UCITS, AIFMD, CRD, FATCA… les vagues réglementaires qui se succèdent depuis la crise de 2008 ont pour objectif de ramener la confiance des investisseurs et des consommateurs en renforçant la stabilité du secteur financier. Effet indirect et bénéfique de ces nouvelles lois, elles ont permis d’améliorer la solidité des infrastructures IT des entreprises du secteur. Cette pression réglementaire, conjuguée à un environnement économique complexe et des consommateurs toujours plus exigeants sur la qualité et la sécurité des services en ligne, positionne les services IT au cœur de la tempête.
De nouvelles réglementations sur la sécurité des paiements en ligne et sur la protection des données personnelles sont en projet. «Ces nouvelles réglementations, nationales et européennes ne sont pas des sujets purement IT, mais elles auront un fort impact sur les services IT. Les responsables informatiques et les Security Officer doivent se tenir informés des changements à venir, pour les anticiper et les intégrer dans leur plan d’actions», explique Vincent Villers, associé et IT Risk and Security Leader chez PwC Luxembourg.
En présence de plus d’une quarantaine de CIO et de responsables de sécurité des systèmes d’information, les experts de PwC Luxembourg ont dressé un état des lieux des changements à venir lors d’une conférence tenue en fin de semaine dernière.
Sécuriser les paiements en ligne
Maillon essentiel dans les échanges de biens et de services, les systèmes de paiement sont au cœur de l’économie. Une perte de confiance des utilisateurs, qui pourrait être causée par une hausse des cas de fraude à la carte bancaire par exemple, pourrait freiner ce développement. C’est pourquoi les législateurs européens s’intéressent de près au sujet. La directive sur les services de paiements, en vigueur depuis 2009, visait à mettre en place un marché unique des paiements et à augmenter la concurrence. La sécurité n’était pas encore la priorité. Le développement exponentiel des transactions sur internet et des nouveaux modes de consommation a, depuis, changé la donne.
Premier bloc à l’édifice, la circulaire 15/603 de la CSSF reprend les orientations fixées par l’Autorité Bancaire Européenne en matière de sécurité sur les paiements sur internet. «La circulaire 15/603 a un objectif essentiel : restaurer la confiance des consommateurs dans les paiements sur internet. Les prestataires de service de paiement devront modifier leur organisation et mettre en place des solutions techniques pour atteindre ce but», explique Florian Bewig, directeur chez PwC Luxembourg.
Au 1er août 2015, tous les prestataires de services de paiement de l’UE devront l’appliquer. Ils devront formaliser dans leur gouvernance une politique de sécurité sur leurs services et aussi mettre en place des mesures d’évaluation des risques et de suivi des incidents et renforcer les mesures de sécurité, comme par exemple la procédure d’identification et d’authentification des clients.
La directive sur les services de paiements est en cours de révision. L’objectif des législateurs est maintenant de faciliter l’utilisation de services de paiement électronique sur internet et de les rendre plus sûrs et de mieux protéger les consommateurs contre la fraude.
Protéger les données personnelles
La protection des données personnelles est un autre maillon essentiel pour renforcer la confiance des consommateurs. Dans le contexte de la création d’un marché unique digital, la Commission a lancé une réforme du cadre juridique européen relatif à la protection de ces données. Les propositions visent à renforcer les droits des personnes et à relever les défis de la mondialisation et des nouvelles technologies. «Cette nouvelle directive sur la protection des données personnelles profitera aux entreprises. Mais elle apportera aussi son lot de défis. Les entreprises devront se préparer et mettre en place des programmes de conformité, tout en maitrisant leurs coûts, dès que la nouvelle loi sera en vigueur», signale Sami El Euch, directeur chez PwC Luxembourg.
Attention ! Les raisons pour collecter ces données et leur usage changent d’une entreprise à une autre. Chacune devra donc se pencher sur les impacts de la future loi sur son organisation et mettre en place un programme de conformité qui lui est propre. Si l’adoption du projet de loi n’est attendu qu’en 2016, et son application qu’en 2018, chaque entreprise peut dès maintenant évaluer le type de données qu’elle collecte, l’usage qui en est fait, le niveau de protection et les obligations juridiques qui en découlent.
Restaurer la confiance des consommateurs
La directive NIS (Network and Information Security) encore en discussion pourrait aussi impacter les entreprises à l’horizon 2018. «La directive NIS nécessitera que chaque Etat membre renforce sa politique de sécurité en matière de systèmes et de réseaux informatiques», indique Vivien Bilquez, manager chez PwC Luxembourg. Elle harmonisera cette politique au niveau européen en assurant un niveau minimum commun élevé de sécurité. Cela touchera plus particulièrement les opérateurs d’infrastructures critiques telles que les réseaux d’énergie et de transports et les principaux prestataires de services de la société de l’information ainsi qu’aux administrations publiques. Ces acteurs devront adopter des mesures de gestion des risques et de signalement des incidents graves aux autorités nationales compétentes.
Défis pour les services IT, ces réglementations ont un objectif commun: restaurer la confiance des consommateurs européens.