Principales réglementations du secteur bancaire et exigences de conformité en matière de sécurité pour l'année 2020

Michael Magrath, février 24, 2020
Top 2020 Banking Regulations & Security Compliance Requirements

La croissance rapide de la technologie et de la numérisation dans le secteur financier continue de stimuler la réglementation dans le monde entier, et il se passe déjà beaucoup de choses en 2020. Une vague de réglementations sur la protection des données en Amérique du Nord semble probable après la California Consumer Privacy Act, mais ce n’est qu’un exemple. Dans toutes les régions, de nouvelles réglementations entrent en vigueur. 

Ci-dessous, nous avons compilé les principaux règlements, lois et normes qui ont une incidence sur les IMF cette année :

Principaux règlements de sécurité pour le secteur financier

PSD2: Directive sur les services de paiement 2

Bien que les exigences de l’open banking soient entrées en vigueur le 14 septembre 2019, en octobre 2019, l’Autorité bancaire européenne a publié un délai révisé pour le respect des normes techniques réglementaires (RTS) sur l’authentification des clients communication sécurisée dans le cadre de PSD2.  La nouvelle date limite est maintenant le 31 décembre 2020.  Alors que la plupart des autorités constituantes ont suivi l’exemple de l’ABE, la Financial Conduct Authority (FCA) du Royaume-Uni n’appliquera pas sAC avant le 14 mars 2021.  La Banque de France s’est conformée à la date limite du 31 décembre de l’ABE, mais elle a ajouté un délai de grâce de trois mois au cas par cas.

Les critères PSD2 comprennent :

  1. Forte authentification client: L'authentification doit être basée sur deux facteurs ou plus, y compris les mots de passe ou NIP, les jetons ou les appareils mobiles, ou la biométrie.
  2. Analyse des risquesde transaction: PSD2 exige l'utilisation de l'analyse des risques de transaction pour dissuader les paiements frauduleux.
  3. Liaison dynamique: Le code d’authentification doit être dynamiquement lié à la fois aux transactions de paiement du bénéficiaire et du montant.
  4. Sécuritédes applications mobiles: Les fournisseurs de services de paiement doivent adopter des mesures de sécurité pour atténuer les risques résultant de la compromisse des appareils mobiles. PSD2 exige également l'utilisation de contre-mesures de clonage d'applications mobiles dédiées dans les applications, également connues sous le nom de protection de la réplication.

Canada - Les conseils actualisés du CANAFEKnow Your Customer permettent l’intégration numérique

L’intégration numérique a rapidement gagné en adoption dans des pays du monde entier, dont Hong Kong, Singapour et les États-Unis. Les institutions financières et les clients ont adopté l’intégration numérique, car il équilibre la sécurité avec la commodité de l’utilisateur tout en se conformant aux exigences réglementaires. 

Le Canada continue de faire progresser l’identité numérique grâce à l’élaboration continue du Cadre de fiducie pancanadien (PCTF) dirigé par le gouvernement du Canada et le Conseil canadien de l’identité et de l’authentification numérique (DIACC).

Le 14 novembre 2019, le Centre canadien d’analyse des transactions et des rapports financiers (CANAFE) a publié une mise à jour des directives sur les exigences de Know Your Customer (KYC), intitulée « Méthodes pour vérifierl’identité d’une personne et confirmer l’existence d’une société ou d’une entité autre qu’une société».

Le CANAFE prend en charge différentes technologies, y compris une entrevue vidéo en direct et ce qui devient le chemin de choix où « une personne pourrait être invitée à prendre une photo « selfie » à l’aide de l’appareil photo sur son téléphone mobile ou son appareil électronique, et une application s’appliquerait la technologie de reconnaissance faciale pour comparer les caractéristiques de ce « selfie » à la photo sur l’authentique document d’identification photo émis par le gouvernement.

