Depuis la crise financière de 2008, les autorités de contrôle exigent des banques et des assurances une transparence et une fiabilité sans faille de leurs données « à risque ». C’est dans ce contexte qu’est née la norme BCBS 239 pour les banques (et son équivalent pour l’assurance, Solvabilité II). Loin d’être une simple case à cocher, cette réglementation impose une maîtrise totale du cycle de vie des données.
Mais comment transformer cette exigence complexe en un véritable atout pour votre organisation ? Stéphane Le Lionnais, Directeur du Secteur Banque Assurance Mutuelle chez Blueway, nous donne la clé qui réside dans une approche structurée, outillée et exhaustive, qui va bien au-delà d’un simple projet informatique.
Rappel du contexte qui a vu naître la conformité BCBS 239
La crise de 2008 a révélé une faiblesse critique : de nombreuses institutions financières étaient incapables de mesurer leur exposition globale aux risques en temps réel. Les données étaient éclatées en silos, les reportings incohérents et tardifs, empêchant toute prise de décision efficace
Publiée en 2013 par le Comité de Bâle sur le contrôle bancaire, la norme BCBS 239 vise donc à renforcer la capacité des banques à agréger leurs données de risques et à produire des rapports fiables, complets et rapides. En France, l’ACPR (Autorité de contrôle prudentiel et de résolution) veille à l’application stricte de ces principes. L’enjeu est de taille : une non-conformité peut entraîner une dégradation de la note de la banque, impactant directement sa réputation et ses opérations financières.
Conformité BCBS 239 : de quelles données parle-t-on ?
Répondre à la conformité BCBS 239 commence par l’identification des données critiques. Une donnée est considérée comme critique lorsqu’elle a un impact direct sur le calcul, le suivi ou le reporting des risques. Ce qui inclut, par exemple, l’exposition au risque de crédit par contrepartie, la valeur des collatéraux, les notations internes ou encore les données de marché utilisées dans le calcul de la VaR (Value at Risk). Mais comment les identifier sans se perdre ? L’erreur serait de vouloir tout analyser et de se noyer dans la masse.
La bonne pratique pour identifier les données critiques, rendue possible par le data lineage (lignage de données), consiste à effectuer une sorte de « reverse engineering ». Il faut partir de la fin (les rapports prudentiels fournis au régulateur) et remonter le fil depuis un indicateur du reporting final
Il devient alors possible de tracer avec certitude toutes les données sources qui composent un rapport prudentiel et les multiples transformations (calculs, agrégations) qu’elles ont subies. Ces données sont alors automatiquement identifiées comme critiques et doivent faire l’objet d’un contrôle qualité à chaque étape de leur cycle de vie.
Ce périmètre n’est pas figé ; il évolue. Aujourd’hui, les critères ESG (Environnementaux, Sociaux et de Gouvernance), initialement non cités dans la norme, sont de plus en plus considérés comme de nouvelles données critiques à intégrer. Ils permettent d’évaluer les risques de transition climatique, de réputation ou de crédit liés à des activités non-durables
Les défis de la mise en conformité BCBS 239 : pourquoi est-ce si complexe ?
La mise en conformité BCBS 239 est un projet d’envergure qui se heurte à des défis multiples, bien au-delà de la simple technologie.
- Techniques : La plupart des institutions financières s’appuient sur des systèmes vieillissants (« legacy ») qui n’ont pas été conçus pour communiquer entre eux. Les données sont silotées et la multiplication des sources (internes, filiales, prestataires externes…) complexifie la collecte et l’agrégation. L’automatisation devient ici un enjeu majeur, surtout en l’absence d’API documentées, obligeant à développer des connecteurs spécifiques, une tâche souvent longue et coûteuse. Une solution agnostique est donc à privilégier.
- Organisationnels : La problématique de la donnée n’est pas seulement l’affaire de l’IT. Elle exige une collaboration transverse et la mise en place d’une gouvernance solide. Casser les silos signifie créer un langage commun et des objectifs partagés entre les métiers (finance, risques, conformité…) qui ont souvent leur propre définition d’une même donnée. Cela ne peut se faire sans une impulsion forte et continue du top management, incarnée par un comité de pilotage dédié.
- Humains : Une gouvernance claire est indispensable pour instaurer une véritable culture de la donnée (« data as an asset »). Cela passe par la définition de rôles et de responsabilités précis. Le Data Owner, souvent un responsable métier, est le garant stratégique de la qualité d’un domaine de données. Le Data Steward, plus opérationnel, est en charge de sa gestion au quotidien (documentation, respect des règles de qualité…). Cette transformation culturelle nécessite un accompagnement et une formation des équipes.
