Les exigences imposées aux institutions financières se renforcent partout dans le monde. Les autorités de supervision exigent désormais une traçabilité complète des échanges et une conservation rigoureuse de tous les enregistrements. Cependant, les amendes ne sont que la partie visible du risque. Les établissements doivent aussi affronter de longues enquêtes internes, des honoraires de conseil souvent élevés, des contraintes opérationnelles accrues et, surtout, un risque important pour leur réputation.
En parallèle, les obligations se multiplient avec l’entrée en vigueur de réglementations européennes telles que MiFID III ou le règlement DORA, tandis que les volumes de données et les canaux de communication ne cessent d’augmenter. Les méthodes d’échantillonnage classiques ne permettent plus de saisir toute la complexité des échanges. Face à des exigences réglementaires toujours plus strictes, les solutions fondées sur l’intelligence artificielle deviennent indispensables pour collecter et analyser de manière exhaustive les données de communication.
Amendes record en 2024: Des milliards pour non-conformité
Que ce soit à New York, à Londres ou à Francfort, les autorités de surveillance du monde entier sanctionnent des manquements similaires. Les risques deviennent particulièrement aigus lorsque les données de communication ne sont pas entièrement saisies, analysées et documentées de manière vérifiable. Trois catégories de vulnérabilités sont particulièrement fréquentes dans ce domaine : Enregistrement et documentation, transparence et informations des clients et protection et gestion des données. A titre d’exemple sur ce dernier point, les autorités européennes de protection des données ont infligé plus de 1,2 milliard d’euros d’amendes en 2024.
Plus d‘enregistrement, plus de transparence, plus de résilience
En 2025, les régulateurs ont durci encore le cadre de conformité. Avec la révision de MiFID II et l’entrée en vigueur des nouvelles exigences de MiFIR, les obligations en matière d’enregistrement, d’analyse et de vérification des communications se renforcent. Parallèlement, les attentes augmentent en ce qui concerne la qualité des données, la transparence des marchés et la cybersécurité. Les établissements présentant aujourd’hui des lacunes dans leur documentation ou leur communication seront davantage exposés aux contrôles et aux sanctions dans les années à venir.
- MiFID III: des exigences renforcées
Les exigences actuelles de MIFID II en matière d’enregistrement restent en place: Toutes les conversations avec les clients qui pourraient conduire à une transaction doivent être documentées et archivées, qu’elles aient lieu par téléphone, par vidéo, par chat, par e-mail ou par le biais d’outils de collaboration. En règle générale, une période de conservation minimale de cinq ans s’applique, voire plus dans certains pays. Toutefois, le nouveau règlement introduit des exigences plus strictes. À l’avenir, les institutions seront tenues non seulement de conserver les conversations, mais aussi de les analyser activement pour détecter d’éventuels comportements répréhensibles (surveillance comportementale). Parallèlement, la surveillance des communications en dehors des canaux approuvés (surveillance hors canal) sera renforcée afin d’empêcher l’échange d’informations sensibles par le biais d’appareils privés ou de services de messagerie tels que WhatsApp. En outre, les institutions financières doivent fournir des preuves détaillées que les ordres des clients ont été exécutés sans paiements indus(preuve de la meilleure exécution). Les nouvelles exigences entraînent des besoins accrus en matière de documentation et d’enregistrement. Il ne suffit plus de centraliser les données clients sur une seule plateforme. Les systèmes doivent être vérifiables, consultables et à l’épreuve du temps afin de pouvoir prouver la conformité à tout moment.
- DORA: la résilience numérique devient une exigence réglementaire
La loi sur la résilience opérationnelle numérique (DORA), un cadre contraignant pour les risques liés aux TIC (Technologies de l’Information et de la Communication), est en vigueur dans l‘UE depuis janvier 2025. Les institutions doivent signaler les incidents graves, démontrer les contrôles d‘accès et garantir la capacité de récupération. Lorsque des données de communication font partie de systèmes TIC critiques, elles doivent être protégées, enregistrées et maintenues accessibles.
- FCA : plus de transparence et des preuves claires
En 2025, la Financial Conduct Authority (FCA) britannique a mis en place un système consolidé de données pour les obligations, destinée à renforcer la transparence des transactions. Parallèlement, elle précise les attentes liées au “consumer duty” : moins de formalisme administratif, mais des preuves plus strictes de traitement équitable des clients.
Éviter les risques en s’appuyant sur une approche dédiée
Les violations des obligations d’enregistrement représentent un risque financier majeur pour les établissements financiers. Les précédents récents montrent clairement que la SEC a durci ses exigences et sanctionne systématiquement les enregistrements manquants ou incomplets. Pour les banques, cela signifie qu’une seule infraction peut se chiffrer en millions: en janvier 2025, douze établissements ont été sanctionnés à hauteur de plus de 200 millions de dollars au total, soit environ 16,7 millions de dollars par institution (U.S. Securities and Exchange Commission, 2025).
Il est possible d’éviter de tels risques en s’appuyant sur trois piliers structurants : L’enregistrement fiable de tous les canaux pertinents, des modèles de politiques IA qui assurent le contrôle continu de la conformité de chaque interaction et des alertes précoces en cas de manquement potentiel ou d’anomalie détectée. Chaque sanction évitée ne représente donc pas seulement des millions économisés, mais contribue également à préserver la réputation de l’établissement auprès de ses clients et des autorités de régulation.
Éric Buhagiar, Directeur général d’ASC Technologies France
