Définition du vote électronique

Le vote électronique est un système de vote dématérialisé, à comptage automatisé, dans lequel les électeurs utilisent des dispositifs électroniques pour enregistrer leur vote.

Le système peut être utilisé à distance, comme dans le cas du vote par internet, ou en personne, comme dans les bureaux de vote équipés de machines à voter.

Quelques utilisations en France

Les premières traces datent de…  1969 !

Le ministre de l’Intérieur Raymond Marcellin fait autoriser l’utilisation de machines à voter 100% mécaniques[i]. En raison de pannes importantes et de la non-diminution des fraudes, ces machines tombent en désuétude, mais la modification faite au code électoral reste.

Une utilisation lors des élections professionnelles

Lors des élections professionnelles du secteur publique de 2018, 5,15 millions d’agents publics ont été appelés à voter via une solution de vote électronique.

En 2022, 5,6 millions d’agents publics des trois versants de la fonction publique sont appelés à voter pour leurs représentants syndicaux au sein des instances représentatives. Le scrutin a eu lieu du 1er au 8 décembre 2022. Il est unique à plus d’un titre : généralisation du vote électronique dans la fonction publique de l’État et mise en place de nouvelles instances de dialogue social[ii].

Des expérimentations en cours pour le vote des Français de l’étranger

Pour les élections de 2017, le Ministère des Affaires Étrangères et du Développement International a mis au point une plateforme de vote en ligne aux français de l’étranger pour les élections législatives.

Quels scrutins ont lieu dans les organisations françaises ?

Dans le secteur privé, depuis 2018 les élections des membres de la délégation du personnel des comités sociaux et économiques (CSE) sont obligatoires pour les entreprises de plus de 11 salariés, à bulletins secrets[iii].

Dans la fonction publique et certaines entreprises du secteur parapublic, il existe aussi des élections à des commissions paritaires ou des commissions techniques paritaires.

Dans tous les cas, l’employeur doit informer tous les quatre ans (sauf accord de branche prévoyant une durée plus courte, comprise entre deux et quatre ans) le personnel par affichage de l’organisation des élections.

Fonctionnement du vote électronique dans un contexte d’élections professionnelles

Avant le vote, l’employeur doit convoquer les élections professionnelles en précisant la date, le lieu et les modalités de scrutin (papier, électronique, ou hybride).

L’organisation des élections repose généralement sur un ou plusieurs bureaux de vote centralisateurs et des bureaux de vote régionaux, selon le volume de scrutins et d’électeurs. Les membres des bureaux sont formés, la solution est recettée, et des élections de tests sont réalisées.

Une fois la solution validée elle est passée en production, et l’élection peut débuter :

1. Les listes électorales sont établies, les syndicats ou les salariés peuvent vérifier et signaler toute erreur ou omission.
2. Les candidats peuvent faire campagne auprès des électeurs et présenter leur programme.
3. Le jour de l’ouverture du scrutin, la solution est scellée en utilisant des clefs de chiffrement privées détenues aux 1/3 par l’administration et aux 2/3 par les organisations syndicales.
4. Les électeurs votent ensuite selon le calendrier prescrit, les bureaux suivent l’émargement et assistent les électeurs, la cellule de supervision contrôle le bon déroulement et gère les incidents éventuels, et le prestataire de vote est mobilisé au besoin.
5. Le jour de la clôture des élections, l’intégrité de l’urne est contrôlée, puis le descellement est opéré par l’administration et les organisations syndicales.
6. Le dépouillement des votes est ensuite effectué sous le contrôle des bureaux de votes centralisateurs.
7. Les résultats des élections doivent être communiqués aux électeurs, affichés publiquement et transmis à l’inspecteur du travail.
8. L’urne est à nouveau scellée, et toute la solution (copie des programmes sources et des programmes exécutables, matériels de vote, fichiers d’émargement, de résultats et de sauvegarde et fichiers qui conservent la trace des interventions sur le système) est archivée sous scellés pendant 2 ans minimum.
9. En cas de contestation, un recours peut être déposé auprès de l’inspecteur du travail ou du tribunal d’instance.

