L’Autorité bancaire européenne (EBA) a proposé une révision majeure du cadre de gouvernance interne des établissements financiers.
Les établissements sont confrontés à des enjeux cruciaux concernant l’adaptation de leurs structures de gouvernance aux nouvelles exigences réglementaires. Pour les dirigeants et responsables de la conformité, comprendre ces évolutions n’est pas seulement une nécessité réglementaire, c’est l’occasion de renforcer durablement les dispositifs de contrôle et la culture du risque.
1- Un contexte de renforcement continu des exigences de gouvernance
Les nouvelles exigences interviennent dans un contexte réglementaire en pleine mutation, marqué par l’entrée en vigueur de la directive CRD VI, l’application du règlement DORA sur la résilience opérationnelle numérique, et la publication du rapport de référence de l’EBA sur les pratiques de diversité et les politiques de rémunération neutres du point de vue du genre.
L’objectif affiché est clair : harmoniser davantage les dispositifs de gouvernance interne des établissements à travers l’Union européenne, tout en tenant compte des enseignements tirés des pratiques de supervision et des crises financières passées. Les nouvelles exigences s’appliquent à tous les établissements, quelle que soit leur structure de gouvernance (conseil d’administration unique, structure duale ou autre configuration), sans préconiser de modèle spécifique.
2- Les trois lignes de défense au cœur du dispositif
L’architecture des nouvelles exigences repose sur le concept éprouvé des trois lignes de défense.
La première ligne, constituée des unités opérationnelles, porte la responsabilité première de la gestion des risques au quotidien.
La deuxième ligne, incarnée par les fonctions de gestion des risques et de conformité, assure un contrôle indépendant et une surveillance continue.
La troisième ligne, représentée par l’audit interne, apporte une assurance objective sur l’efficacité de l’ensemble du dispositif.
Les nouvelles exigences de l’EBA renforcent particulièrement le rôle des deuxième et troisième lignes de défense. Sont précisés les responsabilités, l’organisation et les moyens dont doivent disposer ces fonctions pour exercer efficacement leur rôle. Cette clarification répond aux constats de supervision montrant que les défaillances de gouvernance résultent souvent d’un positionnement insuffisamment robuste de ces fonctions de contrôle.
3- La proportionnalité : un principe réaffirmé mais précisé
Le principe de proportionnalité dans la détermination des dispositifs de gouvernance appropriés est confirmé. Les exigences restent adaptées à la taille, à la complexité et au profil de risque de chaque établissement. Néanmoins, un niveau de détail accru est introduit, ce qui être perçu comme excessivement prescriptif.
Cette tension entre harmonisation et flexibilité constitue l’un des défis majeurs du nouveau cadre. D’un côté, l’expérience de supervision montre que des établissements de tailles et de structures différentes peuvent être également exposés à des défaillances de gouvernance, ce qui plaide pour des standards communs et robustes. De l’autre côté, la diversité des business modèles, des tailles d’établissements et des cadres juridiques nationaux nécessite une certaine flexibilité d’application.
Le nouveau cadre recommande d’ailleurs que la convergence de supervision puisse être atteinte par une approche davantage fondée sur des principes, complétée par des pratiques de convergence ex-post (revues par les pairs et coordination entre autorités nationales compétentes), plutôt que par des règles excessivement détaillées qui pourraient générer des coûts de conformité disproportionnés, ultimement répercutés sur les utilisateurs finaux des services financiers.
4- La diversité des cadres de gouvernance nationaux : un enjeu de compatibilité
L’une des questions les plus sensibles soulevées par l’EBA concerne la compatibilité des nouvelles normes avec les différents cadres de droit des sociétés existant dans les États membres. Certains pays ont adopté des systèmes de conseil d’administration unique (one-tier) où l’organe de direction exerce collectivement les fonctions de gestion et de supervision. D’autres ont privilégié des structures duales avec une séparation nette entre le directoire et le conseil de surveillance.
Ainsi, les nouvelles normes se veulent neutres vis-à-vis de ces choix structurels, mais certaines formulations pourraient entrer en conflit avec les principes de droit national. Par exemple, l’individualisation des responsabilités suggérée dans ce nouveau cadre pourrait être incompatible avec le principe de responsabilité collective qui prévaut dans certains systèmes juridiques. Il s’agit là d’un point que l’EBA est censée analyser de manière approfondie en vue d’assurer la compatibilité avec les cadres juridiques nationaux et reconnaître explicitement que la diversité des structures de gouvernance reflète des choix délibérés des législateurs nationaux et européen.