Le CANAFE souligne qu'« il ne suffit pas de consulter une personne et son document d’identification avec photo délivré par le gouvernement en ligne par le biais d’une vidéoconférence ou de tout autre type d’application virtuelle ». L’institution financière "doit utiliser un logiciel ou un type de technologie qui serait en mesure d’authentifier le document d’identification avec photo émis par le gouvernement. Les IMF doivent également vérifier que le nom et l’image correspondent à ceux de l’individu sur le document d’identification photo authentique délivré par le gouvernement.

Canada - Modifications apportées à la Loi sur les produits de la criminalité (blanchiment d’argent) et le financement du terrorisme (PCMLTFA)

Publiées par le CANAFE en juillet 2019, les modifications touchent directement les échanges de crypto-monnaies, qui n’ont pas fait l’objet de nombreuses réglementations. 

Toutes les bourses de crypto-monnaie au Canada, à compter du 1er juin 2020, doivent s’inscrire auprès du CANAFE.  Les échanges de cryptos seront classés comme des entreprises de services monétaires (MSB), qui ont traditionnellement fourni des services de change et d’encaissement de chèques ainsi que des ventes de commandes d’argent.

À l’initié, les bourses de crypto seront tenues d’avoir un agent de conformité, de se conformer aux politiques de Know Your Customer (KYC) et de signaler les transactions suspectes au CANAFE. Les échanges de cryptos seront en mesure de tirer parti des dispositions d’intégration numérique décrites ci-dessus.

Les Modifications aux règles de protection et de protection de la vie privée en vertu de la Loi Gramm-Leach-Bliley

En 2020, la Federal Trade Commission devrait annoncer des changements à la Règle de sauvegarde et à la Règle de confidentialité en vertu de la Loi Gramm-Leach-Bliley, qui oblige les institutions financières (IS) à expliquer à leurs clients l’échange d’information de l’organisation. politiques et pratiques et de protéger les données sensibles.  

Le règlement révisé intégrera probablement les commentaires fournis à partir des changements proposés par la FTC annoncés en 2019.

En vertu de la Règle sur les garanties, États-Unis les banques et les IMF doivent mettre en œuvre des mesures pour assurer la sécurité des informations des clients. De plus, ils doivent également prendre des mesures pour s’assurer que leurs affiliés et fournisseurs de services protègent également les renseignements sur les clients dont ils s’occupent. La règle de confidentialité exige qu’un FI permette à ses clients de refuser que leurs renseignements sont partagés avec certains tiers après que le client a reçu une explication des pratiques d’échange d’informations de l’organisation. La proposition exigerait des institutions financières qu’elles chiffrent toutes les données des clients, qu’elles utilisent l’authentification multifacteur pour accéder à ces données et qu’elles mettent en œuvre d’autres contrôles d’accès pour empêcher les utilisateurs non autorisés d’accéder aux informations des clients.

Ces changements proposés s’inspirent du Règlement sur la cybersécurité du Département des services financiers de New York qui est entré en vigueur en 2019. La réalité n’est pas toutes les institutions financières aux États-Unis est soumis à la réglementation de la NYDFS, de sorte que des lacunes subsistent dans la protection de la vie privée et la sécurité des clients.  Cependant, toutes les institutions financières des États-Unis est régi par la FTC, ce qui signifie que les règlements proposés par la FTC élimineront toutes les lacunes.

Union européenne - Directive 5 sur la lutte contre le blanchiment d’argent (AMLD5)

En juillet 2018, la directive européenne 2018/843, la 5ème version de la directive de l’UE sur la lutte contre le blanchiment d’argent (AMLD5) est entrée en vigueur exigeant que les États membres de l’UE transposent l’AMLD 5 dans le droit national d’ici le 10 janvier 2020.

Comme les versions précédentes, AMLD5 s’applique aux institutions financières, y compris les banques et les entreprises de services monétaires (MSB), avec le changement important étant que AMLD5 s’applique aux échanges de crypto-monnaie virtuelles (VCEP) et les fournisseurs de portefeuille dépositaires ("CWP") comme " d’entités obligatoires » soumises à la réglementation de l’UE. 