Les enjeux du vote électronique

Opportunités

Facilité de mise en œuvre du scrutin

Le vote électronique est généralement plus efficient à mettre en œuvre que le vote papier, il nécessite moins de travail manuel pour la préparation (impression des affiches de propagande, logistique…), le dépouillement et la communication des résultats. Cela entraîne une réduction des coûts et une amélioration de l’efficacité du processus électoral.

Réduction de l’empreinte carbone

Le vote électronique réduit grandement la dépendance à l’impression papier pour les listes électorales, les documents de propagande, et surtout les bulletins de vote. Il permet également de réduire drastiquement les déplacements en fonction de l’organisation géographique de l’entité organisatrice des scrutins.

D’après une étude de la société Kercia[iv], l’empreinte carbone d’un vote par courrier est plus de deux fois supérieure à celle d’un vote électronique.

Maximisation de la participation et instances élues avec une base électorale plus élargie

Le vote électronique permet une participation plus importante des électeurs.

Une étude menée en Suisse en 2011 a montré que le taux de participation a augmenté de 2,2 %[v] dans les cantons qui ont mis en place le vote électronique par rapport à ceux qui n’ont pas utilisé cette méthode. De même, une étude menée en Estonie en 2014 a montré que l’utilisation du vote électronique avait augmenté la participation électorale de 3 à 4 %[vi].

Les électeurs peuvent voter à distance sans avoir à se déplacer physiquement jusqu’au bureau de vote. Cela peut augmenter la participation des électeurs, en particulier dans un contexte de généralisation du télétravail post-COVID-19.

Accords empreints d’une plus forte assise démocratique

Le vote électronique peut aider à renforcer le dialogue social en permettant une participation plus large et plus accessible des électeurs. Les résultats des élections sont mécaniquement plus probants en augmentant la participation aux scrutins.

Risques

Altération des résultats

Les systèmes de vote électronique peuvent être vulnérables à des attaques de vol de comptes électeur, de vote multiple à un même scrutin par le même électeur, ou encore de compromission des bulletins.

Protection des données personnelles

La mise en œuvre de plateformes de vote électronique doit prendre en compte le risque de collecte excessive de données personnelles sensibles telles que les opinions politiques des électeurs.

Les informations personnelles des électeurs peuvent également être stockées sur des serveurs vulnérables, exposant ces données à des risques de compromission du secret du vote ou de fuites de données.

Transparence des opérations de vote

Il peut être difficile à chaque partie prenante de comprendre comment les votes sont enregistrés et comment les résultats sont compilés, entraînant une méfiance vis-à-vis de la solution et des résultats des élections.

Ces risques doivent être pris en compte et remédiés afin d’en réduire drastiquement la probabilité d’occurrence et/ou leur impact sur le bon déroulement des élections.

Comment se conformer à la réglementation ?

Délibération CNIL 2019-053 du 25 avril 2019

La délibération CNIL n°2019-053 du 25 avril 2019[vii] simplifie et précise les textes de 2010 et 2018. Le processus est le suivant :

1. Choix du niveau de sécurité (1, 2 ou 3) en fonction d’un questionnaire mis à disposition par la CNIL[viii].
2. Mise en place d’une plateforme de vote de test (iso-production) en amont des élections, avec appui de l’expert indépendant en cas de questions relatives à la conformité des choix techniques et organisationnels à arbitrer.
3. Expertise indépendante de la solution visant à évaluer la conformité de la solution aux objectifs de sécurité : selon le niveau de risque défini, les objectifs de sécurité sont plus ou moins stricts. Ceux-ci s’additionnent, par exemple en cas de niveau de risque défini à 3, les objectifs de niveaux 1, 2 et 3 doivent être atteints.

