ESMA pointe les angles morts des fonctions conformité et audit interne dans les fonds — un signal pour tous les DPO
L'ESMA a publié le 11 mai 2026 les résultats de son action de surveillance commune 2025 sur les fonctions de conformité et d'audit interne des gestionnaires de fonds. Le constat tient en une ligne : la conformité formelle est là, l'indépendance et la qualité d'exécution ne le sont pas toujours. Un signal qui dépasse les directives AIFMD et UCITS et résonne directement avec les obligations RGPD pesant sur les responsables de traitement.
Ce qui s'est passé
L'European Securities and Markets Authority (ESMA), avec l'ensemble des autorités nationales compétentes (NCAs) de l'UE et de l'EEE, a coordonné en 2025 une Common Supervisory Action (CSA) portant sur les fonctions de contrôle interne des gestionnaires de fonds — UCITS et AIFMD. Le rapport final (référence ESMA34-1436284137-2305) recense les bonnes et mauvaises pratiques observées via des revues documentaires et, ponctuellement, des inspections sur site.
Bilan : la majorité des entités respectent les exigences clés, mais les superviseurs identifient des faiblesses de gouvernance récurrentes. Trois angles morts émergent :
- L'indépendance des fonctions de contrôle est inégalement garantie, notamment au sein des structures de petite et moyenne taille où la séparation des rôles reste théorique.
- La qualité et la mise en œuvre des politiques internes varient fortement selon la taille, la nature et la complexité des acteurs. Avoir une politique écrite ne suffit pas — encore faut-il qu'elle vive.
- La supervision exercée par la direction générale et les organes d'administration manque de profondeur. Le contrôle de second niveau s'arrête trop souvent à la validation formelle des rapports.
L'ESMA invite désormais les NCAs à suivre les manquements détectés, à en comprendre les causes profondes et à imposer des actions correctrices effectives. Des échanges entre régulateurs vont se poursuivre pour renforcer la convergence supervisoire.
Pourquoi c'est important pour les DPO et RSSI
L'exercice de l'ESMA cible les gestionnaires de fonds. Mais les trois faiblesses pointées sont exactement celles que la CNIL relève année après année lors de ses contrôles RGPD — et que le règlement DORA, applicable depuis le 17 janvier 2025, exige désormais aussi du secteur financier sur le volet résilience opérationnelle.
L'indépendance du contrôle : l'article 38 du RGPD impose que le délégué à la protection des données dispose d'une fonction indépendante, sans conflit d'intérêts, rattachée au niveau le plus élevé de la direction. Les questions que l'ESMA pose aux compliance officers — qui les recrute, à qui ils reportent, qui décide de leur rémunération — sont rigoureusement les mêmes que la CNIL pose au DPO. Le choix d'un DPO interne ou externe dépend précisément de la capacité de l'organisation à garantir cette indépendance fonctionnelle.
La qualité d'exécution des politiques : c'est exactement ce que recouvre le principe d'accountability de l'article 5(2) du RGPD. Avoir un registre des traitements, une politique de sécurité, une procédure de violation ne suffit pas — il faut prouver leur application effective. L'audit RGPD est précisément l'outil qui permet de mesurer cet écart entre le papier et la pratique.
La supervision par la gouvernance : l'ESMA pointe que les conseils d'administration valident sans interroger. Sur le terrain RGPD, la même dérive existe : des rapports DPO annuels lus en cinq minutes, sans questionnement sur les sujets sensibles (transferts hors UE, sous-traitants, AIPD). Le rôle du DPO n'est pleinement opérant que si la direction lui consacre du temps de qualité.
Ce que ça change pour les organisations
Pour les gestionnaires de fonds européens, les NCAs vont passer à la phase d'enforcement : les manquements détectés feront l'objet d'un suivi documenté, et les retardataires s'exposent à des sanctions sectorielles. Pour tous les autres responsables de traitement, le rapport ESMA fonctionne comme un miroir. Trois actions à porter à l'agenda du prochain comité de pilotage conformité :
- Auditer l'indépendance réelle du DPO et de la fonction sécurité : reporting hiérarchique, lien de subordination, capacité à arbitrer contre les opérationnels. Si le DPO ne peut pas dire non au DSI, l'article 38 n'est pas respecté.
- Mesurer l'écart politique/pratique sur trois sujets à fort enjeu : la gestion des sous-traitants et co-responsables, la gestion des incidents et notifications, et l'exercice des droits des personnes concernées.
- Renforcer le format du reporting au COMEX : passer d'un rapport d'activité descriptif à un tableau de bord de risques résiduels, avec arbitrages explicites attendus du dirigeant.
Pour les acteurs du secteur financier déjà concernés par DORA, le sujet est doublement sensible : l'audit interne TIC et les fonctions de conformité dialoguent désormais avec l'audit RGPD, et les régulateurs croiseront les analyses. La cohérence entre les trois lignes de défense (opérations, risque/conformité, audit interne) devient un attendu de premier rang. La récente recommandation CNIL sur l'octroi de crédit illustre comment les régulateurs sectoriels et le régulateur RGPD convergent désormais sur les mêmes attentes de gouvernance.
Ce que Leto pense de cette décision
L'ESMA dit en creux ce que la CNIL répète depuis trois ans : les organisations ont sorti les bonnes politiques de leurs tiroirs en 2018, et elles n'y ont quasiment pas touché depuis. La conformité documentaire est devenue une couche d'archéologie réglementaire — pas un système vivant. Le vrai sujet en 2026, ce n'est plus "avez-vous une politique", c'est "qui la fait vivre, qui l'audite, qui en répond". Les DPO et compliance officers qui n'auront pas renégocié leur positionnement hiérarchique cette année vont se retrouver dans une situation intenable face aux contrôles croisés ESMA / CNIL / superviseurs DORA.
Sources :
