MAJ par l’AMF du FAQ des CIF…le texte de référence

Vincent Boisseau • 6 décembre 2019

L’AMF vient de mettre à jour LE document de référence pour tout CIF : le FAQ des CIF (Position – Recommandation DOC-2006-23)


ATTENTION : Mise à jour faite en septembre 2023 . Voir notre blog

 Les nouveautés concernent:


1) Autres activités de conseil en gestion de patrimoine
Les CIF peuvent exercer « d’autres activités de conseil en gestion de patrimoine ». C’est par exemple le cas lorsqu’ils interviennent sur des parts sociales (sauf SCPI, SEF et sociétés de libre partenariat, GFI groupement foncier d’investissement).

 Les CIF sont alors tenus d’appliquer des règles de bonne conduite définies à l’article L. 541-8-1 du code monétaire et financier et déclinées au sein du règlement général de l’AMF, notamment :

  •     proposer à ces clients une offre de service adaptée et proportionnée à leurs besoins et à leurs objectifs
  •     communiquer en temps utile aux clients des informations appropriées en ce qui concerne le CIF et ses services, la nature juridique et l’étendue des éventuelles relations entretenues avec les établissements promoteurs de produits
  •     les informations utiles à la prise de décision par ces clients ainsi que celles concernant les modalités de leur rémunération,
  •     veiller au caractère clair, exact et non trompeur de toutes les informations qu’ils adressent à leurs clients  (ndlr: source de nombreuses sanctions récentes)
  •     maintenir et appliquer des dispositions organisationnelles et administratives efficaces, en vue de prendre toutes les mesures raisonnables destinées à empêcher les conflits d’intérêts de porter atteinte aux intérêts de leurs clients.

 


 ndlr….bref, cela reprend une grande partie des obligations CIF.

  

2) Biens divers et produits atypiques

ndlr : Il faut bien distinguer biens divers et produits atypiques. Les biens divers se référent à une liste précise, tenue par l’AMF (voir en bas de la page de la base GECO / voici la liste à ce jour). Elle  recensent des opérations dont la communication à caractère promotionnel (documentation commerciale) a été relue et validée par l’AMF.

 Les CIF peuvent conseiller des opérations en biens divers.

 (…) Un CIF qui conseille une opération en biens divers a l’obligation de vérifier que l’offre est enregistrée auprès de l’AMF (cf base GECO). L’existence d’un bien divers sur cette liste ne saurait exonérer le CIF de vérifier, notamment auprès de l’initiateur de l’offre, qu’au moment du conseil, l’offre conseillée peut toujours être commercialisée.

 (…) Les CIF qui conseillent une offre portant sur des biens divers doivent donc tenir compte du profil-type d’investisseurs adapté au risque afférent au placement en biens divers déterminé par l’initiateur de l’offre.

 (…) le CIF conseillant une offre en biens divers peut seulement utiliser les communications à caractère promotionnel qui ont été transmises à l’AMF et qui tiennent compte, le cas échéant, des limites ou précisions de l’AMF


3) Autres activités du CIF
 (…) S’agissant du cumul d’activités permettant de commercialiser des instruments financiers ou des services d’investissement, il est, en toute hypothèse, essentiel de s’assurer de la lisibilité pour le client des prestations qui lui sont fournies et des différents régimes de responsabilité afférents. L’investisseur doit pouvoir déterminer sans ambigüité les règles qui sont applicables à sa situation et les prérogatives dont il bénéficie.

 (…) A l’occasion d’une même prestation, un CIF ne peut donc pas intervenir à la fois sous le régime du démarchage bancaire ou financier pour le compte d’un producteur et sous le régime du conseil en investissements financiers.