Décret 2011-595 (secteur public)

Une réglementation vient s’ajouter à la délibération CNIL 2019-053 pour la fonction publique et certaines entreprises du secteur parapublic[ix] :

En complément des objectifs de sécurité CNIL, 18 articles composant ce décret doivent être respectés et contrôlés par l’expert indépendant. Les points de contrôle incluent par exemple :

• « Au moins 2/3 des clés sont attribuées aux délégués de liste et au moins 1 clé est attribuée au président du bureau de vote ou à son représentant »
• « Le scellement est effectué par la combinaison d’au moins 2 clés de chiffrement, dont celle du président du bureau de vote ou de son représentant et celle d’au moins un délégué de liste »
• « Un procédé garantit que la liste d’émargement n’est modifiée que par l’ajout d’un émargement, qui émane d’un électeur authentifié réalisant le vote »
• « Chaque électeur reçoit au moins quinze jours avant le premier jour du scrutin un moyen d’authentification lui permettant de participer au scrutin – la confidentialité de ce moyen d’authentification doit être garanti »
• « Un procédé garantit que l’urne électronique n’est modifiée que par le vote d’un électeur authentifié »

Expertise indépendante

Obligation

« Tout responsable de traitement mettant en œuvre un système de vote par correspondance électronique, notamment via Internet, doit faire expertiser sa solution par un expert indépendant, que la solution de vote soit gérée en interne ou fournie par un prestataire. » – Délibération CNIL 2019-053

Modalités

Quand ?

Cette expertise doit être réalisée :

• Avant la mise en place du système de vote électronique
• En cas de modification de la conception du système de vote électronique déjà en place
• A chaque nouveau scrutin utilisant le système de vote électronique, même s’il a déjà été expertisé

Par qui ?

Par un expert indépendant, qui doit :

• Être un informaticien spécialisé dans la sécurité
• Ne pas avoir d’intérêt dans la société qui a créé la solution de vote ni dans l’organisme responsable de traitement
• Posséder si possible une expérience dans l’analyse des systèmes de vote, en ayant expertisé les systèmes de vote d’au moins deux prestataires différents.

Pourquoi ?

Pour garantir le respect des principes fondamentaux qui commandent les opérations électorales :

• Le secret du scrutin
• Le caractère personnel et libre du vote
• La sincérité des opérations électorales
• La surveillance effective du vote par la commission électorale
• Le contrôle a posteriori par le juge de l’élection

Démarche de travail type

Notre vision de l’expertise indépendante est illustrée par les grandes étapes décrites dans ce chapitre.

Initialisation et cadrage

Pour initier la mission, une réunion de lancement est organisée avec les interlocuteurs projet.

Cette réunion a pour objectifs de présenter les équipes, définir les jalons et le planning projet, préciser les modalités de suivi de la prestation, les modalités de communication entre les parties (chiffrement des échanges, etc.), recueillir l’existant via collecte de la documentation, et mettre en place la comitologie.

Audit de la solution et accompagnement en expertise

Cette phase centrale de l’expertise s’appuie sur une démarche d’analyse théorique et pratique :

• Contrôle de la documentation projet et du cahier des charges
  • Il s’agit dès la phase « papier » de s’assurer que tous les points de conformité sont présents et en adéquation avec la règlementation en vigueur :technologies utilisées et mises à jour de ces dernières, hébergement de la solution, sécurité physique, architecture et haute disponibilité, cloisonnement entre les scrutins, techniques de scellement et chiffrement, moyen de constitution, corrélation, communication et suppression des listes électorales, schéma d’authentification des électeurs…
• Accompagnement en expertise et avis sécurité
  • Il s’agit d’apporter une expertise ponctuelle sur des sujets relatifs au cadre légal et règlementaire lors de la phase de conception et d’implémentation de la solution et des processus (ex : choix des facteurs d’authentification, processus de conservation des clefs de scellement, etc.)
• Audit technique de la solution
  • Revue d’architecturevisant à contrôler la conformité du cloisonnement physique et logique, de la sécurisation des flux, de l’hébergement, de la haute disponibilité, etc.
  • Audit de l’organisation et des processus tels que le scellement, la communication des authentifiant, l’archivage, etc.
  • Revue de configuration technique des serveurs-clefs de la solution
  • Audit du code source et des mécanismes de chiffrement de la solution en s’appuyant entre autres sur le RGS[x] (Référentiel Général de Sécurité)
  • Tests d’intrusion en boite noire et en boîte grise des portails de vote et du back-office de supervision

