CRR3 : la donnée perte devient un enjeu stratégique

L’entrée en application progressive de CRR3 (Capital Requirements Regulation 3) et la publication des RTS de l’EBA à l’été 2025 marquent une étape structurante pour la gestion du risque opérationnel en Europe. Au-delà d’une évolution réglementaire supplémentaire, la nouvelle taxonomie des pertes opérationnelles redéfinit en profondeur la manière dont les établissements bancaires collectent, qualifient et exploitent leurs données de pertes.

Quel nouveau levier constitue CRR3 pour le régulateur ? Et dans ce contexte, comment s’appuyer sur la réglementation pour transformer la donnée « perte » en actif stratégique ? Quels bénéfices possibles ?

Vers une standardisation européenne du risque opérationnel

La nouvelle classification repose sur une architecture structurée autour de 7 types d’événements et de 26 catégories de second niveau. Elle est alignée sur les standards internationaux du BCBS et cohérente avec les exigences de DORA pour les incidents IT et cyber. De cette façon, elle vise à mettre fin aux approches hétérogènes historiquement observées entre établissements. La perte opérationnelle devient ainsi un objet normé, dont la qualification ne peut plus relever d’interprétations locales. La comparabilité entre institutions devient un objectif explicite du régulateur, renforçant sa capacité de benchmark et de challenge prudentiel.

De donnée opérationnelle à donnée réglementaire sensible

Avec CRR3, la donnée de perte opérationnelle change de statut. Elle devient une donnée réglementaire sensible, directement intégrée au calcul des exigences en capital dans le cadre du nouveau Standardised Approach.

Cette nouvelle dimension a des impacts forts. CCR3 exige en effet un historique harmonisé sur 10 ans. Ce dernier doit être fondé sur une qualification rigoureuse par cause racine et sur une traçabilité complète des montants et des recouvrements. Le niveau d’exigence en matière de qualité des données est inédit… et surtout, rétroactif.

Les impacts dépassent le seul périmètre de la fonction risque : reporting COREP, communication prudentielle et échange avec le superviseur sont directement concernés. La donnée perte devient ainsi un sujet transverse, exposé et stratégique pour l’établissement, dont la fiabilisation suppose une transformation globale et durable du dispositif de gestion du risque opérationnel.

Une transformation qui dépasse la technique

La mise en conformité avec la nouvelle taxonomie ne se limite pas à un ajustement technique des outils. Elle implique une évolution des processus de collecte, des mécanismes de revue, des contrôles de cohérence et de la gouvernance des données.

L’alignement entre les pertes opérationnelles et les incidents IT ou cyber devient désormais central.

Dans un contexte où CRR3 et DORA convergent sur les exigences de traçabilité et de robustesse des dispositifs, la qualité de cette articulation conditionne directement la fiabilité du calcul des exigences en capital. Cette évolution renforce le positionnement stratégique de la fonction risque, appelée à jouer un rôle clé dans la fiabilisation des données prudentielles et dans la résilience globale de l’établissement.

D’une contrainte réglementaire à un levier de crédibilité

Si CRR3 peut être perçu comme une contrainte supplémentaire, il constitue également une opportunité de structuration durable des dispositifs de gestion du risque opérationnel.

L’amélioration de la qualité des données, la clarification des responsabilités et la formalisation des processus contribuent à renforcer la crédibilité du dispositif vis-à-vis du superviseur et des instances dirigeantes.

Mais l’enjeu dépasse la seule conformité : la fiabilisation de la donnée perte conditionne désormais directement le niveau d’exigence en capital et la capacité de l’établissement à piloter son risque opérationnel de manière maîtrisée.

Au-delà de la conformité, la nouvelle taxonomie participe ainsi à une transformation plus large : celle d’un pilotage du risque opérationnel davantage fondé sur la donnée, la cohérence et la comparabilité.

 

Article rédigé par Ostian DE HAUT DE SIGY