Comment optimiser votre démarche Data Quality dans le secteur finance ?
Les clés du succès : une approche sans compromis
Selon nous, deux principes sont non négociables pour réussir sa mise en conformité BCBS 239 et en pérenniser les bénéfices : l’exhaustivité et l’automatisation.
- L’exhaustivité, une obligation : Tenter une approche partielle, sur une seule Business Unit ou un seul type de risque, est voué à l’échec. L’autorité de contrôle exige une vue complète et consolidée. S’il y a des « trous dans la raquette », c’est-à-dire une source de données non tracée, la conformité ne peut être validée car la fiabilité tout entière du reporting global est compromise. Il faut pouvoir retracer la donnée depuis sa source la plus profonde, pas seulement depuis l’outil de BI (par exemple).
La règle est simple : sans exhaustivité, pas de vérité
- Le monitoring et l’automatisation : Beaucoup d’acteurs proposent une « photo » de l’existant, souvent réalisée manuellement via des tableurs. Cette approche est non seulement dangereuse, mais intenable. Dès la première année, avec l’évolution des systèmes et des réglementations, elle devient obsolète. Qui va la maintenir à jour ? La seule solution viable est d’automatiser la découverte et le suivi du lignage de données. L’investissement initial dans l’automatisation est largement compensé par la réduction du risque opérationnel et la fiabilité à long terme.
Un monitoring continu, qui alerte sur les changements, garantit une conformité pérenne et fiable.
Conformité BCBS 239 : la réponse intégrée de Blueway avec la plateforme Phoenix
La conformité BCBS 239 ne peut être adressée par un seul outil miracle, mais par une suite logique et intégrée. C’est la vision de Blueway avec sa plateforme Phoenix, qui articule plusieurs modules pour couvrir l’ensemble du cycle de vie de la donnée. Cette approche pragmatique se décompose en quatre phases, créant une chaîne de valeur de la donnée complète et maîtrisée.
Phase 1 : découvrir et documenter (Module MDC – MyDataCatalogue)
Le point de départ est de rendre visible l’invisible. Le module MDC permet de cartographier l’existant en centralisant les métadonnées pour créer un dictionnaire de données vivant et collaboratif. Le data lineage automatique ne se contente pas de montrer un flux ; il expose les dépendances cachées et permet de réaliser des analyses d’impact précises. En parallèle, il identifie les écarts de qualité à la source. C’est cette vision claire qui constitue le véritable socle d’une gouvernance pilotée par la donnée.
Phase 2 : remédier et fiabiliser (Module MDM – Master Data Management)
Une fois un problème de qualité détecté par MDC (sur des données clients, des SIRET, des produits financiers…), le module MDM apporte la solution. Il intervient pour créer des « golden records », des versions uniques et fiables des données maîtresses. En l’absence d’un MDM, une même entité peut exister sous différentes formes dans le SI, rendant toute agrégation de risque fausse par nature. La solution de Master Data Management nettoie, dédoublonne, enrichit et centralise ces données, assurant que tous les systèmes s’appuient sur une fondation saine et cohérente.
Phase 3 : gouverner et collaborer (Module BPM – Business Process Management)
La gouvernance des données repose sur des processus humains. Le module BPM permet de modéliser et d’orchestrer ces workflows. Par exemple, lorsqu’une anomalie est détectée, un processus BPM peut automatiquement assigner une tâche de correction au Data Steward compétent, suivre sa résolution, et demander une validation au Data Owner. Cette industrialisation des processus humains est la garantie que la gouvernance n’est pas qu’un concept théorique, mais une réalité opérationnelle, auditable et efficace.
Phase 4 : intégrer et distribuer (Module ESB – Enterprise Service Bus)
Naturellement couplé au MDM et au BPM, le bus applicatif assure l’interopérabilité et agit comme la colonne vertébrale de la plateforme. Il permet de connecter les différents systèmes et de redistribuer la donnée fiable et maîtrisée à l’ensemble du SI, sans nécessiter une refonte complexe. Il prévient la re-création de silos et garantit que la donnée de référence validée dans le MDM est propagée de manière sécurisée vers toutes les applications qui en ont besoin.
La synergie entre les modules Blueway permet de passer d’une conformité subie à une gestion de la donnée proactive qui génère de la valeur : des décisions plus rapides, des risques mieux maîtrisés et une confiance accrue au service des objectifs stratégiques de l’entreprise
Échangez sur le Data Catalog avec un expert Blueway !
