14 minute read
INTERVIEW AVEC
« Une meilleure exploitation des données est cruciale pour la CSSF »
Véritable colonne vertébrale de l’économie luxembourgeoise, le secteur financier a lui aussi entamé sa transformation digitale. Cela a évidemment des implications concrètes pour son régulateur, la Commission de surveillance du secteur financier (CSSF). Le directeur de l’établissement, JeanPierre Faber, nous explique sa vision de ce que sera la CSSF 4.0.
La transformation digitale des acteurs financiers a connu une importante accélération au cours des dernières années, et plus encore suite au Covid-19. En quoi est-ce important pour la CSSF de suivre le mouvement ? Comme vous le mentionnez, le marché lui-même a vu éclore dernièrement un nombre important de nouvelles solutions digitales : la blockchain, les cryptomonnaies, les tokens, etc. Nous devons donc nous adapter par rapport à cette évolution, pour servir à la fois de facilitateur de la transformation digitale pour les entités régulées, mais aussi de garde-fou. Les attentes du marché sont en effet élevées : les acteurs attendent de nous une grande réactivité et une réelle transparence, ils ne veulent pas voir leur croissance commerciale entravée. Pour eux, la digitalisation, notamment l’automatisation de certains processus, est en effet une nécessité, car elle leur permet certes de réduire leurs coûts dans un contexte de diminution des marges, mais surtout d’être plus dynamiques, plus agiles, tout en maintenant un niveau de qualité élevé. D’un autre côté, la société civile et les pouvoirs publics souhaitent que nous jouions notre rôle de protecteur par rapport aux éventuelles dérives que cette digitalisation pourrait entraîner. Notre priorité reste en effet de garantir la stabilité du marché et la réputation de la Place luxembourgeoise. Nous devons donc trouver le bon équilibre entre ces deux exigences.
Concrètement, comment vous organisez-vous pour atteindre ces objectifs ? Nous visons, ensemble, à travailler sur les qualités professionnelles de nos collaborateurs, au développement de nos « talents intrinsèques ». Il s’agit d’un travail de longue haleine, que nous avons articulé autour de plusieurs axes. Le premier est lié aux ressources humaines. La CSSF a 30 ans et a connu une importante évolution au cours des dernières années, avec plus de 300 engagements en l’espace de cinq ans. Nous comptons aujourd’hui près de 1.000 collaborateurs, qui ne sont pas tous des digital natives. Il faut donc mettre en place un plan d’upskilling, RGPD : AUCUNE AMENDE ADMINISTRATIVE
Depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD), le 25 mai 2018, le nombre de réclamations déposées à la CNPD (Commission nationale pour la protection des données) a augmenté en 2018 (environ 450, soit plus du double de l’année précédente) et en 2019 (plus de 600). Il en va de même pour les contrôles en entreprise (12 en 2018, et 33 en 2019). 526 violations de données ont, en outre, été notifiées à la CNPD depuis le 25 mai 2018. Si 140 réclamations ont conduit à l’adoption de « mesures correctrices », aucune amende administrative n’a été délivrée au Luxembourg depuis l’entrée en vigueur du RGPD. qui permette à la fois d’identifier les compétences indispensables aujourd’hui et demain, et de former les personnes qui doivent l’être. Plus largement, il faut que nos collaborateurs puissent comprendre les évolutions du marché dans le domaine des nouveaux outils et services qui y sont proposés. Par ailleurs, il est crucial pour nous de parvenir à exploiter au mieux les données transactionnelles, la « data pure », dans le respect des règlements européens, évidemment. Pour mener cette tâche à bien, nous aurons besoin de développer nos compétences dans le domaine des data scientists, en nous formant, mais également en ayant recours à des recrutements externes.
