You are currently viewing Salesforce pour les banques françaises : conformité ACPR, AML, supervision

Salesforce pour les banques françaises : conformité ACPR, AML, supervision

Si vous travaillez dans une banque française et que vous lisez cet article, vous portez probablement plusieurs casquettes : conformité ACPR, lutte anti-blanchiment (LCB-FT), gouvernance des données client, audit des accès, traçabilité des décisions commerciales. Et vous avez sans doute une question simple : Salesforce est-il une plateforme adaptée à un environnement bancaire régulé en France ?

La réponse courte : oui, mais à condition de bien le configurer. Salesforce est utilisé par BNP Paribas, Société Générale, Crédit Agricole, La Banque Postale, et la plupart des banques privées françaises. Mais le déploiement « standard » qui marche dans une PME B2B ne tient pas dans un environnement ACPR. Voici ce qu’il faut savoir.

Le contexte réglementaire bancaire et Salesforce

L’ACPR (Autorité de Contrôle Prudentiel et de Résolution) impose aux banques françaises plusieurs exigences spécifiques sur leurs systèmes d’information clients :

  • Externalisation critique : tout SI qui traite des données clients régulées doit faire l’objet d’une déclaration ACPR si l’externalisation est jugée critique (instruction 2017-I-25, mise à jour DORA 2025).
  • Plan de continuité d’activité (PCA) : démontrer un RTO/RPO compatible avec les obligations de service.
  • Auditabilité des accès et des décisions : qui a vu quoi, qui a décidé quoi, traçabilité conservée plusieurs années.
  • Lutte anti-blanchiment : KYC, surveillance des transactions, déclarations TRACFIN, gouvernance des risques.
  • Souveraineté de la donnée : selon la sensibilité, hébergement en France ou dans l’UE, isolation et chiffrement renforcés.
  • DORA (Digital Operational Resilience Act, applicable depuis janvier 2025) : durcissement des exigences sur la résilience opérationnelle des prestataires TIC critiques.

Le bon réflexe avant de déployer Salesforce dans une banque française est de classifier en amont la criticité du traitement. Une instance Salesforce qui héberge le KYC complet de votre clientèle particuliers n’est pas dans le même régime qu’une instance qui gère uniquement votre force de vente B2B.

Financial Services Cloud : la brique métier dédiée

Salesforce Financial Services Cloud (FSC) est l’édition spécifique pour les services financiers, banque et assurance. Il étend le modèle de données Salesforce avec des objets natifs dont vous aurez besoin :

  • Households / Account Relationships : représentation native d’un foyer fiscal, des liens entre clients, des bénéficiaires économiques.
  • Financial Accounts : comptes bancaires, contrats d’épargne, prêts, cartes — avec relations vers le client et l’entité juridique.
  • Goals et Life Events : objectifs patrimoniaux, événements de vie déclencheurs.
  • Action Plans : pour structurer les démarches KYC, ouverture de compte, conformité.
  • Compliance Data Sharing : modèle de partage spécifique aux contraintes de la « muraille de Chine » entre activités.

FSC n’est pas obligatoire — vous pouvez construire vos propres objets sur Sales Cloud. Mais le coût d’opportunité (et de TMA) plaide généralement pour FSC dans les banques sérieuses, parce qu’il aligne votre instance avec les pratiques observées chez les autres banques et facilite l’embauche de profils Salesforce certifiés FSC.

L’architecture sécurité minimale en banque

Voici les modules Salesforce et les configurations qui ne sont pas optionnels dans une banque française.

Salesforce Shield : non-négociable

Shield apporte trois briques essentielles : Platform Encryption (chiffrement BYOK avec votre propre clé KMS), Field Audit Trail (historique des modifications jusqu’à 10 ans, conforme aux durées de conservation bancaires), Event Monitoring (surveillance comportementale des accès et des exports).

Sans Shield, vous ne pouvez pas démontrer à l’ACPR que vous tenez les standards minimaux d’auditabilité et de chiffrement renforcé. Voir notre article Event Monitoring Salesforce.

Hyperforce avec stockage France

Salesforce Hyperforce permet de choisir explicitement la zone géographique de stockage. Pour les banques françaises, le choix par défaut doit être Hyperforce France ou, à défaut, UE. Documentez ce choix dans votre dossier de conformité.

Pour les besoins de souveraineté élevés, suivez l’évolution du partenariat Salesforce avec S3NS (la coentreprise Thales / Google Cloud) — l’offre est en cours de stabilisation pour les acteurs souverains.

Transaction Security Policies pour les actions sensibles

Configurez impérativement des TSP sur :

  • Les exports de fichiers et de rapports volumineux (alerte au-delà de 1 000 lignes, blocage au-delà de 10 000).
  • Les connexions depuis l’étranger ou hors plage horaire ouvrée.
  • Les modifications de permissions admin.
  • Les téléchargements multiples en peu de temps (motif d’exfiltration).

Voir notre article sur les 5 scénarios catastrophe pour comprendre la mécanique des attaques observées en 2025-2026.

Sauvegarde testée et restauration documentée

DORA et l’ACPR exigent un PCA testé. Salesforce Backup & Recover est un minimum, doublé idéalement par un test de restauration documenté annuel. Voir notre article sur la sauvegarde Salesforce.

Les cas d’usage métier dans une banque

Banque privée et gestion de patrimoine

C’est le cas d’usage où Salesforce excelle dans le secteur. Le banquier privé gère un portefeuille de clients haut de gamme avec relations complexes (foyer fiscal, sociétés détenues, contrats d’assurance vie). FSC modélise nativement ces relations. Action Plans structure les démarches conformité (revues KYC, MIFID 2, vérifications LCB-FT) et trace toutes les étapes.