5- La présidence du conseil : équilibre entre indépendance et expertise opérationnelle
Un point de débat significatif concerne le rôle du président du conseil. Alors que la CRD empêche le président du conseil (dans sa fonction de surveillance) d’exercer simultanément les fonctions de directeur général, il ne lui interdit pas d’occuper d’autres fonctions exécutives au sein de l’établissement.
Le rôle du président exécutif est autorisé dans certaines législations nationales et reconnu par les principes de gouvernance du Comité de Bâle, sous réserve de mécanismes de contrôle et d’équilibre appropriés (nomination d’un administrateur indépendant principal, proportion accrue d’administrateurs non exécutifs, etc.).
Supprimer cette flexibilité pourrait introduire des coûts et une complexité inutiles, particulièrement pour les organisations de taille petite et non complexe qui peuvent gérer ce risque avec des garde-fous appropriés.
Cette position illustre un débat de fond : privilégier une indépendance formelle maximale ou permettre un enrichissement de la prise de décision par une connaissance opérationnelle approfondie, dès lors que des contre-pouvoirs efficaces sont en place.
6- Les comités spécialisés : renforcement des exigences de compétence
Les exigences de compétence pour les membres des comités spécialisés sont renforcées, notamment le comité de rémunération. Les membres doivent disposer, tant individuellement que collectivement, des connaissances, compétences et expérience nécessaires, y compris concernant l’impact des facteurs environnementaux, sociaux et de gouvernance (ESG) sur la rémunération.
Cette exigence est substantiellement plus stricte que celle prévues dans par guidelines sur les politiques de rémunération saines de l’EBA ou par la CRD VI. Cette élévation du niveau d’exigence pourrait compliquer le recrutement de candidats appropriés pour ces comités, particulièrement dans les établissements de taille moyenne.
7- La gestion des risques opérationnels : précision ou prescription excessive ?
Concernant le rôle du comité des risques, l’ABE fournit une liste d’exemples de risques opérationnels citant “les risques juridiques, relatifs aux droits fondamentaux, de discrimination et TIC”. Le BSG s’interroge sur la valeur ajoutée de cette énumération, estimant que le risque opérationnel est un concept bien défini et compris, et que ces types de risques ne sont pas nécessairement les sous-catégories les plus représentatives ou matérielles dans tous les établissements financiers.
De plus, les risques relatifs aux droits fondamentaux et à la discrimination pourraient être mieux appréhendés comme des facteurs de risque (par exemple, le risque de discrimination peut accroître les risques juridiques, commerciaux ou réglementaires) plutôt que comme des catégories de risques en soi. Bien qu’une liste illustrative puisse fournir une orientation utile, le BSG craint qu’elle ne soit indûment prescriptive et qu’elle crée le risque que les superviseurs s’attendent à ce que les établissements modifient leurs taxonomies de risques, créant un décalage avec la gestion effective des risques.
Externalisation et arrangements intragroupe : recherche d’équilibre
Le paragraphe 68 des lignes directrices fait référence aux arrangements avec des tiers qui transforment les établissements en “coquilles vides” ou “entités boîtes aux lettres”, en incluant les arrangements intragroupe. Si l’intention est louable et vise à traiter des cas extrêmes d’arrangements dépourvus de substance appropriée, le BSG craint que la formulation proposée ne crée la présomption que les entités dotées de ressources allégées ne sont pas appropriées, décourageant ainsi des arrangements de services intragroupe légitimes et efficaces.
Dans de nombreux cas, ces arrangements peuvent offrir des avantages significatifs, notamment une surveillance accrue, une cohérence opérationnelle et une meilleure intégration des protocoles de gestion des risques. Ces avantages sont particulièrement pertinents lorsque les établissements utilisent des entités du groupe pour faciliter ou délivrer des fonctions clés. Le BSG recommande que soit reconnu le principe selon lequel la substance doit être proportionnée à la nature, à l’échelle, à la complexité et aux risques des activités couvertes par les arrangements.
