nouvelles technologies et aux systemes dinformation

24 mars 2005



Important - The information in this article is provided subject to the disclaimer. The law may have changed since first publication and the reader is cautioned accordingly.



L’Accord de Bâle II sur le contrôle bancaire du 26 juin 2004 a pour objectif d’élaborer les nouvelles normes que devront appliquer les banques et certaines autres institutions financières notamment afin de mesurer les risques opérationnels liés à leur activité.

Cet Accord traite pour la première fois explicitement du risque opérationnel - « risque de pertes résultant de carences ou de défauts attribuables à des procédures internes, au personnel et aux systèmes ou à des évènements extérieurs », c'est-à-dire notamment l’erreur humaine, le dysfonctionnement des systèmes ou la fraude.

Il exige de détenir un certain volume de fonds propres pour se protéger contre les pertes qui pourraient découler d’un tel risque, s’il était avéré.

De nombreuses banques et institutions financières concernées ont déjà pris du retard dans leurs préparatifs devant faire face à de nombreux obstacles afin de réussir ce nouveau challenge réglementaire.

Elles ne doivent pas pour autant négliger les aspects juridiques liés à la gestion, à l’évaluation et à la maîtrise des risques opérationnels, particulièrement lorsqu’ils concernent les systèmes d’information.

En effet, la gestion des risques opérationnels passe par une intégration des aspects juridiques et pénaux, nombreux en matière de nouvelles technologies, et nécessaire quelque soit l’approche de gestion des risques opérationnels retenue par la banque (« Indicateur de base, « Standard », « Mesures Avancées »).

En outre, l’Accord de Bâle II imposant une obligation de faire un reporting sur les risques opérationnels concernant tous les domaines de l’activité, ce reporting doit nécessairement intégrer une dimension juridique notamment s’agissant de l’exploitation de systèmes d’information fermés mais aussi de plus en plus ouverts au public et à la clientèle.

Gestion des risques de fraudes internes et externes

La sécurité et les conditions d’exploitation des systèmes d’information figurent parmi les grandes problématiques qui doivent être intégrées dans la gestion des risques opérationnels.

Outre les fraudes externes, les banques doivent faire face à la montée en puissance des menaces internes encore trop souvent sous estimées selon de récentes études.

La gestion des risques opérationnels implique la mise en œuvre d’une politique de sécurité globale des systèmes d’information afin de prévenir les risques et de permettre aux banques de réagir efficacement en cas d’atteintes internes ou externes à leurs systèmes d’informations.

Il s’agit tout d’abord d’identifier et de définir clairement le rôle et les responsabilités de tous les acteurs de l’entreprise concernés par la sécurité informatique, de la Direction des Systèmes d’Information aux intervenants extérieurs, en passant par les salariés qui représentent aujourd’hui le premier facteur de risque, ces derniers étant souvent à l’origine de vols, de pannes, d’erreurs d’utilisation, ou de malveillances.

Ce préalable permet de mener en interne une politique de dissuasion fondée sur des règles de sécurité clairement définies et opposables (par le biais d’une charte de sécurité, de notes internes ou de la modification du règlement intérieur) ainsi que sur la sensibilisation, l’information et la formation des salariés.

Les risques liés aux interventions de prestataires sur les systèmes d’information doivent être traités spécifiquement dans le cadre des dispositions contractuelles régissant les conditions de leurs interventions, notamment lorsqu’elles sont réalisées à distance dans le cadre de services de télémaintenance et/ou lorsqu’elles touchent directement ou indirectement à des données de l’entreprise par définition sensibles et confidentielles.

La gestion des risques opérationnels doit notamment conduire à l’élaboration un plan de gestion des atteintes aux systèmes d’information définissant les actions techniques et juridiques à mettre en œuvre en cas d’atteintes.

Une distinction doit être faite selon que les atteintes proviennent des salariés, d’un prestataire, ou d’un tiers s’introduisant frauduleusement au sein des systèmes d’information.

L’établissement d’un plan de gestion doit permettre aux banques de se donner les moyens de réagir rapidement et efficacement contre toute atteinte quelque soit sa nature et son origine et d’exercer un recours judiciaire efficace.

A ce titre, les banques ne peuvent exercer de recours efficaces si elles n’ont pris aucune mesure préventive, notamment en termes d’administration des preuves et des traces informatiques qui conditionnent, en grande partie, la pertinence et l’efficacité de ces recours.

Gestion des risques liés aux pratiques commerciales en ligne

Les banques utilisant de plus en plus le nouveau canal de distribution que constitue l’Internet, elles s’exposent à de nouveaux risques liés à de nouvelles pratiques commerciales intervenant dans un cadre juridique particulièrement encadré et protecteur des consommateurs.

