Gouvernance interne : qu’y a-t-il de nouveau dans le guide révisé de l’EBA ?

Les évolutions résultant de la Directive CRD6

La directive CRD6 introduit un nouveau cadre harmonisé d’évaluation de l’honorabilité, des compétences et de l’expérience des dirigeants et des détenteurs de fonctions-clés. Afin de permettre aux superviseurs et aux banques d’évaluer les aptitudes individuelles et collectives des membres de l’organe de direction, la directive exige des banques une cartographie et des déclarations individuelles formalisant les rôles, responsabilités et lignes de reporting, y compris fonctionnelles, au sein du cadre de gouvernance de la banque. Le guide consultatif de l’EBA précise désormais les attentes réglementaires concernant la cartographie et les déclarations individuelles des rôles et responsabilités.

Ces mesures s’appliqueront à partir du 11 janvier 2026, ce qui laisse peu de temps pour se mettre en conformité. Les superviseurs pourraient ne pas insister sur la pleine conformité avant la date de finalisation du guide qui, selon le récent programme de travail de l’EBA, devrait intervenir au troisième trimestre 2026. Les banques devraient donc viser une conformité complète au guide d’ici le milieu ou la fin de l’année 2026. Le calendrier est particulièrement serré compte tenu de l’ampleur des exigences rappelées ci-dessous.

Cartographie des rôles et responsabilités

La cartographie des responsabilités doit identifier les responsables et personnes-clés et spécifier leurs rôles, responsabilités et lignes de reporting.

Elle devra être élaborée au niveau consolidé ainsi qu’au niveau de chaque établissement du Groupe, l’entité consolidante veillant à en assurer la coordination et la cohérence globales. Son approbation par l’organe de direction dans sa fonction de supervision est nécessaire et elle pourra être communiquée au superviseur sur demande.

Déclarations individuelles des rôles et responsabilités

Les établissements doivent aussi élaborer les déclarations individuelles des rôles et responsabilités des membres de l’organe de direction dans sa fonction exécutive, des directeurs généraux¹ (senior management) et des titulaires de postes-clés². De nouveau, ces déclarations doivent être réalisées au niveau consolidé et de chaque établissement du Groupe. Les banques peuvent utiliser le formulaire standard que l’EBA a annexé à son projet de guide. La cohérence avec la cartographie est absolument nécessaire.

Les déclarations individuelles doivent être régulièrement actualisées en fonction des évolutions de la cartographie et communiquées au superviseur selon les standards techniques sur le questionnaire d’honorabilité et de compétence (« fit and proper ») ou sur demande du superviseur.

Exigences spécifiques de gouvernance applicables aux succursales de pays tiers

La plupart des dispositions intégrées dans le guide de l’EBA ne sont pas fondamentalement nouvelles pour les succursales d’établissements de pays tiers établies en France, à l’exception de quelques-unes.

L’EBA insiste notamment sur la gestion des conflits d’intérêt au sein de l’entité et du groupe dont relève la succursale. Il convient, par exemple, de s’assurer que les dirigeants de la succursale y consacrent suffisamment de temps et n’occupent pas de responsabilités au sein du contrôle interne de la maison mère. Les autorités peuvent aussi exiger un comité exécutif local pour les succursales de classe 1, ce qui implique des exigences de formalisme documentaire.

Le guide réaffirme les obligations de gestion des prestations externalisées – y compris au sein du groupe dont relève la succursale – et la bonne gestion depuis l’UE des risques de contrepartie associés aux opérations de back-to-back. Les succursales doivent disposer de ressources suffisantes pour maîtriser les risques liés à leurs opérations et pour assurer la conformité aux réglementations locales ainsi qu’aux conditions de leur agrément.

Conflits d’intérêt lié au cumul des fonctions au sein des groupes bancaires

Le guide de l’EBA réitère le principe de séparation des fonctions exécutives et de surveillance. Les conflits d’intérêts résultant du cumul des fonctions de membre d’un organe de direction dans sa fonction exécutive et de membre d’un organe de direction dans sa fonction de surveillance, exercées dans des entités distinctes d’un même groupe, doivent être examinés et traités. Le cumul des fonctions de directeur général d’une filiale et de président du conseil d’administration de l’entité mère doit être prohibé.

Lorsqu’il est décidé qu’un directeur général deviendra, à l’issue de son mandat exécutif, membre de l’organe de direction dans sa fonction de surveillance (y compris en qualité de président), et que l’intéressé n’est pas soumis à une période de carence (« cooling-off period ») d’une durée d’au moins trois ans, des mesures visant à prévenir les conflits d’intérêts doivent être prises et formalisées dans le fonctionnement de l’organe délibérant.

Les enjeux du guide de l’EBA pour les établissements

Définir le périmètre des personnes concernées

La première étape consiste à déterminer quelles sont les personnes soumises aux exigences de cartographie et de déclarations individuelles. Ce régime couvre plusieurs niveaux de management et nature de fonctions au sein des établissements : l’organe de direction (dans ses fonctions de gestion et de surveillance), les directeurs généraux (senior management) et les titulaires de fonctions clés.

