FAQ du CIF : l'AMF précise ses pensées...et ca fait du bien.
Vincent Boisseau • 29 septembre 2023
L'AMF vient donc de diffuser une nouvelle mouture de sa FAQ pour les CIF. Quelles sont les nouveautés ?
Catégorisation des clients (4.8)
Cette question de la catégorisation restait toujours un peu vague sur quelques détails.
Suite à une récente composition administrative et à ce nouveau texte, les choses sont claires :
- "les CIF ne peuvent traiter leurs clients qu’en clients non professionnels ou en clients professionnels par nature, sur la base de critères objectifs établis par le code monétaire et financier" (voir ci-dessous les critères).
- "Les CIF ne sont pas autorisés à présumer des connaissances et de l’expérience de leurs clients ou encore que ces derniers sont en mesure de supporter tout risque lié à l’investissement compte tenu de leurs objectifs"
- "Un CIF ne peut pas utiliser (...) la catégorisation (...) en tant que client professionnel sur option effectuée par un PSI."
- "La catégorisation d’un client réalisée par un PSI est propre à la prestation de ce PSI"
Quelles conclusions tirer de tout cela :
- Cela semble signifier qu'il faut partir du principe que tout client est NON professionnel sauf si ce client respecte les critères du Professionnel par nature (voir ci-dessous les critères).
- L'AMF autorise le CIF à traiter avec des clients PRO par nature.
- Le CIF ne peut pas "présumer", mais, selon nous, il peut constater qu'un client respecte les critères d'un PRO par nature.
Conséquences :
- En tant que CIF, vous ne pourrez proposer de produits PRO qu'à des clients Professionnels par nature (et ceux-ci sont rares). Parmi ces produits réservés aux PRO on trouve notamment certains FIA LUXEMBOURGEOIS.
Professionnels par nature :
- Défini à l’article D533-11 du Code monétaire et financier (LIEN)
- Les institutions bancaires, les sociétés d’assurances et autres sociétés dont l’activité principale se situe dans le domaine de la finance et des marchés financiers. ( SGP, fonds, entreprise d'investissement,...)
- Entreprises qui respecte 2 des 3 critères : capitaux propres supérieurs à 2 millions d’euros, chiffre d’affaires net supérieur à 40 millions d’euros, ou total du bilan supérieur à 20 millions d’euros, sur la base des états comptables individuels
Conseil indépendant et non indépendant (4.12)
L'AMF nous fait de l'AMF. Elle indique en 4.12 : "Au titre de ses règles de bonne conduite, le CIF indique la nature des conseils qu’il est susceptible de fournir dans le document d’entrée en relation qu’il remet au client le CIF et il ne peut se présenter comme « conseiller en investissement indépendant » pour l’activité de conseil en investissement dans son ensemble".
Une tournure de phrase malencontreuse car l'article 325-4.4 indique bien :
"Lorsque des conseils sont susceptibles d'être proposés ou donnés au même client tant de manière indépendante que non indépendante, le conseiller en investissements financiers explique la portée des deux services pour permettre aux investisseurs de les distinguer, et ne se présente pas comme un conseiller en investissements indépendant pour l'activité dans son ensemble".
Les frais (4.10)
"les CIF sont notamment tenus de disposer d’une procédure adéquate « qui détermine en outre, et en tenant compte de leur coût et de la complexité, si d’autres services d’investissement, ou instruments financiers équivalents sont susceptibles de correspondre au profil de ses clients ».
Conseil d'un produit hors marché cible (4.6)
C'est oui si diversification avec une petite réserve néanmoins.
Actualisation de la liste des textes concernant la LCBFT (4.4)
Et l'AMF de rappeler que le CIF est concerné par le GEL DES AVOIRS !
