Le secteur financier espagnol fait face en 2024 à l'un des cycles réglementaires les plus intenses de son histoire récente. L'application simultanée du Règlement DORA intégral, du nouveau paquet européen anti-blanchiment, des attentes prudentielles croissantes sur les questions ESG, et les règles obligatoires imminentes sur l'IA à haut risque créent un environnement de conformité extraordinairement exigeant pour les banques, assureurs, entreprises d'investissement, gestionnaires d'actifs et établissements de paiement.
DORA : résilience opérationnelle numérique à partir de janvier 2025
Le Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier — le Digital Operational Resilience Act (DORA) — est directement applicable depuis le 17 janvier 2025 dans tous les États membres. Son périmètre couvre plus de 22 000 entités financières dans l’UE, incluant les banques, les entreprises de services d’investissement, les établissements de paiement et de monnaie électronique, les gestionnaires de fonds, les assureurs, les agences de notation de crédit, les prestataires de services sur crypto-actifs et les commissaires aux comptes légaux.
Les cinq piliers du cadre DORA sont : (1) Gestion des risques TIC, avec un cadre documenté approuvé par l’organe de direction couvrant tous les systèmes d’information, réseaux et actifs de données ; (2) Gestion, classification et signalement des incidents liés aux TIC, avec des obligations de notification aux autorités compétentes dans des délais stricts (notification initiale dans les quatre heures, rapports intermédiaires et finals) ; (3) Tests de résilience opérationnelle numérique, incluant des tests de base annuels et des tests de pénétration basés sur la menace (TLPT) tous les trois ans pour les entités significatives ; (4) Gestion des risques liés aux tiers TIC, avec évaluation du risque de concentration et clauses contractuelles obligatoires ; et (5) Partage d’informations et de renseignements sur les cybermenaces, sur une base volontaire entre entités.
La Banque d’Espagne, la CNMV et la Direction Générale des Assurances sont les autorités prudentielles compétentes pour DORA en Espagne. Les sanctions en cas de non-conformité seront déterminées par la législation sectorielle nationale.
Le paquet LCB 2024 de l’UE : nouvelle Directive et Règlement
L’Union européenne a adopté en juin 2024 un paquet législatif global de lutte contre le blanchiment d’argent et le financement du terrorisme comprenant quatre instruments : le Règlement (UE) 2024/1624 (directement applicable, sans transposition nécessaire), la Sixième Directive (UE) 2024/1640, le Règlement (UE) 2024/1620 créant l’Autorité de Lutte contre le Blanchiment d’Argent et le Financement du Terrorisme (AMLA), et le Règlement (UE) 2023/1113 sur les transferts de fonds (la Règle du Voyage pour les crypto-actifs).
Les principaux changements pour les entités soumises à la Loi espagnole 10/2010 sont : (i) une limite générale aux paiements en espèces entre particuliers de 10 000 euros ; (ii) extension du périmètre à de nouveaux secteurs, incluant les prestataires de services sur crypto-actifs (MiCA) et les plateformes de financement participatif ; (iii) renforcement de la diligence raisonnable sur les Personnes Politiquement Exposées (PPE) ; et (iv) renforcement des obligations d’enregistrement des bénéficiaires effectifs.
L’AMLA, dont le siège est à Francfort et dont la mise en opération est prévue pour 2025, supervisera directement les entités transfrontalières les plus risquées et coordonnera le réseau des Cellules de Renseignement Financier (CRF) des États membres.
Conformité LCB en Espagne : Loi 10/2010 et évolutions du SEPBLAC
En Espagne, la Loi 10/2010 du 28 avril sur la prévention du blanchiment d’argent et le financement du terrorisme — amendée par le Décret Royal-Loi 7/2021 transposant la Cinquième Directive LCB — réglemente les obligations pour les entités assujetties. Le Service Exécutif de la Commission pour la Prévention du Blanchiment d’Argent et des Infractions Monétaires (SEPBLAC) exerce la supervision et a publié des lignes directrices spécifiques sur l’approche basée sur les risques (ABR).
Les sanctions pour violation grave de la Loi 10/2010 peuvent atteindre 10 % du chiffre d’affaires annuel total ou le double du montant des fonds liés à la violation ; les infractions très graves peuvent entraîner le retrait de l’autorisation.
Supervision ESG : attentes de la BCE et de la Banque d’Espagne
La Banque Centrale Européenne a publié ses attentes prudentielles sur les risques climatiques et environnementaux en novembre 2022, établissant des calendriers pour leur intégration dans les cadres de gestion des risques. La Banque d’Espagne supervise le respect de ces attentes pour les établissements de crédit non directement supervisés par la BCE. En 2024, les deux superviseurs ont lancé un deuxième cycle d’évaluations des progrès.
La CSRD (Directive (UE) 2022/2464) affecte également les entités financières à deux titres : en tant qu’entités assujetties tenues de déclarer leurs propres informations de durabilité, et en tant qu’acteurs ayant besoin de données ESG de leurs clients et investissements pour se conformer au SFDR et aux Règlements Taxonomie.
Conformité intégrée : gérer les obligations qui se chevauchent
Une caractéristique distinctive du paysage de conformité 2024 est l’interdépendance entre les cadres réglementaires. Les obligations DORA sur la gestion des risques TIC se chevauchent avec les obligations RGPD sur la sécurité du traitement des données personnelles. Les exigences de divulgation climatique CSRD nécessitent des données qui alimentent également les rapports Taxonomie et SFDR. La diligence raisonnable client en matière de LCB génère des données pertinentes pour les registres des bénéficiaires effectifs.
Les entités qui gèrent ces obligations qui se chevauchent par des fonctions de conformité cloisonnées font face à une duplication des efforts et une qualité des données incohérente. L’approche la plus efficace intègre l’identification des risques, la gestion des données et le reporting dans tous les cadres réglementaires.
Chez BMC, notre équipe juridique est spécialisée dans la conformité du secteur financier dans les cadres réglementaires DORA, LCB et ESG. En savoir plus sur nos services juridiques.
