« La transformation numérique est l'un des grands défis de l'industrie bancaire: c'est une transformation qui se fait de l'intérieur car les banques sont des acteurs digitaux, avec, dans leur ADN, cette culture de l'innovation permanente au service du client », a fait valoir ce mercredi la directrice générale de la Fédération bancaire française (FBF) à l'Université du numérique du Medef. Le pôle Fintech Innovation de l'ACPR (l'Autorité de contrôle prudentiel et de résolution, adossée à la Banque de France), qui a été créé en juin 2016 « pour guider les acteurs innovants dans leur parcours réglementaire et dialoguer avec les acteurs établis sur leur transformation digitale », s'est penché sur les défis et les risques que pose la révolution numérique, à travers une étude menée auprès des acteurs de la place, dont il a restitué les conclusions mardi.

S'appuyant sur les réponses à une centaine de questions ouvertes, auprès d'un échantillon de 6 banques et 11 compagnies d'assurance représentatives de leur marché, le pôle Fintech de l'ACPR décrypte la perception des acteurs établis et identifie toute une série de risques qui ont de quoi inquiéter un régulateur.

« La révolution numérique est un choc structurel de grande envergure pour le secteur financier », analyse l'étude. « Porteuse d'opportunités, [elle] concourt aussi à l'émergence de risques stratégiques, opérationnels et de conformité. »

Influence des GAFA sur les attentes de service gratuit

L'ACPR souligne les modifications en profondeur des comportements et des attentes du client, lesquelles demeurent « très hétérogènes », les critères générationnels ou sociaux étant « de moins en moins pertinents » pour les appréhender.

« La révolution numérique met à l'épreuve le modèle d'affaires des banques et des assurances, qui repose pour beaucoup sur une maîtrise de l'ensemble de la chaîne de valeur, qui va de la relation clientèle à la conception des produits et à la gestion des risques. Les nouveaux concurrents cherchent à accaparer un bout de la chaîne de valeur », relève l'étude du pôle Fintech Innovation, qu'il s'agisse de startups de la finance, de nouveaux entrants venus d'autres secteurs (grande distribution, télécoms), voire des Google Amazon Facebook Apple (GAFA).

Les acteurs traditionnels de la finance pointent du doigt les exigences des clients en matière tarifaire, en particulier sur les services « où le client a le sentiment d'être en autonomie », c'est-à-dire pilote lui-même avec son smartphone ou depuis son ordinateur.

« Cela pourrait être dû à l'influence des modèles de services d'apparence gratuits des GAFA qui modifient les attentes des consommateurs, y compris en matière de services financiers » avance l'ACPR. « Cela concerne notamment les moyens de paiement, alors que la fourniture de ces services appellent des coûts importants de la part des établissements » ajoute-t-elle.

Dépendance technologique et cyber-attaques

Surtout, l'étude met en exergue « la dépendance croissante des acteurs financiers aux prestataires technologiques », fournisseurs d'infrastructures cloud ou de logiciels, mais aussi des systèmes d'exploitation mobiles iOS et Android, des opérateurs télécoms, voire des messageries instantanées. Tous ces partenariats ou externalisations « interrogent les établissements sur leur capacité à maintenir un dispositif de contrôle efficace à l'égard de ces partenaires », écrit l'ACPR.

Sans oublier la dimension cybersécurité, de plus en plus prégnante :

« La révolution numérique augmente le niveau des risques opérationnels émanant des systèmes d'information », insiste l'étude.

Des risques démultipliés du fait de l'interconnexion croissante de ces SI et de la sophistication des cyber-attaques.

« En assurance, les cyber-attaques sur les voitures autonomes pourraient causer des sinistres en série et les objets connectés sont des points de vulnérabilité significatifs dans des systèmes interconnectés. »

Dans la banque, les établissements sont inquiets « des risques opérationnels induits par l'ouverture des données des acteurs tiers » notamment dans le cadre de la nouvelle directive européenne sur les services de paiement DSP2.

Lire aussi : Paiement : la directive DSP2 entre en vigueur, c'est quoi ?

Connaissance client fragilisée et « boîte noire »

Enfin, le régulateur relève que « la révolution numérique nourrit de nouveaux risques de conformité, tout particulièrement sur la protection des consommateurs, la lutte contre le blanchiment des capitaux et la protection des données.»

En matière de blanchiment, « la multiplication des partenariats et la multi-bancarisation aboutissent à des circuits financiers de plus en plus complexes. Les capacités de connaissance de la clientèle [les fameuses exigences réglementaires de KYC « know-your-customer », ndlr] peuvent de surcroit être fragilisées par l'émergence de nouveaux intermédiaires. »

La croissance des relations à distance peut aussi diminuer les capacités de KYC des banques, « d'autant que la France ne dispose pas encore d'un écosystème d'identification à distance fiable et sécurisé » estime l'ACPR.

Toutefois, des initiatives émergent. La Société Générale a récemment introduit la reconnaissance biométrique faciale pour ouvrir un compte, une solution innovante validée par la CNIL, s'appuyant sur la technologie du français Idemia (née de la fusion d'Oberthur Technologies et de Morpho, ex-Safran Identity & Security), utilisée pour le passage aux frontières.

Quant à l'exploitation des données, à la veille de l'entrée en vigueur du Règlement européen sur la protection des données personnelles (RGPD), l'étude du pôle Fintech Innovation soulève le risque de « boîte noire », et des dérives non éthiques, dû à la sophistication des algorithmes.