4) Vérification de l'adéquation du conseil

Conformément aux articles L. 541-8-1 du CMF et 325-7 et 325-8 du RGAMF, le CIF doit évaluer l’adéquation du service de conseil qu’il fournit à son client afin de recommander des opérations, instruments financiers et services d’investissement adaptés à la situation de son client.
 L’AMF applique les orientations de l’ESMA

 L’ESMA a publié des orientations (35-43-1163) sur les exigences en matière d’adéquation au titre de la directive MIF II qui viennent préciser les dispositions applicables aux prestataires de services d’investissement (PSI).

 Ces orientations ont pour objectif de clarifier l’application de certaines démarches à effectuer pour vérifier les exigences d’adéquation dans le cadre de la fourniture des services de conseil en investissement et de gestion de portefeuille pour le compte de tiers. Voici quelques notions extraites du texte :

  •     expliquer au client pourquoi ces questions lui sont posées
  •     proscrire les questions d’autoévaluation (sur le risque, sur le produit adéquat…)
  •     clarté du questionnaire
  •     récupérer les préférences en matière environnementale, sociale et de gouvernance.
  •     envisager le recours à des exemples indicatifs et compréhensibles pour illustrer les niveaux de perte/rendement susceptibles de se matérialiser en fonction du degré de risque
  •     L’étendue des informations «nécessaires» peut varier et doit prendre en considération les spécificités des services de conseil en investissement, le type et les caractéristiques des produits d’investissement à envisager ainsi que les caractéristiques des clients, notamment en cas de produit risqué ou illiquide, de personne vulnérable,..
  •     s’assurer que les informations recueillies sur leurs clients sont fiables et cohérentes, sans se fier indûment aux déclarations des clients
  •     définir les modalités de mise à jour des informations
  •     préciser les cas particuliers lorsqu’un client est une personne morale ou un groupe de minimum deux personnes physiques, ou lorsqu’une ou plusieurs personnes physiques sont représentées par une autre personne physique
  •     comprendre et évaluer le niveau de «complexité» des produits et de le comparer aux informations relatives à un client (notamment en ce qui concerne ses connaissances et son expérience)
  •     évaluer l’adéquation sur la base de l’ensemble des informations disponibles sur le client (y compris le portefeuille d’investissement actuel du client et l’allocation des actifs au sein de ce portefeuille) au regard de l’ensemble des caractéristiques essentielles des investissements envisagés dans le cadre de l’évaluation de l’adéquation (y compris tous les risques pertinents et tout coût direct ou indirect à la charge du client)
  •     procéder à une analyse des coûts et des avantages d’un arbitrage de sorte à être raisonnablement en mesure de montrer que les avantages escomptés de l’arbitrage sont supérieurs aux coûts
  •     s’assurer que le personnel associé aux aspects substantiels de la procédure d’adéquation dispose d’un niveau approprié de compétences, connaissances et d’expertise

 


 ndlr : bref, que du très logique et en ligne avec l’esprit de la loi…néanmoins, la précision et la clarté du texte sur la démarche de la connaissance client et de l’adéquation devraient vous inciter à le lire, même rapidement..pour remettre les idées en place

 L’AMF applique les orientations de l’ESMA aux PSI (position DOC-2019-03). L’AMF applique également ces orientations aux CIF, dans la limite des spécificités propres au régime des CIF. Il est ainsi, en particulier, rappelé que :

  • les CIF ne peuvent pas fournir le service de gestion de portefeuille pour le compte de tiers ; et
  • en amont de la vérification de l’adéquation dans le cadre d’une prestation de conseil en investissement, les CIF ne catégorisent pas leurs clients en qualité de clients professionnels ou non professionnels. Ils ne peuvent ainsi pas présumer de leurs connaissances et leur expérience ou encore que leurs clients sont en mesure de supporter tout risque lié à l’investissement compte tenu de leurs objectifs.

 


5) Gouvernance produits

Oui. Le CIF est soumis aux règles applicables aux distributeurs consistant notamment à déterminer le marché cible positif et négatif ainsi que la stratégie de distribution de chaque instrument financier qu’il recommande.

