Renforcement des règles d’externalisation

Circulaire CSSF 22/806

La Circulaire CSSF 22/806 consiste à mettre en application les lignes directrices émises par l’Autorité Bancaire Européenne (ci-après « EBA » – EBA/GL/2019/02) relatives aux accords d’externalisation.

L’objectif est de garantir une gouvernance interne robuste et de contribuer à une convergence de la surveillance au niveau européen.

Partie I - Exigences relatives aux accords d’externalisation

I.1. Conditions générales

L’accord d’externalisation doit :

  • Être soumis à une surveillance appropriée de la part de la société faisant appel à cet accord;
  • Respecter les exigences réglementaires et les mesures prudentielles applicables à la société faisant appel à cet accord ;
  • Assurer que les activités opérationnelles externalisées soient correctement réalisées ;
  • Exclure le transfert de responsabilité de l’organe de direction de la société faisant appel à cet accord;
  • Éviter de créer des risques opérationnels excessifs ;
  • Permettre à la société faisant appel à cet accord de conserver la qualité et l’indépendance du contrôle interne des activités opérationnelles externalisées ;
  •  Permettre à la société faisant appel à cet accord de superviser et de contrôler le respect des exigences réglementaires ;
  • Permettre à la société faisant appel à cet accord d’assurer et de conserver la continuité de ses activités opérationnelles externalisées ;
  • Assurer à la société faisant appel à cet accord de conserver la substance nécessaire afin de conserver ses agréments CSSF notamment en matière d’administration centrale ;
  • Mettre en place des exigences de confidentialité et se conformer aux règles de protection des données à caractère personnel ;
  • Exclure d’entraver les pouvoirs de supervision des autorités compétentes.

I.2. Externalisation intra-groupe

Un accord d’externalisation avec une entité du groupe n’entraine pas nécessairement un niveau de risque moins élevé. Les conditions générales décrites ci-dessus doivent être respectées. De plus, l’intention de recourir à un accord d’externalisation intra-groupe doit être justifiée.

I.3. Bonne gouvernance

La société faisant appel à l’accord de sous-traitance doit :

  • Mettre en place une gestion des risques relative à ses différents accords d’externalisation ;
  • Désigner un responsable de la gestion de chaque accord d’externalisation ;
  • Mettre en place une politique d’externalisation approuvée par la direction autorisée, régulièrement revue et mise à jour. Le contenu de cette politique est défini à la section 4.2.3 de la Circulaire CSSF 22/806 ;
  • Tenir un registre de l’ensemble des accords d’externalisation. La composition de ce registre est définie aux points 54 & 55 de la Circulaire CSSF 22/806. Ce registre doit être disponible sur demande des autorités compétentes ;
  • Conserver l’ensemble de sa documentation sur une période définie par la loi luxembourgeoise.

I.4. Notification préalable à la CSSF

Une notification préalable doit être envoyée à la CSSF lorsque l’externalisation d’une fonction importante ou critique est envisagée.

Cette notification doit être soumise à la CSSF au moins 3 mois avant que l’accord d’externalisation entre en vigueur. Pour un PSF de support, ce délai est réduit à un mois.

Lien vers le formulaire de notification (site web de la CSSF).

Partie II - Exigences spécifiques aux accords d’externalisation des TIC

Les principes généraux mentionnés dans la première partie sont également applicables lors d’accord d’externalisation concernant les Technologies de l’Information et la Communication (ci-après « TIC »).

La partie II de la Circulaire CSSF 22/806 se structure en deux chapitres :

  • Accords d’externalisation ne reposant pas sur une infrastructure de « Cloud Computing » ;
  • Accords d’externalisation reposant sur des structures de « Cloud Computing ».

Partie III - Dispositions transitoires et délais applicable

Les entités concernées doivent revoir et si besoin modifier les accords d’externalisation existants afin d’assurer leur conformité à la Circulaire CSSF 22/806 au plus tard pour le 31 décembre 2022.

Si l’entité estime que la revue des accords d’externalisation existants ne sera pas finalisée avant le 31 décembre 2022, elle doit en informer la CSSF en détaillant le plan d’action envisagé.

 

Cet article est basé sur une traduction française de la Circulaire CSSF 22/806. Le texte original en anglais est disponible sur le site de la CSSF.

Nos experts vous accompagnent dans votre mise en conformité

Découvrez nos autres publications :

News

Directive (UE) 2024/1640 (AMLD6)

La Directive (UE) 2024/1640 (AMLD6) réforme profondément les approches réglementaires, en se concentrant uniquement sur les responsabilités spécifiques des États membres, tandis que les obligations du secteur privé sont transférées au Règlement AMLR

En savoir plus
AMLR
News

Règlement (UE) 2024/1624 (AMLR)

Le Règlement (UE) 2024/1624, aussi connu sous le nom d’AMLR, ou de Règlement Unique, établit des exigences uniformes en matière de LBC/FT qui seront directement applicables dans tous les États membres.

En savoir plus
fr_FRFrench