Tout comprendre aux agréments (et leurs implications) 🏦⚙️
Avec Philippe Heydarian, co-fondateur & CEO de Qalestra.
Salut tout le monde 👋
On entend beaucoup parler de néobanques ces dernières années.
Mais saviez-vous que, dans la majorité des cas, ces néobanques, ces fintechs qui proposent des solutions bancaires, ne sont pas vraiment des banques ?
D’ailleurs, elles n’ont pas le droit de se prévaloir comme banque ou néobanque, et peuvent être sanctionnées pour cela.
Pour y voir plus clair, il faut comprendre les différents agréments qui existent sur le marché et leurs implications.
Ça tombe bien, Philippe Heydarian, le CEO de Qalestra, une solution de conformité pour les banques et fintechs, nous explique tout.
Au programme :
L’obtention d’un agrément ⚙️
Les autorités de régulation 🏛️
Le reporting réglementaire 📊
Les enjeux de Qalestra 🚀
⏱️ Temps de lecture : 7 minutes
Salut Philippe, pour commencer, peux-tu nous parler un peu de ton parcours ?
Salut Thomas, j'accompagne depuis 11 ans les établissements financiers sur tous leurs sujets de conformité. Ma spécificité, dans ma façon de faire et d'accompagner ces acteurs, a toujours été de concilier expertise technique et agilité.
Historiquement, les experts en conformité ont un style très juridique, très théorique, parfois pas assez opérationnel, ce qui bloque souvent au moment de la mise en place concrète des attendus. J'ai commencé ma carrière chez Deloitte et très vite, j'ai été impliqué dans des projets où l'enjeu était de dépasser la simple question de ce que dit la réglementation pour se concentrer sur la mise en œuvre opérationnelle. L'objectif était de comprendre : Qu'est-ce qu'on fait concrètement ? Comment embarquer les gens sur des sujets qui peuvent sembler complexes et anxiogènes à première vue, parce qu'on parle de risques, de sanctions, de blanchiments.
Mon approche, en tant que consultant, a toujours été d'essayer de rendre ces sujets intéressants, d'accompagner les personnes et de leur montrer qu'on peut réussir ensemble en rendant la matière accessible et concrète.
“Le dossier doit présenter une vision complète des risques opérationnels, du dispositif de lutte contre le blanchiment, de protection de la clientèle ou encore des mesures existantes pour la sécurité des systèmes d’information. Il y a également un volet essentiel qui est le programme d'activité, qui décrit notamment le modèle d'affaires et le schéma des flux à travers les différents acteurs impliqués.”
C’est donc sur ces bases que s’est construit Qalestra ?
Exactement. Qalestra, c'est l'idée de créer une solution permettant d'offrir un parcours utilisateur fluide, agréable et concret pour les Compliance Officers, facilitant ainsi leur quotidien et la mise en conformité de leur organisation.
Prenons un exemple : si je travaille sur un sujet rébarbatif, en utilisant des fichiers Excel incompréhensibles ou des documents Word, des procédures et des politiques qui s'étendent sur 70 pages, avec 150 pages d'annexes, et que j'utilise un jargon inintelligible, il est peu probable que les équipes puissent collaborer efficacement avec moi. À l'inverse, si je dispose d'une interface fluide, très réactive, qui encourage la collaboration, je pourrai plus facilement intégrer ces personnes dans mes exercices. Ces exercices, en tant que Compliance Officer, peuvent inclure des contrôles sur certains métiers ou processus, la cartographie des risques avec différentes personnes, la mise en place de comité des risques, l’animation d’une veille réglementaire, ou encore le pilotage de plans d’action de remédiation en cas de lacunes identifiées.
L'objectif est donc d'inculquer de l'agilité au sein des équipes de conformité et de leurs parties prenantes afin de gagner du temps, d'améliorer l'adhésion et d'adopter les bonnes méthodes.
Si j’ai bien compris, vous accompagnez 1/ pendant la demande d’agrément, 2/ post obtention de l’agrément. Commençons avec le premier point. Peux-tu clarifier pour nous les différents agréments qui existent ?
Les agréments courants dans la plupart des fintechs sont les prestataires de services paiement (PSP), les établissements de monnaie électronique (EME), et, dans certains cas, les prestataires de services d'investissement (PSI). On retrouve également les établissements de crédit, ce qui est rare pour une fintech en phase de démarrage du fait des importants fonds propres nécessaires. C'est généralement le domaine des banques établies. Il y a également les PSAN (prestataires de services sur actifs numériques) qui englobe les entreprises effectuant de la conservation, de l’achat-vente, de l’échange et de la négociation d’actifs numériques (plus communément appelé cryptos). Et puis on retrouve enfin les agents de paiement, mais ce n’est pas un agrément.
