20 avril 2026
L’obligation de détection des abus de marché à l’épreuve de l’effectivité des dispositifs de surveillance
Auteur(s)
Maxime Galland
Docteur en droit et Avocat au barreau des Hauts-de-Seine, associé, KPMG Avocats
Points clés. Dans une décision du 20 janvier 2026, la Commission des sanctions de l'Autorité des marchés financiers sanctionne un prestataire de service d'investissement pour divers manquements à ses obligations professionnelles, une sanction non anodine porteuse d'enseignements.
Introduction
Les décisions de la commission des sanctions de l’Autorité des marchés financiers relatives aux obligations de prévention et de détection des abus de marché demeurent quantitativement limitées, mais leur portée normative n’en est que plus éclairante. Depuis l’entrée en application du règlement (UE) n° 596/2014 du 16 avril 2014 sur les abus de marché (MAR), les décisions rendues par les homologues européens de l’AMF restent peu nombreuses et moins sévères [1]. La commission des sanctions a quant à elle progressivement précisé les contours d’une obligation de surveillance qui ne saurait être satisfaite par la seule existence formelle d’outils ou de procédures, mais suppose leur effectivité opérationnelle [2].
La décision rendue le 20 janvier 2026 à l’encontre de la société MS Paris et de son dirigeant s’inscrit dans cette ligne jurisprudentielle. Elle concerne un prestataire de services d’investissement agréé pour la fourniture du service de réception‑transmission d’ordres sur actions et dérivés actions, activité qui, par nature, expose l’établissement à un risque élevé d’abus de marché commis par la clientèle. Ce risque avait été expressément identifié lors de la procédure d’agrément, l’AMF ayant subordonné l’autorisation délivrée à la mise en place d’un dispositif automatisé de détection des abus de marché, conformément aux exigences des articles 16 et 17 du règlement MAR et du règlement délégué (UE) 2016/957 du 9 mars 2016 [3].
L’intérêt de la décision réside dans l’analyse approfondie que la commission opère quant à l’effectivité du dispositif de surveillance, tant sous l’angle des outils de détection mutualisés au sein d’un groupe que de la gouvernance et du contrôle interne. L’occasion dans un premier temps de revenir sur les carences caractérisées affectant le dispositif mis en œuvre (I). L’occasion ensuite, de tirer les enseignements de cette décision en matière de gestion du risque MAR et d’adaptation des dispositifs de conformité (II).
I - Des carences caractérisées dans la mise en œuvre des obligations de détection des abus de marché
Il ressort de la décision rapportée que l’AMF retient une approche substantielle de l’obligation de détection des abus de marché en cohérence avec la doctrine interne et européenne selon laquelle les dispositifs de surveillance doivent être « adaptés à la nature, à l’échelle et à la complexité des activités exercées » [4].
A) L’ineffectivité sanctionnée des outils de surveillance et la gestion défaillante des faux positifs
Un abus de marché peut être caractérisé par tout comportement illicite commis sur un marché financier par lequel il convient d’entendre les opérations d’initiés, la divulgation illicite d’informations privilégiées et les manipulations de marché. Les opérations d’initié ne sont pas les seules concernées par les mesures de surveillance.
L’un des griefs centraux tenait en l’espèce à l’inefficacité du logiciel de surveillance utilisé par un prestataire de service d’investissement français qui externalisait auprès de sa maison-mère londonienne un outil de détection des opérations d’abus de marché. La commission relève que l’outil ne permettait pas de distinguer les transactions propres à l’entité française de celles de sa maison‑mère étrangère. Le paramétrage non spécifique à l’entité française contribuait ainsi à générer un volume important de faux positifs et, entrainait corrélativement une incapacité à faire émerger des alertes pertinentes.
Cette analyse s’inscrit dans une jurisprudence établie [5] selon laquelle la prolifération de faux positifs constitue un indice de dysfonctionnement du dispositif de surveillance lorsqu’elle conduit, en pratique, à neutraliser la capacité de détection des comportements suspects [6].
