Sanction d’un CIF par l’AMF …
VIncent Boisseau • 15 octobre 2015
Où il est question d’informations ‘‘imprécises et lacunaires’’ … et de clients satisfaits !
Dans une sanction de mai 2015 à l’encontre d’un conseiller en investissements financiers, l’AMF nous rappelle l’importance d’une formalisation impeccable du conseil donné au client, en particulier dans les termes utilisés dans le rapport écrit de conseil.
Le contexte et les produits
Le contexte est celui d’un CIF (conseiller en investissements financiers) à l’activité et au CA non négligeables, proposant à des clients, entre autres, des investissements dans le cadre de placements privés : 1) dans des actions d’une société par actions simplifiée d’une part (cadre réglementaire du conseil en investissements financiers), 2) dans des parts sociales d’une société en commandite simple d’autre part (cadre réglementaire du conseil en gestion de patrimoine).
Dans les deux cas, les produits offraient (ou semblaient offrir) un rendement financier net garanti appréciable, une certaine liquidité (via des engagements de rachat des actions ou des parts sociales), des sous-jacents solides (acquisition d’un actif immobilier mis en location dans un cas, exploitation de points de vente dans l’autre) etc.
Une information inexacte et trompeuse, imprécise et lacunaire
Nonobstant la nature juridique des deux placements en cause, notons simplement que leur présentation aux clients n’a pas satisfait l’AMF. Dans les deux cas, les termes ou les comparaisons utilisés (‘‘placement de nature sécuritaire’’, assimilation des produits à des parts de SCPI ou des obligations, ‘‘valeur nominale garantie à tout moment’’, assurance d’un rendement ‘‘garanti’’) ont été jugés inexacts et trompeurs.
De même, selon l’AMF, la présentation des deux produits était également incomplète sur les risques de liquidité et de perte en capital et la nature et le mécanisme des engagements de rachats des titres. Manquait aussi l’information sur la société garante elle-même, par exemple.
Le conseiller, simple relais de l’information promotionnelle du fournisseur ?
L’AMF balaie l’argument. L’obligation d’adresser à ses clients des informations exactes, claires et non trompeuses s’applique au CIF, même s’il n’est pas l’auteur de ces informations. Au conseiller donc d’utiliser, ou non, les informations promotionnelles, de les décrypter, d’en rectifier les erreurs ou approximations dans ses propres rapports écrits, ce qui semble ici avoir été le cas.
Des clients satisfaits, une relation professionnelle maintenue par la suite ?
L’AMF note bien l’absence de réclamations de la part des clients et la préservation de la relation d’affaire par la suite. Sans doute en tient-elle compte pour fixer le montant de la sanction. Elle tient surtout compte, à notre avis, de la prudence du conseiller sur ce type de produit, qu’il a proposé pour un montant mineur (mais non négligeable) au regard de l’encours global conseillé et sur une durée réduite, dix-huit mois.
En résumé
En résumé, le CIF a une obligation d’information : il doit mettre en œuvre une information précise et détaillée sur ses propositions, en particulier sur celles portant sur des placements privés et, plus généralement, sur toutes les structures qui ne sont pas des véhicules d’investissement gérés par des SGP agréées par l’AMF.
Le conseiller a aussi une obligation de mise en garde et doit mettre en œuvre une information objective centrée sur les risques. Prudence donc dans l’utilisation dans le rapport écrit de conseil de comparaisons avec d’autres produits, moins risqués ou plus connus des investisseurs (surtout si elles sont fausses !).
Enfin, le conseiller ne doit pas hésiter à ajouter des explications complémentaires sur le mécanisme de garantie de performance ou de liquidité (avec information sur le garant et sur sa capacité à honorer ses engagements) ; sur la faculté de l’investisseur à exercer ces garanties et sous quelles conditions ; sur le mécanisme de production du rendement et de la performance du produit ; sur le sous-jacent économique aux opérations ; sur les parties prenantes au montage etc. C’est le devoir de conseil.
Sources :
Sanction AMF du 20 mai 2015
Download PDF
Dans une sanction de mai 2015 à l’encontre d’un conseiller en investissements financiers, l’AMF nous rappelle l’importance d’une formalisation impeccable du conseil donné au client, en particulier dans les termes utilisés dans le rapport écrit de conseil.