A ce titre, une distinction importante à souligner est celle entre l'agent et le prestataire de service de paiement (PSP) qui lui est agréé. Un agent de paiement agit en tant qu'intermédiaire. Il facilite les transactions entre l'utilisateur et le PSP, sans pour autant exécuter techniquement les paiements. L'agent s’adosse à un PSP qui lui, est réglementairement autorisé à effectuer les paiements.
Il peut y avoir certaines embûches lorsqu’on est agent de paiement. Premièrement, cela peut s'avérer coûteux, avec des frais fixes et des fees appliqués par le PSP. Deuxièmement, et cela touche notre domaine d'expertise, il y a la conformité. Le risque repose sur le PSP. En cas de sanction, le régulateur peut reprocher au PSP les manquements de son agent de paiement, lui imputant un défaut de surveillance et de contrôle suffisants.
C'est super intéressant ! Auprès de qui obtient-on un agrément, et comment ça se passe ?
Les exigences diffèrent selon l’agrément. Mais les deux autorités supervisant les agréments des Fintechs sont l'ACPR et l'AMF.
La lutte contre le blanchiment d'argent est un sujet particulièrement sensible pour les régulateurs. Elle implique la mise en place d'un dispositif et de procédures pour bien connaître ses clients, s’assurer qu'ils ne sont pas sous sanction ou encore que l’origine de leurs fonds n’est pas suspecte. Il s'agit d'établir des méthodes efficaces pour analyser le niveau de risque des clients, en s'assurant dès le début de la relation qu'ils ne présentent pas de risque.
Une fois la relation établie, il est important de surveiller leurs transactions pour détecter toute activité suspecte, fraude, ou des montants inhabituellement élevés par rapport au profil du client. Les régulateurs publient des orientations sur des critères de risque mais les acteurs doivent eux-mêmes les compléter de scénarios de risque spécifiques à leurs activités.
Les trois piliers de la lutte contre le blanchiment sont :
La connaissance du client (KYC)
La surveillance des transactions
Le reporting des activités suspectes à TRACFIN (déclaration de soupçons)
Ces éléments nécessitent un véritable professionnalisme, surtout pour les fondateurs de fintech qui ne sont pas nécessairement formés à ces enjeux dès le départ.
Et comment ça se passe ? C’est un dossier écrit, il faut déjà une première infrastructure ?
L'obtention d'un agrément repose sur un ensemble structuré de procédures, où l'on doit démontrer sa conformité avec les exigences réglementaires. Comme mentionné précédemment, cela inclut des aspects comme la lutte contre le blanchiment d'argent, la protection de la clientèle, ou la protection des fonds des utilisateurs. La sécurité des systèmes d'information est également très importante, notamment la capacité à identifier rapidement toute tentative de cyberattaque et assurer la continuité d’activité.
Il y a également un volet essentiel qui est le programme d'activité, qui décrit le modèle d'affaires et le schéma des flux financiers à travers les différents acteurs impliqués. Il faut, ici, illustrer la traçabilité des fonds.
Un autre critère important est l'honorabilité des dirigeants, qui doivent avoir un casier judiciaire vierge et les compétences requises pour l'activité envisagée. La préparation du dossier est la première étape, souvent réalisée en interne ou avec l'aide de consultants. Un premier entretien avec l'autorité de régulation permet de présenter le projet et d'expliquer son fonctionnement.
Une fois le dossier déposé, s'ensuit une période d'échange avec le régulateur, qui va examiner la documentation, identifier les éventuelles lacunes et questionner la cohérence et la robustesse des procédures proposées. L'agrément peut prendre de 12 à 18 mois à obtenir, avec une série de questions posées au fil du temps pour tester la réactivité et la compréhension du demandeur sur les enjeux de conformité. L'objectif est de montrer un engagement sérieux envers les sujets de conformité. C’est essentiel pour convaincre le régulateur de la viabilité du projet.
Une fois que tu as obtenu l'agrément, comment ça se passe ?
Obtenir l'agrément n'est que le début d'un processus continu et rigoureux. Il est essentiel de comprendre que chaque année, certains acteurs perdent leur agrément, ce qui peut être dévastateur. Après avoir été agréé, on doit se soumettre à de nombreux reportings réglementaires. Parmi les plus connus se trouve le questionnaire de lutte contre le blanchiment d'argent (QLB), qui peut comprendre entre 250 et 500 questions selon les activités et sujets abordés. Chaque année, il faut répondre à des questions très précises, comme le nombre de clients suspects identifiés, le taux de conformité des clients à l'entrée en relation, ou encore le nombre de déclarations effectuées à TRACFIN et le temps moyen passé pour effectuer ces déclarations. Ces questions, quantitatives et qualitatives, visent à évaluer de manière approfondie la qualité du dispositif LCB-FT en place.