 L’ESMA a publié des orientations sur les exigences en matière de gouvernance des produits au titre de la directive MiFID II. Ces orientations détaillent les obligations des producteurs et des distributeurs, en particulier, sur les catégories à prendre en compte pour la définition du marché cible et l’articulation avec la stratégie de distribution. Ces orientations autorisent toutefois le distributeur à vendre des produits en dehors de leur marché cible, notamment à des fins de diversification, si la recommandation desdits produits satisfait aux exigences d’adéquation évaluées au niveau du portefeuille du client.

 L’AMF applique les orientations de l’ESMA pour les PSI (position AMF DOC-2018-04). L’AMF applique également ces orientations pour les CIF en leur qualité de distributeur





     le texte : Position – Recommandation DOC-2006-23
     Articles L. 541-1 à L. 541-9-1 du code monétaire et financier
     Articles 325-1-A à 325-32 du règlement général
     ESMA texte en français

 Photo : Camila Oliveira Fairclough – Many Questions 2018 – Centre Pompidou 2019 – Acrylique sur toile – photo:v.boisseau

HARVEST O2S - Cybermalveillance

par Vincent Boisseau 3 mars 2025
Depuis le jeudi 27 février, l'outil O2S d'HARVEST est bloqué suite à une cyberattaque. L'information est officielle depuis le vendredi 28 février. A ce jour , lundi 3 mars, l'outil n'est pas rétabli. A ce jour, aucun élément n'indique qu'il y a eu fuite de données. CONSTATS & ANALYSES Suite à la cyberattaque d’HARVEST, il y a des obligations CNIL à faire en tant que vous Responsable des Traitements et HARVEST sous-traitant. D'autant qu'O2S contient une quantité astronomique de Données à Caractère Personnel sur les clients : adresse, mail, téléphone, RIB, patrimoine, CNI, peut-être données médicales...bref, c'est énorme. Donc il y a effectivement des choses à faire. Voici le lien vers la CNIL qui traite des violations de données personnelles : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles En effet notre analyse est: qu’il y a eu une violation de données du fait d’un cas cité : perte de disponibilité , d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite) En revanche on ne sait pas encore s’il y a eu fuite de données, LE DISPOSITIF d'HARVEST Voici les informations reçues par un CGP, en juillet 2024, sur le dispositif HARVEST : plutôt sérieux. "Sécurité physique : Les serveurs sont hébergés dans un Datacenter Interxion dans l’UE. Le Datacenter a de nombreuses certifications : ISO 14001:2004, ISO 27001 & ISO 22301, ISO 50001:2011, OHSAS 18001, ITIL V3 ,PCI-DSS, HDS (Hébergeur Données Santé). Les infrastructures sont monitorées 24h/24 et 7h/7. Les baies hébergeant les systèmes sont fermées à clé, seul le personnel habilité a accès aux baies : Notre sous-traitant (Waycom) pour la mise à disposition et la supervision des infrastructures d’hébergement travaillant pour le compte d’Harvest (hors baies privées dédiées dont l’accès est géré uniquement par Harvest) Les membres habilités de la DSI Harvest. Les grappes de disques ainsi que les alimentations sont redondées (ainsi que tous les éléments critiques physiques du Datacenter : réseaux internet, réseaux électriques, etc…). Sécurité logique : Les données de production sont accessibles uniquement par un nombre de personnes restreint, défini en accord avec le comité des risques d’Harvest. En aucun cas nos sous-traitants ont accès aux données applicatives. L’accès est basé sur une authentification : compte / mot de passe. Les droits et habilitations sont donnés selon le profil de l’utilisateur. Les flux sont chiffrés (HTTPS). Les données des applications répliquées en continue sur un serveur de secours local et sauvegardées sur un serveur de sauvegarde distant. Les opérations effectuées sur les serveurs sont journalisées. Les serveurs sont mis à jour régulièrement et possèdent un antivirus à jour. Des tests de vulnérabilité sont effectués périodiquement et donnent lieu, si nécessaire, à des plans de remédiation. Réglementaire : Dans le cadre de la réglementation européenne RGPD, un registre des traitements a été créé, il est maintenu par le DPO (Data Protection Officer) d’Harvest. Plan de continuité (PUPA), dans ce cadre Harvest : Dispose d’une procédure de gestion et d’escalade des incidents. A mis en place un comité des risques et est accompagné par un cabinet d’audit externe Activation de la cellule de crise en cas de problème majeurRéalise des évolutions régulières sur l’infrastructure matérielle et logicielle de ses environnements pour améliorer en permanence les performances et la sécurité " QUE FAUT IL FAIRE en interne ? La violation de données et la cyberattaque ne concernent pas VOS systèmes mais ceux d'un sous-traitant. Donc pas de panique. Quand on lit les instructions CNIL, dans cette configuration, il faut documenter la violation de données en interne. QUE FAUT IL FAIRE vis à vis de la CNIL? Là l'instruction est claire : il faut notifier l’incident à la CNIL dans les 72 heures (donc aujourd'hui pour ceux qui ne l'ont pas faite). Pour ce faire, la CNIL vous accompagne : compléter le document préparatoire (aide au remplissage) : https://www.cnil.fr/sites/cnil/files/2023-07/trame_des_notifications_de_violations_de_donnees_0.odt puis faite la notification en ligne : https://notifications.cnil.fr/notifications/ QUE FAUT IL FAIRE vis à vis de vos clients ? Ne faites rien pour le moment ! Il faut prévenir les clients si la fuite de données est avérée. En effet, la CNIL précise : en cas de doute sur l’incidence de la fuite de données personnelles concernant la vie privée des personnes concernées (c’est le cas à ce jour car nous ne savons pas s’il y a eu fuite ou non de données), notifiez à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes. Voilà Croisons les doigts pour que vous puissiez rapidement travailler et que les données des clients ne fuitent pas.!

