Le 31 mars dernier, Ana Esteves a eu l’occasion de participer à la Matinée de la protection de la clientèle des banques et des assurances, organisée par l’Autorité de contrôle prudentiel et de résolution (ACPR).
À travers les différents échanges, elle a décrypté les impacts pour le risque informatique et le contrôle permanent, notamment en matière de dispositifs de maîtrise, de gouvernance et de pilotage.
Voici les principaux points à retenir :
1. Les enjeux liés à l’externalisation et à la perte de maîtrise des dispositifs opérationnels ressortent clairement, en particulier sur la vente à distance hors EEE. Ces modèles, par nature plus diffus et complexes, renforcent les risques de dérive et appellent un renforcement des dispositifs de contrôle permanent. Cela implique notamment une cartographie fine des acteurs, une clarification des responsabilités, ainsi qu’un pilotage renforcé des contrôles et de leur traçabilité.
2. La gouvernance produit demeure un point d’attention central pour le régulateur. Le rappel du rôle de co-conception, ainsi que l’importance des conventions associées, met en évidence la nécessité de structurer les dispositifs de gouvernance et de suivi. Les indicateurs tels que les taux de chute ou de réclamation doivent être pleinement intégrés dans les dispositifs de pilotage et de contrôle afin de permettre une détection plus précoce des anomalies et une meilleure maîtrise des risques.
3. Le décalage entre les promesses commerciales et la réalité des produits constitue un risque toujours prégnant.
Il souligne la nécessité d’intégrer davantage le contrôle dans les phases amont, notamment au sein des processus marketing et de conception. Cela passe par une meilleure acculturation des équipes, mais aussi par la mise en place de dispositifs de revue et de validation permettant d’assurer la cohérence et la conformité des messages diffusés.
4. Les enjeux liés à l’intelligence artificielle s’installent progressivement dans le paysage de la supervision. L’accent mis sur l’explicabilité et l’interprétabilité des modèles traduit une attente croissante en matière de maîtrise des risques technologiques. Même si les contrôles ciblés restent encore limités, ces sujets doivent dès à présent être intégrés dans les cartographies des risques, les dispositifs de contrôle et les cadres de gouvernance.
5. Enfin, les priorités annoncées par le régulateur pour les prochaines années confirment une exigence accrue en matière de dispositifs de contrôle robustes et démontrables, notamment sur des thématiques sensibles telles que le démarchage, les produits non-vie ou encore la distribution de certains crédits. Ces orientations renforcent l’importance d’un contrôle permanent structuré, outillé et pleinement intégré aux processus métiers et IT.
En synthèse, ces échanges confirment une évolution de fond : le passage d’une logique de conformité essentiellement déclarative à une logique de maîtrise démontrable, pilotée et intégrée des risques. Le contrôle permanent s’affirme ainsi comme un levier central, au croisement des enjeux métiers, technologiques et réglementaires.