Exigences KWG pour les banques : Comment la loi bancaire allemande façonne la conformité

Introduction

Le Kreditwesengesetz (KWG) -- la loi bancaire allemande -- est le texte fondamental qui régit l'octroi de licences, la supervision et les exigences organisationnelles pour les institutions de crédit et les institutions de services financiers opérant en Allemagne. Promulgué en 1961 et modifié plus de 60 fois depuis, le KWG définit qui peut exercer des activités bancaires en Allemagne, quels standards de capital et organisationnels doivent être respectés, et comment la BaFin exerce son autorité de supervision à leur égard. Chaque banque opérant en Allemagne, des plus grandes banques universelles aux institutions de crédit fintech spécialisées, doit se conformer au KWG.

En 2026, le KWG continue d'évoluer parallèlement aux développements réglementaires européens. Le Règlement sur les exigences de fonds propres (CRR III) et la Directive sur les exigences de fonds propres (CRD VI), qui transposent les réformes finales de Bâle III dans le droit de l'UE, ont introduit de nouvelles exigences en matière de capital et de reporting qui interagissent directement avec les dispositions du KWG. Simultanément, DORA a superposé des exigences de résilience numérique au cadre organisationnel existant du KWG. Pour les équipes de conformité, le défi n'est pas seulement de comprendre le KWG de manière isolée, mais de comprendre comment il se connecte à MaRisk, DORA et l'architecture réglementaire européenne plus large. Cet article fournit cette vue d'ensemble complète.

Qu'est-ce que le KWG ?

Le Kreditwesengesetz est la principale loi de supervision bancaire en Allemagne. Il établit le cadre juridique dans lequel la BaFin et la Deutsche Bundesbank exercent leur autorité de supervision sur les institutions de crédit (Kreditinstitute) et les institutions de services financiers (Finanzdienstleistungsinstitute). La loi définit les activités bancaires (Bankgeschafte) au paragraphe 1(1) et les services financiers (Finanzdienstleistungen) au paragraphe 1(1a), créant ainsi le champ d'application des entités soumises à ses exigences.

En vertu de l'article 32 du KWG, toute entité exerçant des activités bancaires ou fournissant des services financiers en Allemagne nécessite une licence de la BaFin. Le processus de délivrance de la licence implique de démontrer un capital initial adéquat, une direction appropriée et compétente, un plan d'affaires solide et des arrangements organisationnels appropriés. La BaFin peut imposer des conditions à la licence et a le pouvoir de la révoquer si l'institution ne répond plus aux exigences.

Le KWG accorde à la BaFin des pouvoirs de supervision étendus en vertu des articles 6-6c. Ceux-ci incluent le pouvoir de demander des informations et des documents, de réaliser des inspections sur site, d'ordonner le retrait de dirigeants jugés non appropriés, de restreindre les activités commerciales et d'imposer des amendes administratives. Dans le cadre du Mécanisme de supervision unique (SSM), les institutions significatives sont directement supervisées par la Banque centrale européenne (BCE), mais la BaFin conserve la responsabilité de supervision pour les institutions moins significatives et agit en tant que point de contact national pour la supervision de la BCE.

La loi a été substantiellement façonnée par la législation européenne. Le CRR (Règlement (UE) n° 575/2013) et la CRD (Directive 2013/36/UE), ainsi que leurs successeurs CRR III et CRD VI, ont été transposés dans le droit allemand par des modifications du KWG et des règlements d'accompagnement. Cela signifie que la conformité au KWG pour les banques allemandes est indissociable de la conformité au cadre prudentiel européen plus large.

Exigences clés

Exigences en matière de capital (Articles 10-10i KWG / CRR)

L'article 10 du KWG établit que les institutions de crédit doivent disposer de fonds propres adéquats (Eigenmittel). Les exigences spécifiques en matière de capital sont principalement définies par le CRR, qui prescrit des ratios minimaux pour le capital de base commun (CET1), le capital de premier niveau et le capital total par rapport aux actifs pondérés en fonction des risques. Selon les réformes du CRR III qui entreront en vigueur en 2025, le ratio CET1 minimum est de 4,5 %, le ratio de premier niveau est de 6 % et le ratio de capital total est de 8 %, avant l'ajout des coussins de capital.

