Dans l’ensemble du secteur financier, la technologie est un sujet important qui entraîne des changements majeurs dans les procédures, tant pour les sociétés financières que pour les régulateurs. Ci-dessous, nous aborderons brièvement les nouvelles règles au Luxembourg concernant les prospectus, qui devraient faciliter la vie des entreprises. En revanche, aux Pays-Bas, les régulateurs mettent l’accent sur la Digital Operations Resilience Act (DORA), une mesure indéniablement nécessaire et utile, mais qui ajoute une couche supplémentaire de supervision.
Luxembourg : en avril, l’ancienne procédure d’apposition de cachets sur les visas expirera en raison du nouveau système d’identification électronique
En mars 2025, le régulateur financier luxembourgeois, la CSSF, a publié une communication détaillant un nouveau processus électronique pour les OPCVM, les OPC partie II, les SICAR et les FIS, applicable à partir d’avril 2025.
La nouvelle procédure, que la CSSF qualifie d’évolution, consiste en l’attribution d’un numéro d’identification unique et d’une date d’identification électronique, qui seront tous deux visibles sur la première page de chaque prospectus. Ainsi, l’ancienne procédure ne sera plus en vigueur.
L’élément clé de cette nouvelle procédure est la création d’une nomenclature prédéfinie des amendements qui peuvent être intégrés dans le prospectus sans l’approbation préalable du régulateur financier. Cela permet des mises à jour plus efficaces et rapides des documents du prospectus. Il convient toutefois de noter que la CSSF, sur la base de son approche fondée sur les risques, peut demander des documents afin de procéder à une analyse ex-post des modifications qui n’ont pas été soumises à son examen préalable.
Guide disponible
Un guide détaillé, actuellement disponible via le eDesk de la CSSF, décrit la nouvelle procédure, met en évidence les amendements autorisés (ceux ne nécessitant pas d’approbation préalable) et fournit les conditions applicables ainsi qu’une section FAQ.
Tous les amendements de prospectus non couverts par les catégories susmentionnées devront être examinés par la CSSF et resteront donc soumis à la procédure administrative actuelle.
Au-delà de la simple modernisation de ses procédures administratives, la CSSF souligne que ces changements à venir entraîneront une plus grande efficacité et certitude accrue en matière de conformité. Elle rappelle également qu’il incombe clairement aux organes de gouvernance des fonds de veiller au respect des exigences réglementaires.
Pays-Bas : l’Autorité des marchés financiers et la Banque centrale néerlandaise commencent à surveiller la conformité avec DORA
Toutes les sociétés financières, y compris les fonds d’investissement, sont tenues de se conformer à la Digital Operations Resilience Act (DORA) à partir du 17 janvier 2025. DORA s’applique également au Luxembourg, mais le régulateur n’a pas encore indiqué son programme de surveillance. Aux Pays-Bas, l’Autorité des marchés financiers (AFM) et la Banque centrale néerlandaise (DNB) ont donné quelques orientations.
Les deux superviseurs ont précisé ce que les institutions financières peuvent attendre d’eux, ainsi que des autorités de surveillance européennes. L’AFM commence par un message clair : les entreprises devraient déjà avoir commencé à mettre en œuvre les exigences de la directive, y compris les normes techniques réglementaires (RTS) associées, même si la Commission européenne ne les a pas encore formellement adoptées. Aucun changement majeur n’est attendu dans le paquet de RTS actuel.
Supervision par l’AFM et la DNB
L’AFM a annoncé qu’elle lancerait des examens thématiques, en examinant plusieurs parties pour déterminer si une société financière spécifique se conforme à une exigence réglementaire particulière. En outre, des examens spécifiques aux institutions seront menés, se concentrant sur la conformité de la sécurité des TIC de chaque société financière, sur la base d’une documentation à soumettre sur demande.
Certaines sociétés financières devront également effectuer un « test de pénétration basé sur la menace » (threat-led penetration test - TLPT). La Commission européenne n’a pas encore adopté les règlements détaillés régissant cette exigence de test.
Le superviseur principal de chaque société financière – soit l’AFM, soit la Banque centrale néerlandaise – coopérera avec l’institution pour déterminer l’approche de surveillance la plus appropriée.
La DNB a indiqué que les sociétés financières non désignées pour effectuer un TLPT doivent tout de même disposer d’un programme de test solide et complet pour évaluer leur résilience numérique. Celui-ci doit clairement justifier quels tests sont appropriés, en tenant compte de la taille, du profil de risque et de la complexité des activités de l’institution.
Portail de l’AFM
De plus, l’AFM dispose d’un « portail DORA » spécifique auquel toutes les sociétés financières relevant du champ d’application de DORA devraient avoir accès à ce jour. Ce portail est conçu pour recevoir les incidents graves liés aux TIC et les accords avec les prestataires de services TIC. Pour les sociétés financières supervisées par la DNB, les notifications seront effectuées via le portail existant de la DNB.
Non seulement l’AFM, mais aussi les autorités européennes de surveillance (AES) peuvent collecter et contrôler les informations relatives à DORA. L’AFM est tenue de soumettre aux superviseurs européens des registres d’informations recueillies auprès des sociétés financières néerlandaises, contenant tous les accords contractuels avec les prestataires de services TIC. Les sociétés financières auront déjà reçu cette demande. L’AFM doit soumettre ces registres aux autorités de surveillance avant le 30 avril 2025.
Conclusion
Les services financiers suivent les évolutions générales et se modernisent constamment, notamment grâce aux solutions technologiques, ce qui est essentiel pour être plus efficaces, flexibles et orientés vers le client. Cela conduit à son tour à une nouvelle flexibilité réglementaire (comme pour les règles luxembourgeoises en matière de prospectus) ou à de nouvelles procédures réglementaires, nécessaires pour traiter les nouvelles questions découlant de l’importance omniprésente des TIC dans le secteur financier, accompagnée de menaces sérieuses. À l’heure actuelle, le régulateur luxembourgeois s’efforce de faciliter la vie des entreprises, tandis que DORA impose une charge administrative aux sociétés financières. Toutefois, étant donné que la loi DORA s’applique également au Luxembourg, les sociétés financières luxembourgeoises devront certainement faire face à une charge de travail plus ou moins équivalente en matière de surveillance.
Jan Saalfrank est partenaire responsable des fonds d’investissement chez Pinsent Masons Luxembourg. Lous Vervuurt est avocate chez Pinsent Masons et conseille les clients sur la réglementation financière et l’application des lois anti-blanchiment. Le cabinet fait partie du Panel d’experts d’Investment Officer.