Notification préalable en cas de sous-traitance informatique matérielle
Circulaire CSSF 21/785
- Remplacement de l’obligation d’autorisation préalable par une obligation de notification préalable en cas de sous-traitance informatique matérielle.
- Date d'entrée en vigueur : 15 octobre 2021
- Modifie les circulaires CSSF 12/552, 17/654, 17/656 & 20/758
- PSF
- Établissements de paiement
- Établissements de monnaie électronique
- Établissements de crédit
- Gestionnaires de fonds d’investissement soumis à la circulaire CSSF 18/698
Objectif
L’objectif de la CSSF est de simplifier la procédure de communication préalable à la sous-traitance informatique matérielle afin d’éviter que l’analyse des demandes ne freine le bon déroulement des projets des entités surveillées.
Notion de sous-traitance informatique matérielle
Une sous-traitance informatique matérielle concerne des fonctions critiques ou importantes telles que définies par les guidelines de l’EBA relatives à la sous-traitance.
C’est à dire, des fonctions dont la défaillance porterait atteinte à :
- La solidité et à la continuité des services et activités de l’entité ;
- La conformité réglementaire à laquelle l'entité est tenue.
Conditions cumulatives
Pour être valide, la notification préalable en cas de sous-traitance informatique matérielle doit remplir les deux conditions cumulatives suivantes :
- La notification doit être communiquée au moins 3 mois avant que la sous-traitance prévue ne soit effective. Le délai est de 1 mois en cas de recours à un PSF de support.
- La notification doit être effectuée en utilisant les formulaires disponibles sur le site de la CSSF.
En l’absence de réaction de la part de la CSSF, l’établissement peut mettre en œuvre la sous-traitance à l’expiration des délais mentionnés ci-dessus (1 ou 3 mois). Cependant, la CSSF peut décider de suspendre ces délais.
Mesures contraignantes & sanctions
La CSSF conserve la faculté d’appliquer des mesures contraignantes et/ou des sanctions administratives dans le cadre de la surveillance permanente exercée à postériori s’il s’avère que les projets de sous-traitance ne sont pas conforme au cadre juridique et réglementaire applicable.
Cloud computing à l'échelle du groupe
À partir du 15 octobre 2021, les assouplissements suivants sont d’applications lorsqu’un contrat est signé avec un prestataire de cloud computing à l’échelle du groupe et qu’une entité luxembourgeoise bénéficie des services de cloud computing :
- Le contrat peut être soumis au droit du pays de l'entité signataire du groupe, même si ce pays est situé hors Union Européenne ;
- La résilience des services de cloud computing dans l'Union Européenne n'est plus une obligation, mais elle doit être prise en compte dans l'analyse de risques de l'entité luxembourgeoise.
Mesures transitoires
Les procédures et délais en place avant le 15 octobre 2021 restent d’application pour les entités ayant soumis leurs demandes d’autorisation de sous-traitance jusqu’au 31 août 2021 inclus.
Les entités qui ont soumis leurs demandes d’autorisation de sous-traitance entre le 1er septembre et le 14 octobre 2021 inclus peuvent mettre en œuvre la sous-traitance prévue si la CSSF n’a pas réagi pour le 15 janvier 2022.
Liens utiles
Découvrez nos autres publications :
Autorité de Lutte contre le Blanchiment de Capitaux (ALBC)
Le 19 juin 2024, le règlement du Parlement européen et du Conseil établissant l’ALBC (AMLA pour Anti Money Laundering Authority en Anglais) a été publié dans le Journal Officiel de l’Union Européenne.
Directive (UE) 2024/1640 (AMLD6)
La Directive (UE) 2024/1640 (AMLD6) réforme profondément les approches réglementaires, en se concentrant uniquement sur les responsabilités spécifiques des États membres, tandis que les obligations du secteur privé sont transférées au Règlement AMLR
Règlement (UE) 2024/1624 (AMLR)
Le Règlement (UE) 2024/1624, aussi connu sous le nom d’AMLR, ou de Règlement Unique, établit des exigences uniformes en matière de LBC/FT qui seront directement applicables dans tous les États membres.
French 
English