Dès l'obtention de l'agrément, il est donc essentiel d'être capable de répondre à ces interrogations et de réaliser les déclarations nécessaires. Le régulateur peut également décider à tout moment de procéder à un contrôle sur place. C’est un vrai sujet. Si ce contrôle révèle des lacunes, il peut y avoir des sanctions, impliquant un impact financier mais aussi réputationnel auprès des investisseurs, des partenaires, des clients.
En plus des contrôles, après la délivrance de l'agrément, le régulateur peut exiger qu'une fintech réalise un audit externe, par exemple sous 18 mois, pour vérifier de manière concrète l'application des procédures de lutte contre le blanchiment par exemple. Ces audits ont pour but de confirmer que les mesures prises sont effectives et sérieuses.
En conclusion, le régulateur dispose d'un arsenal d'outils pour évaluer les pratiques des entités réglementées.
Par rapport à tout ce qu’on vient de voir, votre solution permet notamment d’accéder simplement à l'information et faciliter la mise en œuvre, c'est ça ?
Tout à fait. Notre approche se base sur le concept de "compliance by design", qui consiste à intégrer le cadre réglementaire adéquat dès le début afin de le mettre en œuvre efficacement par la suite. J'ai souligné à plusieurs reprises l'importance de s'éloigner de l'approche théorique traditionnelle. L'agrément implique souvent des procédures basées sur des déclarations. La question se pose donc : comment ces procédures sont-elles réellement appliquées au quotidien ?
Notre solution SaaS vise à encapsuler toutes les exigences réglementaires en une seule plateforme, facilitant notamment la création de comités de surveillance, le suivi des risques, la réalisation de cartographies des risques, et l'élaboration de plans de contrôle automatisés.
L'objectif est de fournir un cadre méthodologique qui structure les procédures de manière à être accepté lors de la demande d'agrément et, après l'obtention de celui-ci, de garantir une gestion efficace de la conformité qui fait perdre le moins de temps possible. Cela assure que, en cas d'audit ou de contrôle, nos clients puissent démontrer leur professionnalisme et leur capacité à opérer de manière concrète, et prouver que leurs procédures ne sont pas seulement théoriques ou rédigées pour l'apparence.
Notre solution offre donc le cadre nécessaire pour faciliter l'obtention de l'agrément, promouvoir le professionnalisme et démontrer une structure organisée, tout en simplifiant la gestion quotidienne de la conformité pour rester aligné avec les exigences réglementaires.
C'est super clair. Vous en êtes où à l'heure actuelle, et quels sont vos enjeux sur 2024 ?
À l'heure actuelle, nous avons plusieurs POC en cours avec deux catégories d'acteurs : des fintechs et des groupes bancaires, qui ont des attentes différentes. Les fintechs cherchent principalement à établir un cadre ou un framework qui leur permet de démontrer leur conformité aux attentes réglementaires, tout en structurant leur méthode de travail et en automatisant au maximum certaines tâches pour limiter les coûts humains. Du côté des groupes bancaires, les défis sont différents. Ils connaissent globalement les exigences réglementaires, mais rencontrent des difficultés de collaboration et d'agilité dues à leur taille plus importante.
Pour 2024, notre ambition est de devenir un acteur de référence dans les solutions SaaS de conformité de niveau 2. Le marché des technologies réglementaires de niveau 1 est déjà bien fourni, avec des solutions spécialisées dans le KYC, le KYB, la surveillance des transactions, et la prévention de la fraude, qui adressent directement les risques clients et transactions. Mais il existe peu de solutions de niveau 2, qui opèrent en surcouche pour piloter les résultats de ces contrôles, gérer l'ensemble du dispositif de conformité, mettre en place des plans d’actions, élaborer des cartographies des risques, et faire évoluer les procédures.
Notre ambition est d'être pour la conformité ce que Pennylane est à la comptabilité : transformer une activité perçue comme anxiogène, stressante et ennuyeuse en une expérience agréable et fluide. Nous voulons que les utilisateurs prennent plaisir à mettre à jour leur dispositif de conformité, à le faire vivre, grâce à la facilité d'utilisation et à l'efficacité de notre solution.
Merci à Philippe pour toutes ces explications sur les agréments, et rendez-vous la semaine prochaine pour parler de levée de fonds !