Hors-série Banque & finance

IT, mise à jour
réglementaire en cours
Florian Bewig, directeur; Vincent Villers, associé IT Risk et Security Leader; Vivien Bilquez, Manager; Sami El Euch, directeur PwC Luxembourg
UCITS, AIFMD, CRD, FATCA… les vagues réglementaires qui se succèdent depuis la crise
de 2008 ont pour objectif de ramener la confiance des investisseurs et des consommateurs
en renforçant la stabilité du secteur financier. Effet indirect et bénéfique de ces nouvelles
lois, elles ont permis d’améliorer la solidité des infrastructures IT des entreprises du secteur.
Cette pression réglementaire, conjuguée à un environnement économique complexe et
des consommateurs toujours plus exigeants sur la qualité et la sécurité des services en
ligne, positionne les services IT au cœur de la tempête.
“
L’objectif des législateurs
est de faciliter l’utilisation
de services de paiement
électronique sur Internet
et de les rendre plus sûrs,
et de mieux protéger les
consommateurs contre la
fraude
”
De nouvelles réglementations sur la sécurité des
paiements en ligne et sur la protection des données
personnelles sont en projet. «Ces nouvelles
réglementations, nationales et européennes ne
sont pas des sujets purement IT, mais elles auront
un fort impact sur les services IT. Les responsables
informatiques et les "Security Officer" doivent se
tenir informés des changements à venir, pour les
anticiper et les intégrer dans leur plan d’actions»
explique Vincent Villers, associé et IT Risk and
Security Leader chez PwC Luxembourg.
En présence de plus d’une quarantaine de
CIO et de responsables de sécurité des systèmes
d’information, les experts de PwC
Luxembourg ont dressé un état des lieux des
changements à venir lors d’une conférence
tenue en fin de semaine dernière.
Sécuriser les paiements en ligne
Maillon essentiel dans les échanges de biens
et de services, les systèmes de paiement sont
au cœur de l’économie. Une perte de
confiance des utilisateurs, qui pourrait être
causée par une hausse des cas de fraude à la
carte bancaire par exemple, pourrait freiner
ce développement. C’est pourquoi les législateurs
européens s’intéressent de près au
sujet. La directive sur les services de paiements,
en vigueur depuis 2009, visait à mettre
en place un marché unique des paiements
et à augmenter la concurrence. La sécurité
n’était pas encore la priorité. Le développement
exponentiel des transactions sur
Internet et des nouveaux modes de consommation
a, depuis, changé la donne.
Premier bloc à l’édifice, la circulaire 15/603 de
la CSSF reprend les orientations fixées par
l’Autorité Bancaire Européenne en matière de
sécurité sur les paiements sur internet. «La circulaire
15/603 a un objectif essentiel: restaurer
la confiance des consommateurs dans les
paiements sur internet. Les prestataires de service
de paiement devront modifier leur organisation
et mettre en place des solutions techniques
pour atteindre ce but» explique Florian
Bewig, directeur chez PwC Luxembourg.
Au 1 er août 2015, tous les prestataires de services
de paiement de l’UE devront l’appliquer.
Ils devront formaliser dans leur gouvernance
une politique de sécurité sur leurs services
et aussi mettre en place des mesures
d’évaluation des risques et de suivi des incidents
et renforcer les mesures de sécurité,
comme par exemple la procédure d’identification
et d’authentification des clients.
La directive sur les services de paiements est
en cours de révision. L’objectif des législateurs
est maintenant de faciliter l’utilisation de services
de paiement électronique sur Internet et
de les rendre plus sûrs, et de mieux protéger
les consommateurs contre la fraude.
Protéger les données personnelles
La protection des données personnelles est un
autre maillon essentiel pour renforcer la
confiance des consommateurs. Dans le
contexte de la création d’un marché unique
digital, la Commission a lancé une réforme du
cadre juridique européen relatif à la protection
de ces données. Les propositions visent à renforcer
les droits des personnes et à relever les
défis de la mondialisation et des nouvelles technologies.
«Cette nouvelle directive sur la protection
des données personnelles profitera aux
entreprises. Mais elle apportera aussi son lot de
défis. Les entreprises devront se préparer et
mettre en place des programmes de conformité,
tout en maîtrisant leurs coûts, dès que la
nouvelle loi sera en vigueur» signale Sami El
Euch, directeur chez PwC Luxembourg.
Attention cependant, les raisons pour collecter
ces données et leur usage changent d’une
entreprise à une autre. Chacune devra donc
se pencher sur les impacts de la future loi sur
son organisation et mettre en place un programme
de conformité qui lui est propre. Si
l’adoption du projet de loi n’est attendu
qu’en 2016, et son application qu’en 2018,
chaque entreprise peut dès maintenant évaluer
le type de données qu’elle collecte,
l’usage qui en est fait, le niveau de protection
et les obligations juridiques qui en découlent.
Restaurer la confiance des consommateurs
La directive NIS (Network and Information
Security) encore en discussion pourrait aussi
impacter les entreprises à l’horizon 2018. «La
directive NIS nécessitera que chaque Etat membre
renforce sa politique de sécurité en matière
de systèmes et de réseaux informatiques» indique
Vivien Bilquez, Manager chez PwC
Luxembourg. Elle harmonisera cette politique
au niveau européen en assurant un niveau minimum
commun élevé de sécurité. Cela touchera
plus particulièrement les opérateurs d'infrastructures
critiques telles que les réseaux d'énergie et
de transports et les principaux prestataires de
services de la société de l'information ainsi
qu'aux administrations publiques. Ces acteurs
devront adopter des mesures de gestion des risques
et de signalement des incidents graves aux
autorités nationales compétentes.
Défis pour les services IT, ces réglementations
ont un objectif commun: restaurer la
confiance des consommateurs européens.
Communiqué par PWC Luxembourg
32
LG - Hors-série Banque & finance
LG - Hors-série Banque & finance
33