Les articles 10c-10i du KWG mettent en œuvre le cadre des coussins de capital : le coussin de conservation du capital (article 10c), le coussin de capital contracyclique spécifique à l'institution (article 10d), le coussin de risque systémique (article 10e) et les coussins pour les institutions globales et autres institutions d'importance systémique (articles 10f-10g). La BaFin fixe le taux du coussin contracyclique, qui, début 2026, est de 0,75 % pour les expositions allemandes.

Le régime des grandes expositions en vertu de l'article 13 du KWG (mettant en œuvre les articles 387-403 du CRR) limite l'exposition qu'une institution de crédit peut avoir à un seul client ou à un groupe de clients connectés à 25 % du capital éligible. Les obligations de reporting pour les grandes expositions à la BaFin et à la Bundesbank sont obligatoires.

Exigences organisationnelles (Articles 25a-25e KWG)

L'article 25a du KWG est l'une des dispositions les plus importantes pour la conformité au quotidien. Il exige que les institutions de crédit disposent d'une organisation commerciale appropriée (ordnungsgemaessse Geschaftsorganisation), qui doit inclure une gestion des risques adéquate, des systèmes de contrôle interne, des mesures de sécurité appropriées pour les systèmes informatiques et une documentation adéquate. Cet article constitue la base légale du circulaire MaRisk de la BaFin, qui précise les exigences minimales en matière de gestion des risques en détail.

L'article 25b du KWG régit l'externalisation. Les institutions de crédit qui externalisent des activités et des processus doivent s'assurer que l'externalisation n'entrave pas la conduite ordonnée des affaires, la capacité de la BaFin à exercer une supervision ou les capacités de gestion des risques de l'institution. Les arrangements d'externalisation matériels doivent être notifiés à la BaFin et sont soumis à des exigences contractuelles spécifiques.

L'article 25c du KWG définit les devoirs du conseil d'administration (Geschaftsleiter), y compris l'exigence que tous les membres doivent être appropriés et compétents (fachlich geeignet und zuverlassig), que le conseil doit collectivement posséder des connaissances et une expérience adéquates, et que l'institution doit avoir des arrangements de gouvernance clairs.

Obligations de reporting de la BaFin (Divers articles du KWG)

Les banques allemandes font face à d'importantes obligations de reporting en vertu du KWG. Celles-ci incluent :

• Reporting financier (article 25 KWG) : Statistiques mensuelles et trimestrielles de bilan soumises à la Bundesbank.
• Reporting de la suffisance des fonds propres (article 10 KWG / CRR) : Rapports COREP trimestriels sur les fonds propres et les ratios de capital.
• Grandes expositions (article 13 KWG) : Reporting des expositions dépassant 10 % du capital éligible.
• Reporting de liquidité (articles 411-428 du CRR) : Rapports LCR et NSFR.
• Notifications (articles 24-24c KWG) : Notifications obligatoires pour les changements de direction, les changements significatifs de participation, les arrangements d'externalisation et d'autres événements matériels.
• Audit annuel (article 26 KWG) : Audit annuel par un auditeur externe, qui doit préparer un rapport (Prufungsbericht) pour la BaFin couvrant la conformité de l'institution aux exigences du KWG.

Le volume et la fréquence des exigences de reporting ont considérablement augmenté ces dernières années. La BaFin et la Bundesbank collectent des données via le portail de reporting de la BaFin (Meldeplattform) et le cadre de reporting basé sur XBRL pour les données prudentielles.

Exigences de compétence et de moralité (Articles 25c-25d KWG)

Les membres du conseil d'administration doivent démontrer leur fiabilité (Zuverlassigkeit) et leur qualification professionnelle (fachliche Eignung) en vertu de l'article 25c du KWG. La BaFin évalue le statut de compétence et de moralité au moment de la nomination et peut le réévaluer à tout moment pendant le mandat du dirigeant. Le conseil de surveillance (Verwaltungs- oder Aufsichtsorgan) est soumis à des exigences similaires en vertu de l'article 25d du KWG, y compris la compétence collective, l'établissement de comités de risque, d'audit et de nomination, et des exigences d'indépendance.

Relation avec MaRisk, DORA et d'autres cadres

L'article 25a du KWG fournit la base légale pour MaRisk, qui est le circulaire de supervision le plus détaillé de la BaFin pour la gestion des risques dans les banques. MaRisk précise les exigences de l'article 25a en détail dans ses modules AT (Allgemeiner Teil -- partie générale) et BT (Besonderer Teil -- partie spécifique). Toute banque se conformant à MaRisk remplit ses obligations en vertu de l'article 25a du KWG.

