Comment s’effectue le contrôle des fintechs et des insurtechs ?

Retour sur le contrôle des fintechs et insurtechs et sur le rôle des autorités de tutelle qui s’étend de l’agrément à la potentielle sanction de radiation.

Apparues il y a cinq ans et accompagnées par des campagnes de communication médiatisées, les Fintechs / Insurtechs sont des entreprises dont les innovations technologiques sont utilisées en appui ou pour la fourniture de services financiers ou d’assurance.  Elles sont particulièrement actives dans des domaines stratégiques tels que les systèmes de paiement, la notation et le financement des crédits, les paiements électroniques, le financement participatif, la gestion d’actifs, les conseils automatisés en investissement, et l’assurance.

Avec 40 000 emplois créés, la France occupe la seconde place du marché en Europe, derrière la Grande Bretagne et devant l’Allemagne. Créées « ex nihilo » par des levées de fonds d’acteurs privés ou publics -dont BPI- celles-ci se sont progressivement installées sur les marchés depuis 2017, allant jusqu'à lever 2,2 Milliards d’euros au premier semestre 2022. A ce jour, le nombre de création en France est d’environ 900 Fintechs, dont 250 Insurtechs.

Le marché compte 11 « licornes » françaises, Insurtechs dont la valorisation dépasse le milliard USD. France Innovation, pôle français de compétitivité, accompagne les projets innovants via un réseau de 500 membres et fédère 6 filières stratégiques : banque, assurance, gestion d’actifs, métiers du chiffre et du conseil, immobilier, finance durable et finance verte. C’est pourquoi, banquiers et assureurs traditionnels s’associent à elles, voire acquièrent des Fintechs et Insurtechs, afin d’offrir des services et produits innovants en ligne tout en améliorant leurs propres processus internes. Dans le même temps, le développement numérique augmente l’exposition à plusieurs risques, notamment le risque cyber et le risque de fraude, ainsi que le risque lié au déploiement d’algorithmes de nouvelle génération (IA), que les autorités de contrôle devront appréhender.

Expérimenter – Accompagner – Contrôler

Dans leur propre périmètre de compétences, l’AMF (responsable de la surveillance des marchés financiers et des entreprises d'investissement) et l’ACPR (chargée de l'agrément et de la surveillance des établissements bancaires, d'assurance et de leurs intermédiaires) ont déployé leurs efforts pour être au plus près de la recomposition du paysage financier. En effet, bien plus que de simples autorités de contrôles, ACPR et AMF investissent leurs actions bien en amont dans les projets innovants pour les accompagner et ainsi être au plus près de la création et du développement numérique. Pour ces autorités en charge de la « supervision » (c’est-à-dire du contrôle), c’est d’abord l’opportunité de jouer un rôle plus pédagogique, celui d’accompagnant. C’est une démarche nouvelle et essentielle visant à terme à faire converger innovation et règlementation pour créer la confiance nécessaire, indispensable au développement et au dynamisme du secteur financier.

L’objectif est exprimé de façon similaire, selon l’ACPR , il lui revient de veiller à l'intérêt de la clientèle et à la préservation de la stabilité du système financier, et selon l’AMF, de veiller à la protection de l’épargne investie en produits financiers, à l’information des investisseurs et au bon fonctionnement des marchés. Il s’agit donc de créer un cadre règlementaire suffisamment sécuritaire pour rester attractif et donner confiance aux entités innovantes. Or, intégrée dans l’union européenne et bien que déjà dotée de dispositifs d’agréments des acteurs agissant sur les marchés financiers (banques et assurances y compris), la France devra s’adapter, voir assouplir sa propre législation pour ne pas créer de distorsions de concurrence susceptibles de pénaliser les structures soumises à sa réglementation interne.

Les autorités de régulation se spécialisent

Véritables interfaces entre les porteurs de projets et les directions de l’ACPR, de la Banque de France (services de paiement) et de l’AMF (services d’investissement), ces pôles assurent aussi le suivi de la digitalisation des entreprises financières françaises et sont des points d’entrée, des interlocuteurs pour les porteurs de projets innovants.

A titre d’illustration, on peut citer la « charte Fintech » visant à faciliter le parcours d’agrément des start-ups du secteur financier publiée par l’ACPR-FinTech Innovation en janvier 2022. Pour reprendre les termes du Directeur du pôle : « La charte précise aussi les attentes de l’ACPR vis-à-vis des candidats à l’agrément afin que les dossiers soient préparés dans les meilleures conditions. Cette démarche de transparence devrait permettre aux porteurs de projets de mieux s’approprier la réglementation et facilitera ainsi concrètement leur parcours. »

Dans ce même état d’esprit, les autorités collaborent au sein d’un pôle commun AMF – ACPR sur des chantiers thématiques, tel que les « Parcours digitaux de commercialisation des produits d’épargne financière ». Ce chantier achevé, a fait l’objet d’une note de synthèse publiée en avril 2022, détaillant les constats, bonnes pratiques à promouvoir et aussi les dysfonctionnements et les axes d’améliorations.

