Réglementation Financière : Agréments, Licences et Conformité devant la CNMV et le Banco de España

Le conseil réglementaire financier couvre l'intégralité du cycle de vie d'une entité financière supervisée en Espagne : depuis la détermination de la nécessité d'un agrément préalable jusqu'à la gestion du programme de conformité réglementaire continue une fois la licence obtenue. La CNMV, le Banco de España et la Dirección General de Seguros y Fondos de Pensiones (DGSFP) sont les trois superviseurs financiers sectoriels espagnols, chacun disposant d'une compétence exclusive sur les types d'entités et d'activités qu'il réglemente. Le Règlement MiCA (Règlement UE 2023/1114), pleinement applicable depuis décembre 2024, a ajouté une quatrième couche de réglementation spécifique aux marchés de crypto-actifs, supervisée en Espagne par la CNMV pour les prestataires de services (CASP) et par le Banco de España pour les émetteurs de tokens de monnaie électronique (EMT).

Pourquoi la réglementation financière espagnole est parmi les plus exigeantes d’Europe

Le cadre réglementaire financier européen est un système de couches de législation qui se renforcent mutuellement : directives sectorielles (MiFID II, Solvabilité II, CRD, AIFMD, UCITS), règlements d’application directe (MiCA, EMIR, SFDR, MiFIR, IFR) et législation nationale de transposition (Ley 6/2023 LMVSI, Ley 35/2003 IIC, Ley 22/2014 ECR, Real Decreto-ley 7/2021 sur les services de paiement). Ce système de couches fait que la détermination des obligations applicables à une entité spécifique — notamment une fintech avec un modèle économique innovant ne s’inscrivant pas parfaitement dans une catégorie traditionnelle — requiert une analyse juridique d’une complexité considérablement supérieure à celle de la plupart des autres secteurs réglementés.

Le champ des activités réglementées s’est considérablement élargi au cours des cinq dernières années. L’émergence des marchés de crypto-actifs, la croissance de l’open banking sous PSD2 et l’extension de la réglementation de l’IA aux systèmes d’IA à haut risque dans les services financiers (sous l’AI Act) ont créé de nouvelles catégories d’activités réglementées où la frontière entre activité libre et activité nécessitant un agrément préalable n’est pas toujours évidente.

L’erreur la plus coûteuse dans le cycle réglementaire n’est pas un dépôt tardif ou une divulgation incomplète : c’est de commencer l’activité sans l’agrément correct. Les conséquences vont de la nullité des contrats conclus à la responsabilité personnelle des dirigeants, en passant par les sanctions administratives et — dans les cas les plus graves — les poursuites pénales.

Agréments CNMV et Banco de España — quelles entités ont besoin d’une licence et ce que requiert le dossier

La CNMV a compétence pour agréer les entreprises d’investissement (ESI), qui comprennent les agences de valeurs, les sociétés de valeurs, les entreprises de conseil financier indépendant (EAFI) et les sociétés de gestion de fonds de placement collectif (SGIIC) et de capital-risque (SGEIC). Le Banco de España agrée les établissements de crédit, les établissements de paiement (EP) et les établissements de monnaie électronique (EME). La DGSFP agrée les entreprises d’assurance et de réassurance.

Le dossier de demande d’agrément comprend des éléments communs et des éléments spécifiques à chaque catégorie réglementaire. Les éléments communs sont : un programme d’activités avec une description détaillée des services à fournir et des instruments couverts ; une structure organisationnelle et de gouvernance ; des manuels de conformité et de gestion des risques ; un plan d’affaires sur trois ans avec projections financières ; et une documentation d’honorabilité, de probité et d’expérience des membres du conseil d’administration et des responsables des fonctions de contrôle interne.

La gestion du dialogue avec le superviseur pendant le processus d’évaluation est aussi importante que la qualité du dossier initial. Les superviseurs demandent régulièrement des informations complémentaires ou des précisions sur des aspects du dossier qu’ils jugent insuffisants. Répondre à ces demandes dans les délais appropriés est un élément central de notre méthodologie.

MiCA en Espagne — le nouveau cadre pour les émetteurs de crypto-actifs et les CASP

Le Règlement (UE) 2023/1114 (MiCA) établit pour la première fois un cadre européen harmonisé pour les marchés de crypto-actifs. En Espagne, MiCA a partiellement remplacé le régime antérieur du Real Decreto 7/2021 et a créé de nouvelles obligations pour deux catégories d’acteurs du marché.