Au-delà des ressources humaines, quelles sont les nouvelles technologies à l’étude au sein de la CSSF ? D’importants efforts ont déjà été réalisés au niveau de la collaboration interactive en temps réel avec les acteurs du secteur financier. Cela prend forme, par exemple, au travers de la mise en place d’une Dropbox CSSF, de l’intensification de l’implémentation de guichets digitaux. e-Prospectus est notre guichet destiné au traitement des final terms ; eDesk concerne la vie d’un agrément OPC (organisme de placement collectif, ndlr), le registre des comptes bancaires est destiné à l’AML (anti-money laundering, ndlr) pour différents organismes gouvernementaux. En parallèle de ceci, nous menons des projets nous permettant d’aller encore plus loin dans l’innovation. Avec le SnT (Interdisciplinary Centre for Security, Reliability and Trust de l’Université du Luxembourg), nous menons un projet qui vise à analyser des dizaines de milliers de prospectus autorisés afin de nourrir un système de machine learning qui nous permettrait d’automatiser l’autorisation de certains fonds d’investissement standards. Au final, notre idéal pour une CSSF 4.0 serait de parvenir à une surveillance en temps réel des entités régulées, avec l’aide des nouvelles technologies. Cellesci nous aideraient à limiter le coût de la surveillance, aujourd’hui assumé en partie par les acteurs de l’industrie. Aujourd’hui, la digitalisation et l’automatisation nous permettent de rendre nos contrôles plus rapides, efficaces
Matic Zorman Photo
et évolutifs en étant « agiles ». En effet, grâce à ces technologies, nous pouvons recevoir et stocker de façon sécurisée des quantités importantes de données provenant de nos entités surveillées et les analyser en un temps optimisé. Plus on traitera de données, plus notre outil d’analyse, grâce au machine learning, sera capable de les interpréter finement pour repérer les risques éventuels qui se présenteraient. L’humain restera essentiel dans ce processus, notamment en définissant ces modèles mathématiques « métier », ainsi que les tests associés. Notre volonté, pour l’avenir, est d’être plus efficients à effectifs constants.
Considérant le caractère sensible de votre activité, faites-vous appel à des prestataires externes pour le développement de nouvelles technologies ? Nous avons aujourd’hui, au sein de nos effectifs, des personnes compétentes dans le domaine des nouvelles technologies, que ce soit en matière d’infrastructure informatique, de développement de solutions « métier », ou encore de gestion de la data. Néanmoins, nous souhaitons rester en contact avec la société civile, et nous mettons donc en place de nombreuses collaborations avec des prestataires externes – collaborations qui revêtent, la plupart du temps, la forme de « partenariats ». Par ailleurs, nous voyons également les collaborations de façon positive, comme un moyen à la fois d’aider certaines start-up à se développer et d’acquérir de nouvelles compétences. À travers notre division Innovation financière, nous cherchons à initier la communication avec les nouvelles fintech, à challenger leur approche, à les guider, pour faire en sorte que leurs services soient compatibles avec le cadre réglementaire. Une fois autorisées, nous les aidons à se développer, et, enfin, nous pouvons devenir leurs clients, car nous avons aussi besoin de certains des services qu’elles proposent. C’est une forme de win-win.
Quel rôle a joué la crise du Covid-19 dans la digitalisation de la CSSF ? Elle a servi d’accélérateur pour toute une série de processus que l’on ne pensait pas pouvoir digitaliser aussi rapidement, et qui l’ont finalement été dans un délai très court. Le meilleur exemple est sans doute le télétravail dans la fonction publique. Au début de la période de confinement, le texte de loi sur le télétravail n’avait absolument pas pris en compte le cas des fonctionnaires, qui sont obligés de respecter le principe de territorialité, c’est-à-dire de prester sur le territoire luxembourgeois. Il semblait donc, a priori, impossible de le mettre en place. Mais nous nous sommes finalement basés sur la loi relative au travail à distance – créée pour encadrer les missions à l’étranger – pour permettre à nos employés d’avoir accès à des données confidentielles, même depuis leur domicile, en dehors des frontières luxembourgeoises. Rappelons, en effet, que près de 50 % de nos collaborateurs sont originaires d’un autre pays de l’Union européenne, et que 23 % d’entre eux sont non-résidents. Les accords entre pays ont permis de régler ce problème, et, aujourd’hui, nous fonctionnons toujours avec des rotations d’effectifs : un tiers du personnel est présent au bureau, en alternance. Par ailleurs, nous avons également accompagné certaines entités surveillées dans la mise en place et la gestion du télétravail, ainsi que dans l’ensemble de leur business continuity plan (BCP).
Vos projets de digitalisation ont-ils été freinés par la crise ? Malgré le recours au télétravail, nous constatons que nos objectifs en la matière ont été atteints. Au niveau du lean management (gestion allégée, ndlr), nous avons lancé une vingtaine de projets en l’espace de trois ans, et une douzaine devraient encore être réalisés cette année. Nous avons, par ailleurs, mis en œuvre de nouvelles méthodes de travail. En ce qui concerne les ressources humaines, nous avons élargi notre offre de formations en ligne, afin de continuer à répondre à l’impératif de se former, tout en restant à distance. Les outils de travail se sont également adaptés, avec le recours aux solutions de communication à distance, comme, par exemple, la refonte de notre site internet et le développement de portails électroniques permettant des échanges sécurisés et transparents avec les différents acteurs du secteur. En outre, nous avons implémenté le registre centralisé des banques, dont la CSSF a été nommée gestionnaire.
