Le leasing, ou location de matériel informatique représente un marché de près de trois milliards d’euros en France. La location est-elle bien la solution souple et idéale décrite dans de nombreux articles de presse ou un engagement économique à long terme avec des coûts cachés difficiles à tracer ? Tout dépend des objectifs de l’entreprise et d’une bonne négociation du contrat avec le leaser.
A première vue la location de matériel semble une solution souple pour renouveler son matériel informatique. Les entreprises françaises y recourent d’ailleurs massivement puisqu’elles ont consacré plus de 3 milliards d’euros en 2018 dans la location de serveurs, de machines bureautiques, de smartphones… (Source ASF : Association Française des Sociétés Financières). L’idée est de disposer rapidement de matériel sans investissements financiers importants et avec des coûts maîtrisés.
Mais est-ce toujours le bon calcul ? Tout dépend…
Il faut comprendre que le matériel est d’abord acheté par le loueur. Il transforme alors son achat en location et dans le package du leasing, le loueur inclut des services complémentaires comme la reprise du matériel en fin de location, son suivi, son recyclage… Pendant la période de location, il devra donc à la fois se rembourser du coût du matériel et se rémunérer pour les services ajoutés.
Comment s’effectue le calcul du coefficient de location ? Qui détermine les versements ?
D’abord le loueur doit se rembourser.
Les entreprises sont redevables de l’ensemble des loyers prévus pour arriver à un équilibre. Quoiqu’il arrive au matériel, obsolète ou opérationnel, utilisé ou en dépannage, gardé ou rendu, … : l’entreprise paiera la totalité des mensualités.
Le coût de location mensuel = coefficient de location mensuel (indiqué dans le contrat et fixe sur la durée contrat) * coût d’acquisition
Le coefficient de location dépend des taux d’emprunt sur les marchés financiers au moment où le matériel est acheté, et en ce moment les taux sont très bas. Dans ce cas, certains leasers n’hésitent pas à annoncer que la location coûte le même prix que l’acquisition en fonds propres : la somme des loyers est quasi égale au coût d’acquisition.
Evidemment, il y a d’autres paramètres…
Redevance de mise à disposition
Il semble aussi intéressant de s’arrêter sur « l’avant » et « l’après » contrat, où se cachent parfois quelques surprises.
Le contrat de location démarre à une date précise, et il peut s’écouler plusieurs semaines avant que le contrat ne prenne effet, les besoins de matériel n’attendant pas. Dans, ce cas, le loueur met à disposition les machines qui entreront dans le contrat de location par la suite.
Attention, le loueur applique alors une « redevance de mise à disposition ». Cette redevance peut être complètement différente du « coefficient de location » annoncé lors du contrat, car le leaser fera payer des intérêts supplémentaires pour la mise à disposition du matériel avant le démarrage du leasing.
Gérer la fin de contrat
A l’issue de la période de leasing, comme le matériel appartient au loueur et non à l’entreprise, celui-ci doit le récupérer. C’est lui et lui seul, qui revendra le matériel à un « broker » sur la base d’une côte du matériel d’occasion. Sa valeur peut varier selon de multiples critères et oscille entre 10 et 20% de la valeur du neuf et constitue une bonne partie de la marge du loueur.
Pour un matériel coûtant 100 euros, le loueur encaissera 100 euros de loyer plus 10 à 20 euros liés à la revente du matériel au broker.
Si l’entreprise décide de garder le matériel au-delà de la période initiale prévue par le contrat, le loueur devra compenser la perte de la revente en facturant des loyers supplémentaires selon des conditions particulières. Pour l’entreprise, il faut donc vérifier que la location de la machine ne coûtera pas beaucoup plus chère que sa valeur d’achat, le « coût de prolongation » s’additionnant bien entendu au montant de la location initiale.
Bien négocier son taux de non-restitution
Dans toutes les grandes entreprises, une partie du matériel loué est « perdu » remisé dans des placards, cassé, donné à des collaborateurs au moment de leur départ… Or, les machines n’appartiennent pas à l’entreprise et doivent être rendues au loueur à la fin du contrat. Il est donc important de négocier, dès le début du contrat, un « taux de non-restitution ». pour couvrir les cas de matériel cassé, perdu, etc…
Les grands comptes, par exemple, ne gèrent pas les écrans, les claviers ou les souris, qui constituent une part significative des coûts des matériels. Leur non-restitution au-delà du taux prévu dans le contrat peut entraîner des frais supplémentaires non négligeables.