Observation des élections-test

Cette phase vise à simuler une élection afin de contrôler la bonne application du protocole et des processus vérifiés en amont à l’épreuve du terrain :

• Validation du processus de contrôle de conformité
  • Lors de cette étape, le but est de vérifier que la technique utilisée pour la vérification de la non-altération du système (prise d’empreinte) fonctionne
• Contrôles de la solution en situation de terrain
  • Il s’agit de s’assurer, in vivo, que l’ensemble des points évoqués en matière de sécurité et règlementation sont bien en place, par exemple au travers de l’analyse des journaux applicatifs et système, ou des contrôles « aléatoires » : présence de fichiers temporaires contenant des informations sensibles, capacité à collecter des données, etc.
• Appui en expertise lors du déroulement du vote et aide à l’adaptation de procédures en cas d’imprévus

Accompagnement lors de l’élection réelle

Les mêmes contrôles que durant les élections-tests sont réalisés, et spécifiquement :

• Contrôle d’intégrité du système : Prise d’empreinte des briques essentielles du système (librairies, code, bibliothèques de chiffrement, etc.) et comparaison des empreintes avec celles obtenue pré-scrutin
• Respect du cadre règlementaire: Processus de scellement, accès et utilisation des clés de chiffrement/déchiffrement, processus de dépouillement, etc.

Quels écueils et comment les éviter ?

Accès limité aux systèmes

Le contexte de marché à forte expertise des solutions de vote peut pousser les éditeurs à être réticents à partager des informations confidentielles sur leur technologie tels que le code source, dans une logique de protection du secret industriel, ce qui peut limiter la capacité des experts à évaluer la conformité du système.

Afin d’éviter cet écueil, il est essentiel de mettre en œuvre une communication régulière et une transparence totale des actions de l’expert indépendant. Des garanties doivent être fournies quant à la protection de la confidentialité des données recueillies et traitées via des processus et un SI certifié SMSI ou II 901 [xi]Diffusion Restreinte).

Par ailleurs, nous recommandons aux experts indépendants de faire preuve de souplesse dans l’organisation, par exemple en acceptant de consulter le code source exclusivement au sein des locaux de l’éditeur.

Il est enfin à rappeler que la délibération CNIL 2019-053 impose au prestataire de mettre à disposition « le code source correspondant à la version du logiciel effectivement mise en œuvre » à l’expert indépendant.

Méfiance des organisations syndicales et des électeurs

Les organisations syndicales et les électeurs peuvent légitimement s’interroger sur l’indépendance de l’expert et les garanties apportées par l’expertise, entraînant une méfiance vis-à-vis de la solution de vote électronique.

Ces craintes sont fondées et une réponse doit y être apportée par une posture de transparence, et l’apport de preuves factuelles et vérifiables pour chaque observation rapportée durant l’expertise.

Par ailleurs, aucun constat ne doit être formulé de façon ambigüe ou au conditionnel, ni être omis.

Enfin, il est essentiel de présenter les limites de l’exercice d’expertise, et l’impossibilité logique d’apporter une garantie à 100% que le système ne peut être attaqué.