Pensez-vous que le télétravail sera appelé à perdurer dans votre secteur après la crise ? Comment l’encadrer ? Nous avons vu, pendant la crise, que le télétravail pouvait fonctionner. Il s’imposera également après la crise. Nous ne parlons bien sûr pas d’un télétravail généralisé, mais d’une situation où des collaborateurs du secteur financier travailleront depuis leur domicile un ou deux jours par semaine. Par contre, nous savons également déjà que le cadre réglementaire devra être adapté, car certaines mesures d’exception appliquées actuellement ne seront pas éternelles. Je pense ici, notamment, aux accords fiscaux bilatéraux négociés par le Luxembourg avec ses pays voisins, permettant aux travailleurs frontaliers de dépasser les seuils généralement prévus en matière de jours de travail qu’ils peuvent prester à partir de leur pays de résidence. Nous travaillons donc en ce moment sur une circulaire encadrant le télétravail pour les entités régulées, et qui tiendra compte des contraintes de sécurité et de confidentialité propres au secteur financier, des exigences en matière de substance relevant du droit des sociétés, mais également de la situation atypique des fonctionnaires.
Vous évoquiez tout à l’heure l’exploitation de la donnée comme un élément crucial de la transformation digitale de la CSSF. Pourquoi ? Aujourd’hui, « data is the new oil ». Nous surveillons chaque année des millions de transactions. Cette activité
nous permet de rassembler une quantité importante de données. Celles-ci peuvent nous être utiles à plusieurs titres. Tout d’abord, elles peuvent nous aider à améliorer nos capacités de surveillance en identifiant des comportements typiques et atypiques, en matière de blanchiment ou de financement du terrorisme, par exemple. Ensuite, la CSSF peut exploiter la donnée qu’elle détient en l’analysant, la formatant et la restituant au marché, ce qui permettrait aux entités régulées de réduire un peu leurs efforts liés au reporting. Nous ne disposons malheureusement encore ni du cadre légal ni des outils technologiques pour concaténer toutes les données en notre possession et en faire bon usage. Mais considérant les initiatives de ce type qui se multiplient au niveau international, le Luxembourg – et la CSSF – doit avancer sur ce sujet. Il en va de la compétitivité du pays. Un des impératifs étant cependant que les parties prenantes du traitement de ces données le fassent uniquement dans l’intérêt public, et non en poursuivant un intérêt commercial. OÙ LES DONNÉES PEUVENT-ELLES ÊTRE STOCKÉES ?
De nombreux professionnels du secteur financier ont aujourd’hui recours à la soustraitance, notamment en matière informatique. Cela signifie que certaines données, parfois hautement confidentielles, se retrouvent hébergées hors du Luxembourg. Plusieurs circulaires de la CSSF encadrent toutefois la pratique et obligent notamment les sociétés qui soustraitent à l’étranger à obtenir l’accord du client pour transmettre des données confidentielles. Cellesci doivent en outre être cryptées.
Pour mieux exploiter les données, ne faudrait-il pas que les différentes entités régulées consentent à partager plus largement celles qu’elles possèdent ? Dans les faits, des échanges de données ont déjà lieu – en tout cas, entre la CSSF et les entités régulées. Ils ont été renforcés à la suite de la mise en place de nos différents guichets digitaux destinés à faciliter les transferts d’informations et la collaboration en temps réel sur les opérations dédiées dans nos guichets. La question sous-jacente que tout le monde se pose est la suivante : Qui peut aller consulter ces données ? À la CSSF, nos agents doivent suivre une procédure très stricte pour pouvoir le faire sur base du principe needtoknow (besoin de savoir, ndlr). En ce qui concerne l’externe, l’accès aux guichets se fait via des tokens Luxtrust. Nous sommes donc sur de l’authentification forte, que ce soit en interne ou en externe. Malgré le fait que le cadre réglementaire à lui seul nous donne le droit et les pouvoirs, dans l’exercice de nos missions de surveillance, d’accéder aux données relatives à notre domaine d’activité possédées par une entité régulée, nous attachons une importance toute particulière à la dimension collaborative et à la transparence de nos échanges. Ainsi, la question d’un non-partage des données ne se pose plus vraiment. Nous espérons avoir une adhésion naturelle quant à la question de l’accès à la donnée.