Conclusion
Il est donc courant à l’issue du contrat de constater un taux de location annuel plus proche des 6% que des 0% annoncés.
Finalement, la location de matériel informatique peut avoir des avantages parce qu’elle est plus facile à obtenir que les emprunts, qu’elle offre des services de recyclage de matériel, et que les coûts mensuels sont faciles à suivre et à maîtriser.
Il faut cependant retenir que le matériel n’appartiendra jamais à l’entreprise même à l’issue du contrat, que les services se paient et que les coûts peuvent vite augmenter si le parc locatif n’est pas bien géré.
Dans tous les cas, il vaut mieux prendre le temps pour négocier l’ensemble des éléments du contrat et donc pas seulement le taux de location en tenant compte des besoins, des processus de l’entreprise, de la maturité et de la rigueur de la gestion de parc afin d’éviter les mauvaises surprises.
En cas de départ de l’entreprise, 75%* des salariés ne quittent pas leur emploi mais leur manager, c’est donc bien que le management joue un rôle clé dans la rétention des talents.
Cet article illustre 3 exemples de management qu’il vaut mieux éviter à l’avenir :
Ne pas donner l’exemple
Ma manager m’engueule sur de l’organisationnel, sur de la gestion de projet, mais c’est énervant car elle ne se plie pas aux mêmes règles que nous.
Claire
La semaine dernière mon manager m’a dit : « Tu as 25 ans, c’est à toi de te former seule sur Google Analytics, Google Adwords, Photoshop, on ne va pas engager des dépenses pour le Groupe alors qu’il y a plein de formations en ligne. » Alors que dans le même temps il fait des notes de frais à tout bout de champ, même pour ses cafés.
Carole
De manière générale, chacun est disposé à prendre de manière constructive les remarques qui lui sont faites. Mais lorsque le manager ne s’applique pas la même discipline, il cultive alors un sentiment de défiance et nourrit le désengagement du salarié. « Lead by example » est désormais la devise du management du 21e siècle ! C’est d’autant plus vrai à l’ère du numérique qui, bien au-delà de l’aspect technologique, place la coopération horizontale comme la nouvelle norme d’organisation.
Ne pas expliquer pourquoi
Tu es trop jeune pour comprendre.
Vincent
Je n’ai pas le temps de t’expliquer pourquoi, fais-le c’est tout
Maxime
Si le rapport d’autorité a fonctionné (relativement) bien pour nos parents et nos grands-parents, ce temps semble révolu. Donner du sens aux individus n’est plus une éventualité, mais un des devoirs de l’organisation dont le manager est porte-parole. Sa casquette pivote quelque peu et nécessite qu’il explique le « pourquoi » pour susciter l’adhésion et l’engagement des membres de son équipe pour laisser le « quoi » et le « comment » à l’appréciation des individus désormais engagés.
Ne pas laisser de place à la prise d’initiative
Quand j’ai proposé une idée de projet qui aurait eu un impact concret pour nos clients, mon manager m’a tout de suite dit : ça ne marchera jamais, passe à autre chose. J’aurais aimé qu’il me laisse au moins essayer. — J’ai compris que ce n’était pas avec ce manager que j’avais envie d’évoluer. —
Pauline
Une petite phrase suffit à tuer le poussin dans le l’œuf et enterrer six pieds sous terre l’engagement de vos collaborateurs. Les individus qui prennent des initiatives sont pourtant la poule aux œufs d’or des organisations du 21e siècle. Il n’y a qu’à voir les cultures d’entreprise déployées par les BlaBlaCar, Facebook, Leboncoin et consorts pour s’en convaincre. Par exemple, la devise chez Facebook est « Move fast and break things », une incitation à prendre des risques largement relayée et encadrée par les « coachs/managers ». Oui, parce que la prise d’initiative s’organise ! On travaille des MVP « Minimum Valuable Products » pour valider des concepts avant de passer à plus grande échelle ; en cycle court pour limiter l’investissement ; piloté à l’aide d’OKR (Objectives and Key Results) pour s’assurer que le projet est aligné avec la stratégie de l’entreprise.
En résumé
Les entreprises ont tout intérêt à piloter et encourager leurs salariés dans la prise d’initiative si elles veulent continuer à briller (exister !). Il est urgent de penser un cadre dans lequel les individus puissent s’engager, sorte de laboratoire des innovations de demain !
