Note de veille : Synthèse des contrôles SPOT dédiés à l’enregistrement des conversations

24 juillet 2020

Comme annoncé dans les priorités de supervision 2019 de l’AMF, une série de contrôles courts thématiques « SPOT » portant sur l’enregistrement des conversations téléphoniques et des communications électroniques et sur leur conservation a été menée dans le cadre des dispositions de la directive 2014/65/UE du 15 mai 20142 concernant les marchés d’instruments financiers (« MIF 2 ») complétées par le règlement délégué́ (UE) 2017/565 de la Commission du 25 avril 2016. Les missions SPOT ont portées sur un panel de cinq prestataires de services d’investissement : 4 établissements de crédit et 1 entreprise d’investissement.

Les investigations ont été menées de novembre 2019 à février 2020, sur une période d’activité antérieure à la crise sanitaire liée au Covid‐19. À cet égard, les contrôles ont porté sur les enregistrements des années 2018 et 2019.

Thème de contrôle numéro 1 : Le périmètre concerné

Rappels réglementaire :

Article 76 du règlement délégué (UE) 2017/565 relatif à l’enregistrement de conversations téléphoniques ou de communications électroniques :

Alinéa 1. a) (Identification des conversations téléphoniques et des communications électroniques) ;
Alinéa 2. (Supervision et contrôle effectif des politiques et procédures par l’organe de direction) ; et
Alinéa 4. (Registre des personnes).

Résultat du contrôle :

L’ensemble des PSI avaient bien identifié et délimité le périmètre concerné par la réglementation au moyen d’un tableau Excel.

Ce contrôle a permis de tirer des bonnes pratiques :

Mettre en place un comité de suivi dédié aux problématiques d’enregistrement et de conservation des enregistrements des conversations téléphoniques et des communications électroniques ;
Enregistrer et conserver, par défaut et de façon prudente, les e-mails de l’ensemble des collaborateurs occupant une fonction en lien avec les activités de marché, et ce, quelle que soit leur fonction, même si ces personnes n’étaient pas directement concernées par la fourniture d’un service d’investissement ;
Informer les collaborateurs concernés, à leur arrivée et par la suite périodiquement, de l’obligation d’enregistrement de leurs conversations et communications.

Mais également des mauvaises pratiques :

Établir des listes de personnes enregistrées avec des intitulés de postes peu explicite : stagiaire, alternant, analyste… ;
Ne pas disposer de listes de personnes enregistrées ;
Ne pas indiquer la date de mise à jour des documents réglementaires comme la liste des personnes enregistrées.

Thème de contrôle numéro 2 : Les outils et systèmes utilisés

Rappels réglementaire :

Article 72 du règlement délégué (UE) 2017/565 relatif à la conservation des enregistrements ;
Article 76 du règlement délégué (UE) 2017/565 relatif à l’enregistrement de conversations téléphoniques ou de communications électroniques :
- Alinéa 10 (stockage sur un support durable).
Articles 312‐39 du règlement général de l’AMF (conservation des enregistrements sur une période allant de 5 à 7 ans) ;
Article 312‐40 du règlement général de l’AMF (exploitation des enregistrements) ;
Article 312‐41 du règlement général de l’AMF (conservation des enregistrements).

Résultat du contrôle :

Parmi les outils et systèmes de conversation et de communication utilisés par les établissements, on peut distinguer deux principales catégories :

Les outils de téléphonie fixe et de téléphonie mobile :

Seul les téléphones fixes étaient autorisés par les PSI concernant les conversations de marché.

NB : Avec la crise sanitaire, 4 PSI ont autorisé l’utilisation des téléphones portables à des fins professionnelles, en précisant que les conversations étaient bien enregistrées et en mentionnant la solution technologique utilisée.

Les outils de messageries classiques et de messageries instantanées :

A la lecture des procédures, certains PSI utilisent la fonctionnalité d’encryptage des données, d’autres non. En revanche, l’ensemble des procédures mentionnent que les enregistrements sont inaltérables (ni modifiables ni supprimables) pendant toute la durée de leur conservation.

Ce contrôle a permis de tirer des bonnes pratiques :

Centraliser au niveau de la direction de la conformité un registre des demandes d’accès aux enregistrements des conversations et des communications. Ceci constitue une bonne pratique permettant de faciliter le respect des dispositions de l’article 312‐40 du règlement général de l’AMF relatives à « l’audition de l’enregistrement d’une conversation ».
Effectuer un double enregistrement des conversations téléphoniques de marchés à partir de la platine de négociation (dealerboard) : un enregistrement conversation par conversation et un autre enregistrement par plage de 30 minutes
Étendre la durée de conservation des enregistrements de la messagerie instantanée Symphony à 7 ans (au lieu de la durée règlementaire de 5 ans)
Obtenir une double approbation, par la Direction de la conformité et par la Direction de l’informatique/cybersécurité, des demandes d’accès aux enregistrements.

Mais également une mauvaise pratique :

Ne pas enregistrer les conversations téléphoniques depuis un téléphone portable d’un collaborateur occupant une fonction en lien avec les marchés.

