AccueilBase de connaissances › MiFID II et l'obligation d'archivage
Financier

MiFID II et l'obligation d'archivage pour les prestataires de services d'investissement

· 6 min de lecture · DeSnipperaar

Les entreprises d'investissement, les gestionnaires d'actifs et les conseillers en investissement relèvent de MiFID II. Une partie centrale de cette directive est l'obligation d'enregistrement et d'archivage. Chaque conversation pertinente, chaque instruction et chaque confirmation d'ordre doit être enregistrée de manière reproductible. Cette obligation génère une archive substantielle, à la fois numérique et papier. Cet article aborde les délais applicables et la manière dont une entreprise détruit proprement le matériel une fois ceux-ci terminés.

Que faut-il enregistrer ?

MiFID II (art. 16, paragraphe 7, et règlements d'application) prescrit notamment ce qui suit.

  • Les conversations téléphoniques susceptibles de mener à une transaction.
  • Les communications électroniques (e-mail, chat, plateformes de messagerie) autour du conseil et des ordres.
  • Les ordres reçus et transmis (registres de routage des ordres).
  • La classification des clients et les évaluations d'adéquation.
  • La documentation sur les coûts et les conflits d'intérêts.

Délai de conservation : cinq ans comme règle de base

Le délai standard sous MiFID II est de cinq ans. L'autorité compétente (aux Pays-Bas l'AFM) peut le porter à sept ans, ce qui arrive régulièrement en pratique pour les données pouvant être pertinentes dans des enquêtes pour abus de marché. De nombreuses entreprises appliquent donc un délai de conservation strict de sept ans pour les communications et ordres pertinents au regard de MiFID II, en cohérence avec le délai fiscal de conservation de sept ans.

Une fois le délai écoulé, toute conservation supplémentaire devient un problème. La limitation de conservation du RGPD (art. 5 RGPD) exige que les données personnelles ne soient pas conservées plus longtemps que nécessaire. Dès que la base MiFID II disparaît, les données doivent être effacées ou détruites, à moins qu'une autre base n'existe (par exemple un litige en cours ou un document fiscalement pertinent encore dans le délai de sept ans).

Documents d'ordre papier et back office

De nombreuses entreprises d'investissement ont encore des tickets d'ordre papier, des confirmations imprimées, des documents d'intake et des formulaires de conformité. Ces papiers contiennent des numéros BSN, des numéros de compte, des détails d'actifs et des copies de pièces d'identité. Un destructeur de bureau standard ne suffit pas. La norme pour les données financières confidentielles est DIN 66399 P-5.

Supports numériques

Les enregistrements d'appels stockés, les sauvegardes et les archives d'e-mails se trouvent souvent sur des SSD, des disques durs externes, des bandes LTO ou des systèmes NAS. En fin de vie ou après l'expiration du délai de conservation, ces supports doivent aussi être détruits. Pour les bandes et les disques contenant des communications avec les clients, la norme pertinente est DIN 66399 H-4 (supports magnétiques papier) ou E-4 (supports électroniques). Pour les bandes LTO, voir aussi Bandes de sauvegarde et nettoyage LTO.

Remettre des enregistrements d'appels à un tiers pour destruction sans approche mobile signifie que des communications sensibles avec les clients quittent les locaux. Cela augmente inutilement le risque de chaîne.

Les moments de transition où vous détruisez

Il existe quatre moments typiques où une entreprise d'investissement veut détruire du matériel d'archive.

  1. Fin de la relation client plus délai écoulé. L'ensemble du dossier (papier plus copies numériques) part.
  2. Remplacement de l'infrastructure de stockage. Vieux serveurs, SSD, bandes mis au rebut. Détruisez avant réutilisation.
  3. Déménagement ou fusion de bureau. Les archives expirées ne déménagent pas vers le nouveau site.
  4. Nettoyage périodique de conservation. Tournée de nettoyage fixe annuelle ou trimestrielle.

Processus mobile sur site

DeSnipperaar vient avec un camion de destruction au bureau de l'entreprise d'investissement. Le papier passe directement dans le destructeur. Les supports de données sont déchiquetés sur place. Le responsable conformité observe et signe ensuite le certificat. Ce certificat indique le volume, la norme, la date et le lieu, de sorte que vous disposez d'une preuve suffisante pour le registre des traitements et pour les questions de l'AFM.

Archive MiFID II au-delà de son délai ?

Nous conduisons le camion destructeur jusqu'à votre bureau, détruisons papier et supports de données sur place et remettons le certificat immédiatement. Votre responsable conformité observe.

Demander un devis

Mettez à jour le registre des traitements

Indiquez dans le registre des traitements RGPD : quelles catégories de matériel MiFID II, quel délai (5 ou 7 ans), quelle base légale (obligation légale art. 6, paragraphe 1, point c, RGPD), quel sous-traitant de destruction et quelle norme. Reliez chaque certificat de destruction au lot correspondant.

Page sectorielle

Plus sur notre approche pour les banques, les entreprises d'investissement et les gestionnaires d'actifs sur Conseillers financiers & banques.

Le moment est venu pour l'archive MiFID II arrivée à destruction ? Appelez ou écrivez pour un devis sans engagement. Nous conseillons simplement, sans contrat et sans commande minimale.