* : source – Infographie Officevibe, “Les piliers de l’engagement des collaborateurs”, 2016
Les nouvelles réformes engagées sous l’appellation « finalisation de Bâle III », que l’industrie financière nomme déjà « Bâle IV », soumettent les méthodes de calcul des RWA, notamment en ce qui concerne le risque de crédit, à d’importantes modifications.
En effet, en matière de ratio de capital, les apports de Bâle III, applicable depuis 2013, ont porté sur son numérateur (renforcement quantitatif et qualitatif des fonds propres), alors que très peu de modifications ont été apportées à son dénominateur (RWA). L’actuelle méthode de calcul de ce dernier est principalement héritée de Bâle II (2004).
Pourquoi la méthode standard ?
Depuis décembre 2017, le Comité affiche une volonté de faire évoluer le traitement des RWA. Pour ce faire, il prévoit, entre autres, une profonde refonte de la méthode standard du risque de crédit.
L’importance de cette mesure tient avant tout à l’importance de la méthode standard elle-même dans l’usage bancaire. En France, en Europe et à l’échelle mondiale[1], cette méthode est la plus utilisée. Par conséquent, la plupart des acteurs bancaires sont concernés par la mise en œuvre de la nouvelle méthode et devraient s’y préparer.
Les nouveautés
Le texte du Comité de Bâle de Décembre 2017 fixe, avec un important niveau de détail, les nouvelles réformes de la méthode standard. Sans vouloir restituer ici toute la complexité du dispositif, nous abordons ses deux apports les plus novateurs, à savoir :
Même si ces deux éléments ont pour motivation commune le renforcement de la sensibilité au risque, la démarche du comité soulève quelques interrogations sur l’atteinte de l’objectif.
1- Plus de granularité pour plus de sensibilité au risque ?
Le manque de sensibilité au risque est l’une des critiques adressées par le Comité de Bâle lui-même au dispositif actuel. L’objectif des nouvelles réformes est justement de surmonter cette faiblesse.
Tenir compte de la sensibilité au risque sans pour autant complexifier la méthode standard, voilà le défi auquel le Comité a fait face. Pour le relever, il a choisi l’option de la granularité. Concrètement, le Comité estime que la méthode actuelle (héritée de Bâle II) n’associe pas un nombre suffisant de pondérations à certaines expositions, ce qui réduit la sensibilité au risque. La nouvelle méthode, quant à elle, augmente le nombre de pondérations pour beaucoup d’expositions (clientèle de détail, immobilier résidentiel, immobilier commercial…).
Si nous prenons le cas de la clientèle de détail (hors immobilier) nous constatons un niveau de granularité nettement plus important dans la nouvelle réforme (figure 1.2) comparée à la méthode actuelle (figure 1.1) :
Figure 1.1 : Méthode actuelle
Expositions sur la clientèle de détail (hors immobilier)
Pondération
75%
Source : BRI, 2006
Figure 1.2 :
Expositions sur la clientèle de détail (hors immobilier)
Clientèle de détail réglementaire (non renouvelable)
Clientèle de détail réglementaire (renouvelable)
Autres expositions sur la clientèle de détail
« Transactors »
« Revolvers »
Pondération
75%
45%
75%
100%
Source : BRI, 2017
Jusque-là, la granularité évolue bien vers un renforcement de la sensibilité au risque. Cependant, le secteur de l’immobilier, fortement mis en avant par le Comité, soulève question : le Comité introduit le ratio LTV[3] comme critère de pondération. Ce choix est questionnable étant donné son caractère procyclique qui va à l’opposé du renforcement de la sensibilité au risque recherché par le Comité.
Il semble que les leçons de la crise de 2007 n’ont pas été entièrement tirées. Il ne faudrait pas oublier que le marché immobilier américain se trouvait au cœur de cette crise et que le financement d’une partie de ce marché reposait davantage sur la valeur des biens acquis que sur la capacité de leurs acquéreurs à rembourser leurs prêts. Le LTV renforce cette même logique. Quelle est alors la cohérence d’introduire un dispositif comme le LTV dans un cadre prudentiel visant le renforcement de la sensibilité au risque ?
2 – SCRA, autorisation explicite à moins de granularité !
Cette approche est prévue pour les juridictions n’autorisant pas le recours aux notations externes à des fins réglementaires (notamment les Etats-Unis jusqu’à présent) et pour les expositions non notées dans les juridictions permettant le recours aux notations externes. A la différence de l’approche ECRA[4], dont la granularité a bien été renforcée, l’approche SCRA est composée de trois tranches de risque seulement : A, B et C. La figure 3 illustre cela dans le cas des expositions sur les banques.