Le contexte et les produits
Le contexte est celui d’un CIF (conseiller en investissements financiers) à l’activité et au CA non négligeables, proposant à des clients, entre autres, des investissements dans le cadre de placements privés : 1) dans des actions d’une société par actions simplifiée d’une part (cadre réglementaire du conseil en investissements financiers), 2) dans des parts sociales d’une société en commandite simple d’autre part (cadre réglementaire du conseil en gestion de patrimoine).
Dans les deux cas, les produits offraient (ou semblaient offrir) un rendement financier net garanti appréciable, une certaine liquidité (via des engagements de rachat des actions ou des parts sociales), des sous-jacents solides (acquisition d’un actif immobilier mis en location dans un cas, exploitation de points de vente dans l’autre) etc.
Une information inexacte et trompeuse, imprécise et lacunaire
Nonobstant la nature juridique des deux placements en cause, notons simplement que leur présentation aux clients n’a pas satisfait l’AMF. Dans les deux cas, les termes ou les comparaisons utilisés (‘‘placement de nature sécuritaire’’, assimilation des produits à des parts de SCPI ou des obligations, ‘‘valeur nominale garantie à tout moment’’, assurance d’un rendement ‘‘garanti’’) ont été jugés inexacts et trompeurs.
De même, selon l’AMF, la présentation des deux produits était également incomplète sur les risques de liquidité et de perte en capital et la nature et le mécanisme des engagements de rachats des titres. Manquait aussi l’information sur la société garante elle-même, par exemple.
Le conseiller, simple relais de l’information promotionnelle du fournisseur ?
L’AMF balaie l’argument. L’obligation d’adresser à ses clients des informations exactes, claires et non trompeuses s’applique au CIF, même s’il n’est pas l’auteur de ces informations. Au conseiller donc d’utiliser, ou non, les informations promotionnelles, de les décrypter, d’en rectifier les erreurs ou approximations dans ses propres rapports écrits, ce qui semble ici avoir été le cas.
Des clients satisfaits, une relation professionnelle maintenue par la suite ?
L’AMF note bien l’absence de réclamations de la part des clients et la préservation de la relation d’affaire par la suite. Sans doute en tient-elle compte pour fixer le montant de la sanction. Elle tient surtout compte, à notre avis, de la prudence du conseiller sur ce type de produit, qu’il a proposé pour un montant mineur (mais non négligeable) au regard de l’encours global conseillé et sur une durée réduite, dix-huit mois.
En résumé
En résumé, le CIF a une obligation d’information : il doit mettre en œuvre une information précise et détaillée sur ses propositions, en particulier sur celles portant sur des placements privés et, plus généralement, sur toutes les structures qui ne sont pas des véhicules d’investissement gérés par des SGP agréées par l’AMF.
Le conseiller a aussi une obligation de mise en garde et doit mettre en œuvre une information objective centrée sur les risques. Prudence donc dans l’utilisation dans le rapport écrit de conseil de comparaisons avec d’autres produits, moins risqués ou plus connus des investisseurs (surtout si elles sont fausses !).
Enfin, le conseiller ne doit pas hésiter à ajouter des explications complémentaires sur le mécanisme de garantie de performance ou de liquidité (avec information sur le garant et sur sa capacité à honorer ses engagements) ; sur la faculté de l’investisseur à exercer ces garanties et sous quelles conditions ; sur le mécanisme de production du rendement et de la performance du produit ; sur le sous-jacent économique aux opérations ; sur les parties prenantes au montage etc. C’est le devoir de conseil.