SR(R)I..on s'y perd ? Dommage !...c'est impactant

par Vincent Boisseau 11 février 2025
SRRI ou SRI...that's the question

L'ACPR revise encore une fois le parcours client en Assurance..et c'est tant mieux

par Vincent Boisseau 22 novembre 2024
L'ACPR nous fait le plaisir de préciser sa position sur le parcours client en assurance : connaissance client, durabilité, devoir de conseil, actualisation,...

Démarchage téléphonique et VAD (vente à distance) . La fin de la récré?

par Vincent Boisseau 15 novembre 2024
Le Sénat veut protéger les consommateurs contre les appels téléphoniques non sollicités et renforcer leurs droits en matière de protection des données personnelles.

Agrément des SGP...quelques nouveautés !

par Vincent Boisseau 4 novembre 2024
Nouveautés dans les agréments de SGP...

Pour l'AMF, les AMC...c'est du produit "complexe"

par Vincent Boisseau 29 octobre 2024
Distribution des certificats à gestion active ou actively managed certificates " (AMC) auprès de clients non professionnels ...l'AMF remet les pendules à l'heure

Mandat d'arbitrage en assurance-vie et contrat de capitalisation

par Vincent Boisseau 21 octobre 2024
Pour les courtiers, le mandat d'arbitrage ce sera plus de liberté...mais plus de responsabilité ! Et pour les SGP une inscription ORIAS ?

Assurance : enfin des précisions sur l'actualisation du conseil

par Vincent Boisseau 1 octobre 2024
Assurance : enfin des précisions sur la périodicité de l'actualisation des données du client et du conseil !

OPADEO à PATRIMONIA...la gouvernance produits dans tous ses états

par Vincent Boisseau 25 septembre 2024
Voici les supports de notre intervention commune avec la CNCEF PATRIMOINE
Show More