La possession de données implique aussi une responsabilité, celle de ne pas se les faire dérober. Comment vous protégez-vous contre les cyberattaques ? Nous cherchons en permanence à améliorer nos capacités de défense contre les cyberattaques, notamment grâce à la mise en place d’une red team – qui tente d’attaquer le système – et d’une blue team – qui le défend. Nous demandons aussi à des spécialistes externes de simuler des attaques, afin d’être toujours prêts à faire face aux dernières menaces, qui sont en constante évolution. Un volet important de notre stratégie de cybersécurité réside dans la formation, notamment par rapport aux risques de phishing (technique illégale de piratage d’informations en ligne, ndlr). Ce type d’attaque est en effet de plus en plus sophistiqué, et il faut vraiment un œil averti pour le repérer. Rappelons toutefois que ce travail est appliqué par la CSSF à elle-même, et que c’est aux entités surveillées d’appliquer les mêmes préceptes de prudence. Cela fait d’ailleurs partie de leurs obligations professionnelles.
Vous évoquez souvent le facteur humain. Finalement, quelles devront être les qualités des collaborateurs de la CSSF dans sa version 4.0 ? Notre volonté, grâce à la digitalisation, est que nos collaborateurs libèrent une partie de leur temps, accaparé par des tâches administratives et répétitives, pour le consacrer à des missions à plus haute valeur ajoutée. Si on prend l’exemple du projet que nous menons avec le SnT, nous pourrions aboutir à une situation dans laquelle nos collaborateurs ne seraient amenés à analyser que les points de divergence que l’IA (intelligence artificielle, ndlr) aurait fait ressortir par rapport à des prospectus standards ou des données préexistantes déjà en notre possession. Ce temps gagné servirait aussi à mieux faire certaines choses que nous avons lancées, mais qui peuvent encore être améliorées, et doivent assurément l’être.
Comment faire en sorte que les particuliers s’intéressent plus largement aux marchés financiers ? La directive PSD2 est un pas dans la bonne direction. Elle renforce la sécurité des transactions et la confiance des investisseurs. Je crois que la technologie peut également être utile pour rapprocher investisseurs et professionnels de la finance. Elle pourrait en effet nous permettre d’avertir chaque entité lorsqu’un profil de client souhaite investir dans un type de produit auquel il ne devrait pas forcément avoir accès. Faciliter ce type de process cadre complètement avec notre mission, qui est d’offrir la sécurité nécessaire à la société civile par rapport aux marchés financiers, mais aussi de garantir la stabilité de ces derniers et la réputation de la place financière luxembourgeoise. Il ne faut pas oublier que le secteur financier rapporte, de façon indirecte, près de 30 % du PIB du pays. Pour le gouvernement, il est donc essentiel que cette industrie reste forte et fiable.
Comment les entités que vous régulez réagissentelles à vos efforts en matière de digitalisation ? La plupart d’entre elles sont plutôt demandeuses, et sont donc satisfaites de nos efforts. Notre Dropbox a par exemple été rapidement adoptée par les acteurs du secteur. Nous avons bien conscience qu’il est possible de faire mieux en matière d’expérience utilisateur. Nous nous inscrivons dans un processus d’amélioration continue. Aussi, notre volonté est de rester à hauteur de l’industrie et de l’inciter, plus encore, à multiplier les développements digitaux. L’un des prochains grands chantiers qui l’attendent est d’ailleurs la mise en place d’un « e-euro », qui est rendue nécessaire par les initiatives qui sont lancées ailleurs dans le monde. La création d’un « e-yuan » aurait en effet un impact considérable sur l’économie mondiale. Il faut donc être prêt pour cette éventualité… voire la prendre de vitesse.
Table ronde Luxembourg Recovery Tackling bias in artificial intelligence, and eventually in humans
Ann-Elise Delbecq
AI Elite team EMEA (IBM)
Artificial intelligence awakens great hopes, by allowing us to make decisions more quickly and objectively than human judgments alone.
While it holds out the promise of competitiveness, it also has a dark side, that of undesirable biases. AI is dependent on the social and cultural context of its designers and the data that feeds them. During this Club Talk, Ann-Elise Delbecq, AI Elite team EMEA at IBM, will discuss the emergence of tools and methodologies to deal with these new algorithmic biases.