Sources :
Sanction AMF du 20 mai 2015
Download PDF
Depuis le jeudi 27 février, l'outil O2S d'HARVEST est bloqué suite à une cyberattaque. L'information est officielle depuis le vendredi 28 février. A ce jour , lundi 3 mars, l'outil n'est pas rétabli. A ce jour, aucun élément n'indique qu'il y a eu fuite de données. CONSTATS & ANALYSES Suite à la cyberattaque d’HARVEST, il y a des obligations CNIL à faire en tant que vous Responsable des Traitements et HARVEST sous-traitant. D'autant qu'O2S contient une quantité astronomique de Données à Caractère Personnel sur les clients : adresse, mail, téléphone, RIB, patrimoine, CNI, peut-être données médicales...bref, c'est énorme. Donc il y a effectivement des choses à faire. Voici le lien vers la CNIL qui traite des violations de données personnelles : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles En effet notre analyse est: qu’il y a eu une violation de données du fait d’un cas cité : perte de disponibilité , d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite) En revanche on ne sait pas encore s’il y a eu fuite de données, LE DISPOSITIF d'HARVEST Voici les informations reçues par un CGP, en juillet 2024, sur le dispositif HARVEST : plutôt sérieux. "Sécurité physique : Les serveurs sont hébergés dans un Datacenter Interxion dans l’UE. Le Datacenter a de nombreuses certifications : ISO 14001:2004, ISO 27001 & ISO 22301, ISO 50001:2011, OHSAS 18001, ITIL V3 ,PCI-DSS, HDS (Hébergeur Données Santé). Les infrastructures sont monitorées 24h/24 et 7h/7. Les baies hébergeant les systèmes sont fermées à clé, seul le personnel habilité a accès aux baies : Notre sous-traitant (Waycom) pour la mise à disposition et la supervision des infrastructures d’hébergement travaillant pour le compte d’Harvest (hors baies privées dédiées dont l’accès est géré uniquement par Harvest) Les membres habilités de la DSI Harvest. Les grappes de disques ainsi que les alimentations sont redondées (ainsi que tous les éléments critiques physiques du Datacenter : réseaux internet, réseaux électriques, etc…). Sécurité logique : Les données de production sont accessibles uniquement par un nombre de personnes restreint, défini en accord avec le comité des risques d’Harvest. En aucun cas nos sous-traitants ont accès aux données applicatives. L’accès est basé sur une authentification : compte / mot de passe. Les droits et habilitations sont donnés selon le profil de l’utilisateur. Les flux sont chiffrés (HTTPS). Les données des applications répliquées en continue sur un serveur de secours local et sauvegardées sur un serveur de sauvegarde distant. Les opérations effectuées sur les serveurs sont journalisées. Les serveurs sont mis à jour régulièrement et possèdent un antivirus à jour. Des tests de vulnérabilité sont effectués périodiquement et donnent lieu, si nécessaire, à des plans de remédiation. Réglementaire : Dans le cadre de la réglementation européenne RGPD, un registre des traitements a été créé, il est maintenu par le DPO (Data Protection Officer) d’Harvest. Plan de continuité (PUPA), dans ce cadre Harvest : Dispose d’une procédure de gestion et d’escalade des incidents. A mis en place un comité des risques et est accompagné par un cabinet d’audit externe Activation de la cellule de crise en cas de problème majeurRéalise des évolutions régulières sur l’infrastructure matérielle et logicielle de ses environnements pour améliorer en permanence les performances et la sécurité " QUE FAUT IL FAIRE en interne ? La violation de données et la cyberattaque ne concernent pas VOS systèmes mais ceux d'un sous-traitant. Donc pas de panique. Quand on lit les instructions CNIL, dans cette configuration, il faut documenter la violation de données en interne. QUE FAUT IL FAIRE vis à vis de la CNIL? Là l'instruction est claire : il faut notifier l’incident à la CNIL dans les 72 heures (donc aujourd'hui pour ceux qui ne l'ont pas faite). Pour ce faire, la CNIL vous accompagne : compléter le document préparatoire (aide au remplissage) : https://www.cnil.fr/sites/cnil/files/2023-07/trame_des_notifications_de_violations_de_donnees_0.odt puis faite la notification en ligne : https://notifications.cnil.fr/notifications/ QUE FAUT IL FAIRE vis à vis de vos clients ? Ne faites rien pour le moment ! Il faut prévenir les clients si la fuite de données est avérée. En effet, la CNIL précise : en cas de doute sur l’incidence de la fuite de données personnelles concernant la vie privée des personnes concernées (c’est le cas à ce jour car nous ne savons pas s’il y a eu fuite ou non de données), notifiez à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes. Voilà Croisons les doigts pour que vous puissiez rapidement travailler et que les données des clients ne fuitent pas.!
SRRI ou SRI...that's the question
L'ACPR nous fait le plaisir de préciser sa position sur le parcours client en assurance : connaissance client, durabilité, devoir de conseil, actualisation,...
Le Sénat veut protéger les consommateurs contre les appels téléphoniques non sollicités et renforcer leurs droits en matière de protection des données personnelles.
Nouveautés dans les agréments de SGP...
Distribution des certificats à gestion active ou actively managed certificates " (AMC) auprès de clients non professionnels ...l'AMF remet les pendules à l'heure
Pour les courtiers, le mandat d'arbitrage ce sera plus de liberté...mais plus de responsabilité ! Et pour les SGP une inscription ORIAS ?
Assurance : enfin des précisions sur la périodicité de l'actualisation des données du client et du conseil !
Voici les supports de notre intervention commune avec la CNCEF PATRIMOINE