Les émetteurs de tokens : ceux réalisant une offre publique de tokens utilitaires supérieure à 1 million d’euros doivent publier un livre blanc enregistré. Les émetteurs d’ART doivent obtenir un agrément préalable de la CNMV ; les émetteurs d’EMT doivent obtenir l’agrément du Banco de España, avec des exigences de fonds propres minimaux allant de 350 000 euros à plusieurs millions selon le volume de tokens en circulation.

Les prestataires de services sur crypto-actifs (CASP) : les exchanges, dépositaires, plateformes de négociation et conseillers en crypto-actifs doivent s’enregistrer comme CASP auprès de la CNMV. Le régime transitoire pour les entités opérant déjà en Espagne au titre du registre antérieur du Banco de España a pris fin à la fin de 2024.

La principale difficulté pratique du cadre MiCA est la classification des tokens : un token qui se qualifie lui-même de « token utilitaire » peut être en réalité un ART ou même un instrument financier réglementé par MiFID II. Une mauvaise classification — par omission (ne pas demander l’agrément requis) ou par excès (soumettre à MiCA un token qui relève de MiFID II) — a des conséquences juridiques significatives.

Conformité MiFID II continue — les obligations qui ne s’arrêtent pas à l’agrément

La Directive 2014/65/UE (MiFID II) et ses instruments d’application (MiFIR, Règlement délégué 2017/565, Règlement délégué 2017/583) établissent un ensemble détaillé d’obligations de conduite et d’organisation que les entreprises d’investissement doivent maintenir en permanence. Le non-respect est sanctionnable indépendamment du fait que l’entité détienne l’agrément correspondant.

Les quatre obligations MiFID II les plus exigeantes en pratique sont : la politique de conflits d’intérêts, qui doit identifier toutes les situations où l’entité ou ses employés pourraient agir dans leur propre intérêt au détriment du client ; l’évaluation de l’adéquation, rigoureuse, documentée et périodiquement mise à jour pour les clients bénéficiant de services de conseil ou de gestion de portefeuilles ; la politique de meilleure exécution, qui doit véritablement prioriser l’intérêt du client ; et la divulgation des coûts et frais, prospective et rétrospective, avec le niveau de détail requis par le Règlement délégué 2017/565.

La conformité DORA et la réglementation financière sont des domaines complémentaires pour les entités financières : DORA ajoute une couche d’exigences de résilience opérationnelle numérique sur les obligations d’organisation et de contrôle interne de MiFID II, Solvabilité II et la réglementation bancaire.

Comment construire une fonction de conformité proportionnée à la taille de votre entité

La fonction de conformité réglementaire dans les entités financières réglementées n’est pas optionnelle : MiFID II, Solvabilité II et la réglementation bancaire (CRD/CRR) exigent toutes que les entités disposent d’une fonction de conformité indépendante, avec accès à l’organe de direction et dotée de ressources adéquates.

Pour les entités petites et moyennes — EAFI individuelles, gestionnaires de fonds de moins de 500 millions d’euros d’actifs sous gestion, établissements de paiement à activité limitée, assureurs spécialisés — la fonction de conformité peut être externalisée à condition que la responsabilité interne soit maintenue. Un responsable de conformité externe apporte les connaissances réglementaires spécialisées difficiles à développer en interne dans une petite organisation, à un coût proportionné à la taille.

Notre fonction de conformité financière externalisée couvre la veille réglementaire continue, la mise à jour périodique des politiques et procédures, la formation du personnel en matière de conformité, la gestion des communications avec le superviseur, la préparation du rapport annuel de la fonction de conformité pour l’organe de direction, et la supervision du programme LAB/FT.

Ce que vous pouvez attendre de notre accompagnement

• Détermination précise de l’obligation d’agrément et de la catégorie réglementaire applicable
• Dossier d’agrément CNMV, Banco de España ou DGSFP de qualité superviseur
• Programme de conformité MiFID II / MiCA / LAB-FT conçu et opérationnel
• Reporting prudentiel périodique géré dans les délais et formes requis devant le superviseur compétent
• Fonction de conformité externalisée avec une dédicace proportionnée à la taille de l’entité
• Coordination avec les fonctions de conformité DORA, LAB-FT et protection des données dans un cadre intégré

Les entités financières réglementées en Espagne bénéficient d’opérer dans un marché avec une supervision exigeante mais prévisible. La CNMV, le Banco de España et la DGSFP sont des superviseurs actifs à haute capacité technique, ce qui offre une sécurité juridique aux participants du marché qui opèrent avec l’agrément approprié et les programmes de conformité corrects. Le coût de construction et de maintenance de ces programmes est significatif mais calculable ; le coût d’opérer sans eux — en termes de sanctions, de responsabilité personnelle et de dommage réputationnel — est imprévisible et fréquemment supérieur.