La cartographie des responsabilités doit prendre en compte l’ensemble de ces niveaux alors que les déclarations individuelles ne sont requises que pour les membres de l’organe de direction dans sa fonction de gestion, les directeurs généraux et les titulaires de fonctions clés.

Les salariés qui font officiellement partie de l’organe de direction d’un établissement sont en général bien identifiés. En revanche, les définitions de directeurs généraux et des titulaires de fonctions-clés sont plus ouvertes à interprétation, ce qui peut entraîner des divergences d’appréciation avec les superviseurs.

Les directeurs généraux (senior management) regroupent les salariés exerçant des fonctions exécutives et responsables de la gestion quotidienne de la banque, mais qui rendent compte à l’organe de direction sans en faire partie.

Les titulaires de fonctions clés sont les personnes exerçant une influence significative sur la direction de l’établissement, sans être membres de l’organe de direction ni assumer les responsabilités opérationnelles étendues de la direction générale. Parmi les exemples de titulaires de fonctions clés figurent, sans que cette liste soit exhaustive, les responsables des fonctions de contrôle interne et le directeur financier lorsqu’ils ne sont pas membres de l’organe de direction.

Malgré ces incertitudes, les établissements devraient être en mesure d’établir une liste préliminaire des personnes potentiellement concernées par le régime. Pour ce faire, les établissements peuvent utilement s’appuyer sur la liste des intitulés de postes figurant dans le questionnaire « fit and proper » de la BCE.

Inventorier les responsabilités à attribuer

L’inventaire de l’ensemble des responsabilités à assumer est le point de départ nécessaire pour leur attribution à des individus spécifiques dans la cartographie et les déclarations individuelles. Il permettra d’assurer que la cartographie des responsabilités est véritablement exhaustive et d’identifier d’éventuelles lacunes dans le dispositif de gouvernance.

Le guide de l’EBA peut servir de point de départ, car il offre une vue d’ensemble des responsabilités collectives de l’organe de direction, tant dans sa fonction de gestion que dans sa fonction de surveillance, ainsi que des rôles respectifs des comités d’audit et des risques, du président de l’organe de direction dans sa fonction de surveillance, et des fonctions de contrôle interne.

Les établissements devront également intégrer les obligations découlant d’autres sources réglementaires ou prudentielles, telles que DORA, le règlement européen sur l’intelligence artificielle (AI Act) ou encore le guide de la BCE sur la gouvernance et la culture de risque. Les listes de responsabilités prescrites par des régimes comparables, comme le Senior Managers and Certification Regime (SMCR) au Royaume-Uni, pourront également servir de références utiles, notamment dans les domaines où le guide de l’EBA apporte peu de précisions, par exemple s’agissant des responsabilités des directeurs généraux (senior management) ou des titulaires de fonctions clés ne relevant pas des fonctions de contrôle interne. 

Enfin, les établissements devront également se référer à leurs documents internes, tels que les descriptions de poste, les profils de fonctions, les règlements intérieurs ou les chartes internes. 

Les enjeux liés aux déclarations individuelles de responsabilités

Bien que le formulaire de déclaration individuelle proposé par l’EBA soit relativement simple, parvenir à un accord sur le contenu de chaque déclaration individuelle s’avérera probablement plus complexe. Lorsqu’une personne se voit attribuer de nouvelles responsabilités, cela pourrait donner lieu à des discussions concernant sa rémunération.

La formalisation des responsabilités individuelles permettra aux superviseurs d’identifier plus facilement la personne directement responsable en cas de dysfonctionnement, d’autant plus que la BCE, dans son projet de guide sur la gouvernance et la culture du risque, recommande que les établissements attribuent explicitement, dans les déclarations individuelles, la responsabilité du suivi et de la remédiation des constats et mesures issus des audits et des inspections prudentielles.

Selon le projet de guide de l’EBA, un individu est réputé ne pas avoir rempli ses obligations lorsqu’un problème survient dans son domaine de responsabilité et qu’il n’a pas pris toutes les mesures raisonnablement attendues pour en prévenir la survenance ou en limiter la persistance une fois le problème porté à sa connaissance.

La notion de « mesures raisonnablement attendues » n’est pas explicitée dans le guide, alors même que les conséquences potentielles d’un manquement peuvent être importantes. Outre les impacts sur l’évaluation de l’aptitude et de la probité, l’article 65(2) de la directive CRD6 confère aux autorités de supervision de nouveaux pouvoirs leur permettant d’imposer aux individus relevant du régime des astreintes journalières, ainsi que d’autres sanctions administratives. Le montant maximal des sanctions individuelles peut être significatif, atteignant jusqu’à 50 000 euros par jour pendant une période de six mois.

Les établissements devront donc réfléchir attentivement aux actions concrètes que les personnes concernées devront entreprendre pour démontrer qu’elles s’acquittent effectivement de leurs responsabilités. Cela pourra inclure, par exemple, la documentation des flux d’informations de gestion, la participation aux comités pertinents, le relevé documenté des mesures décidées et du suivi de leur mise en œuvre, ainsi que la délégation appropriée à leurs collaborateurs.