Thème de contrôle numéro 3 : Les procédures en vigueur

Rappels réglementaire :

Article 22 du règlement délégué (UE) 2017/565 relatif aux exigences organisationnelles en matière de conformité :
- Alinéa 2. a) (contrôle et évaluation des mesures, politiques et procédures) ;
Article 72 du règlement délégué (UE) 2017/565 relatif à la conservation des enregistrements ;
Article 76 du règlement délégué (UE) 2017/565 relatif à l’enregistrement de conversations téléphoniques ou de communications électroniques :
- Alinéa 1 (Politique d’enregistrement) ; et
- Alinéa 8 (information du client sur les enregistrements) ;
Articles 312‐39 du règlement général de l’AMF (conservation des enregistrements sur une période allant de 5 à 7 ans) ;
Article 312‐40 du règlement général de l’AMF (exploitation des enregistrements) ;
Article 312‐41 du règlement général de l’AMF (conservation des enregistrements).

Résultat du contrôle :

L’ensemble des PSI disposaient d’un corpus procédural relativement opérationnel qui détaillaient notamment :

Les enregistrements en fonction du type de fonction ;
Les appareils concernés par les enregistrements (téléphone fixe, mobile ou encore messagerie instantanée) … etc.

Ce contrôle a permis de tirer des bonnes pratiques :

Mentionner dans le corpus procédural et dans le règlement intérieur, les dispositions relatives à l’enregistrement des conversations ainsi que les modalités d’information préalable des collaborateurs ;
Informer le client dans la documentation contractuelle (ou par le biais d’un support durable) de :
1. L’obligation d’enregistrement ;
2. L’information préalable précédent l’exécution d’un service d’investissement ;
3. La possibilité d’obtenir une copie des enregistrements … etc.

Mais également des mauvaises pratiques :

Rédiger et développer dans plusieurs procédures la thématique relative à l’enregistrement des conservations, de façon à donner une information floue et dispersée ;
Ne pas mentionner le délai de conservation des enregistrements ;
Ne pas décrire l’information préalable des collaborateurs faisant l’objet d’un enregistrement de leurs conversations et communications.

Thème de contrôle numéro 4 : Le dispositif de contrôle du PSI

Rappels réglementaire :

Article 22 du règlement délégué (UE) 2017/565 relatif aux exigences organisationnelles en matière de conformité :
- Alinéa 2. a) (contrôle et évaluation des mesures, politiques et procédures) ;
Article 76 du règlement délégué (UE) 2017/565 relatif à l’enregistrement de conversations téléphoniques ou de communications électroniques,
- Alinéa 6 (Contrôle des enregistrements) ;
Articles 312‐39 du règlement général de l’AMF (conservation des enregistrements sur une période allant de 5 à 7 ans) ;
Article 312‐40 du règlement général de l’AMF (exploitation des enregistrements) ;
Article 312‐41 du règlement général de l’AMF (conservation des enregistrements).

Résultat du contrôle :

Des insuffisances, aussi bien sur l’étendue des contrôles que sur leurs formalisations et leurs suivis, ont été constatées.

La recommandation principale de l’AMF s’inscrit dans une logique de réalisation de contrôles plus complets et mieux documentés de façon à en comprendre :

Les objectifs ;
Le périmètre ; ainsi que
Les conclusions et actions correctives.

NB : Un PSI avait toutefois anticipé un éventuel contrôle de l’AMF. En effet, ce dernier avait contrôlé l’ensemble des thématiques SPOT déterminées par l’AMF lors de son annonce à la place financière.

Ce contrôle a permis de tirer une bonne pratique :

Mettre en place un dispositif de contrôle et d’alerte sur le bon fonctionnement des systèmes d’enregistrement et de conservation 24/24 et 7/7.

Thème de contrôle numéro 5 : Le processus d’identification et de gestion des incidents

Rappel réglementaire :

Article 22 du règlement délégué (UE) 2017/565 relatif aux exigences organisationnelles en matière de conformité,
- Alinéa 2. a) (contrôle et évaluation des mesures, politiques et procédures).

Résultat du contrôle :

Ce contrôle a permis de tirer une bonne pratique :

Mettre en place un double processus de reporting des incidents auprès de la Direction générale de l’établissement :
De façon ad hoc après chaque incident ;
De façon périodique sur une base mensuelle.

Mais également plusieurs mauvaises pratiques :

Ne pas disposer de fichier ou de système de suivi et de gestion dédié aux incidents d’enregistrement et de conservation des conversations téléphoniques et des communications électroniques;
Ne pas alimenter au fil de l’eau le fichier ou système de suivi et de gestion dédié aux incidents d’enregistrement et de conservation des conversations téléphoniques et des communications électroniques ;
Ne pas enregistrer les dates de début et de résolution des incidents ;
Ne pas être pleinement associé et attentif au suivi des incidents dans le cadre d’un processus de contrôles externalisés sur les communications électroniques.