptée trop précipitamment risquerait d’entraîner des effets non désirés. Toutefois, s'abstenir d’actualiser les politiques et les cadres réglementaires pourrait mettre les prestataires de services financiers de l’UE en position défavorable sur un marché de plus en plus mondial. On risquerait en outre de laisser de côté des risques cruciaux, par exemple dans le domaine de la cybersécurité.
Le présent plan d'action pour les technologies financières combine des mesures de soutien pour faciliter la mise en œuvre de solutions de technologie financière et des mesures proactives visant à favoriser et à encourager l’apparition de nouvelles solutions et à faire face avec détermination aux risques et défis qui se font jour. La Commission a exposé ses plans pour la poursuite des travaux visant à permettre l’innovation dans le secteur financier, à l'accueillir et, si possible, à l’encourager, tout en veillant en tout temps à préserver la stabilité financière et un niveau élevé de protection des investisseurs et des consommateurs. Il s'agit d’un pilier important d'une approche stratégique plus vaste de la réglementation dans l’environnement d'après-crise. Les objectifs sont triples: tirer parti des progrès rapides de la technologie pour l’économie de l’UE, ses citoyens et ses entreprises, aider le secteur financier européen à devenir plus compétitif et plus innovant et protéger l’intégrité du système financier de l’UE.