Plateforme low‑code configurable pour transformer et valoriser les contenus. Elle garantit un rendu documentaire de haute qualité et à haute performance.
Plateforme low‑code configurable pour transformer et valoriser les contenus. Elle garantit un rendu documentaire de haute qualité et à haute performance.
Plateforme robuste, performante et sécurisée dédiée à la migration, l’intégration et la distribution de contenus. Elle permet aux organisations de diffuser leurs informations vers différents systèmes tout en assurant un suivi complet des flux.
Compatible avec toutes les interfaces Documentum et entièrement certifiée par OpenText. Elle permet de créer des tableaux de bord et des rapports personnalisés dans différents formats.
Offre multi‑cloud couvrant l’IaaS, le DaaS, le PaaS et le SaaS. Disponible en cloud public, privé ou hybride, entièrement hébergé et opéré au sein de l’Union européenne.
Ce que les restrictions de la BCE sur Revolut révèlent pour chaque institution financière
auteur: Alain van Hove
4–6 minutes
Comment les superviseurs ont relevé la barre : non plus avoir des contrôles, mais pouvoir prouver qu’ils fonctionnent. Et pourquoi les institutions établies sous-estiment ce glissement.
TL;DR. La BCE n’a pas restreint Revolut parce que les contrôles étaient absents, mais parce que la banque ne pouvait pas démontrer qu’ils fonctionnaient. Cette barre a depuis été relevée pour l’ensemble du secteur. Et les institutions établies sont souvent plus vulnérables que les néobanques, car leurs preuves sont dispersées entre systèmes legacy, serveurs partagés et boîtes mail. La question qui compte est simple. Pouvez-vous reconstituer la piste de responsabilité au moment où un superviseur la demande ?
L’été dernier, la Banque centrale européenne a temporairement interdit à la néobanque Revolut de lancer de nouveaux produits. La raison exacte n’est devenue publique que ce mois-ci. Les contrôles internes n’avaient pas suivi le rythme auquel la banque déployait ses nouveaux produits. (source: VRT NWS)
La lecture évidente est facile à formuler. Une fintech qui est allée trop vite. Un avertissement pour quiconque place la vitesse au-dessus de la rigueur. L’histoire de quelqu’un d’autre. C’est précisément là que le raisonnement déraille.
Ce que la BCE a réellement demandé
Quiconque lit le dossier n’y voit pas un problème de vitesse. La BCE n’a pas seulement demandé si les contrôles existaient. Ils existaient. Elle voulait que Revolut démontre que ces contrôles fonctionnaient réellement, et a imposé pour cela un audit externe. Ce n’est pas un incident isolé. La supervision évolue dans cette direction depuis des années. La question passe de « avez-vous les bons contrôles ? » à « montrez-nous qu’ils fonctionnent, quand nous le demandons. » Cette attente n’est pas enfouie dans une disposition particulière. Elle traverse l’ensemble du cadre dans lequel opère aujourd’hui chaque institution financière.
Les priorités de supervision de la BCE insistent depuis des années sur la gouvernance et des données de risque fiables et démontrables. (Vérifier l’édition en cours et citer directement dans la version finale.)
DORA (Digital Operational Resilience Act) oblige les institutions depuis début 2025 à être résilientes sur le plan opérationnel et à pouvoir le démontrer.
BCBS 239, les principes de Bâle sur l’agrégation des données de risque, le dit en substance depuis des années. Vous devez pouvoir reproduire vos données de risque de manière précise, complète et en temps voulu. Le principe n’est pas nouveau. La rigueur avec laquelle il est appliqué, si.
Plus près de chez nous, la Banque nationale (BNB) et la FSMA maintiennent la même exigence, dans le prolongement des lignes directrices de l’EBA sur la gouvernance interne.
Le schéma est partout identique. Pouvoir prouver que vos contrôles fonctionnent est devenu une attente de base, non un avantage distinctif.
Pourquoi les institutions établies sont vulnérables ici
Le réflexe est compréhensible. Cela ressemble à un problème de jeunes entreprises technologiques qui avancent vite, et une banque ou un assureur avec trente ans de procédures semble naturellement en ordre. Dans la pratique, nous observons souvent l’inverse. Dans une fintech, l’essentiel vit dans un environnement moderne, unique et consultable. Dans une institution établie, les preuves sont dispersées entre systèmes legacy, serveurs partagés, boîtes mail et processus encore partiellement manuels. Le contrôle existe généralement. Le vrai test est de savoir si vous pouvez reconstituer, en moins de 24 heures, qui avait le droit de consulter, modifier, conserver ou supprimer quoi et quand, et le montrer clairement. Ce test est administré de plus en plus souvent. La vitesse et l’innovation ne sont plus des excuses. La question que le cas Revolut met en lumière vaut pour tout le monde. Pouvez-vous le prouver ?
Quatre questions pour votre équipe risk et compliance
Pour chaque document sensible, pouvons-nous montrer en moins d’un jour qui y avait accès, qui l’a modifié et quand ?
Savons-nous exactement où se trouvent nos informations les plus critiques, et où circulent d’éventuelles copies ?
Pouvons-nous non seulement formuler une politique de conservation et de suppression, mais aussi l’appliquer de manière démontrable ?
Quelle part de nos preuves dépend aujourd’hui de quelqu’un qui les rassemble manuellement ?
Si l’une de ces questions suscite un doute, le problème est rarement un manque de contrôles. Ce qui fait défaut, c’est la capacité à les prouver. Et c’est précisément ce qu’un superviseur remarque en premier.
Du contrôle au contrôle démontrable
C’est le travail que nous faisons chez AMEXIO auprès des banques et des assureurs : rendre la gouvernance démontrable sur demande, pour un auditeur, un régulateur ou le conseil d’administration.
En pratique, cela signifie travailler là où se trouve réellement la preuve : dans les documents et le contenu lui-même, et non dans une couche de rapports ajoutée par-dessus. Nous aidons les institutions à contrôler qui peut consulter, modifier, conserver ou supprimer un document sensible, et nous maintenons une piste d’audit qui résiste à l’examen, de sorte que « qui a fait quoi, et quand » peut être produit en quelques heures plutôt que d’être reconstruit manuellement sur plusieurs jours. Nous cartographions où l’information critique est stockée et où les copies circulent, la classifions, et transformons une politique de conservation et de suppression en quelque chose que le système applique, plutôt qu’une politique qui n’existe que sur papier.
La même logique s’étend au-delà de votre propre organisation. Dans une chaîne d’approvisionnement, tout se résume à une question : qui est responsable de quoi, et pouvez-vous le prouver ?
Cela se résume toujours à la même chose : une chaîne de responsabilité qui est claire, vérifiable et facilement disponible avant même que quiconque ne la demande.