Afin de pallier ce type de défaillance, l’AMF avait suggéré dans le cadre de son contrôle SPOT dédié à « réaliser le « back-testing » d’un échantillon de transactions passées afin de vérifier la pertinence des scénarios paramétrés dans le système informatique de surveillance automatisée des transactions »[7]. De ce cadre pédagogique ressortait très nettement un constat éclairant sur le paramétrage des outils utilisés. L’échantillon contrôlé montrait que ce paramétrage ciblait « prioritairement les cas (i) de concentration d’opérations inhabituelles sur un instrument financier donné, (ii) de répétition inhabituelle d’une transaction sur une période ciblée et (iii) de transactions inhabituelles avant diffusion d’informations au public ». Du reste, l’AMF relevait comme bonne pratique la mise en œuvre d’un processus formel de modification des règles et seuils d’alertes paramétrés, fondé sur une revue périodique de leur pertinence et adéquation aux évolutions de l’activité de la SGP et des risques associés. Une telle formalisation faisait défaut dans le dispositif du PSI sanctionné.
La commission rappelle ici que l’absence de déclaration d’ordres ou de transactions suspectes, indépendamment de la démonstration d’un abus effectivement réalisé, caractérise en elle‑même un manquement aux obligations prévues par l’article 16 du règlement MAR, position également retenue par l’ESMA dans son rapport annuel sur les STOR [8].
À ces insuffisances s’ajoutaient des lacunes documentaires significatives : l’absence de formalisation des scénarios de détection et de justification des paramètres retenus privait l’établissement de toute capacité à démontrer la pertinence de son dispositif ; en contradiction avec les exigences de traçabilité rappelées tant par l’AMF que par l’ESMA.
B) Des défaillances structurelles de gouvernance et de contrôle interne
Au‑delà de l’appréciation des outils eux-mêmes, la commission met en lumière des défaillances profondes de gouvernance du PSI sanctionné. L’absence, sur une période prolongée, d’un Responsable de la Conformité pour les Services d’Investissement exerçant ses fonctions à temps plein a été qualifiée de manquement grave, d’autant plus qu’il s’agissait d’une condition expresse du programme d’activité validé lors de l’agrément.
Cette position de l’AMF perpétue la jurisprudence rappelant que la fonction conformité constitue une fonction clé dont l’exercice effectif ne saurait être dilué sans porter atteinte au système de gouvernance [9]. Rappelons, que les entreprises d’investissement soumises à l’obligation de déclaration doivent non seulement disposer de ressources dédiées à cette mission [10] mais aussi former leurs collaborateurs à la détection des opérations douteuses [11] et rester en capacité d’opérer une analyse humaine pour effectuer un tri parmi les données sélectionnées automatiquement [12].
La commission pointe également une évidence s’agissant des procédures internes, elle rappelle que la signature par les dirigeants constitue l’acte fondateur de l’existence juridique d’une procédure. Cette exigence, déjà mise en avant dans plusieurs décisions antérieures, appuie l’importance attachée à l’appropriation effective des dispositifs par les organes dirigeants et la mise en place de contrôles de 1er et 2nd niveau efficaces [13] et d’une piste d’audit robuste [14] que de simples échanges ne sauraient remplacer [15].
Enfin, en cas d’externalisation partielle de la fonction conformité n’était assortie d’aucun dispositif de contrôle effectif du prestataire, en contradiction avec les principes dégagés par l’AMF à l’occasion de ses contrôles thématiques SPOT sur l’externalisation du contrôle interne [16] ou sur les dispositifs de prévention des abus de marché [17]. La commission rappelle ainsi que l’externalisation ne saurait emporter transfert de responsabilité ; le PSI demeurant tenu de conserver la maîtrise et le contrôle des fonctions déléguées. Rappelons que si le RCSI est souvent au centre du dispositif, peuvent être déléguées (y compris à la conformité de la maison-mère) la définition et la revue des règles d’alertes (scénarios et seuils), le paramétrage des règles dans l’outil, l’instruction des alertes automatisées. La décision rappelle que la délégation de ces fonctions ne dispense pas de profiler le dispositif selon les caractéristiques propres à l’activité de délégant.