Figure 2 : Pondération des risques afférents aux banques (ECRA vs SCRA)
Figure 2.1 : Approche externe de l’évaluation du risque de crédit (ECRA)
Note externe de la contrepartie
AAA à AA-
A+ à A-
BBB+ à BBB-
BB+ à B6
Inférieur à B-
Coefficient standard
20%
30%
50%
100%
150%
Pondération des risques afférents aux expositions à court terme
20%
20%
20%
50%
150%
Figure 2.2 : Approche standard de l’évaluation du risque de crédit (SCRA)
Evaluation du risque de crédit de la contrepartie
Tranche A
Tranche B
Tranche C
Coefficient standard
40%
75%
150%
Pondération des risques afférents aux expositions à court terme
20%
50%
150%
En attendant Bâle V ?
Dans le cadre de négociations internationales ayant pour but de bâtir un consensus mondial sur la régulation du système bancaire, il est concevable que les parties fassent des concessions. Néanmoins, les concessions faites dans la version actuelle (probablement finale) de Bâle IV limitent la portée de l’objectif même de la réforme, à savoir le renforcement de la cohérence et de la crédibilité de la mesure des RWA, pour au moins deux raisons :
Le renforcement de la sensibilité au risque afin de rétablir la crédibilité du calcul des RWA et l’introduction pour la première fois du LTV susceptible de décrédibiliser le dispositif.
L’introduction de davantage de granularité avec l’approche ECRA et dans le même temps l’admission du recours à l’approche SCRA qui est moins granulaire !
Ces interrogations seront-elles soulevées lors de la transposition des recommandations du Comité dans le droit européen, afin d’éviter un nouvel accord, probablement Bâle V ? Ou seront-elles ajournées aux prochaines négociations ?
[1] Comité de Bâle sur le contrôle bancaire : Note récapitulative sur les réformes de Bâle III, Décembre 2017. [2] Standardised Credit Risk Assessment Approach. [3] Loan to Value. Ce ratio est égal à : montant de l’emprunt/valeur du bien. [4] External Credit Risk Assessment Approach.
Une société du CAC 40 réalisait récemment un audit de son contrat mondial de TMA & projets applicatifs, dont le back office se trouve en Inde. Au programme, des difficultés opérationnelles et des conséquences financières sérieuses, mettant en doute le bien fondé du modèle Offshore.
Cet exemple en rejoint d’autres…
Les métiers ont à peine remarqué le changement. La qualité n’est donc pas si mauvaise que cela. Pourtant, les « maîtrises d’ouvrage » métiers sont formelles : « les indiens sont nuls ! » Et après des mois de démarrage laborieux, la DSI a tout essayé : task force, plans d’actions, voyages coûteux pour développer la proximité avec les équipes distantes, formations des collaborateurs pour travailler différemment, etc. Sans compter l’équilibre entre Front office et Back office, révisé avec davantage de proximité, au détriment bien sûr des objectifs financiers.
Après plus d’un an d’efforts de la part du client et de son prestataire, les équipes sont amères, voire dépitées. La relation de confiance, pourtant si précieuse pour travailler efficacement à distance, n’existe pas, ou alors, seulement sur des « ilots » spécifiques.
Mais qu’en serait-il si des erreurs majeures n’avaient pas été commises ?
Le prestataire ne dit pas la vérité lors de la phase d’avant-vente
A quand un discours commercial enfin mature ?
Les prestataires connaissent pourtant « TRES BIEN » les difficultés rencontrées. Que de temps pourrait être gagné, de sueur et de larmes évitées, si le prestataire exerçait enfin son devoir de conseil, au-delà de celui de gagner un dossier ! Nous pensons qu’un discours mature sur le sujet est indispensable, alors que ce n’est un « deal breaker » que pour celui qui ne connait pas les vrais points forts de son offre.
Le client doit pouvoir mieux comprendre qu’il a un rôle clé dans la chaîne des services
Nous voyons encore trop souvent des candidats timides sur certains facteurs de succès d’un programme offshore (ou nearshore). Par leur passivité, ils encouragent le raccourci intellectuel de l’expertise = la qualité des livrables. La vérité c’est que l’expertise est rarement suffisante au départ, notamment sur le plan fonctionnel, et que même si elle l’était, les malentendus resteraient innombrables, si le client ne s’assurait pas activement et régulièrement que ses besoins sont compris.