Culture du risque et diversité : au-delà de la conformité formelle
Le titre IV des lignes directrices, consacré à la culture du risque, introduit des exigences renforcées en matière de diversité et d’inclusion. Si le BSG considère qu’il est important que les politiques internes des établissements favorisent la diversité et l’inclusion, et que leurs politiques de rémunération soient neutres du point de vue du genre, il souligne également que l’accès au congé parental et sa durée sont régulés par les législations du travail et les conventions collectives de chaque État membre.
Le paragraphe 101a introduit une liste d’indicateurs de performance clés relatifs à la diversité de genre et à l’inclusion. Le BSG note que dans certains États membres, les établissements sont déjà tenus de prendre des mesures pour promouvoir l’égalité entre les genres dans la vie professionnelle sur la base de la législation nationale. De plus, la directive sur la transparence des rémunérations, qui doit être transposée dans les législations des États membres d’ici le 7 juin 2026, impose des exigences variables de divulgation concernant l’égalité salariale.
Le BSG recommande donc que l’ABE examine si tous les indicateurs listés au paragraphe 101a sont nécessaires, compte tenu du fait que la directive sur la transparence des rémunérations remédie à de nombreux risques liés aux lacunes réglementaires en matière d’égalité salariale. Par ailleurs, les exigences en matière d’indicateurs clés de performance relatifs à la diversité de genre et à l’inclusion pourraient chevaucher celles de la directive sur le reporting de durabilité (CSRD) qui a déjà formulé des demandes claires sur ces sujets.
Fonction de conformité et lutte contre le blanchiment : clarification des responsabilités
Les lignes directrices stipulent que la personne responsable du règlement (UE) 2024/1624 sur la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux ou de financement du terrorisme ne peut plus être le responsable de la conformité, mais devrait être un membre de l’organe de direction dans sa fonction de gestion.
Bien que le BSG comprenne la nécessité d’une clarification réglementaire supplémentaire sur cette responsabilité, il considère que le responsable de la conformité pourrait continuer à être considéré comme la personne appropriée pour assumer cette responsabilité. Si l’ABE décide néanmoins de procéder avec l’approche proposée, le BSG suggère que le membre de l’organe de direction dans sa fonction de gestion puisse déléguer ce rôle au responsable de la conformité.
Cette question illustre plus largement la nécessité d’articuler clairement les responsabilités entre les différentes fonctions de contrôle, sans créer de redondances inutiles ou de confusion dans les lignes de reporting, tout en garantissant une supervision effective au plus haut niveau de l’établissement.
Alignement avec DORA et gestion de la continuité d’activité
Le titre VI des lignes directrices, consacré à la gestion de la continuité d’activité, a été revu pour s’aligner sur les exigences du règlement DORA sur la résilience opérationnelle numérique. Le BSG considère ces changements comme globalement utiles et équilibrés.
Toutefois, le paragraphe 230 stipule que la documentation devrait être accessible au personnel pertinent et stockée sur des “systèmes physiquement séparés pour une utilisation d’urgence”. Le BSG note que ce concept ne se retrouve pas dans le règlement DORA ou dans les lignes directrices de l’ABE sur la gestion des risques TIC, ce qui peut créer de l’ambiguïté. Il recommande de revoir cette exigence pour l’aligner plus pleinement avec DORA et éviter des interprétations divergentes.
Préparer efficacement la mise en conformité
La révision des lignes directrices sur la gouvernance interne représente un défi significatif pour les établissements financiers, qui devront potentiellement adapter leurs structures, leurs processus et leur documentation dans un calendrier contraint. Au-delà de la conformité formelle, c’est l’occasion de renforcer réellement l’efficacité des dispositifs de gouvernance et de contrôle.
Notre cabinet accompagne les établissements dans toutes les dimensions de cette transformation : analyse d’écart par rapport aux nouvelles exigences, identification des incompatibilités potentielles avec le droit national, adaptation des chartes et règlements intérieurs, formation des membres des organes de direction et des comités spécialisés, refonte des dispositifs de reporting et de documentation. Notre expertise conjugue une maîtrise approfondie des exigences réglementaires européennes, une connaissance des spécificités des cadres juridiques nationaux, et une expérience opérationnelle des réalités de gouvernance bancaire.
Dans un contexte où les attentes supervisory continuent de s’élever, faire de la gouvernance interne un véritable avantage compétitif plutôt qu’une simple contrainte réglementaire devient essentiel. Nous sommes à vos côtés pour transformer cette obligation en opportunité de renforcement durable de votre organisation.