II - Les enseignements de la décision : vers une exigence renforcée d’effectivité des dispositifs MAR
Par-delà la sanction prononcée, la décision rappelle que la conformité ne saurait se limiter à des exigences purement formelles ; elle doit être pleinement opérationnelle. Les entités concernées ont intérêt à recourir à des solutions avancées afin de maitriser leur niveau de risque.
A) Une vigilance accrue pour les activités de trading sur instruments complexes
L’exigence d’adéquation entre la nature des activités exercées et les dispositifs de surveillance déployés est une évidence pourtant maintes fois rappelée. Les activités de trading sur actions et dérivés actions, caractérisées par la complexité des instruments et la rapidité d’exécution, appellent une vigilance accrue, conformément à l’approche fondée sur les risques consacrée par le règlement MAR et reprise par l’ESMA dans ses lignes directrices.
La commission rappelle implicitement que la prévention des abus de marché ne saurait être appréhendée comme une obligation purement formelle. Elle doit s’inscrire au cœur de la stratégie de conformité de l’établissement, à l’instar de ce qui est exigé en matière de LCB‑FT, où la déclaration de soupçon constitue l’aboutissement d’un processus structuré de gestion des alertes.
Quel enseignement tirer ? Un PSI agissant en réception-transmission d’ordres doit disposer d’un dispositif de surveillance propre, adapté à sa clientèle et aux instruments traités, sans pouvoir s’en remettre à son executing broker [18]. Cette exigence n’implique sans doute pas une duplication intégrale des scénarios de surveillance. En pratique, ce prestataire qui est en contact direct avec ses clients, sera le mieux placé pour détecter des ordres atypiques au regard de leur profil, contrairement à l’executing broker, en particulier lorsque les flux ne sont pas identifiés distinctement. Il convient donc de positionner les filtres pertinents au niveau approprié de la chaîne et de les calibrer en fonction du type de clientèle.
Les moyens humains et la gestion des fausses alertes constituent des exigences quotidiennes au cœur des enjeux de supervision. Pour y répondre, les analyses des alertes, notamment en environnement de type « bac à sable », révèlent fréquemment des calibrages inadaptés. Atteindre un degré de conformité satisfaisant implique sans doute de revoir régulièrement les scénarios et paramètres et surtout, de pouvoir les ajuster en fonction de la volatilité des marchés. Ces ajustements doivent être strictement encadrés par une documentation afin d’écarter toute suspicion d’ajustement motivé par des considérations de confort opérationnel.
B) L’apport des technologies de conformité et la responsabilité persistante du PSI
Si la décision ne fait pas explicitement référence à l’intelligence artificielle ou aux outils de surveillance avancés, elle s’inscrit dans un mouvement doctrinal plus large relatif aux « outils de la compliance », tel qu’analysé par la doctrine et les autorités européennes. La commission rappelle avec constance que le recours à des solutions technologiques, aussi sophistiquées soient‑elles, ne saurait exonérer le PSI de sa responsabilité, position également affirmée par l’ESMA dans ses travaux relatifs à l’adaptation des dispositifs MAR aux nouveaux environnements de marché.
Chacun sait que la mise en place d’un outil n’est en soi pas suffisante pour remplir l’obligation de disposer d’un dispositif opérationnel. L’AMF examine les conditions dans lesquelles l’outil permet de remplir une obligation de détection et de déclaration des abus de marché. On mesure l’importance d’un paramétrage adéquat et d’une technologie cohérente avec les flux de données et la nature de l’activité exercée.