La question est donc posée aux prestataires, qui devraient adapter leur discours, en rapprochant les équipe de vente des managers de tels programmes.
Les commanditaires internes du projet disent rarement la vérité aux collaborateurs
Il ne faut pas sous-estimer les conséquences d’une mauvaise communication : des managers métiers en défiance avec les choix qui ont été faits, des pratiques de « shadow sourcing » sur des contrats parallèles coûteux, des messages négatifs et déformant les faits, qui tendent à miner toute chance de réussite. Parmi les écueils en matière de communication, nous voyons l’angélisme, qui crée d’emblée un malentendu durable, et nous voyons aussi l’absence partielle ou totale d’information, vécues comme une forme de mépris.
Nous préconisons la clarté sur les objectifs d’un tel projet, même douloureux. Nous recommandons de responsabiliser et de préparer les collaborateurs à travailler davantage, au moins sur certaines activités. Autre point d’attention majeur, celui de préparer les collaborateurs à accepter les différences culturelles, sources de nombreux malentendus.
Le plan de communication interne aux différentes parties prenantes est un incontournable du projet, dès le T0.
Ce plan sera porté par la direction informatique, voire, la direction générale.
Les conditions opérationnelles d’éligibilité ne sont pas remplies
Les conditions d’éligibilité à l’Offshore constituent un inventaire à la Prévert, mais c’est la partie la plus facile du sujet. Un simple diagnostic d’éligibilité qualitatif et quantitatif, relativement rapide et peu coûteux, permet de porter un jugement pertinent sur un niveau de maturité. Il permet d’analyser :
Le niveau de documentation du périmètre, qui doit être suffisant,
Les pratiques des collaborateurs, qui doivent être suffisamment formalisées et référencées,
Le niveau de maîtrise de la langue de travail (souvent l’anglais),
La complexité technique,
La qualité de l’existant au regard des bonnes pratiques,
La complexité fonctionnelle, et la part du spécifique,
Les outillages de gestion des demandes (leur stabilité, la maturité de leur paramétrage),
Le niveau d’activité sur le périmètre. Par exemple un périmètre trop stable ne permet pas de monter en compétence grâce aux demandes de changement,
La pérennité relative du besoin,
L’offre alternative, en matière d’optimisation des processus et d’automatisation
Les collaborateurs ne sont pas assez formés, ni assez impliqués
Deux publics devront faire l’objet de toute l’attention de la conduite du changement projet:
– Les functional designers / business analysts, qui souvent ne maitrisent pas assez l’expression de leurs besoins.
– Les managers, qui ne sont pas forcément formés aux besoins spécifiques d’un tel contrat. Nous pensons au capacity planning, qui permet l‘adéquation entre l’offre et la demande, dans la flexibilité, et la maîtrise des coûts de l’équipe de delivery. Autre sujet majeur, les pratiques « à distance » de quality control, qui posent la question du juste équilibre entre une bonne collaboration client-fournisseur et un bon suivi via des indicateurs (KPI/SLA) de service. Dernier sujet essentiel du management, la mise en place d’un véritable management de programme, c’est-à-dire, transverse, permettant de sortir des silos fonctionnels. Ce management doit être à la fois opérationnel ET contractuel. Une question à ce sujet : connaissez-vous le contenu de vos contrats d’infogérance ? Un contrat bien conçu comporte des outils de gestion efficaces ; charge ensuite au client de les mettre en œuvre dans le cadre de son activité de « contract management » quotidienne.
A adresser dès le T0 du projet, par un diagnostic (« Fit gap analysis ») puis, par les actions nécessaires dans le plan de conduite du changement de projet.
Plus c’est critique et complexe, plus cela risque de mal
La « trajectoire de migration » signifie que tout ne devrait pas basculer dès le « go live » du nouveau contrat. Une trajectoire permet de prioriser les sujets, selon des critères de complexité et de volumes. Pour certains périmètres, l’expérience montre que cela risque de ne jamais marcher. Car, l’expertise y est trop critique, les délais trop courts, et de plus, la mutualisation des ressources (inhérente aux centres de services à bas coûts) deviendrait un facteur de risque trop important.
Des objects financiers ambitieux sont rarement compatibles avec une montée en charge progressive et sélective. pourtant c’est un « key success factor » d’un programme offshore.
Et si on arrêtait de faire n’importe quoi ?