Distinction entre les notions de conseil en investissement, de conseil dit « haut de bilan » et de placement non garanti (1.10)
L'AMF renvoie vers la position AMF DOC-2018-03 (lien)
Depuis le jeudi 27 février, l'outil O2S d'HARVEST est bloqué suite à une cyberattaque. L'information est officielle depuis le vendredi 28 février. A ce jour , lundi 3 mars, l'outil n'est pas rétabli. A ce jour, aucun élément n'indique qu'il y a eu fuite de données. CONSTATS & ANALYSES Suite à la cyberattaque d’HARVEST, il y a des obligations CNIL à faire en tant que vous Responsable des Traitements et HARVEST sous-traitant. D'autant qu'O2S contient une quantité astronomique de Données à Caractère Personnel sur les clients : adresse, mail, téléphone, RIB, patrimoine, CNI, peut-être données médicales...bref, c'est énorme. Donc il y a effectivement des choses à faire. Voici le lien vers la CNIL qui traite des violations de données personnelles : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles En effet notre analyse est: qu’il y a eu une violation de données du fait d’un cas cité : perte de disponibilité , d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite) En revanche on ne sait pas encore s’il y a eu fuite de données, LE DISPOSITIF d'HARVEST Voici les informations reçues par un CGP, en juillet 2024, sur le dispositif HARVEST : plutôt sérieux. "Sécurité physique : Les serveurs sont hébergés dans un Datacenter Interxion dans l’UE. Le Datacenter a de nombreuses certifications : ISO 14001:2004, ISO 27001 & ISO 22301, ISO 50001:2011, OHSAS 18001, ITIL V3 ,PCI-DSS, HDS (Hébergeur Données Santé). Les infrastructures sont monitorées 24h/24 et 7h/7. Les baies hébergeant les systèmes sont fermées à clé, seul le personnel habilité a accès aux baies : Notre sous-traitant (Waycom) pour la mise à disposition et la supervision des infrastructures d’hébergement travaillant pour le compte d’Harvest (hors baies privées dédiées dont l’accès est géré uniquement par Harvest) Les membres habilités de la DSI Harvest. Les grappes de disques ainsi que les alimentations sont redondées (ainsi que tous les éléments critiques physiques du Datacenter : réseaux internet, réseaux électriques, etc…). Sécurité logique : Les données de production sont accessibles uniquement par un nombre de personnes restreint, défini en accord avec le comité des risques d’Harvest. En aucun cas nos sous-traitants ont accès aux données applicatives. L’accès est basé sur une authentification : compte / mot de passe. Les droits et habilitations sont donnés selon le profil de l’utilisateur. Les flux sont chiffrés (HTTPS). Les données des applications répliquées en continue sur un serveur de secours local et sauvegardées sur un serveur de sauvegarde distant. Les opérations effectuées sur les serveurs sont journalisées. Les serveurs sont mis à jour régulièrement et possèdent un antivirus à jour. Des tests de vulnérabilité sont effectués périodiquement et donnent lieu, si nécessaire, à des plans de remédiation. Réglementaire : Dans le cadre de la réglementation européenne RGPD, un registre des traitements a été créé, il est maintenu par le DPO (Data Protection Officer) d’Harvest. Plan de continuité (PUPA), dans ce cadre Harvest : Dispose d’une procédure de gestion et d’escalade des incidents. A mis en place un comité des risques et est accompagné par un cabinet d’audit externe Activation de la cellule de crise en cas de problème majeurRéalise des évolutions régulières sur l’infrastructure matérielle et logicielle de ses environnements pour améliorer en permanence les performances et la sécurité " QUE FAUT IL FAIRE en interne ? La violation de données et la cyberattaque ne concernent pas VOS systèmes mais ceux d'un sous-traitant. Donc pas de panique. Quand on lit les instructions CNIL, dans cette configuration, il faut documenter la violation de données en interne. QUE FAUT IL FAIRE vis à vis de la CNIL? Là l'instruction est claire : il faut notifier l’incident à la CNIL dans les 72 heures (donc aujourd'hui pour ceux qui ne l'ont pas faite). Pour ce faire, la CNIL vous accompagne : compléter le document préparatoire (aide au remplissage) : https://www.cnil.fr/sites/cnil/files/2023-07/trame_des_notifications_de_violations_de_donnees_0.odt puis faite la notification en ligne : https://notifications.cnil.fr/notifications/ QUE FAUT IL FAIRE vis à vis de vos clients ? Ne faites rien pour le moment ! Il faut prévenir les clients si la fuite de données est avérée. En effet, la CNIL précise : en cas de doute sur l’incidence de la fuite de données personnelles concernant la vie privée des personnes concernées (c’est le cas à ce jour car nous ne savons pas s’il y a eu fuite ou non de données), notifiez à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes. Voilà Croisons les doigts pour que vous puissiez rapidement travailler et que les données des clients ne fuitent pas.!
SRRI ou SRI...that's the question
L'ACPR nous fait le plaisir de préciser sa position sur le parcours client en assurance : connaissance client, durabilité, devoir de conseil, actualisation,...
Le Sénat veut protéger les consommateurs contre les appels téléphoniques non sollicités et renforcer leurs droits en matière de protection des données personnelles.
Nouveautés dans les agréments de SGP...
Distribution des certificats à gestion active ou actively managed certificates " (AMC) auprès de clients non professionnels ...l'AMF remet les pendules à l'heure
Pour les courtiers, le mandat d'arbitrage ce sera plus de liberté...mais plus de responsabilité ! Et pour les SGP une inscription ORIAS ?
Assurance : enfin des précisions sur la périodicité de l'actualisation des données du client et du conseil !
Voici les supports de notre intervention commune avec la CNCEF PATRIMOINE