Dans cette perspective, on soulignera que la conformité à l’article 16 du règlement (UE) n° 596/2014 du 16 avril 2014 (MAR) ne peut reposer sur un simple outil d’analyse ponctuel. Elle suppose l’existence d’une architecture opérationnelle structurée permettant d’organiser l’ensemble du processus de surveillance et de traitement des alertes. Un tel dispositif implique notamment :
-
Une surveillance formalisée des opérations,
-
Une méthodologie homogène de qualification des alertes,
-
La formalisation des décisions prises,
-
L’historisation systématique des traitements réalisés,
-
Ainsi que la capacité de produire, à tout moment, un dossier complet retraçant l’analyse d’une alerte.
C’est dans cette logique organisationnelle que sont actuellement développés des dispositifs de monitoring qui structurent l’ensemble du cycle de traitement des alertes, dès la détection jusqu’à la décision finale, en intégrant des mécanismes d’évaluation standardisés, un processus décisionnel encadré et une traçabilité complète des interventions humaines. Chaque décision est formalisée, horodatée et conservée. Cette organisation permet de reconstituer fidèlement le processus d’analyse et d’assurer la réalisation de contrôles a posteriori sur la base d’une piste d’audit documentée. Si ce type de dispositif ne dispense pas de l’exercice du jugement humain ni n’élimine tout risque réglementaire, il contribue en revanche à démontrer l’existence de dispositifs, systèmes et procédures effectifs, adaptés et contrôlables, autant d’éléments déterminant de l’appréciation par le régulateur du respect des obligations professionnelles prévues à l’article 16 du règlement MAR.
Si le recours aux solutions digitalisées fortement automatisées n'est pas en soi une exigence expresse des textes européens [19], il n'en demeure pas moins que pour satisfaire à leurs obligations professionnelles, les entités concernées doivent non seulement envisager le développement de logiciels performants mais surtout s'assurer que l'outil utilisé rend parfaitement opérationnel leur dispositif. C’est l'un des rappels posés par cette décision : le PSI demeure toujours responsable dans un contexte de délégation de fonction de surveillance des abus de marché. Les mesures systèmes et procédures annoncées dans le programme d'activité doivent être mise en pratique grâce à un outil performant.
La décision n’évoque pas explicitement l’utilisation de l’intelligence artificielle ou de solutions dynamiques de croisement d’information pour la détection des abus de marché. Toutefois, la littérature spécialisée la plus récente reconnaît l’intérêt de ces technologies pour améliorer la détection des manquements, notamment par leur capacité à analyser de grands volumes de données, à réduire les faux positifs et à permettre un croisement dynamique des informations issues de différentes sources.
L’intégration de telles solutions apparaît comme un investissement stratégique pour renforcer l’efficacité des dispositifs de conformité et limiter l’exposition aux risques de sanction. Le niveau élevé de sanction suggère d’ailleurs que si les outils de conformité représentent un coût non négligeable, leur absence ou leur inadéquation expose à des risques bien supérieurs en termes de sanctions financières et de réputation. Dans le cas d’espèce, outre le prononcé d’un avertissement, MS Paris a été sanctionnée à hauteur de 700 000 euros et son dirigeant à 150 000 euros, pour des manquements, présentés comme graves, à ses obligations professionnelles, cette même gravité des faits a certainement conduit le collège à ne pas proposer la voie transactionnelle.
Conclusion
La décision MS Paris illustre avec une particulière netteté l’exigence d’effectivité attachée aux obligations de prévention et de détection des abus de marché. Elle confirme que l’inefficacité globale du dispositif de surveillance (qu’elle résulte de carences techniques, organisationnelles ou humaines), conduit le régulateur à considérer que l’établissement n’a pas été en mesure de satisfaire à son obligation de déclaration des ordres et transactions suspectes au sens du règlement MAR.
