AMF : Homologation des modifications du Règlement général (Arrêté du 4 décembre 2025)

Contexte et portée de l’arrêté d’homologation

L’Autorité des marchés financiers (AMF) a fait homologuer, par l’arrêté du 4 décembre 2025, plusieurs modifications de son Règlement général. Cet arrêté, publié sur le site officiel de l’AMF, s’inscrit dans la dynamique européenne et nationale d’actualisation continue du cadre applicable aux prestataires de services d’investissement, aux émetteurs, aux infrastructures de marché et aux acteurs de la gestion d’actifs. Pour les compliance officers francophones expérimentés, ces évolutions appellent une mise à jour fine des cartographies de conformité, des procédures et des contrôles permanents, avec un accent sur l’alignement des dispositifs organisationnels, la documentation et la traçabilité des décisions.

Principales thématiques concernées et impacts de conformité

Les modifications homologuées par l’arrêté du 4 décembre 2025 portent, de manière générale, sur des ajustements techniques et de gouvernance touchant : (i) la conduite des activités de services d’investissement et la protection des investisseurs, (ii) l’intégrité des marchés (prévention des abus de marché, obligations d’information), (iii) la transparence et la communication financière des émetteurs, (iv) la gouvernance et le contrôle interne des sociétés de gestion et PSI, (v) la gestion des risques opérationnels, y compris la continuité d’activité et l’outsourcing, et (vi) la coordination avec les règlements européens (ESMA/EBA) et les textes nationaux connexes (ACPR, CNIL, ANSSI) pour les sujets périphériques tels que données, cyber et résilience opérationnelle.

Dans la pratique, ces évolutions se traduisent par : une granularité accrue des obligations d’information précontractuelle et continue, une clarification des responsabilités de la fonction conformité, un calibrage renforcé des dispositifs de contrôle de premier et de second niveau, et des attentes accrues en matière de preuves d’exécution (evidence-based compliance), notamment via des registres, des logs, des comptes rendus et des reportings harmonisés.

Alignement avec les référentiels européens et autorités de tutelle

Les ajustements homologués visent l’alignement avec les orientations et normes de l’ESMA sur la gouvernance produit, la protection des investisseurs et l’intégrité de marché, ainsi qu’avec les exigences transverses européennes et nationales sur la résilience opérationnelle, la sécurité des systèmes et la protection des données. Ils appellent une coordination opérationnelle avec les référentiels et guides de l’AMF et des autres autorités (ACPR pour les acteurs sous double tutelle, CNIL pour les traitements de données personnelles et ANSSI pour la cybersécurité). Cette coordination doit se matérialiser dans les politiques internes, les processus de revue périodique et l’outillage de contrôle.

Conséquences organisationnelles : gouvernance, contrôle interne et supervision

Sur le plan organisationnel, les établissements sont invités à : (1) maintenir une gouvernance claire des fonctions clés (conformité, risques, audit), (2) adapter les plans de contrôle permanents avec des tests robustes et traçables, (3) mettre à jour les dispositifs de prévention des conflits d’intérêts et de gestion des informations privilégiées, (4) renforcer l’encadrement des activités externalisées et des dépendances critiques, et (5) formaliser des indicateurs de performance et de risque liés à la conformité (KPI/KRI) alignés avec les nouvelles exigences.

Documentation, formation et culture de conformité

La documentation doit refléter fidèlement les changements : politiques, procédures, cartographie des risques de non‑conformité, matrices de responsabilités (RACI), dossiers de preuve, et rapports au management et au conseil. La mise à jour des programmes de formation (initiale et continue) est essentielle : ciblage par population, cas d’usage, exercices de simulation et e‑learning, avec une mesure d’efficacité documentée. La culture de conformité doit favoriser l’escalade précoce des incidents, la transparence et l’appropriation des règles par les métiers.

Cadre opérationnel : données, résilience, outsourcing et intégrité de marché

Les équipes doivent s’assurer de la qualité et de l’exhaustivité des données utilisées à des fins de conformité, de reporting et de surveillance. Les plans de continuité et de reprise (PCA/PRA) doivent couvrir les scénarios pertinents, y compris les défaillances de prestataires tiers, avec des tests périodiques. En matière d’outsourcing, les diligences de due diligence, de contractualisation, de monitoring et d’exit doivent être renforcées, notamment pour les fonctions sensibles et les traitements de données. Enfin, la surveillance de l’intégrité des marchés (détection des abus, listes d’initiés, fenêtres de trading) doit être calibrée au regard des volumes, des instruments et des canaux utilisés.

Feuille de route de mise en conformité et preuves d’exécution

Une feuille de route pluriannuelle doit prioriser les chantiers à fort impact réglementaire et opérationnel, avec une gouvernance projet, des jalons, des critères d’acceptation et un pilotage par la valeur (risque résiduel réduit, efficacité des contrôles, qualité des données, réduction du temps d’audit). La production de preuves doit être systématique : comptes rendus, enregistrements des tests, captures des systèmes, journalisation des décisions, archivage sécurisé et contrôlé. Les interactions avec l’AMF doivent être préparées par des dossiers complets et cohérents, démontrant la maîtrise des exigences et la remédiation effective.

Conclusion

L’arrêté du 4 décembre 2025 constitue une étape significative d’ajustement du Règlement général de l’AMF. Il appelle une mobilisation coordonnée des fonctions conformité, risques, IT et métiers pour garantir une mise en œuvre rigoureuse et traçable, au service de la protection des investisseurs et de l’intégrité des marchés.

Quelques pistes pour l’intégration opérationnelle dans votre dispositif :

• Cartographier les écarts et prioriser un plan d’action avec jalons et preuves attendues.
• Mettre à jour les politiques, plans de contrôle et registres (conflits, informations privilégiées, incidents).
• Renforcer l’outsourcing : due diligence, clauses contractuelles, tests PRA, indicateurs de performance et d’alerte.
• Former les équipes ciblées avec cas pratiques, mesurer l’efficacité et tracer la complétion.
• Industrialiser la production de preuves (logs, rapports, screenshots), et préparer les interactions avec l’AMF.