AMF et ACPR communiquent largement au travers de communiqués de presse, de notices explicatives, de guides, de chartes, de documents Questions/ Réponses, ce qui permet de connaitre la doctrine des autorités de régulation et de tutelle. Cette précision d’apparence anodine est en réalité la clé du succès de tout passage de contrôle.

I - L’agrément : contrôle de la structure – autorisation d’exercer dans un milieu réglementé

Dans l’exercice des missions de vérification des structures en vue de la délivrance d’un agrément autorisant à exercer les activités sur le marché français, AMF et ACPR reprennent chacune leurs prérogatives propres. La Banque Centrale Européenne (BCE), les autorités de surveillance nationales dont l’ACPR appliquent un principe fondamental commun : « mêmes activités, mêmes risques, même surveillance ».

Pour les fintechs, toute entité désireuse de proposer des services bancaires doit déposer une demande d’agrément bancaire, quel que soit son modèle d’activité. Dans le cadre de la supervision bancaire européenne, les agréments bancaires sont accordés par la BCE via le contrôleur du pays de situation, la Banque de France. Mais, compte-tenu de la multitude de statuts de prestataires possibles et des règlementations rattachées, il n’est pas toujours aisé de savoir où se situer, si une demande d’agrément s’impose ou pas. Un exemple éloquent concerne le statut de Prestataires de Services sur Actifs Numériques (PSAN) né de la loi PACTE en 2019. Face aux incertitudes, flottements divers, le 31 mai 2022, l’AMF a mis à jour sa documentation s’agissant des PSAN en revenant notamment sur la notion essentielle d’actif numérique et en apportant des éclaircissements sur les prestataires soumis à la réglementation PSAN, en particulier sur les conditions d’enregistrement, d’agrément, ainsi que les activités soumises à ces dispositifs.

S’il n’est pas exigé d’être établi en France ni même d’y être représenté, tout prestataire sur actifs numériques enregistré dans des États membres doit s’enregistrer auprès de l’AMF dès lors qu’il fournit des services sur actifs numériques en France. En revanche, s’il souhaite être agréé par l’AMF, le prestataire doit être établi en France (filiale ou succursale) et avoir une réelle fonction qui contribue à l’exercice de l’activité en France (pas une simple adresse). Dans tous les cas, enregistré ou agréé, le PSAN doit mettre en place une organisation, des procédures et un dispositif de contrôle interne pour assurer le respect des dispositions relatives à la LCB-FT ainsi qu’au gel des avoirs.

Dans un communiqué de presse commun de septembre 2022, l’AMF et l’ACPR ont annoncé la radiation à effet immédiat du PSAN BYKEP SAS qui avait été enregistrée comme PSAN par l’AMF, après avis conforme de l’ACPR, le 18 février 2021, pour les activités de conservation d’actifs numériques et d’achat-vente d’actifs numériques contre monnaie ayant cours légal.

Or, la procédure a été engagée à la suite d’un contrôle sur place réalisé par l’ACPR, ayant révélé des faits remettant en cause les conditions de son enregistrement, comme notamment des opérations effectuées au débit de portefeuilles de clients sans leur consentement, des défaillances sérieuses du dispositif de LCB-FT, plus particulièrement en matière de gestion des dossiers de connaissance de la clientèle, d’examen renforcé des opérations présentant un risque particulier ou de mise en œuvre des mesures de gel des avoirs. 

De plus, les autorités ont été informées d’un vol d’actifs numériques par attaque informatique pour une valeur estimée par BYKEP à environ 300 000 euros !  A cette occasion, l’AMF a rappelé que l’enregistrement en tant que PSAN n’emportait aucune vérification de l’autorité en matière de sécurité des systèmes d’information, la loi prévoyant en effet la vérification de la sécurité des systèmes d’information pour les seuls PSAN disposant d’un agrément, ce qui n’était pas le cas de la société BYKEP SAS (PSAN uniquement enregistré).

Pour les Insurtechs, les acteurs entrants adoptent majoritairement le statut de courtiers d’assurances qui est un distributeur de produits d’assurance, profession réglementée imposant des conditions de diplôme, d’honorabilité et de formation. Une inscription auprès de l’ORIAS (Organisme pour le Registre unique de Intermédiaires en banque Assurance et finance, sous la tutelle de la Direction Générale du Trésor) et la souscription d’un contrat d’assurance Responsabilité Civile Professionnelle, sont obligatoires. 