En effet, la loi du 21 juin 2004 pour la Confiance dans l’Economie Numérique dite « LCEN » est venue encadrée strictement la « relation client » dans le cadre de services en lignes.

La prospection directe par télécopieur ou courrier électronique sans consentement préalable de la personne est désormais interdite.

La notion de prospection directe est particulièrement large puisqu’elle vise notamment l'envoi de tout message destiné à promouvoir, directement ou indirectement, des services ou l'image d'une personne fournissant des services.

La seule exception au principe du consentement préalable réside dans la prospection directe par courrier électronique des personnes ayant déjà bénéficié de services mais uniquement pour des services analogues fournis par la même personne morale, ce qui limite considérablement le champ de prospection auprès des clients.

Le non respect de ces nouvelles dispositions peut être soumis à des sanctions pénales et tombe également sous le contrôle de la Commission Nationale Informatique et Libertés (CNIL) dont les pouvoirs de sanctions financières viennent d’être récemment renforcés avec l’adoption de la loi du 6 août 2004 modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Gestion des risques liés aux données à caractère personnel

La réforme de la loi du 6 janvier 1978 a modifié sensiblement les obligations des entreprises en matière de gestion des données nominatives en introduisant notamment la faculté de désigner un correspondant à la protection des données à caractère personnel afin de bénéficier d'un allègement de ses obligations déclaratives.

La désignation d’une telle personne devrait s’inscrire naturellement dans le cadre d’une gestion des risques opérationnels liés aux données nominatives relatives aux salariés et aux clients exploitées par les banques.

Bien évidemment, les banques seront tentées de se prévaloir des obligations nées de l’Accord de Bâle II pour augmenter le nombre de données collectées auprès de leurs clients et prospects.

La gestion des risques opérationnels ne doit toutefois pas conduire à des collectes de données non pertinentes ou excessives au regard de la finalité des traitements qui seront réalisés sous le contrôle de la CNIL.

Il s’agit de respecter, en toute hypothèse, les droits des clients et prospects sur les données les concernant, cette gestion des risques ne pouvant servir de quelconque justification, particulièrement aux yeux de la CNIL.

Gestion des risques liés au contrôle de l’activité des salariés

Le système de gestion des risques opérationnels conduisant, le plus souvent, à la mise en œuvre d’outils de traçabilité et de surveillance permettant un contrôle de l’activité des salariés, les banques devront évaluer l’opportunité de saisir les instances représentatives du personnel, conformément aux dispositions de l’article 432-2-1 du Code du travail.

Il s’agira de procéder à un contrôle a priori de la conformité des processus de gestion et des systèmes de mesures des risques au regard de la réglementation applicable en matière de droit du travail, ce en lien avec celle applicable en matière de protection des données à caractère personnel relatives aux salariés.

Ce contrôle devra être intégré dans l’étape de validation du système de mesure des risques, tout comme l’ensemble des aspects juridiques liés à la gestion des risques opérationnels.

Evaluation contractuelle des risques liés aux systèmes d’information

Par ailleurs, les banques devront mener un audit des contrats existants relatifs à leurs systèmes d’information nécessitant des modifications liées à la mise en œuvre de leur système de mesure des risques.

En fonction des dispositions contractuelles applicables, les banques pourront envisager une négociation de la répartition des coûts liés à la mise en conformité de tout ou partie de leur système d’information.

En effet, certains contrats contiennent des clauses de conformité à la loi en application desquelles le prestataire informatique s’engage à assurer que son produit et/ou son service restent conformes aux lois et réglementations en vigueur pendant la durée du contrat.

De telles clauses ont des répercussions juridiques importantes, parce qu’elles signifient que techniquement le prestataire aura à sa charge tout ou partie des coûts induits par les changements de lois et de réglementations, tels que l’Accord de Bâle II, qui devrait entrer prochainement dans notre champ législatif par le biais d’une directive le transposant dans la réglementation européenne puis française.

Gestion du risque pénal

Enfin, il convient de souligner qu’en matière de nouvelles technologies et de systèmes d’information, le risque opérationnel est souvent associé à un risque pénal, les infractions étant de plus en plus nombreuses en ces domaines.

Ainsi, le risque pénal est présent dans chacune des catégories de risques opérationnels susvisées (fraudes, pratiques commerciales, protection des données personnelles, contrôle d’activité, …).

Une cartographie de ce risque devra donc être établie dans le cadre de la gestion des risques opérationnels et intégrée au sein du système de mesures des risques.