La relation entre le KWG et DORA est particulièrement importante en 2026. L'article 1(2) de DORA stipule qu'il s'applique aux entités énumérées dans son article 2, qui inclut les institutions de crédit telles que définies à l'article 4(1)(1) du CRR -- les mêmes entités réglementées en vertu du KWG. Les exigences de gestion des risques ICT de DORA (articles 5-16) créent des obligations qui se chevauchent et, dans certains cas, supplantent les exigences liées à l'informatique précédemment abordées par le biais de BAIT (Bankaufsichtliche Anforderungen an die IT) et MaRisk AT 7.2 (ressources techniques et organisationnelles). La BaFin a indiqué que le BAIT sera retiré lorsque les normes techniques d'application de DORA entreront pleinement en vigueur, mais MaRisk reste en vigueur pour les exigences de gestion des risques non-ICT.

Les exigences d'externalisation du KWG en vertu de l'article 25b s'alignent avec l'article 28 de DORA sur la gestion des risques des tiers ICT. Cependant, DORA introduit des exigences supplémentaires telles que le registre des fournisseurs tiers ICT (article 28(3)) et le cadre de supervision des fournisseurs tiers ICT critiques (articles 31-44) qui vont au-delà de ce que l'article 25b du KWG exige. Les banques doivent se conformer aux deux ensembles d'exigences.

La certification ISO 27001 soutient les exigences de sécurité informatique intégrées dans l'article 25a du KWG et détaillées dans MaRisk AT 7.2. Bien que la certification ISO 27001 ne soit pas légalement requise, de nombreuses banques allemandes poursuivent cette certification pour démontrer leur conformité avec la norme "état de l'art" (Stand der Technik) mentionnée dans ces dispositions.

Automatisation de la conformité avec Matproof

La conformité au KWG génère des exigences de documentation continues dans les domaines de la gestion du capital, de la gouvernance organisationnelle, de l'externalisation et du reporting. L'audit annuel en vertu de l'article 26 du KWG exige à lui seul que l'institution présente des preuves complètes de conformité à toutes les exigences du KWG, et les auditeurs s'attendent de plus en plus à ce que ces preuves soient systématiques et traçables plutôt que compilées de manière ad hoc.

Matproof automatise les processus de collecte et de surveillance des preuves qui sous-tendent la conformité organisationnelle au KWG. La plateforme cartographie les exigences de l'article 25a du KWG -- telles que spécifiées par MaRisk -- à des contrôles et éléments de preuve spécifiques. Elle surveille en continu si les contrôles requis sont en place : Les contrôles d'accès et les mesures de sécurité informatique sont-ils correctement configurés ? Les arrangements d'externalisation sont-ils documentés et surveillés ? Les structures de gouvernance sont-elles maintenues comme requis ?

La cartographie inter-cadres de la plateforme est particulièrement précieuse pour la conformité au KWG en raison de l'ampleur du chevauchement avec DORA, MaRisk et ISO 27001. Les preuves collectées pour les exigences de gestion des risques ICT de DORA satisfont simultanément aux aspects liés à la technologie de l'article 25a du KWG. La documentation du cadre de gestion des risques pour la conformité à MaRisk sert également de preuve pour l'audit annuel de l'article 26 du KWG. Cela élimine la fragmentation qui se produit généralement lorsque les banques gèrent chaque exigence réglementaire par le biais de processus séparés.

Matproof stocke toutes les données de conformité dans des centres de données allemands avec une pleine résidence des données de l'UE, répondant aux attentes de souveraineté des données que la BaFin applique aux institutions supervisées. Pour les banques soumises aux exigences d'externalisation de l'article 25b, l'architecture hébergée par l'UE de la plateforme évite la complexité réglementaire qui survient lorsque les outils de conformité traitent des données de supervision en dehors de l'UE.

Feuille de route de mise en œuvre

Phase 1 (Semaines 1-3) : Cartographie réglementaire. Créer une carte complète de toutes les exigences KWG applicables, organisées par section. Identifier quelles exigences sont abordées par MaRisk, lesquelles par DORA, et lesquelles restent des obligations KWG autonomes. Cette cartographie constitue la base de toutes les activités de conformité ultérieures.

Phase 2 (Semaines 4-6) : Évaluation des contrôles. Évaluer les contrôles existants par rapport à la carte réglementaire. Pour chaque exigence KWG, déterminer si un contrôle adéquat existe, s'il est documenté et si des preuves de son efficacité sont collectées. Se concentrer particulièrement sur les exigences organisationnelles de l'article 25a et les arrangements d'externalisation de l'article 25b, car ce sont les domaines les plus souvent cités dans les constatations de la BaFin.