Se lancer dans un marathon en ayant produit un faux certificat médical, sans s’être renseigné sur les risques d’un tel effort, et surtout, sans s’être entrainé correctement, voilà qui comporte une bonne dose de bravoure…ou d’inconscience ! C’est un peu ce que font nombre de décideurs avant de démarrer un projet Offshore. Il y a 2 types de contre-vérités sur le sujet du sourcing offshore : (1) c’est mature et cela va marcher ; il suffit pour cela de choisir le bon partenaire et (2) cela ne marche pas, d’ailleurs beaucoup de clients reviennent après l’avoir expérimenté à leurs dépens. Un projet offshore réussi offre des bénéfices opérationnels et financiers à la fois durables et importants. Il n’y a qu’à constater l’importance de l’offre et des contingents recrutés sur place pour le comprendre. Cependant un tel projet doit s’inscrire dans une véritable stratégie d’entreprise, qui aura su évaluer les autres leviers de la productivité (tels que l’optimisation des processus et l’automatisation). Cette stratégie aura confirmé le périmètre éligible, et révisé les objectifs financiers, en intégrant une mise en œuvre complexe et donc coûteuse.
Déployer des applications Saas sur Cloud Public est devenu très populaire chez certaines Directions Métiers en France. Tout ceci pourrait être amené à changer avec la nouvelle directive Européenne (GDPR) sur la protection des données personnelles qui entrera en vigueur en 2018. En effet cette réglementation exige une très forte gouvernance des fournisseurs hébergeant ces données. Le risque de recevoir une pénalité de 4% de son chiffre d’affaire mondial en cas de non-conformité pourrait donc inciter certaines Entreprises à demander à leur DSI de reprendre l’initiative.
Ce n’est donc pas un hasard de calendrier si l’ANSSI (Agence Nationale de la sécurité des systèmes d’information) a créé conjointement avec son homologue allemand (BSI) un nouveau label nommé European Secure Cloud (ESCloud). Une première version du référentiel des exigences a été publiée en décembre 2016. Elles couvrent les aspects suivants :
Mener une politique de sécurité en regard d’analyse de risques. Celle-ci devant être faite périodiquement pour une même application.
Avoir un responsable de sécurité de l’information, un responsable de la donnée personnelle et un responsable de la sécurité physique de ses installations.
Avoir un plan de sensibilisation à la sécurité au niveau ressources humaines : charte éthique, formation, gestion et capitalisation de la connaissance.
Avoir une politique de contrôle et droits d’accès pour ses bâtiments et certaines zones plus sensibles.
Avoir une cartographie de son SI au niveau infrastructure à jour.
Encrypter les données sensibles et chiffrer les flux. Hacher les mots de passes pour ne pas qu’ils soient accessible en clair.
Avoir une politique de sécurité pour prévenir et surveiller les failles: journaux d’évènements horodatés, analyse du code source si possible, tests d’intrusion fréquents, …
Avoir une politique de gestion des incidents de sécurité y compris de manière préventive.
Avoir une convention et un respect des engagements avec les sous-traitants participants à la mise en œuvre du service.
Garantir une localisation, un traitement des données et une gestion des opérations du datacenter au sein de l’Union Européenne.
Autoriser un organisme certifié par l’ANSSI à venir l’auditer et vérifier le respect de ses exigences.
Pour ceux qui douteraient de l’importance d’avoir un fournisseur de confiance, voici quelques chiffres 1 :
81% des entreprises françaises se sont dit victimes d’une cyberattaque en 2015.
Se remettre d’une violation de sécurité coûte en moyenne 800 000€.
9 semaines sont nécessaires en moyenne pour corriger une faille de sécurité.
35% des incidents de sécurité auraient été généré (parfois malgré eux) par les collaborateurs de l’hébergeur de ces données.
La plupart de ces exigences étaient déjà incluses dans les principales normes de sécurité reconnues par le marché : ISO-27001, SOC1, SOC2, CSA-CSM. L’effort à fournir pour obtenir ce label (GDPR) est donc faible pour les fournisseurs qui avaient déjà obtenu les principales certifications. C’est cependant une bonne chose d’avoir créé un label Européen pour rassurer les entreprises du vieux continent. En effet, que veulent les Directions Générales et les DSI ? Avoir l’engagement que le fournisseur de l’hébergement pourra assurer la sécurité de leurs données et que celles-ci ne vont pas se retrouver aux mains d’un concurrent, d’un gouvernement étranger ou d’une organisation malveillante. Ces entreprises veulent maîtriser le droit d’accès à ces données et ont besoin de partenaires qui accepteront d’être transparents et de partager la responsabilité de conformité sur la protection des données.