Interprétation de la réglementation

La réglementation disponible n’est pas toujours claire et explicite, notamment :

• Les architectures non-standard ne font pas l’objet de règles spécifiques
  • Ex : Une architecture reposant sur un SI à cheval entre l’éditeur de la solution SaaS et le SI de l’employeur
• Certains termes peuvent être ambigus
  • Ex : « Le vote d’un électeur doit être une opération atomique » – l’atomicité étant une notion fonctionnelle plutôt que technique, les protocoles de communication sur Internet ne permettant par exemple pas de contenir l’ensemble du bulletin dans un seul paquet réseau

L’application des standards de référence (type RGS), l’interrogation directe de la CNIL, et l’implémentation d’une solution permettant de répondre au risque en substance sont autant de moyens de remédier à cet écueil.

Conclusion et recommandations

Afin de tirer au mieux parti de l’expertise indépendante et de la factualiser, nous recommandons de combiner la vision conformité réglementaire avec une vision orientée risques et alimentée par l’audit technique (tests d’intrusion, revues de configuration…) dans une logique de sécurisation concrète et pragmatique de la solution respectant le cadre réglementaire.

Cet exercice ne peut être mené de façon efficace et porter ses fruits qu’en embarquant et en sensibilisant toutes les parties prenantes du projet, y compris l’éditeur et les organisations syndicales dès la phase de conception.

Il est enfin nécessaire de garder en tête que le vote électronique est une technologie en évolution constante. Il est probable que de nouvelles méthodes et technologies émergeront à l’avenir, entraînant une évolution de la réglementation. La veille technique et réglementaire est par conséquent un sujet essentiel tant pour les entités organisatrices d’élections que pour les éditeurs et les sociétés d’expertise indépendante.

Pour toute demande d’information ou de devis sur le sujet de l’expertise indépendante de systèmes de vote électronique, nous vous invitons à nous contacter via le formulaire suivant : https://www.wavestone.com/fr/contact/

Tous nos vœux de succès pour l’organisation de vos élections professionnelles !

[i] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000511691/

[ii] https://www.economie.gouv.fr/elections-professionnelles-2022-quelques-minutes-pour-quatre-annees

[iii] https://fr.wikipedia.org/wiki/Comit%C3%A9_social_et_%C3%A9conomique

[iv] https://www.kercia.com/vote-electronique

[v] https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-37639.html

[vi] https://www.smartmatic.com/fr/actualites/article/lestonie-atteint-des-taux-records-de-vote-par-internet-grace-a-une-nouvelle-technologie/

[vii] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038661239

[viii] https://www.cnil.fr/fr/securite-des-systemes-de-vote-par-internet-la-cnil-actualise-sa-recommandation-de-2010

[ix] https://www.legifrance.gouv.fr/loda/id/JORFTEXT000024079803/

[x] https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/

[xi] https://www.ssi.gouv.fr/guide/recommandations-pour-les-architectures-des-systemes-dinformation-sensibles-ou-diffusion-restreinte/

Cet article Expertise indépendante de systèmes de vote électronique est apparu en premier sur RiskInsight.

L’Union Européenne a publié le règlement « Digital Operational Resilience Act », ou « DORA », le 27 décembre 2022, qui est entré en vigueur le 16 janvier 2023. Il fixe de nouvelles règles pour les entités financières et leurs prestataires de services TIC en termes de résilience des TIC.
La conformité au texte sera obligatoire à partir du 17 janvier 2025.