Les VCEP et les CCP qui n’étaient pas réglementés par la directive auparavant doivent maintenant suivre les mêmes règles que toute autre organisation de services financiers, qui comprend des contrôles d’identité obligatoires sur les nouveaux clients.

En ce qui concerne la vérification d’identité, AMLD5 reconnaît les technologies d’identité numérique. 

L’article #22 comprend : « L’identification et la vérification exactes des données des personnes physiques et morales sont essentielles pour lutter contre le blanchiment d’argent ou le financement du terrorisme. Les derniers développements techniques dans la numérisation des transactions et des paiements permettent une identification sécurisée à distance ou électronique. Ces moyens d’identification... il convient de tenir compte, en particulier en ce qui concerne les systèmes d’identification électronique notifiés et les moyens d’assurer la reconnaissance juridique transfrontalière, qui offrent des outils sécurisés de haut niveau et fournissent un point de repère par rapport auquel les méthodes d’identification ont mis en place au niveau national peuvent être vérifiés. En outre, d’autres processus d’identification à distance ou électroniques sécurisés, réglementés, reconnus, approuvés ou acceptés au niveau national par l’autorité compétente nationale, peuvent être pris en compte".

Le non-respect peut entraîner des sanctions sévères, y compris des amendes allant jusqu’à 5 millions d’euros, soit 10 % du chiffre d’affaires annuel. Pour la direction, les particuliers pourraient être interdits de gérer une entreprise réglementée et l’organisation pourrait être empêchée de commercer en raison de violations de la conformité.

Conformité réglementaire

Conformité réglementaire

Découvrez pourquoi les principales banques du monde font confiance à OneSpan pour répondre à des exigences complexes en matière de conformité.

En savoir plus

Règlement sur la protection et la protection des données

Les organismes gouvernementaux du monde entier envisagent de nouvelles réglementations en matière de confidentialité des données. Bon nombre de ces règlements sont calqués sur le GDPR de l’UE et signifient une prise de conscience accrue des questions de confidentialité et de protection des données.

California Consumer Privacy Act (CCPA)

L’ACCP introduit de nouveaux droits à la vie privée pour les consommateurs et forcera les entreprises qui font des affaires en Californie à mettre en œuvre des changements structurels à leurs programmes de protection de la vie privée. S’inspirée du Règlement général sur la protection des données (RGPD) de l’UE, l’ACCP est entrée en vigueur le 1er janvier 2020 et l’application de la loi a débuté le 1er juillet 2020.

L’ACCP s’applique aux entreprises définies comme « une entité à but lucratif qui recueille des données personnelles sur les « consommateurs » (en l’occurrence les résidents de la Californie) et répond à au moins l’une des données suivantes :

  1. L’entreprise achète, reçoit, vend ou partage chaque année les renseignements personnels de 50 000 consommateurs, ménages ou appareils.
  2. L’entreprise a un chiffre d’affaires brut annuel de plus de 25 millions de dollars.
  3. L’entreprise tire 50 % ou plus de son chiffre d’affaires annuel de la vente de renseignements personnels aux consommateurs.

Quelques-unes des principales dispositions comprennent le droit du consommateur d’accéder, de supprimer et de porter des renseignements personnels. En vertu de la loi, les consommateurs peuvent demander d’accéder, de supprimer ou de porter les renseignements personnels qu’ils ont fournis à une entreprise, jusqu’à deux fois au cours d’une période de 12 mois. 

Quand on pense à leurs interactions numériques avec une entreprise, il y a énormément de données personnelles. Cela comprend les informations habituelles telles que le nom, l’adresse postale, le téléphone, l’adresse e-mail, l’état matrimonial, la religion et la race, mais il comprend également des informations numériques comme votre adresse IP, nom d’utilisateur, mots de passe, données de navigation, historique des achats et authentificateurs . La liste des authentificateurs comprend également la biométrie, comme les données de reconnaissance faciale, les empreintes vocales et les empreintes digitales. 

Pour protéger la vie privée et la sécurité des consommateurs, la loi exige que les entreprises établissent des processus pour vérifier l’identité et l’autorisation des consommateurs.

