Le secteur financier espagnol fait face en 2024 à l'un des cycles réglementaires les plus intenses de son histoire récente. L'application simultanée du Règlement DORA dans son intégralité, du nouveau paquet européen anti-blanchiment, des attentes croissantes des superviseurs en matière d'ESG et des règles obligatoires imminentes sur l'IA à haut risque créent un environnement de conformité extraordinairement exigeant pour les banques, assureurs, entreprises d'investissement, gestionnaires d'actifs et établissements de paiement.
DORA : résilience opérationnelle numérique à partir de janvier 2025
Le Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier — le Digital Operational Resilience Act (DORA) — est directement applicable depuis le 17 janvier 2025 dans tous les États membres. Son champ d’application couvre plus de 22 000 entités financières dans l’UE, notamment les banques, les entreprises de services d’investissement, les établissements de paiement et de monnaie électronique, les gestionnaires de fonds, les assureurs, les agences de notation, les prestataires de services sur crypto-actifs et les commissaires aux comptes légaux.
Les cinq piliers du cadre DORA sont : (1) Gestion des risques ICT, avec un cadre documenté approuvé par l’organe de direction couvrant l’ensemble des systèmes d’information, réseaux et actifs de données ; (2) Gestion, classification et déclaration des incidents liés aux ICT, avec des obligations de notification aux autorités compétentes dans des délais stricts (notification initiale dans les quatre heures, rapports intermédiaires et finaux) ; (3) Tests de résilience opérationnelle numérique, incluant des tests de base annuels et des tests de pénétration fondés sur les menaces (TLPT) tous les trois ans pour les entités importantes ; (4) Gestion du risque lié aux prestataires ICT tiers, avec évaluation du risque de concentration et clauses contractuelles obligatoires ; et (5) Partage d’informations et de renseignements sur les cybermenaces, sur une base volontaire entre entités.
La Banque d’Espagne, la CNMV et la Direction générale des assurances sont les autorités de supervision compétentes pour DORA en Espagne. Les sanctions pour non-conformité seront déterminées en vertu de la législation sectorielle nationale, avec référence explicite à la gravité, à la durée et au bénéfice tiré du manquement.
Le paquet AML européen 2024 : nouvelle directive et nouveau règlement
L’Union européenne a adopté en juin 2024 un ensemble législatif complet de lutte contre le blanchiment de capitaux et le financement du terrorisme comprenant quatre instruments : le Règlement (UE) 2024/1624 (directement applicable, ne nécessitant pas de transposition), la Sixième Directive (UE) 2024/1640, le Règlement (UE) 2024/1620 créant l’Autorité de Lutte contre le Blanchiment de Capitaux et le Financement du Terrorisme (AMLA), et le Règlement (UE) 2023/1113 sur les virements de fonds (règle de voyage pour les crypto-actifs).
Les principaux changements pour les entités soumises à la Loi espagnole 10/2010 sont : (i) une limite générale sur les paiements en espèces entre particuliers de 10 000 € (les entités doivent refuser les transactions dépassant ce seuil) ; (ii) extension du champ d’application à de nouveaux secteurs, notamment les prestataires de services sur crypto-actifs (MiCA) et les plateformes de financement participatif ; (iii) renforcement de la diligence raisonnable à l’égard des Personnes Politiquement Exposées (PPE), avec des procédures d’identification et de surveillance plus strictes ; et (iv) obligations renforcées d’enregistrement des bénéficiaires effectifs, avec un accès public élargi.
L’AMLA, dont le siège est à Francfort et dont l’opérationnalisation est prévue à partir de 2025, supervisera directement les entités transfrontalières présentant les risques les plus élevés et coordonnera le réseau des Cellules de Renseignement Financier (CRF) des États membres.
Conformité AML en Espagne : Loi 10/2010 et évolutions du SEPBLAC
En Espagne, la Loi 10/2010 du 28 avril sur la prévention du blanchiment de capitaux et du financement du terrorisme — modifiée par le Décret-Loi Royal 7/2021 transposant la Cinquième Directive AML — réglemente les obligations des entités assujetties. Le Service Exécutif de la Commission de Prévention du Blanchiment de Capitaux et des Infractions Monétaires (SEPBLAC) exerce la supervision et a publié des orientations spécifiques sur l’approche basée sur les risques (ABR) pour le secteur financier, la diligence renforcée dans les relations de correspondance bancaire et la déclaration des transactions suspectes.
Les sanctions pour violation grave de la Loi 10/2010 peuvent atteindre 10 % du chiffre d’affaires annuel total ou le double du montant des fonds liés au manquement ; les infractions très graves peuvent entraîner le retrait de l’autorisation.
Supervision ESG : attentes de la BCE et de la Banque d’Espagne
La Banque Centrale Européenne a publié ses attentes de supervision sur les risques climatiques et environnementaux en novembre 2022, fixant des délais pour leur intégration dans les cadres de gestion des risques et les déclarations d’appétit pour le risque. La Banque d’Espagne supervise le respect de ces attentes pour les établissements de crédit non directement supervisés par la BCE. En 2024, les deux superviseurs ont lancé un deuxième cycle d’évaluations des progrès, avec des attentes que les établissements auront pleinement intégré le risque climatique dans leur cadre de gestion des risques et leurs modèles de capital économique avant fin 2025.
La CSRD (Directive (UE) 2022/2464) affecte également les entités financières sous deux angles : en tant qu’entités assujetties tenues de déclarer leurs propres informations de durabilité, et en tant qu’acteurs ayant besoin de données ESG de leurs clients et investissements pour se conformer au SFDR (Règlement sur la Publication d’Informations en matière de Durabilité dans le Secteur des Services Financiers) et aux Règlements de Taxonomie.
Conformité intégrée : gérer des obligations qui se chevauchent
Une caractéristique distinctive du paysage de conformité 2024 est l’interdépendance entre les cadres réglementaires. Les obligations DORA sur la gestion des risques ICT se chevauchent avec les obligations RGPD sur la sécurité des traitements de données personnelles. Les exigences de divulgation climatique de la CSRD demandent des données qui alimentent également les rapports de Taxonomie et SFDR. La diligence raisonnable AML à l’égard des clients génère des données pertinentes pour les registres des bénéficiaires effectifs dans le cadre du nouveau paquet AML.
Les entités qui gèrent ces obligations qui se chevauchent via des fonctions de conformité cloisonnées font face à une duplication des efforts et à une qualité de données incohérente. L’approche la plus efficace intègre l’identification des risques, la gestion des données et le reporting dans l’ensemble des cadres réglementaires, sous-tendue par une source unique de vérité pour les données des entités et des contreparties.
Chez BMC, notre équipe juridique est spécialisée dans la conformité du secteur financier dans les cadres réglementaires DORA, AML et ESG. Découvrez nos services juridiques.