Au moment où nous rédigeons ces lignes, seuls 3 fournisseurs de services cloud ont fait la demande du label. Cependant il est fort à parier que tous les principaux acteurs du marché tenteront à moyen terme de décrocher ce précieux Graal qui leur facilitera l’accès au marché des entreprises européennes. Les entreprises françaises utilisaient jusqu’à maintenant très peu le Cloud et principalement pour du stockage ou des services de messagerie en mode SaaS. La plupart d’entre elles mettaient en avant les risques liés à la sécurité comme frein à son utilisation. L’obtention de ce nouveau label Européen est donc un pas en avant pour permettre de gagner la confiance des décideurs.
Pour conclure, il est fort à parier que nous devrions observer une hausse de part de marché des offres IaaS et PaaS sur Cloud Privé et voir une baisse de celui sur Saas déployé sur Cloud Public. Les DSI n’ont plus d’autre choix que de reprendre le contrôle de ces environnements. La part de « Shadow IT » dans les entreprises devraient donc diminuer aussi significativement. Le risque de recevoir une pénalité de la CNIL étant trop grand en cas de non-conformité à la GDPR.
1 : D’après l’article « Cybersécurité : Cinq chiffres clés à connaître »
L’ambition de créer un espace unique de paiement en euros est venue s’ajouter aux nombreux défis du vaste projet qu’est la construction de l’Union Européenne. Elle s’insère entre la volonté d’un marché européen libre et concurrentiel – notamment dans le domaine des paiements – et la construction de la zone euro.
Les banques, sollicitées par la Commission européenne et la Banque Centrale Européenne, ont été les maîtres d’œuvre des nouveaux moyens de paiements dont le cahier des charges était à construire sous la surveillance du régulateur européen.
Bien que certains aspects restent à améliorer, le SDD et le SCT sont harmonisés, automatisés, plus simples, plus rapides et moins chers.
Tout au long de cet article, nous reviendrons sur les différentes phases de construction des premiers paiements européens, ainsi que les défis à venir, à savoir :
la création de l’EPC,
l’harmonisation des messages de paiement sur un standard ISO,
de nouveaux services proposés par les chambres de compensation au niveau de chaque Etat et au niveau Européen,
les organes de gouvernance,
les prochains défis qui restent à relever.
La création de l’EPC, organe pan européen pour la conception et le suivi de la mise en œuvre des paiements SEPA
Les établissements bancaires ont créé un organe autorégulateur commun – l’EPC – composé de collaborateurs des différentes banques de l’Union Européenne, facilitant ainsi le travail collaboratif et la communication avec la Commission et le Parlement Européen.
Un des premiers livrables de l’EPC a été de spécifier les opérations bancaires et leurs règles homogènes à appliquer au sein de l’espace SEPA.
Les principales caractéristiques structurantes du SEPA qui en découlent sont:
Un cycle de vie des opérations avec un début et une fin
Jusque-là, en France, une opération pouvait faire l’objet de plusieurs échanges (effet ping-pong : émission, rejet, rejet du rejet, rejet du rejet du rejet, OCR/ODR voire AOCT). Cet aspect a d’ailleurs affecté les opérateurs français qui ont eu des difficultés à supprimer ces usages (ex. : rejet du rejet Minos sans R-Message équivalent).
La définition claire des rôles et périmètres des acteurs : A titre d’exemple, dans le cas du SDD, ce n’est plus aux banquiers qu’incombe la responsabilité du débit au compte de son client. En effet, le client ne communique plus à sa banque les autorisations de débit par un tiers identifié par un NNE (numéro national d’émetteur), mais signe un mandat de prélèvement auprès de son créancier qui a ensuite l’obligation de le stocker et d’apporter la preuve en cas de contestation.
L’harmonisation des messages sur un standard ISO
Une fois le modèle SEPA construit, l’EPC a demandé à Swift de travailler sur l’adaptation du standard ISO 20022 pour supporter les échanges des messages de paiement de la zone euro. Cette norme s’appliquait déjà à d’autres domaines tels que titres et les fonds et le commerce international.
Le standard ISO 20022 a pu être adapté au cycle de vie défini pour les opérations SEPA, en raison de la méthode de modélisation des échanges de données à partir des processus métier.