Les amendes pour violation de l’ACCP peuvent être élevées. Les infractions non intentionnelles sont passibles d’une amende maximale de 2 500 $, tandis que les infractions intentionnelles sont passibles d’une amende maximale de 7 500 $. Pour une société de plusieurs milliards de dollars, ces montants sont une légère claque sur le poignet. Lorsque l’ACCP a des dents, c’est dans le droit des consommateurs d’intenter des poursuites. En vertu de l’ACCP, les consommateurs peuvent percevoir entre 100 $ et 750 $ pour chaque événement. En cette ère d’atteintes à grande échelle, si les dommages-intérêts sont supérieurs à 750 $, le consommateur peut recevoir encore plus. De telles situations peuvent découler de cas où les « renseignements personnels non chiffrés ou non expurgés » d’un client sont violés.

Loi générale sur la protection des données(LGPD)du Brésil

En juillet 2019, la loi générale sur la protection des données (Lei Geral de Proteçao de Dados Pessoais) (loi no 13 709/2018) (« LGPD ») a été signée et entrera en vigueur le 15 août 2020.

Le LGPD est calqué sur le GDPR de l’UE et s’applique à toute personne ou entité juridique (quel que soit l’endroit où ils se trouvent) qui offre ou fournit des biens ou des services au Brésil, traite des données au Brésil ou traite des données recueillies au Brésil ou appartenant au Brésil Individus.

Le LGPD exige des contrôleurs de données et des processeurs de données qu’ils adoptent des mesures administratives, techniques et de sécurité visant à protéger les données personnelles contre l’accès non autorisé, en plus de la perte accidentelle ou illégale, de la destruction, de la modification et de la communication. .   

L’Autorité nationale de protection des données (Autoridade Nacional de Proteçao de Dados) (ANPD) supervisera et appliquera les règlements sur la protection des données. On s’attend à ce que l’ANPD publie des normes techniques minimales en 2020.

Bien qu’il reste à voir quelles seront les normes techniques minimales, les banques concernées et d’autres entreprises qui protègent actuellement les données des clients avec des noms d’utilisateur statiques et des mots de passe devraient élever leur gestion de l’identité et l’authentification technologies d’authentification multifacteur.   

Thailand Personal Data Protection Act (PDPA)

En mai 2019, la Loi sur la protection des données personnelles B.E. 2562 (2019) a été publié dans la gazette officielle de la Thaïlande. La loi prévoit un délai de grâce d’un an avec conformité à compter du 27 mai 2020.

Le PDPA comprend une disposition pour la création du Comité de protection des données personnelles (PDPC), chargé de l’application et de la publication des directives. 

PDPA a été influencé par divers concepts de GDPR, mais il s’appuie également sur des concepts développés du point de vue thaïlandais. Ne présumez pas que le respect du GDPR s’alignera sur la conformité pDPA. Je recommande un examen approfondi et minutieux des différences entre ces deux législations pour toutes les organisations bancaires internationales opérant dans les deux régions.

Comme GDPR, le consentement des consommateurs doit être obtenu d’une manière facile à comprendre et non complexe.

Les entreprises devront consolider leurs politiques et pratiques de gestion des données clients au fur et à mesure que la PDPA catégorisera les données des clients en trois catégories : la collecte de données personnelles, l’utilisation des données et la divulgation des données. Les entreprises doivent obtenir le consentement du client à chaque fin.

La PDPA dispose d’une applicabilité extraterritoriale, ce qui signifie que les contrôleurs de données et les processeurs de données en Thaïlande et à l’extérieur pourraient être soumis, affectant ainsi de nombreuses banques mondiales et régionales et autres institutions financières.

Comme gdpR et d’autres lois sur la protection des données, le PDPA prévoit des sanctions sévères en cas de non-conformité. Cela comprend des amendes pouvant atteindre 5 millions de THB pour non-conformité administrative, des peines d’emprisonnement jusqu’à un an et/ou des amendes pouvant aller jusqu’à 1 million de THB et des dommages punitifs jusqu’à deux fois le montant des dommages réels. En outre, la Thaïlande autorise désormais les sujets de données à intenter des recours collectifs, ce qui signifie que les dommages-intérêts civils en vertu de la LPDPA peuvent être multipliés. Le directeur de l’entreprise peut également être passible de sanctions.