DORA vise à simplifier et à améliorer la résilience des organisations des services financiers en établissant un cadre réglementaire et un cadre de supervision robustes. Comme nous l’avons déjà expliqué en détails dans notre article « Décryptage de DORA : qu’est-ce que cela signifie pour la résilience des organisations financières ? », la réglementation introduit des exigences à travers cinq piliers :

• Gestion du risque lié aux TIC
• Gestion, classification et notification des incidents liés aux TIC
• Tests de résilience opérationnelle numérique
• Gestion des risques liés aux prestataires tiers de services TIC
• Dispositifs de partage d’informations (facultatif)

Principaux sujets et articles DORA s’appliquant aux entités financières(références des articles entre parenthèses)

En analysant le contenu du règlement et en tenant compte de la maturité actuelle du secteur financier, la complexité diffère largement en fonction du sujet abordé. Dans la mesure où l’adoption de framework de gestion des risques TIC constitue déjà une bonne pratique largement répandue dans le secteur financier, l’effort portera principalement sur une mise en cohérence de l’existant au sein de l’organisation. De même, les processus et outils de gestion des incidents liés aux TIC ont déjà eu à intégrer des contraintes réglementaires de classification et de notification. Par conséquent, l’intégration des exigences de DORA ne devrait pas présenter de difficultés majeures.

Néanmoins, le respect des exigences de mise en conformité aura toujours ses défis… et ses opportunités !

Un règlement ambitieux qui pointe des fragilités connues

Pour de nombreuses organisations, le premier défi consistera à embarquer le top management dans l’initiative. Comme DORA les désigne comme responsables du suivi, de l’approbation, de la révision et de fixer le cap en termes de résilience opérationnelle, leur implication est essentielle à la réussite d’un éventuel programme. Les embarquer dès les prémices permettra de gagner un temps précieux dans l’identification et la validation des fonctions critiques, de prioriser les principaux scénarios de menace et de donner le rythme sur le sujet. En contrepartie, cela demandera aux équipes en charge de réfléchir soigneusement aux indicateurs de performance (KPI) et aux indicateurs de risque (KRI) appropriés et compréhensibles qui permettront de rendre compte du niveau de résilience opérationnelle de l’organisation. Autant que possible, donnez-leur rapidement un aperçu du contenu de la réglementation et de leur rôle dans ce cadre !

Le deuxième défi sera de passer un cap en termes de gestion des risques liés aux tiers. Les grandes organisations ont souvent des centaines, voire des milliers de parties prenantes, ce qui implique un tri fastidieux pour se concentrer sur les plus critiques. La gestion du risque de résilience opérationnelle des tiers repose aujourd’hui principalement sur l’intégration d’étapes dans les processus d’achat et, finalement, sur l’inclusion de clauses spécifiques dans les contrats. DORA demande beaucoup plus sur le sujet, la responsabilité incombant aux services financiers de s’assurer de la conformité des tiers à ces exigences. Elle exige également de travailler sur des stratégies de sortie potentielles et des tests conjoints. Cette ambition pourrait impacter la manière même de travailler avec ses fournisseurs à l’avenir et devrait être anticipée par les tiers concernés qui vont devoir être en mesure de fournir des preuves de leur bonne gestion du risque de résilience opérationnelle.

Enfin, les tests sont un point crucial et un challenge au sein de DORA. Les organisations devront structurer et tester régulièrement leur résilience pour évaluer en permanence leurs risques et la pertinence de leur stratégie de résilience. Cela nécessite d’acquérir une vision stratégique du sujet qui préexiste rarement dans la mesure où les tests sont souvent gérés en silos (tests de vulnérabilité, tests de pénétration, tests de continuité d’activité…). L’approche adoptée devra également garantir la bonne couverture des fonctions critiques de l’organisation au fil des ans. Les organisations devront par ailleurs mener des tests de pénétration fondés sur la menace et effectués sur des systèmes en environnement de production en direct au moins tous les trois ans, en incluant éventuellement des prestataires de services TIC.

Relever ces défis ne sera pas de tout repos. C’est pourquoi il est essentiel d’enclencher les travaux dès maintenant, car ils exigeront de véritables changements pour les organisations concernées. De toute évidence, une analyse d’écarts aux exigences réglementaires détaillée est un bon point de départ.

La résilience d’abord, la conformité ensuite ?