Par ailleurs, il a été décidé d’adopter la syntaxe XML, notamment par SWIFT qui l’avait choisie dès 1999 puisque considérée plus souple, facile à maintenir.
Des nouveaux services proposés par les chambres de compensation
D’un point de vue macro, la solution retenue a été de capitaliser sur l’expérience ABE, chambre de compensation pan européenne, via l’ouverture d’un nouveau service (STEP2) pour les paiements de masse en euros échangés entre banques des différents pays de la zone SEPA ou à l’intérieur d’un même pays.
D’un point de vue micro, il a été nécessaire que chaque partie prenante (banques, éditeurs, gros remettants, chambres de compensation…) reconsidère ses infrastructures de paiements afin d’éliminer les différences nationales au niveau des technologies de l’information et des dispositions commerciales utilisées par les systèmes de paiement de chaque pays membre de la zone SEPA.
Dans le cas des CSM nationaux, comme CORE en France, des travaux d’adaptation ont été menés sur les systèmes d’information, dans l’objectif de permettre l’acquisition et la restitution des paiements SEPA entre banques du même pays uniquement.
Finalement, chaque participant direct est libre d’adhérer aux services (dès lors qu’ils sont proposés dans le pays où l’opération est échangée) et aux CSM de son choix. A partir du moment où ils y ont souscrit, leur BIC est atteignable pour un service donné.
Les organes de gouvernance
Le principe d’autorégulation qui caractérise la mise en place du SEPA par les banques n’a pas suffi et a nécessité une intervention normative par le législateur européen pour dynamiser l’avancement du projet.
Aussi, les règlements relatifs aux dates butoirs de 2012 ont permis de donner un caractère obligatoire à la migration des paiements nationaux vers le SEPA. De plus, ils ont mis fin à la période de transition où les dispositifs de chaque Etat cohabitaient avec les nouveaux moyens de paiement.
Ensuite la création d’un organe de gouvernance pan-européen, le Conseil SEPA, est venu renforcer le mécanisme. Il a permis une implication plus formalisée des représentants de haut niveau. En effet, cet organe est coprésidé par des représentants de la Commission européenne et de la Banque Centrale Européenne. Depuis, le conseil SEPA a été remplacé par l’Euro Retail Payments Board, présidé par la BCE et composé des représentants du marché des moyens de paiement, du côté de l’offre et de la demande.
Au niveau national, chaque Etat s’est doté d’un comité national pour coordonner au niveau de chaque pays les différents acteurs. En France, le Comité national SEPA a coordonné la migration, conjointement avec la Banque de France et la Fédération Bancaire Française.
Les prochains défis à relever
Plusieurs sujets sont à l’ordre du jour, en commençant par la nécessité de réaliser des économies d’échelle pour rentabiliser les investissements.
A titre d’illustration, depuis 2013, STET, société française, est devenue l’opérateur de paiement de la communauté bancaire Belge, mutualisant l’infrastructure.
Au-delà, il convient à court terme de :
Mieux gérer les codes rejets qui sont aujourd’hui mal appréhendés par les utilisateurs,
Clarifier un certain nombre de règles opérationnelles,
Maintenir l’effort d’adaptation des équipes projet : en effet la séquence first du SDD devient facultative à la fin de l’année des améliorations de traitement des R-Messages en insistant sur le STP, débouchant sur une réduction du traitement manuel.
Combattre la fraude aussi bien dans un cadre national mais également européen.
Sans parler des défis posés par la DSP2, de l’instant payment,et du Blockchain, à décrire dans un prochain article.
Glossaire : ABE : Euro Banking Association AOS : Additional Optional Services BCE : Banque Centrale Européenne BIC : Business Identifier Code CORE : COmpensation REtail CSM : Clearing and Settlement Mechanism DSP : Directive des Services de Paiement EPC: European Payments Council ERPB : Euro Retail Payments Board IBAN : International Bank Account Number MINOS : Manuel Interbancaire des Normes d’Opérations NNE : Numéro National D’Emetteur ODR : Operation Débit Rédressement OCR : Opération Crédit Redressement SCT : SEPA Credit Transfer SDD : SEPA Direct Debit SEPA : Single Euro Payments Area STEP2 : Système géré par l’ABE, permettant l’échange d’opérations de masse en euro STET : Systèmes Technologiques d’Echange et de Traitement SWIFT : Society for Worldwide Interbank Financial Telecommunication TIP : Titre Interbancaire de Paiement UE : Union Européenne XML : eXtensible Market Language
