La Securities and Exchange Commission (SEC) des États-Unis a infligé des amendes d'un montant total de 1,8 milliard de dollars à de grandes banques et sociétés de courtage pour l'utilisation par leurs employés d'applications de messagerie privée pour discuter de leur travail et pour ne pas avoir toujours enregistré ces messages. Les amendes comprennent 1,1 milliard de dollars évalués par la SEC et une sanction de 710 millions de dollars de la Commodity Futures Trading Commission (CFTC). L'enquête de la SEC a mis au jour ce que l'autorité a appelé des « communications hors canal omniprésentes », recueillies par les entreprises elles-mêmes sur les terminaux des employés. Ces derniers comprenaient des banquiers d'investissement seniors et juniors, ainsi que des traders.

Selon la CFTC, des dizaines de milliers de communications étaient intentionnellement destinées à tenir à l'écart la conformité interne de la banque et les régulateurs. Et comme de nombreux canaux de communication privés sont chiffrés de bout en bout, ils ne laissent aucune trace récupérable pour la supervision de la banque, a déclaré la CFTC dans un communiqué. « Un autre thème commun est que la CFTC a trouvé des cadres supérieurs - les personnes mêmes chargées de maintenir l'ordre dans la banque - qui ont ordonné aux employés d'utiliser des canaux de communication non autorisés et de supprimer des messages. Certains cadres ont même menti à la CFTC et à la SEC », a déclaré la Commission.

16 entreprises sanctionnées

L'utilisation d'applications privées non autorisées (comme WhatsApp ou Signal par exemple) et l'absence d'archivage de ces communications constituent une violation des règles de tenue des registres et de protection de la vie privée. Les deux organismes de réglementation ont appelé le secteur des services financiers à « corriger les politiques et pratiques internes » afin que les autorités de réglementation et les dirigeants des banques américaines puissent prévenir, détecter et corriger les communications illégales non autorisées.

Les entreprises sanctionnées pour ces violations sont les suivantes Barclays Capital Inc ; BofA Securities Inc, ainsi que Merrill Lynch, Pierce, Fenner & Smith Inc ; Citigroup Global Markets Inc ; Credit Suisse Securities (USA) LLC ; Deutsche Bank Securities Inc, ainsi que DWS Distributors Inc et DWS Investment Management Americas, Inc ; Goldman Sachs & Co. LLC ; Morgan Stanley & Co. LLC, conjointement avec Morgan Stanley Smith Barney LLC ; et UBS Securities LLC, conjointement avec UBS Financial Services Inc. Deux sociétés - les maisons de courtage Jefferies LLC et Nomura Securities International - ont accepté de payer des pénalités de 50 millions de dollars chacune ; la maison de courtage Cantor Fitzgerald & Co. a accepté de payer une pénalité de 10 millions de dollars.

L’absence de respect des obligations

« La finance, en fin de compte, dépend de la confiance », a déclaré Gary Gensler, président de la SEC, dans un communiqué. « En ne respectant pas leurs obligations en matière d'enregistrement et de tenue de livres, les participants au marché que nous avons inculpés aujourd'hui n'ont pas su maintenir cette confiance ».

Outre d'importantes sanctions financières, la SEC a ordonné à chacune des sociétés de prévenir toute violation future des dispositions relatives à la tenue des registres et leur a infligé un blâme. Les entreprises ont également accepté de faire appel à des consultants en conformité pour, entre autres, mener des examens complets de leurs politiques et procédures concernant la conservation des communications électroniques sur des terminaux personnels et de leurs cadres respectifs pour traiter les cas de non-conformité des employés.

Les règles sont conçues pour la transparence

Thomas Shuster, directeur de recherche au sein de l'activité Capital markets digital transformation strategies d'IDC, qui a été par le passé agent enregistré de deux courtiers-négociants et conseiller enregistré auprès d'un organisme d'autorégulation (OAR) relevant de la SEC, a déclaré qu'il n'y a jamais eu de doute sur le fait d'être soumis à des exigences strictes en matière de tenue de registres.