Il est clair qu’une réglementation telle que la DORA offre des opportunités à ceux qui tenteront de voir au-delà des contraintes de conformité.

En premier lieu, le règlement introduit une approche holistique de la gestion des risques liés aux TIC qui pourrait apporter plus de cohérence au sein des organisations. Cela pourrait constituer une première étape dans la mise en place d’un cadre unifié de gestion des risques liés aux TIC, permettant une meilleure évaluation des risques et simplifiant le reporting à la direction générale. Cela pourrait également lancer l’idée d’une gouvernance convergée sur la gestion des risques liés aux TIC regroupant la cybersécurité, la continuité des activités et la continuité des services informatiques. 

Ensuite et surtout, c’est une occasion unique de travailler sur votre niveau réel de résilience en vous posant des questions complexes. Si vous deviez faire face à une situation demain où vous êtes dépourvu de votre SI, votre organisation survivrait-elle ? Vos capacités existantes couvriraient-elles pleinement les besoins qu’une telle situation demande ? Et êtes-vous sûr que votre solution de résilience fonctionnera le jour J ?

Cet article DORA : challenges et opportunités est apparu en premier sur RiskInsight.

La maturité des acteurs sur le sujet MIFID2 vous semble-t-elle identique quel que soit le secteur ? Ou certains secteurs, BFI, gestion d’actifs, banque de détail… sont-ils plus avancés dans les projets ?

La révision de la directive était un rendez-vous prévu par MIFID1. Dans ce cadre, les travaux ont été lancés par la Commission européenne dès 2010, et la Commission européenne a présenté son projet de refonte dès septembre 2011. Le temps ainsi consacré à l’élaboration du texte définitif – adopté en avril 2014 -, conjugué aux travaux de communication et d’accompagnement réalisés par l’AMF, a permis à la Place d’anticiper, et explique l’implication des différents acteurs aujourd’hui, et ce quel que soit le secteur d’activité. Le marché français est sensibilisé à MIFID2. Il reste cependant en attente des textes permettant de préciser les modalités d’application, attendus de la part de la Commission européenne. Il est toutefois à noter que certaines évolutions importantes du texte européen sur les aspects de protection des investisseurs sont proches de ce qui existe en France, qu’elles figurent dans les textes ou la doctrine, ou au titre des bonnes pratiques.

MIFID2 peut-elle être aujourd’hui perçue comme une opportunité pour le marché français ?

Oui, tout à fait. La volonté du législateur européen est d’assurer d’une part une meilleure intégration des marchés en Europe, et d’autre part une harmonisation plus grande des règles qui devraient permettre aux acteurs français, plutôt bien préparés aux évolutions à venir, de se développer en Europe.

En outre, les nouvelles règles applicables en matière d’information, y compris périodique, de la clientèle, pourront être pour les prestataires l’occasion de contacts plus fréquents avec leurs clients, ce qui leur permettra d’affiner leur offre, et de promouvoir la commercialisation de produits adaptés.

Selon vous, quelles sont les zones de vigilance pour les établissements ? C’est-à-dire les mesures ayant des impacts significatifs nécessitant de lourdes adaptations (processus, systèmes d’information), mais qui pourraient être sous-estimés par les établissements ?

Le premier point de vigilance porte sur les obligations en matière de reporting qui seront plus exigeantes, tant en ce qui concerne le périmètre de ces reportings que leur contenu. Les établissements doivent en avoir pleinement conscience dans leur préparation.

Le second vise la meilleure exécution et les obligations à venir en matière de publications à mettre en place. C’est nouveau. L’AMF accompagnera les acteurs dans la mise en oeuvre mais une prise de conscience de leur part des enjeux est indispensable.

Les mesures relatives à la protection de la clientèle (gouvernance produits, informations sur les frais, information sur le conseil dépendant / indépendant) sont significatives et visent un objectif louable. Comment s’assurer d’atteindre l’objectif visé à savoir que l’information fournie soit réellement utile au client ?