La très grande majorité des acteurs a adopté ce statut d’intermédiaire, différent de celui de preneur de risque, d’assureur, car toute création d’une entreprise d’assurance nécessite de mobiliser plus de capital et d’obtenir un agrément spécifique pour chaque branche de risques. 

Si l’Orias effectue un contrôle au moment de l’inscription et des renouvellements annuels, le contrôle de l’activité des intermédiaires relève de la compétence de l’ACPR ou de l’AMF. Dans le cadre de sa mission de tenue et de mise à jour du registre unique, l’Orias a également la compétence pour instruire, en plus des inscriptions, des suppressions et des radiations d’intermédiaires au registre. Cette compétence est exercée par une Commission. 

Compte tenu du nombre important d’acteurs, environ 40 000 intermédiaires d’assurance, la petite centaine de contrôleurs ne peut assurer le contrôle de toutes les entités. Aussi pour une meilleure efficience du rôle de l’autorité de contrôle, la loi du 8 avril 2021 relative à la réforme du courtage de l’assurance et du courtage en opérations de banque et en services de paiement a instauré un « contrôle participatif » en délégant à 7 associations agréées par l’ACPR le contrôle d’accès de la profession d’intermédiaire d’assurance.  Toutefois un recours a été déposé devant au Conseil d’Etat qui a excipé d’une question préliminaire de constitutionnalité (QPC) déposée devant le Conseil Constitutionnel. La décision du Conseil Constitutionnel du 21 octobre 2022 confirme dans son intégralité le dispositif de contrôle mis en place. 

 II - La supervision : contrôle de la vie de la structure et de ses activités 

 A l’instar de ses entités homologues traditionnelles, les activités des Insurtechs sont soumises aux mêmes contrôles de l’ACPR et aux mêmes conditions. Au sein de la Banque de France, l’ACPR est en contact permanent avec diverses Directions, telles que la Direction des Autorisations (pour tout ce qui touche aux modifications de l’agrément, l’honorabilité et les compétences des dirigeants), la Direction du Contrôle des pratiques commerciales (pour les questions de distribution des contrats et la protection des personnes assurées), la SAGEMOA (pour les questions techniques), la Direction LCB-FT et la Direction des Infrastructures, Innovations et Paiements (pour les questions de sécurité des moyens de paiement). 

En s’associant ainsi aux compétences particulières des Directions spécialisées et l’expérience d’accompagnement des projets innovants, les autorités de contrôle, ACPR et AMF, sont particulièrement aguerries.  Schématiquement, la supervision débute par un contrôle sur pièces (demandes de remises règlementaires, demandes spécifiques et thématiques) qui s’accompagne d’échanges et d’entretiens de supervision. Il peut s’ensuivre un contrôle sur place mené par une équipe sur un thème donné ou une vérification plus générale de la situation financière et des indicateurs prudentiels notamment. 

Les principaux points d’attention contrôlés sont la gouvernance et le dispositif de contrôle interne mis en place dans l’entité contrôlée, la protection des fonds de la clientèle, le risque opérationnel dont le risque cyber, la profitabilité et viabilité des modèles d’affaires et enfin la LCB-FT. 

 En matière de Fintech, Insurtech, l’ACPR a dressé les constats de 2 campagnes de contrôle cyber. Ces contrôles SPOT réalisés auprès de sociétés de gestion font apparaître des faiblesses notamment dans l’identification préalable des actifs critiques (données, applications, mobiles, installations et systèmes) faussant le niveau réel de sécurité et une absence d’analyse de tendance des incidents d’origine cyber. 

Bien entendu, la supervision est axée sur les risques propres aux Fintechs, Insurtechs, donc aux échanges et systèmes d’informations, points délicats à sécuriser et encore souvent trop obsolètes. Est-il opportun de préciser que la charte de conduite d’une mission de contrôle sur place, bien qu’ancienne (2014) demeure un bon référentiel des comportements attendus des personnes contrôlées ? 

Enfin, la place peut aussi être rassurée par l’instauration et la tenue par l’ACPR d’une « liste noire » des sites ou entités proposant en France des crédits, des livrets d’épargne, des services de paiement ou des contrats d’assurance sans y autorisés. En 2021, l’ACPR a inscrit 1202 sites internet frauduleux.  En synthèse, le contrôle sur les Fintechs et Insurtechs par les autorités de tutelle est très bien rodé et efficace. 

 Si par leur fonctionnement et la spécialisation de leurs structures internes, l’ACPR et l’AMF accompagnent l’innovation et le développement du numérique, il ne faut pas perdre de vue le pouvoir de sanction que détient chacune de ces autorités, qu’il soit disciplinaire (retrait d’agrément par exemple) ou pécuniaire (amende).