Tom De Witte (CCF) : « la qualité de la data a été la clé du succès du carve-out »
Par Bertrand Lemaire | Le | Gouvernance
Suite au rachat des activités de banque de détail d’HSBC en France par MyMoneyGroup est née une banque sous une nouvelle enseigne, CCF, avec un nouveau SI, au 1er janvier 2024.
Pouvez-vous nous présenter le Groupe CCF issu du rachat d’activités d’HSBC en France par MyMoneyBank ?
MyMoneyBank avait des activités de banque spécialisée : consolidation d’emprunts, crédit voiture, etc. Le protocole d’accord pour le rachat du réseau de banque de détail pour particuliers et professionnels d’HSBC en France a été signé en 2021 (d’autres activités d’HSBC en France continuent sous leur enseigne). A partir de cette signature, nous avons préparé la création de la nouvelle banque sous l’enseigne CCF. La création effective, avec bascule informatique, a eu lieu le 1er janvier 2024.
Le Groupe CCF a aujourd’hui des activités de banque de détail généraliste avec une orientation haut de gamme dite de « banque patrimoniale ». Il a conservé les activités de banque spécialisée.
A propos du groupe CCF
En 1917, le Crédit Commercial de France (CCF) est fondé par fusion de trois banques antérieures. Comme la plupart des autres banques françaises, le CCF est nationalisé en 1982 et reprivatisé en 1993. En 2000, le groupe est racheté par le britannique HSBC qui fusionne le CCF avec d’autres banques (Union de banques à Paris, Banque Hervet, Banque de Baecque Beau…) sous le nom d’HSBC France.
Le réseau de banque de détail en France est cédé à partir de 2021 avec effectivité au 1er janvier 2024 à MyMoneyBank, une banque spécialisée appartenant au fonds Cerberus. La banque résultante est renommée Groupe CCF et utilise la marque CCF à partir du 1er janvier 2024.
Aujourd’hui, le CCF dispose d’un réseau de 244 agences avec près de 3 500 collaborateurs. Il sert 800 000 clients avec des actifs de près de 24 milliards d’euros, 15 milliards d’euros de prêts à la clientèle et 20 milliards d’euros de dépôts. Le Groupe CCF a un bilan supérieur à 30 milliards d’euros caractérisé par une base d’actif de haute qualité (ratio de créances douteuses CCF inférieur à 1,5 %). Son ratio de fonds propres de base CET1 excéde 15 % en date d’acquisition, garantissant une solvabilité robuste. Sa solidité financière repose aussi sur une position en cash d’environ 10 milliards d’euros.
Comment est organisée l’IT ?
Nous avons une DSI classique avec une équipe infrastructure, une équipe de développement, etc. Comme dans les autres banques, la cybersécurité est répartie entre la DSI (cybersécurité de première ligne, opérationnelle) et la Direction des Risques (deuxième ligne, contrôle).
Il existe une direction data distincte de la DSI pour bien gérer les données clients, du reporting réglementaire au marketing et à la relation client. Mais les infrastructures de gestion de la data, sur le plan technique, sont bien sous la responsabilité de la DSI.
Vous avez sous-traité le coeur opérationnel de votre IT. De ce fait, quelle est votre architecture IT ?
Effectivement, le core banking (clients, crédits, gestion des comptes…) a été confié à Arkea Banking Services, une filiale de la banque Arkea (Crédit Mutuel). Mais cela ne veut pas dire que nous n’avons pas de système d’information !
Les données de la journée, extraites du core banking, sont intégrées dans notre SI propre via une plate-forme data qui nous sert notamment à toutes nos opérations de contrôle, de reporting réglementaire, etc. L’infrastructure de cette plate-forme est hébergée chez AWS avec les applicatifs nécessaires. C’est la même plateforme qui est utilisée pour tout le groupe, y compris les activités de banque spécialisée.
Nous disposons par ailleurs de Microsoft Office 365 dans le cloud public Azure. Nous utilisons Sharepoint, Teams, Copilot…
Votre usage intensif du cloud public américain n’est-il pas problématique d’un point de vue réglementaire, notamment vis-à-vis du RGPD ?
Non. Le sujet de la conformité a évidemment été vérifié et nous n’avons aucune difficulté à la garantir. En effet, la source des données réside dans le core banking hébergé dans les datacenters privés d’Arkea hébergés en Bretagne.
Concernant la plateforme data, notre contrat avec AWS prévoit expressément un hébergement en France, en région parisienne, avec une politique de sécurité adaptée. En particulier, nous utilisons une clé de chiffrement privée hébergée en France.
Autre particularité : vous avez externalisé l’IT du coeur de votre activité. Pourquoi ce choix ?
A la mi-2021, nous avons commencé à travailler sur le carve-out. Le SI, y compris le core-banking, devait être changé. Mais notre ancien SI, celui de la banque spécialisée, n’était absolument pas adapté à la reprise des activités d’HSBC France.
Nous avions vingt-quatre mois pour réaliser le carve-out. Construire un nouveau SI bancaire en aussi peu de temps, c’était à la fois très risqué et compliqué. Il restait l’option de la sous-traitance. Or il se trouve qu’Arkea Banking Services hébergeait déjà l’IT d’autres acteurs du monde financier. Nous avons étudié leur offre et nous avons constaté qu’elle était adaptée à nos besoins.
Nous avons donc fait le choix stratégique de cette externalisation. Le coût repose sur un prix fixe et un prix variable selon la volumétrie.