La protection de l’investisseur est en effet un sujet majeur de MIFID2 et les textes développent les attentes de manière très détaillée. Ce niveau important de détail des textes n’a pas pour objectif d’augmenter la quantité d’information fournie, mais d’améliorer son homogénéité d’un intervenant à l’autre.

L’idée est de fournir des informations claires, précises et de permettre à l’investisseur de comparer des prestataires et des produits. C’est bien cet objectif qui ne doit pas être perdu de vue. La lisibilité pour l’investisseur est un aspect fondamental du texte.

Où en sommes-nous des travaux de transposition ? Peut-on craindre des divergences entre pays membres ?

Les travaux de transposition sur les textes adoptés par les législateurs (« niveau 1 ») ont débuté sous le pilotage de la direction du Trésor. L’AMF y contribue de façon importante en rédigeant un premier projet de texte législatif de transposition. S’agissant des mesures d’application («niveau 2»), leur éventuelle transposition dépendra du choix de la Commission européenne de les publier sous la forme de directive et/ou de règlement. Dans l’intervalle, l’AMF multiplie les échanges avec la place et les associations professionnelles afin de faire remonter les points qui pourraient poser problème ou qui suscitent de l’inquiétude. Le calendrier en est une : l’échéance de 2017 demeure et seule la Commission pourrait intervenir et modifier cette date. Elle a récemment évoqué avec le Parlement un décalage d’une année de la date d’entrée en application, mais la suite qui sera donnée à cette demande ne dépend pas de l’AMF.

Au niveau européen, l’ESMA a lancé un chantier auquel participe l’AMF, afin d’assurer la convergence des positions des États membres. Ce chantier donnera lieu à la publication de questions/réponses et/ou d’orientations de la part de l’ESMA, qui permettront de limiter les incertitudes et donc les écarts d’interprétation des textes d’un pays à l’autre.

Comment sont gérées les interactions avec d’autres textes, notamment Priips et surtout IDD, avec lesquels émergent de fortes zones de convergence ?

Il y a une vraie volonté au niveau européen d’assurer une protection homogène des investisseurs / clients quel que soit le support. Cette volonté forte se lit d’ailleurs dans MIFID2 puisqu’il est indiqué dans le texte que les mesures prises dans le secteur de l’assurance devraient s’en inspirer. L’avis technique de l’ESMA à la Commission fait lui aussi certaines référence aux dispositions déjà établies par les autres régulations (notamment en ce qui concerne les informations relatives aux coûts et charges), de manière à favoriser la cohérence entre les textes.

En France, dans le cadre notamment du pôle commun, l’AMF travaille conjointement avec l’ACPR afin d’assurer la convergence des approches de supervision des différents acteurs, en particulier dans le domaine de la commercialisation. Au niveau européen le Joint Committee qui regroupe l’ESMA, l’EBA et l’EIPOA vise ce même objectif. Il faut éviter tout risque d’arbitrage entre supports avec un objectif de protection analogue des investisseurs quel que soit le secteur d’activité des acteurs financiers.

Quelles sont les points d’attention pour un déploiement réussi de MIFID2 dans le respect du calendrier réglementaire très ambitieux ?

Même si tous les textes attendus ne sont pas publiés, la matière est déjà riche (textes de niveau 1, standards techniques, avis de l’ESMA à la Commission…) et justifie complètement un investissement des acteurs sur le sujet dès à présent. En effet, il faut très vite analyser les textes et en dégager les impacts sur l’organisation, mais parfois aussi la nature même des activités des acteurs (on peut penser en particulier à la nécessaire évolution des broker crossing networks…). Cette anticipation est nécessaire pour tirer parti des évolutions issues de MIFID2, et éviter de subir passivement le texte.

Cet article Interview de Claire Glaser, de l’Autorité des Marchés Financiers est apparu en premier sur RiskInsight.