Accéder au contenu principal
Blog

L’enregistrement des communications en toute conformité dans le secteur financier

Cloud, Conformité, Services financiers

Au cours des 20 dernières années, de plus en plus de clients se sont tournés vers les réseaux bancaires et financiers, influençant ainsi la manière dont les données bancaires sont gérées. D'un autre côté, les scandales financiers ainsi que les cas de cybercriminalité et de blanchiment d'argent sont également devenus plus fréquents. En conséquence, ces dernières années ont été marquées par un certain nombre de nouvelles directives ou la modification de directives existantes visant à faciliter le suivi des transactions. Les institutions financières sont aujourd’hui particulièrement surveillées et encadrées par de nombreuses réglementations légales qui régissent notamment le cadre du traitement des données et la conformité de l’enregistrement. Antoine Dhersin, responsable des ventes de la filiale française d’ASC Technologies, nous donne quelques clés pour comprendre les règles et l’organisation de la conformité pour les institutions financières.

Des moyens de communications variés au service du respect de la conformité

Les opérateurs dans les salles de marchés, tels que les traders, disposent d’énormément de moyens d’interactions au travers des consoles d’opération de marché, la messagerie électronique, la téléphonie classique, les platines de salle de marchés… Et aujourd’hui des outils de collaboration de nouvelle génération.

Cependant, peu importe les moyens de communication utilisés, les institutions financières doivent enregistrer l’ensemble des personnes susceptibles de participer à une opération de marché. Les régulateurs du marché, dont l’AMF et l’ACPR sont les plus importants, exigent une capacité de réaliser un « Trade reconstrution », autrement dit un historique des transactions, ce qui contraint les institutions financières à enregistrer et conserver une trace de tous les échanges. L’ensemble de ses données doivent être conservées pendant au moins 5 ans. Durant cette période, les institutions financières doivent être en mesure de mettre à disposition l’ensemble de leurs échanges aux régulateurs en cas de contrôle. Afin de respecter l’ensemble des règles établies pour le secteur de la finance, il est nécessaire pour les institutions financières de se référer aux normes de conformité de l’enregistrement et de traitement de données de la directive de réglementation MiFID II.

La genèse de MiFID II

Plusieurs directives et règlements adoptés ces dernières années ont une incidence directe sur l'enregistrement et l'archivage des interactions avec les clients dans le secteur financier. La directive de réglementation MiFID II, parue en 2018, complète la réglementation précédente MiFID, en fournissant plus de protection aux investisseurs vis-à-vis des institutions financières.

L’objectif de cette règlementation est d’accroître la transparence des marchés financiers et d’aider le client à apprécier le niveau de risque des opérations de marché. Les institutions financières sont tenus de conserver de manière probante les enregistrements des communications téléphoniques ou vidéos ainsi que de toute communication électronique connexe, en respectant les règles suivantes :

  • L’enregistrement systématique des interactions entre les institutions financières et leurs prestataires essentiels ainsi que leurs clients,
  • Les données stockées doivent être protégées contre tout traitement ultérieur et les archives ne peuvent pas être manipulées,
  • L'archivage doit être traçable et les informations faciles à trouver, inviolables et impossibles à modifier
  • Les enregistrements doivent être conservés pendant au moins 5 ans,
  • La capacité à réaliser des recherches et réécoutes dans un délai restreint.

De plus, les institutions financières qui incluent : les sociétés de conseil, de gestion d’actifs, de placement, d’exécution d'ordres boursiers... ont mis en place de nouveau processus internes de contrôle au travers d’audits pour optimiser leur conformité et réduire leur niveau de risque interne.

Une loi américaine influence également les règles de conformité

Une autre réglementation importante pour l'archivage et la conservation des communications électroniques est la loi Dodd-Frank (Dodd-Frank Wall Street Reform and Consumer Protection Act). La loi Dodd-Frank est une loi fédérale américaine qui a été adoptée en réaction à la crise financière de 2007. L'objectif de la loi Dodd-Frank est de promouvoir la stabilité financière du marché financier américain en améliorant la responsabilité et la transparence. Elle oblige les entreprises à conserver les enregistrements de toutes les activités commerciales du site, y compris une piste d'audit complète dans un format défini par l'autorité de surveillance responsable, pendant au moins 5 ans.

Le RGPD détrôné par MiFID II dans le secteur des institutions financières

Le Règlement Général sur la Protection des Données ou RGPD, également apparu en 2018, permet dans l’ensemble des pays de l’Union Européenne de renforcer la protection des données personnelles en encadrant leur collecte et leur traitement. Pour le RGPD, la conservation conforme à la loi mais aussi la suppression des données personnelles sont des aspects centraux. Par conséquent, le traitement et le stockage des données ne peuvent avoir lieu que pour la durée justifiée par la finalité dédiée. avec MiFID II, les salariés et les contreparties ne peuvent pas s’opposer à l’enregistrement et/ou demander un effacement de leurs données personnelles. Ce règlement s’applique pour l’ensemble des entreprises et des secteurs à l’exception de ceux soumis à la directive de règlementation MiFID II.

Étant donné que la suppression des données - en particulier dans le secteur financier - était censée être évitée à tout prix dans le passé, les systèmes d'enregistrement n'offraient par conséquent aucune possibilité de suppression manuelle des données. Pour se conformer à la directive, les systèmes ont dû être modifiés en conséquence. Les droits de fonction individuels garantissent désormais que seuls les utilisateurs disposant de l'autorisation correspondante peuvent supprimer des données. De plus, les délais d'effacement spécifiques (time to live) qui sont définis lors de la configuration de l'enregistrement contribuent également à une gestion des données fiable et conforme à la législation.