« Nous n'étions même pas autorisés à envoyer des SMS et si nous recevions des SMS, nous devions créer une image et tenir un registre », a déclaré Thomas Shuster. « Cela dit, je ne sais pas s'il y a un élan derrière cette action. Mon instinct me dit que la SEC a fait un exemple avec ces entreprises très visibles et très riches et qu'elle laissera l'action parler d'elle-même comme un récit édifiant. Ces amendes semblent importantes pour l'infraction commise ». Les rapports sur les amendes imminentes ont fait surface pour la première fois en juillet.

Les apps de messagerie, un réel défi

Les politiques de « Bring your own device » (BYOD) sont depuis longtemps la norme dans les entreprises de services financiers, mais les lois sur la confidentialité des données telles que les règles 17a-3 et 17a-4 de la SEC, la loi Dodd-Frank, Sarbanes-Oxley, les règles de la FINRA, MiFID II, CCPA et du RGPD exigent toutes que les industries réglementées archivent les communications professionnelles dans un serveur sécurisé et fiable, sous peine de pénalités et d'amendes importantes, voire de recours collectifs. Le problème était moins répandu lorsque seul le courrier électronique était utilisé ; les serveurs de messagerie des entreprises pouvaient stocker automatiquement les communications et les logiciels d'archivage pouvaient fournir aux régulateurs des messages spécifiques à l'aide d'outils de recherche.

Mais les réglementations sur la confidentialité des données font de l'utilisation des applications de messagerie grand public dans les secteurs réglementés un défi pour les équipes chargées de l'informatique, des RH, de la gouvernance d'entreprise et de la conformité. Et l'utilisation de « communications fantômes » peut entraîner des dommages considérables pour les finances et la réputation d'une entreprise. « C'est la prolifération de ces autres canaux de communication qui est à l'origine du problème », a déclaré John Lukanski, associé du cabinet d'avocats Reed Smith LLP. Selon lui, le problème qui se pose lorsqu'on évite les applications de messagerie instantanée est que les clients les préfèrent souvent, de sorte que les employés des services financiers doivent prendre une décision : faire plaisir au client ou suivre les règles.

Des dérives en continu

De nombreuses sociétés de services financiers ont décidé il y a longtemps de créer des canaux de communication pré-approuvés par lesquels les messages pouvaient être archivés, et les employés devaient attester qu'ils se conformeraient à ces règles. « Le problème est que si vous avez mis en place ces règles, vous devez en assurer la conformité. Et, même les superviseurs utilisent des canaux non approuvés pour communiquer », a poursuivi John Lukanski. « Ce qui exaspère vraiment les régulateurs, c'est lorsqu'ils mènent une enquête et qu'ils se rendent dans des entreprises pour demander des communications... et qu'un certain pourcentage des communications a été effectué hors canal. En d'autres termes, ils ne peuvent pas produire tous les documents, ce qui entrave les enquêtes des régulateurs ».

Le secteur de la banque, des services financiers et de l'assurance (BFSI) est l'un des plus réglementés car il exerce une grande influence sur l'économie au sens large. « Il invite à la corruption, à la manipulation des marchés, à la fraude aux titres et à d'autres comportements peu scrupuleux qui finissent par entraîner des crises financières, des récessions, etc. », a déclaré Michela Menting, directrice de recherche chez ABI Research. « Ainsi, les organismes de réglementation comme la SEC et la CFTC doivent imposer des réglementations et des exigences de conformité très strictes pour maintenir l'intégrité du marché ». Michela Menting estime que la question va au-delà des applis de messagerie privées ; il s'agit de la capacité à responsabiliser le secteur des services financiers à un moment où de nombreuses entreprises subissent une transformation numérique.

Pourquoi les applications de messagerie sont populaires

Les applications de messagerie sécurisée sur les téléphones privés offrent un moyen simple et rapide de mettre en relation banquiers et traders, superviseurs et personnel, partout et à tout moment. Et la technologie est omniprésente, bon marché et toujours disponible. Si WhatsApp est l'application de messagerie grand public la plus populaire, plus d'une demi-douzaine d'autres sont régulièrement utilisées, notamment iMessage, Facebook Messenger, WeChat, Telegram et Signal. Toutes ont fait leur chemin sur le lieu de travail à mesure que les smartphones ont proliféré et que les programmes BYOD des entreprises ont mûri.