Le ROI typique : gain de 20 à 30 % de temps administratif pour le banquier privé, qui peut se reconcentrer sur la relation et la conquête.

Banque de détail particuliers

Plus complexe en France, parce que la banque de détail française a historiquement développé ses propres outils (Sigma, NCR, BPCE Manager). Salesforce s’y déploie en surface — Service Cloud pour le centre d’appels, Marketing Cloud pour la communication client, parfois Sales Cloud pour les conseillers en agence — mais l’IT cœur reste sur le mainframe.

Le bon mode opératoire est l’intégration via MuleSoft entre Salesforce et le système central, avec une couche de gouvernance des données fine. Le scope Salesforce reste « l’expérience client et conseiller », pas la gestion comptable des comptes.

Banque de financement et d’investissement (BFI)

Cas d’usage haut de gamme : suivi des relations grandes entreprises, gestion des opportunités multi-produits, conformité KYC entreprise renforcée, gouvernance Chinese Wall entre activités. Salesforce convient bien quand on configure correctement le sharing model et les territoires.

Crédit et financement spécialisé

Souscription en ligne, scoring crédit, suivi du dossier, contrats. FSC + intégrations vers les systèmes de scoring et de signature électronique fonctionnent bien. Attention aux exigences de traçabilité — chaque modification de paramètre de scoring doit être journalisée.

Les pièges spécifiques aux banques

Voici ce que nous voyons régulièrement dans les audits Salesforce de banques.

  • Sandbox de production sur les laptops des prestataires. Ultra-classique. Rafraîchissement sandbox depuis la production il y a 18 mois, données nominatives clients accessibles à un freelance hors UE. Risque ACPR + RGPD majeur. Solution : Data Mask ou scripts d’anonymisation systématiques. Voir notre checklist RGPD.
  • Permissions admin sur-attribuées. 30 % des audits trouvent des dizaines de comptes avec View All Data, dont d’anciens consultants partis depuis 2 ans. Compliance ACPR fragile.
  • Logs de connexion mal exploités. Event Monitoring n’est pas activé, ou les fichiers sont téléchargés mais jamais consommés par un SIEM. La traçabilité est théorique.
  • Pas de séparation forte entre les BU. Sharing model trop ouvert qui ne tient pas la muraille de Chine entre BFI et banque privée. Risque réglementaire concret.
  • Connected apps non gouvernées. Outils tiers connectés via OAuth (signature électronique, scoring, IA) sans validation sécurité. Voir notre article à venir sur les Connected Apps.

L’IA en banque : Einstein et AgentForce

Le sujet IA est brûlant en banque, avec une dimension réglementaire forte (AI Act européen applicable depuis 2025-2026). Pour Salesforce :

  • Einstein Copilot est utilisable en banque pour des cas d’usage non sensibles (résumé de réunion commerciale, draft d’email client). Attention aux contenus traités — pas de données sensibles client dans des prompts si la classification AI Act le contrôle.
  • AgentForce est plus délicat. Un agent autonome qui prend des décisions sur des dossiers clients en banque est sous le régime « système IA à haut risque » de l’AI Act dès lors qu’il influe sur l’octroi d’un crédit, le scoring, ou la qualification d’un risque LCB-FT. Conformité renforcée obligatoire.

Notre recommandation : démarrez Einstein Copilot sur les cas internes non régulés. AgentForce sur les cas d’usage de service client simple (modification de coordonnées, statut de virement). Réservez les usages décisionnels aux phases ultérieures, avec une gouvernance IA dédiée. Voir notre comparatif AgentForce vs Einstein Copilot.

Combien coûte un projet Salesforce banque sérieux

Pour donner des ordres de grandeur (à confirmer selon votre taille et vos modules) :

  • Licences FSC + Shield + Backup pour 200 conseillers : ordre de grandeur 800 k€ à 1,2 M€ par an.
  • Intégration initiale (FSC déploiement banque privée + Service Cloud + intégrations cœur via MuleSoft) : 800 k€ à 2,5 M€.
  • TMA annuelle : 15 à 25 % du coût initial.
  • Audit ACPR de conformité de l’instance : 30 à 80 k€, à refaire tous les 2 ans.

Le ROI doit se construire sur le gain de productivité conseiller, la qualité de la relation client, la réduction du coût d’acquisition et la diminution des incidents conformité. C’est mesurable.

Le bon ordre de mise en œuvre

  • Phase 1 — Cadrage conformité : classification ACPR, registre RGPD, choix Hyperforce, validation Shield, rédaction du dossier d’externalisation.
  • Phase 2 — Architecture cible : modèle de données FSC, sharing model par BU, intégrations MuleSoft, plan de continuité.
  • Phase 3 — POC métier ciblé : un cas d’usage banque privée ou un cas d’usage Service. Mesure du ROI.
  • Phase 4 — Industrialisation : extension progressive, gouvernance des releases, montée en compétences internes.
  • Phase 5 — Audit annuel : revue conformité, sécurité, RGPD, performance.

Conclusion : Salesforce en banque, oui — mais avec un cadre

Salesforce est une plateforme adaptée au secteur bancaire français à condition de respecter le cadre. Les banques qui réussissent leur déploiement Salesforce ont toutes une gouvernance forte, un sponsor exécutif, un dossier de conformité documenté, et un partenaire intégrateur qui connaît les contraintes spécifiques.

Chez Cloud Girafe, nous accompagnons régulièrement des acteurs financiers — banques, mutuelles, gestionnaires d’actifs — sur leurs projets Salesforce, avec une approche conformité-first. Si vous portez un projet Salesforce dans une banque française et que vous voulez en discuter, contactez-nous sur cloudgirafe.fr.

Laisser un commentaire