Les enjeux liés à la cartographie des responsabilités

Le guide de l’EBA ne prévoit aucun modèle standard pour la cartographie des responsabilités. L’EBA laisse aux établissements une certaine flexibilité dans la présentation de leur cartographie, à condition de respecter les principes directeurs énoncés dans le guide. Il apparait clairement que le niveau de détail attendu est élevé et que l’exercice est plus complexe qu’une simple consolidation des déclarations individuelles de responsabilités.

Les établissements devront également inclure des informations précises sur les lignes de reporting et les lignes de responsabilité, ce qui implique d’inclure des détails relatifs aux comités concernés, aux processus d’escalade, aux mécanismes de délégation, aux fonctions support et aux niveaux de contrôle.

Compte tenu du périmètre d’application du guide (au niveau consolidé, sous consolidé et individuels), l’exercice sera complexe pour les groupes bancaires disposant d’une structure juridique élaborée. Cela inclut les entités situées dans des pays tiers, dès lors qu’elles sont intégrées dans le périmètre de consolidation prudentiel, sauf si l’application du guide s’avère contraire aux lois des pays tiers concernés. L’entité consolidante reste responsable de l’établissement d’une cartographie au niveau consolidé.

La mise en place de la cartographie constituera vraisemblablement un exercice complexe et chronophage pour de nombreux établissements, notamment lorsque certaines responsabilités sont partagées entre différentes lignes d’activité. Les documents internes (tels que les organigrammes, règlement intérieur, chartes internes, fiches de rôles et responsabilités) pourront servir de points de référence utiles, mais ils manqueront souvent du niveau de précision requis. De plus, la transition de documents à usage interne vers un document destiné à être examiné par les autorités de supervision exigera un haut degré de rigueur et de gouvernance.

Certaines institutions opérant au Royaume-Uni disposent déjà d’une expérience en la matière : les établissements classés comme « enhanced firms » dans le cadre du SMCR sont tenus d’élaborer une cartographie des responsabilités. À titre d’exemple, la FCA (Financial Conduct Authority), dans sa déclaration de 2019, fournit des exemples détaillés de ce à quoi devrait ressembler une cartographie des responsabilités au sein d’un groupe bancaire international.

Approbation par l’organe de direction et durabilité de l’exercice

Si l’élaboration de la cartographie des responsabilités peut être effectuée à un niveau opérationnel, sa validation finale doit être réalisée par l’organe de direction dans sa fonction de surveillance. Un délai suffisant doit donc être prévu pour lui permettre un examen approfondi et un débat critique.

Mais le travail à réaliser va bien au-delà de la phase de conception. Les établissements devront mettre en place des processus adaptés pour garantir le respect permanent des exigences dans l’ensemble du Groupe, assurer la mise à jour régulière des déclarations individuelles et de la cartographie des responsabilités, et être en mesure de fournir aux superviseurs, sur demande, les informations actualisées.

Les équipes des ressources humaines joueront un rôle central dans l’intégration de ces exigences au sein des établissements, notamment en alignant les contrats et les descriptions de poste sur les nouvelles obligations, et en intégrant les responsabilités individuelles attribuées dans les processus d’évaluation de la performance et les cadres de rémunération.

Les fonctions d’audit interne et de conformité auront également un rôle essentiel à jouer, en assurant les tests réguliers, le suivi permanent, les analyses de conformité et d’écarts, ainsi que la mise en œuvre des mesures correctrices nécessaires pour garantir une intégration effective des lignes directrices.

Nécessité de se mettre rapidement en action

Nous nous attendons à ce que les autorités de contrôle fixent des exigences élevées en matière de conformité au guide étant donné l’attention continue des superviseurs sur l’efficacité des dispositifs de gouvernance des banques (le module gouvernance interne et gestion des risques du SREP a depuis longtemps été un facteur-clé des scores SREP de la BCE). De plus, ces exigences étant pour l’essentiel inscrites dans la directive CRD6, notre hypothèse de base est que le contenu des lignes directrices de l’EBA ne devrait pas changer de manière significative à l’issue de la phase de consultation.

La mise en œuvre du régime SMCR au Royaume-Uni s’est souvent transformée en un programme long et complexe, plus proche d’une transformation à grande échelle que d’un simple exercice formel.

Les banques qui adoptent une approche proactive, avec l’adhésion de la direction dès les premières étapes, seront les mieux positionnées pour répondre aux exigences élevées des superviseurs.

Sources

¹ Selon la directive CRD6, les personnes physiques exerçant des fonctions exécutives et rendant directement compte à l’organe de direction, sans en être membres, et qui sont responsables de la gestion quotidienne de l’établissement.

² Selon la directive CRD6, les personnes exerçant une influence notable sur la direction de l’établissement sans être membres de l’organe de direction, y compris les responsables des fonctions de contrôle interne et le directeur financier, lorsqu’ils ne sont pas membres de l’organe de direction.