Quels sont les principaux règlements, lois et normes qui ont une incidence sur les institutions financières en 2020?
  1. PSD2: Directive sur les services de paiement 2
  2. Canada - Les conseils actualisés du CANAFEKnow Your Customer permettent l’intégration numérique
  3. Canada - Modifications apportées à la Loi sur les produits de la criminalité (blanchiment d’argent) et le financement du terrorisme (PCMLTFA)
  4. Les Modifications aux règles de protection et de protection de la vie privée en vertu de la Loi Gramm-Leach-Bliley
  5. Union européenne - Directive 5 sur la lutte contre le blanchiment d’argent (AMLD5)
  6. California Consumer Privacy Act (CCPA)
  7. Loi générale sur la protection des données(LGPD)du Brésil
  8. Thailand Personal Data Protection Act (PDPA)

Orientation du Groupe d’action financière (GAFI) sur l’identité numérique

Le GAFI établit des normes et « promeut la mise en œuvre efficace de mesures juridiques, réglementaires et opérationnelles pour lutter contre le blanchiment d’argent, le financement du terrorisme et d’autres menaces connexes à l’intégrité du système financier international ». En mars 2020, le Groupe d’action financière (GAFI) a publié Guidance on Digital Identity. L’orientation vise à aider les F, les gouvernements et d’autres organisations à appliquer une approche fondée sur le risque lorsqu’ils utilisent des systèmes d’identité numérique pour la diligence raisonnable des clients (CDD).

Le GAFI Guidance se concentre sur les systèmes d’identification numérique de bout en bout qui englobent les processus d’épreuve d’identité, d’inscription et d’authentification.

Les avantages potentiels des systèmes d’identité numérique définis dans les directives comprennent :

  • Améliorer l’identification et la vérification des clients à l’embarquement
  • Appuyer l’examen continu et la diligence raisonnable des transactions tout au long de la relation d’affaires
  • Faciliter les autres mesures de diligence raisonnable (CDD) des clients
  • Aide à la surveillance des transactions aux fins de la détection et de la déclaration des transactions suspectes ainsi qu’aux efforts généraux de gestion des risques et de lutte contre la fraude.

Avec 37 juridictions (pays) et 2 organisations régionales (le Conseil de coopération du Golfe du Moyen-Orient et la Commission européenne), une fois finalisées, nous nous attendons à ce que de nombreuses juridictions adoptent les orientations de leurs règlements respectifs pour lutter contre la fraude, le vol d’identité, le blanchiment d’argent et le financement du terrorisme.

Réglementation bancaire et opportunités

2020 marque une période de grands changements réglementaires dans le monde entier. Pour cette raison, il est impératif de se tenir au courant des changements réglementaires actuels, ainsi que des nouvelles propositions discutées dans les juridictions dans lesquelles vous exercez vos activités. Ils peuvent avoir un impact crucial sur vos initiatives de transformation numérique.

Apprenez-en davantage sur les solutions de sécurité et la conformité réglementaire en visitant notre page décrivant le défi de la conformité.

Michael Magrath est responsable de l'alignement de la feuille de route de la solution OneSpan avec les normes et les exigences réglementaires à l'échelle mondiale. Il est président du groupe de travail sur le déploiement gouvernemental de l'Alliance FIDO et siège au conseil d'administration de l

Conformité réglementaire

Découvrez pourquoi les principales banques du monde font confiance à OneSpan pour répondre à des exigences complexes en matière de conformité. Découvrez pourquoi les principales banques du monde font confiance à OneSpan pour répondre à des exigences de conformité complexes. Découvrez pourquoi les principales banques du monde font confiance à OneSpan pour répondre à des exigences de conformité complexes.

En savoir plus