Surtout, on comprend dans une logique de groupe que le recours mutualisé à un logiciel unique demeure possible s’il permet une analyse individualisée de l’activité du PSI tenue de ces obligations. Toutefois, l’externalisation des fonctions de conformité par un PSI auprès de sa société mère ne dispense pas d’élaborer un dispositif opérationnel de l’externalisation des missions de conformité des contrôles associés.
Décision(s), texte(s) et autre(s) source(s) abordée(s) dans cet article
Notes et références
(1) CONSOB, 10 juill.2024, n°23198, ING Bank N. V. Milan Branch. : violation de l’article 16,2 MAR en raison d’un retard de 13 mois de la STOR (60ke de sanction). CNMV, 14 déc. 2022, n°22462, Renta 4 Banco, S.A. : absence de STOR en matière de manipulation de marché (40ke de sanction). CNMV, 21 déc.2023, n°26721, Renta 4 Banco, S.A. : absence de STOR en matière d’initié (100ke de sanction). BaFin, 10 nov. 2022, Landesbank Baden-Wurttemberg. : absence de STOR (498ke de sanction). V. aussi, BaFin, 31 mars 2025, AKBANK AG. : absence de dispositif de prévention MAR (395ke de sanction). CCSF, 04 mai 2022, Fuchs &Associés Finance SA. : insuffisance du dispositif de détection (412ke de sanction).
(2) AMF, sanct., 18 déc. 2025, SAN‑2025‑12.
(3) Règlement (UE) n° 596/2014 du 16 avr. 2014, relatif aux abus de marché, p. 1. L’obligation de notifier les opérations suspectes concerne les entreprises qui organisent ou exécutent des transactions à titre professionnel ainsi que les opérateurs de marché et entreprises d’investissement qui gèrent une plateforme de négociation.
(4) ESMA, « Report on STORs », juill. 2024. ; AMF, sanct., 2 juin 2015, SAN-2015-11. : avec plus d’un milliard d’euros d’actifs sous gestion pouvant donner lieu à la commission d’abus de marché et plus de mille clients concernés, la mise en place d’un système informatique fiable et opérationnel de détection des opérations suspectes était nécessaire à l’accomplissement de sa mission de contrôle par la mise en cause, au moins au second niveau.
(5) AMF, comp., 2 juill. 2024, TRA-2024-10. Les griefs portaient sur le défaut de dispositif de prévention des abus de marché (art. 16 du Règlement n° 596/2014 et art. 2 (1.a), 3 (1) et 4 du Règlement délégué (UE) n° 2016/597 du 9 mars 2016 relatif au STOR) et sur le caractère non opérationnel de la procédure de prévention des abus de marché (en raison de l’absence de formation et de sensibilisation à ses collaborateurs en matière de prévention des abus de marché) et aux défaillances du dispositif de contrôle en matière de prévention des abus de marché (en raison de mesures de contrôles de deuxième niveau insuffisantes et en l’absence de contrôles périodiques), (art. 16 du Règlement n° 596/2014 et art. 2 (1.a), 3 (1) et 4 du du Règlement délégué n° 2016/597) entre le 10 février et le 31 décembre 2022.
(6) AMF, sanct., 22 janv. 2026, SAN-2026-02, communiqué.
(7) AMF, « Synthèse relative à la campagne de contrôles SPOT menée sur le dispositif de lutte contre les abus de marché en place au sein des sociétés de gestion de portefeuille », juill. 2022, notamment p. 38.
(8) ESMA, « Report on STORs », juill. 2024.
(9) AMF, sanct., 5 janv. 2026, SAN‑2026‑01.
(10) AMF, sanct., 1er oct. 2014, SAN-2014-17.