Comment avez-vous mené ce projet de carve-out ?
C’est une équipe de 1200 personnes qui a réalisé ce programme. Un tiers appartenait à Arkea, un tiers à HSBC et un tiers à nous (y compris des prestataires).
Nous avons fait le choix de suivre le principe de moindre modification. Nous avons donc pris l’offre Arkea sur étagère en nous permettant seulement quelques modifications de détail sur le parcours client, notre positionnement de banque patrimoniale entraînant quelques particularités.
Contractuellement, HSBC devait nous livrer la data après l’avoir mise en qualité. La qualité de la data a d’ailleurs été la clé du succès du carve-out. Si nous ne parvenions pas à effectuer la migration informatique dans les temps, le décalage de la création de la nouvelle banque se serait imposé, cas que nous ne pouvions pas accepter.
Nous avons réalisé plusieurs bascules à blanc à compter de 2022. Lors de la première bascule à blanc, nous avons remonté un grand nombre de soucis. Au bout de la troisième bascule à blanc, à l’automne 2023, les erreurs étaient marginales, de l’ordre de l’exception (en fait nous avions repéré une dizaine d’erreurs). Mais nous nous étions imposé un taux d’erreur de 0. Parce que, dans une banque, il est impossible d’avoir une erreur, même une seule erreur.
Début décembre 2023, nous avons atteint ce zéro erreur à la quatrième bascule à blanc. Nous avons alors surveillé avec une grande attention ce qui se passait sur le système d’information source afin que la qualité de la donnée ne se dégrade pas sur les dernières semaines.
Nous avons effectué la vraie bascule le samedi 30 décembre 2023, dimanche 31 et lundi 1er janvier 2024.
La qualité de la donnée sur Républik Data & IA
Républik Data & IA aura lieu les 24 et 25 juin 2024 à l’Hôtel Royal Barrière, à Deauville.
Il s’agit de deux jours d’intelligence collective autour de la Data et de l’intelligence artificielle au travers d’ateliers confidentiels et de plénières… sans oublier des surprises.
Le 24 juin, l’atelier 2 sera sur le thème « Data Quality : c’est grave, docteur ? » avec le témoignage de Florent Verriere, Group Chief Data Officer d’EDF.
Un seul week-end a donc suffi ?
Tout à fait. Le système a été coupé pour permettre la migration mais les fonctions de paiements ont été maintenues, les clients ne pouvant juste pas surveiller leur solde. De même, l’application mobile HSBC a été remplacée par l’application mobile CCF, là aussi avec coupure de service.
Durant le week-end de bascule, plus de mille personnes ont été mobilisées en Inde (HSBC), à Brest (Arkea) et à Paris (CCF). Les contrôles techniques ont été opérés au fur et à mesure. La fin de la première partie, technique, a été réalisée le 31 décembre 2023 à midi. Dans la foulée, nous avons lancé les contrôles fonctionnels, similaires aux contrôles opérés sur les bascules à blanc.
Après une coupure pour célébrer le Jour de l’An entre 22h et le 1er matin, nous avons fait les tests « friends and family » en demandant à quelques clients de réaliser les derniers tests.
L’ouverture officielle a eu lieu le 2 janvier 2024 à 14h.
Nous nous interrogions évidement sur la quantité de connexions simultanées à l’ouverture : les clients allaient vouloir tout de suite vérifier leur solde et toutes leurs opérations. Nous avions bien sûr pris des précautions en lien avec Arkéa. Au bout de quatre minutes, nous avions atteint le volume de connexion anticipé comme maximum. Mais la performance a été au rendez-vous et le système fourni par Arkéa a montré sa solidité.
Simultanément à ce qui se passait sur le SI central, évidemment, il fallait aussi déployer le nouveau matériel informatique en agences avec le nouveau réseau, sans oublier tout ce qui ne relevait pas de l’informatique comme le changement de la signalétique et des enseignes. Pour le déploiement, nous nous sommes appuyés sur Tibco.
A compter du 3 janvier, nous sommes passé en mode « business as usual ». Cependant, nous avons conservé une surveillance renforcée avec une réunion quotidienne tous les matins pour assurer un suivi de la migration. Actuellement, nous sommes revenus à un niveau de réclamation client identique à ce qu’il était auparavant. Mais le taux d’enregistrement digital, lui, a augmenté.
Enfin, au sein des agences, le personnel avait été formé au nouveau système. Mais, là aussi, nous suivons les retours et veillons à réduire les irritants.
Votre nouveau SI étant pratiquement from scratch, il est compatible nativement NIS2, DORA… ?
Côté NIS2, nous sommes bien en phase, en effet, avec les attentes du régulateur. Pour Dora, il reste quelques petites choses à faire d’ici le 1er janvier 2025.
Pour terminer, au-delà du carve-out, quels sont vos projets et défis ?
Avant tout, je tiens à remercier toutes les équipes pour tout le travail accompli et qui nous a permis d’arriver où nous en sommes aujourd’hui.
Il y a une évidence : nous avons la volonté de toujours faire mieux. Nous avons ainsi plusieurs projets en cours pour améliorer le parcours de nos clients, en particulier les clients investisseurs.
Nous avons également des projets autour du service client à partir de la data.
Enfin, nous veillons aussi à améliorer notre performance interne avec des projets en matière d’automatisation (notamment avec de la RPA et de l’IA) en lien avec l’accroissement de la fluidité de nos processus.