Les solutions d’ASC Technologies pour assurer la conformité de leurs clients

Dans le secteur financier en particulier, le contenu des interactions avec les clients est généralement très sensible et strictement confidentiel. Par conséquent, les solutions d'enregistrement et d'archivage qui répondent à des réglementations strictes et garantissent l'intégrité, la disponibilité et la protection des données à long terme sont indispensables. Les fournisseurs de logiciels spécialisés comme ASC offrent aux banques et autres sociétés de services financiers des systèmes à sécurité intégrée qui répondent à ces exigences. Contrairement à d'autres systèmes d'enregistrement, le logiciel d'ASC garantit plus de sécurité et une granulation plus fine en termes de définition des périodes de conservation et de suppression des données. Les flux de données provenant des interactions avec les clients (téléphonie, vidéotéléphonie, vidéoconsultation, écran, chat) sont capturés, cryptés et transmis au système d'enregistrement d'ASC où ils sont sauvegardés.

Les données peuvent y être traitées de différentes manières. C'est une nécessité, car chaque système et chaque PBX réagit différemment. Pour pouvoir enregistrer chaque appel, des intégrations sur mesure pour les PBX des différents fournisseurs sont nécessaires. Cela permet ensuite au logiciel d’ASC de capturer les appels ainsi que des données supplémentaires telles que l'ID du client ou l'ID de la transaction qui permettent d'identifier les appels. En sauvegardant ces données pour chaque appel, les enregistrements peuvent être recherchés et récupérés plus efficacement. Pour garantir un traitement sécurisé des données sensibles, ASC déploie un format de données dédié qui ne peut être décodé nulle part ailleurs que dans les applications de relecture d'ASC. Et au sein des applications de relecture, des concepts d'autorisation individuels restreignent encore davantage la manipulation. Tout accès non autorisé aux données est ainsi exclu.

Une migration vers le cloud accélérée par la COVID

Le travail à domicile a connu un essor considérable au cours de la dernière année de la pandémie. Les entreprises sont donc à la recherche de solutions pour permettre à leurs employés de travailler à distance sans devoir modifier les processus habituels. Mais pour les employés du secteur des services financiers en particulier, ce n'est pas une mince affaire : La consultation des clients est souvent impossible depuis la maison, car le moyen d'enregistrement indispensable d'un appel n'est disponible qu'au bureau. En cas d'accès VPN, une connexion sûre et fiable au réseau de l'entreprise est nécessaire. Un facteur sur lequel tout le monde ne peut pas compter. C'est la raison pour laquelle le secteur financier opte désormais fréquemment pour des solutions cloud afin de permettre un accès depuis le monde entier.

Les institutions financières migrent vers le Cloud

Les institutions financières migrent les données au fur et à mesure dans le cloud dans un objectif de réduction des coûts opérationnels et pour gagner en flexibilité. Cependant, le marché étant largement dominé par les acteurs américains, la question de la confidentialité et la maitrise de ses données se posent lorsque les applications véhiculent des informations stratégiques et/ou confidentielles. La confidentialité des données peut donc représenter un frein dans la transformation numériques des institutions financières, voir devenir un point de blocage.

ASC a mis au point une solution en cloud flexible et rapidement déployable pour les employés travaillant à domicile qui, sans cela, ne pourraient pas enregistrer et archiver les appels de consultation conformément à la loi avec leur solution de communication existante. Les appels provenant de n'importe quel appareil disponible - téléphone fixe, téléphone mobile ou outils de collaboration tels que Microsoft Teams, Cisco WebEx, Unify Circruit, Slack, Snapview, Purpleview - peuvent être enregistrés et archivés même en cas de travail à distance. L’ensemble des données collectées sont immédiatement cryptées, notamment grâce aux mécanismes de chiffrage proposés par Azure Key Management afin que les utilisateurs de la solution ASC puissent avoir une pleine maîtrise du chiffrement de leurs données.

La vision d’ASC sur le marché de l’enregistrement

Nous échangeons régulièrement avec nos clients afin de les comprendre et les accompagner sur les défis qui nous attendent. Nous remarquons une certaine appétence dans les outils de transcription permettant notamment au personnel des services de conformité d’avoir un premier niveau d’analyse réalisé de façon automatique. L’objectif est double :

  • Être en mesure de catégoriser automatiquement les données pour en faire ressortir des tendances et également automatiser la détection de plusieurs scénarios de fraude.
  • Accélérer les phases d’analyses et investigations en apportant par exemple la possibilité de rechercher les données via des mots-clés. Ceci permet d’envoyer une notification lorsqu’une conversation contient un certain nombre de mots-clés et mérite une réécoute.
Martin Komm
Chef de produit

Martin Komm est chef de produit chez ASC. Il est responsable de la poursuite du développement des solutions d'enregistrement basées sur les exigences des clients et les nouvelles réglementations légales sur les marchés cibles d'ASC, notamment dans le secteur financier. En étroite collaboration avec les services des ventes et de la R&D, il met en œuvre de nouvelles technologies révolutionnaires dans les produits d'ASC. Travaillant en tant que formateur technique à l'Académie ASC, il s'assure d'intégrer des thèmes de service et des interfaces utilisateur intuitives dans le développement des produits.