Phase 3 (Semaines 7-10) : Automatisation et intégration. Déployer la collecte automatisée de preuves pour les contrôles pouvant être surveillés électroniquement. Connecter la plateforme de conformité à l'infrastructure informatique, aux systèmes RH et aux dépôts de documentation de gouvernance. Configurer des alertes automatisées pour les échecs de contrôle ou les lacunes de documentation.

Phase 4 (Semaines 11-14) : Préparation à l'audit. Se préparer à l'audit annuel de l'article 26 en générant un package de preuves structuré à partir de la plateforme de conformité. Réaliser un examen interne pour identifier les lacunes restantes. Informer l'auditeur externe sur la structure des preuves et l'approche de surveillance automatisée.

En cours : Conformité continue. Maintenir la surveillance automatisée et la collecte de preuves tout au long de l'année. Mettre à jour la carte réglementaire à mesure que des amendements au KWG, des mises à jour de MaRisk et des normes techniques d'application de DORA sont publiés. Réaliser des examens internes trimestriels et rendre compte de l'état de conformité au conseil d'administration comme l'exige MaRisk AT 4.4.2.

FAQ

Comment le KWG interagit-il avec le Règlement européen sur les exigences de fonds propres (CRR) ?

Le KWG et le CRR fonctionnent ensemble comme des parties complémentaires du cadre réglementaire bancaire allemand. Le CRR, en tant que règlement de l'UE directement applicable, prescrit les exigences détaillées en matière de capital, les ratios de liquidité et les limites d'exposition. Le KWG fournit le cadre juridique national pour l'octroi de licences, la supervision, l'application et les exigences organisationnelles qui complètent le CRR. Lorsque le CRR accorde des options ou des discrétions nationales, celles-ci sont exercées par le biais des dispositions du KWG. Par exemple, le CRR définit les calculs des ratios de capital, tandis que les articles 10c-10i du KWG mettent en œuvre le cadre national des coussins de capital.

Que se passe-t-il si une banque enfreint les exigences du KWG ?

La BaFin dispose d'un éventail d'outils d'application. En vertu de l'article 46 du KWG, la BaFin peut donner des instructions à l'institution pour rétablir la conformité, restreindre les activités commerciales ou interdire les distributions aux actionnaires. En vertu de l'article 49 du KWG, la BaFin peut imposer des amendes administratives allant jusqu'à 5 millions d'euros par violation. Dans les cas graves, la BaFin peut révoquer la licence bancaire en vertu de l'article 35 du KWG. La BaFin peut également exiger le retrait de dirigeants jugés non appropriés en vertu de l'article 36 du KWG. En pratique, la BaFin émet généralement des constatations et fixe des délais de remédiation avant de passer à des mesures d'application formelles.

MaRisk est-il juridiquement contraignant ?

MaRisk est un circulaire de la BaFin (Rundschreiben), pas une loi ou un règlement. Techniquement, il représente la pratique administrative de la BaFin et son interprétation de l'article 25a du KWG. Cependant, il est traité comme effectivement contraignant en pratique. Les auditeurs de la BaFin et les auditeurs externes de l'article 26 évaluent la conformité par rapport aux exigences de MaRisk, et le non-respect de celles-ci entraîne des constatations de supervision. Les tribunaux ont constamment confirmé l'autorité de la BaFin à appliquer les exigences de MaRisk comme une spécification des obligations légales en vertu de l'article 25a du KWG.

Comment DORA et le KWG se chevauchent-ils pour les exigences informatiques ?

Les articles 5-16 de DORA établissent des exigences de gestion des risques ICT qui se chevauchent substantiellement avec les exigences informatiques précédemment abordées par le biais de BAIT et MaRisk AT 7.2. La BaFin a indiqué que le BAIT sera retiré, DORA prenant la priorité pour les exigences liées à l'ICT. Cependant, l'exigence organisationnelle générale de l'article 25a du KWG reste en vigueur, et les exigences de gestion des risques non-ICT de MaRisk continuent de s'appliquer. En pratique, les banques devraient utiliser DORA comme référence principale pour la gestion des risques ICT et MaRisk pour la gestion des risques opérationnels plus larges, avec l'article 25a du KWG comme fondement statutaire global.