« Cela fait de [ces applications] des outils massivement populaires, et pratiquement nécessaires dans un monde post-pandémique où la main-d'œuvre est de plus en plus distribuée », a déclaré Michela Menting par courriel. « Mais le problème est que ces outils se trouvent trop souvent en dehors du champ d'action de l'entreprise, dans le domaine de l'informatique parallèle, parce qu'ils se trouvent sur des téléphones privés. On pourrait y voir de la paresse de la part des organisations financières (du moins celles qui ont été sanctionnées) ; elles ont des exigences de conformité très spécifiques, qu'elles ont choisi d'ignorer au profit de la commodité. Mais la paresse n'est peut-être qu'une partie de l'histoire ; les outils peuvent également être utilisés pour masquer des pratiques qui pourraient être considérées comme contraires à l'éthique, voire illégales », a ajouté Michela Menting.

La pandémie a accéléré le passage vers ces communications

M. Lukanski est d'accord avec elle : le risque de ne pas archiver les commutations est que des banquiers et des courtiers puissent être impliqués dans des activités sournoises au nom de la société qu'ils représentent, sans qu'il soit possible de le découvrir. Mais tous les messages non autorisés n'ont pas été envoyés à des fins malveillantes. Une grande partie de l'activité a eu lieu au plus fort de la pandémie de Covid-19, lorsque les employés travaillaient pour la plupart à domicile. Il était tout simplement plus facile d'utiliser une application de messagerie privée, hors serveur, a déclaré M. Lukanski.

« J'ai toujours pensé... qu'on peut toujours faire mieux », a-t-il déclaré. « Si vous êtes une entreprise qui ne fait pas partie des 16 entreprises sanctionnées, je ne pense pas que vous puissiez dire : « Nous avons évité la balle ». Vous avez toutes les raisons du monde de prêter attention à cette question maintenant ». Les institutions financières peuvent faire deux choses, selon Nader Henein, vice-président chargé de la recherche au sein du département Protection de la vie privée et des données de Gartner. Elles peuvent former leurs employés et surveiller les appareils appartenant à l'entreprise. « Elles peuvent également surveiller les appareils personnels avec l'accord des employés, mais c'est un peu compliqué », a déclaré M. Henein. « Le maillon faible est parfois l'employé, mais c'est aussi la relation éternellement tendue entre l'entreprise et les équipes de gouvernance ».

Les fédéraux ont sévi

Sous la houlette du président américain Joe Biden, la SEC a fait monter la pression pour empêcher les entreprises de services financiers d'utiliser des applications non sécurisées à des fins professionnelles. En décembre, JPMorgan a été frappé d'une amende combinée de 200 millions de dollars par la SEC (dont 125 M$ rien que par l’organisme) et la CFTC pour avoir omis de surveiller et de stocker les communications électroniques entre 2018 et 2020. La SEC a cité l'utilisation de WhatsApp, de SMS et de comptes de messagerie personnels pour des questions professionnelles. Auparavant, en 2020, un trader de crédit senior chez JPMorgan avait été suspendu pour avoir communiqué avec des collègues de Jefferies, KPMG et VTB Capital via WhatsApp. Ces derniers ont alors également fait l'objet d'enquêtes après qu'il a été constaté que des employés utilisaient des applis de messagerie comme canaux de communication non autorisés.

La même année, la Deutsche Bank a pris des mesures pour interdire toutes les applications de messagerie texte et de communication afin d'améliorer les normes de conformité. De nombreuses autres entreprises, dont HSBC, Citi et Wells Farg0, ont adopté des plateformes de communication plus sécurisées. Certaines entreprises semblent toutefois ignorer les conséquences de l'absence de politiques rigoureuses contre de telles pratiques. « En engageant ces poursuites en même temps et parallèlement à la SEC, la Commission envoie un message fort ... que nous ne tolérerons pas les efforts visant à échapper à notre surveillance réglementaire - surveillance à laquelle ces entités ont souscrit lorsqu'elles se sont enregistrées auprès de la Commission », a déclaré Christy Goldsmith Romero, commissaire de la CFTC, dans un communiqué. « Ceux qui choisissent de participer aux marchés financiers américains sont prévenus - l'ère des pratiques de communication évasives est terminée. La CFTC vous demandera des comptes ».