(11) Art. 4, Règlement (UE) n°2016/957 du 9 mars 2016 relatif à la prévention, détection et déclaration des opérations suspectes. ; AMF, sanct., 4 août 2021, SAN-2021-14. : le dispositif de détection des abus de marchés des sociétés mises en cause était à l’époque des faits défaillant, étant donné la formation insuffisante de leur négociateur et leur gérant, le paramétrage inadéquat de leur logiciel de détection s’agissant de trois contrôles, et la prise en compte insuffisante d’une demande formulée par Eurex qui aurait dû les alerter.
(12) AMF, sanct., 22 juill. 2014, SAN-2014-16.
(13) AMF, sanct., 5 mai 2011, SAN-2011-10. V. aussi AMF, sanct., 16 avril 2015, SAN-2015-08. ; le prestataire n’a pas procédé aux déclarations d’opérations suspectes mises au jour par l’un de ses sales traders, sur lesquels reposaient la quasi-intégralité des contrôles de premier niveau devant conduire à l’information du service de conformité. Il ne s’était pas doté d’une organisation et de procédures réglementaires.
(14) AMF, sanct., 21 décembre 2022, SAN-2022-12. : le RCCI d’une SGP a pour mission de veiller au respect par les dirigeants et salariés de la procédure de déclaration des opérations suspectes ainsi que de conserver une trace des rapports effectués lors de l’analyse des opérations suspectes. Or, il ressort de l’analyse des pièces du dossier qu’aucun élément ne permet d’attester de la réalisation de telles diligences. Dès lors, le RCCI a manifestement manqué à son obligation de sensibiliser les collaborateurs en la matière et de veiller au respect des procédures permettant de contribuer à intercepter et à encadrer les « abus de marchés », comme l’impose la procédure en cause.
(15) AMF, sanct., 24 avril 2023, SAN-2023-05. : si la société de gestion établit l’existence d’une remontée d’information, ces échanges ne permettent pas de pallier l’absence de formalisation et de documentation du processus d’alerte et des mesures de remédiation. La société de gestion n’a dès lors pas disposé d’un processus d’alerte correctement formalisé et efficient au regard des dispositions de l’article 39.1 c) à e) du Règlement délégué (UE) n° 231/2013 du 19 décembre 2012 relatif aux gestionnaires de fonds d’investissement alternatifs.
(16) AMF, « Synthèse des contrôles SPOT sur l’externalisation du contrôle interne », nov. 2020.
(17) AMF, « Synthèse relative à la campagne de contrôles SPOT menée sur le dispositif de lutte contre les abus de marché en place au sein des sociétés de gestion de portefeuille », juill. 2022.
(18) AMF, comp., 27 nov.2017, TRA-2018-03. : accords de composition administrative conclus avec les sociétés BNP Paribas, BNP Paribas Arbitrage et Portzamparc société de Bourse. Cette triple composition administrative illustre les risques liés à une telle délégation, l’executing broker, intégré à CIB, n’ayant pas calibré ses filtres pour une clientèle de détail. Plus précisément, le Collège y relevait notamment que dans le système mis en place au niveau du groupe, « les scenarios et les filtres étaient paramétrés globalement et ne faisaient l’objet d’aucune adaptation en fonction des spécificités des entités ayant recours au dispositif de détection automatisée. »
(19) AMF, sanct., 1er oct. 2014, SAN-2014-17. Si la réglementation n’impose pas de recourir obligatoirement à des contrôles automatisés, le prestataire de services d’investissement doit disposer en permanence de moyens, notamment humains et matériels, et d’un dispositif de conformité en adéquation avec l’activité exercée. Dans le même sens, v. AMF, sanct., 29 juill. 2013, SAN-2013-20 : s’il est exact que la réglementation n’impose pas au dépositaire de recourir obligatoirement à des contrôles automatisés, pas plus qu’elle ne lui interdit de réaliser des contrôles par sondage, celui-ci doit disposer « en permanence de moyens, notamment humains et matériels, d’un dispositif de conformité et de contrôle interne, d’une organisation et de procédures en adéquation avec l’activité exercée ».