Tant attendue par les professionnels de la Place, la Commission de surveillance du secteur financier (CSSF) a publié ce 22 avril la circulaire 22/806 portant sur l’externalisation. Le document apporte non seulement un cadre pour les accords d’externalisation, mais aborde également les exigences en matière de technologies de l’information et de la communication (TIC). Il s’agit là d’un changement, car ces dernières étaient jusqu’à présent ventilées au travers de différentes circulaires de la CSSF. «Cette circulaire a l’avantage de mettre tout dans une seule. C’est un bon point de référence, car on n’a plus qu’une seule circulaire à laquelle il faut se référer», remarque David Hagen, fondateur de Hagen Advisory, une société de consultance dans le domaine de la compliance IT.
Lire aussi
La circulaire CSSF 22/806 s’inscrit dans la perspective de la convergence européenne en matière de supervision financière. En février 2019, la European Banking Authority (EBA), l’autorité européenne de surveillance du secteur bancaire, avait émis ses recommandations sur les arrangements d’externalisation (EBA/GL/2019/02). La circulaire CSSF 22/806 fait donc suite à l’étude menée par le régulateur luxembourgeois des recommandations de la EBA, les intégrant à sa pratique administrative et son approche réglementaire.
Cette circulaire a l’avantage de mettre tout dans une seule. C’est un bon point de référence, car on n’a plus qu’une seule circulaire à laquelle il faut se référer.
Dans ses recommandations de 2019, la EBA notait que les institutions financières démontrent un intérêt croissant pour l’externalisation de certaines de leurs activités pour des raisons de coûts, de flexibilité et d’efficacité. Dans un contexte de digitalisation de l’industrie des services financiers, de plus en plus d’acteurs adaptent leurs modèles d’affaires, intensifiant l’utilisation de solutions fintech.
Les premières lignes directrices européennes encadrant l’externalisation remontent à 2006, s’appliquant exclusivement établissements de crédit. Les nouvelles règles actualisées visent dorénavant un cadre plus harmonisé pour l’ensemble des institutions financières supervisées par la EBA, en l’occurrence les établissements de crédit, mais aussi les entreprises d’investissement et les établissements de paiement et de monnaie électronique.
Pas de délégation de la responsabilité
Comme le stipule la circulaire, le régulateur luxembourgeois a toutefois jugé utile «d’étendre le champ d’application (…) afin de promouvoir la convergence au niveau national». La circulaire CSSF 22/806 inclut donc également les professionnels des services financiers (PS) et Post Luxembourg.
Dans le cas d’externalisation de services IT, la circulaire s’applique également, dans son ensemble, notamment aux gestionnaires de fonds, aux contreparties centrales, aux opérateurs de marchés de trading et aux chambres de compensation. «Les sociétés de gestion et les fonds ne sont concernés qu’en matière de sous-traitance informatique», explique le fondateur de Hagen Advisory.
Les sociétés de gestion et les fonds ne sont concernés qu’en matière de sous-traitance informatique.
De la sorte, le texte réglementaire modifie le cadre de gouvernance interne des entités surveillées, notamment par l’identification des «fonctions critiques ou importantes». Elles seront ainsi soumises à des exigences plus strictes, basant les accords d’externalisation sur une approche du risque. Les entités régulées devront dès lors tenir un registre de tous les accords d’externalisation qui pourra être utilisé par les autorités de contrôle au cours de ses activités de supervision.
L’un des piliers de la circulaire est, qu’en matière d’externalisation, la responsabilité de l’organe de direction de l’entité supervisée ne peut quant à elle pas être externalisée. Ce qui est également le cas lorsqu’il est fait appel à un sous-contractant, note la circulaire: «L’entité du champ d’application reste entièrement responsable de la conformité aux exigences réglementaires, y compris en cas de “sub-outsourcing”, étant donné que la “sub-outsourcing” peut modifier le risque et la fiabilité des accords d’externalisation.»
L’évaluation des fonctions critiques
Parmi les changements apportés par la circulaire, la notion d’externalisation matérielle’est remplacée par la notion ‘d’externalisation de fonction critique ou importante», explique la CSSF. En effet, la Circulaire fournit certains indicateurs objectifs servant d’orientation pour permettre de les identifier. «On ne parle plus de matérialité de la fonction qui est sous-traitée, mais bien de criticité», soulève David Hagen, qui pose alors la question de savoir «dans quelle mesure fait-on évaluation qui est pertinente pour le régulateur». Car, «le principe de proportionnalité laisse la possibilité de moduler l’évaluation de la criticité». Il y a donc un enjeu lié à un alignement entre les attentes du régulateur en termes de proportionnalité par rapport aux éléments indiqué dans la circulaire. Ce qui risque de laisser la porte ouverte à de nombreuses discussions sur l’interprétation de la matérialité. «À mon sens, ça va obliger à retourner vers de l’analyse de risque pour pouvoir expertiser la proportionnalité», précise David Hagen. Le but de la démarche étant d’être en mesure d’argumenter auprès du régulateur «afin d’éviter tout élément subjectif sur ce qui est critique et ce qui ne l’est pas».
Le principe de proportionnalité laisse la possibilité de moduler l’évaluation de la criticité.
Il est donc attendu des entités supervisées qu’elles déterminent «si la sous-traitance est autorisée et adapter sa gouvernance interne». Elles doivent en outre adapter leur cadre de gestion des risques.
La CSSF attend des entités régulées qu’elles limitent les risques opérationnels lorsqu’elles concluent des accords de sous-traitance. «Les risques à prendre en compte sont notamment ceux liés à la relation avec le prestataire de services, le risque lié à au “sub-outsourcing”, le risque de concentration posé par des accords d’externalisation multiples avec le même prestataire et/ou le risque de concentration posé par l’externalisation de fonctions critiques ou importantes à un nombre limité de prestataires», souligne la circulaire.
Les entités doivent donc prêter une attention toute particulière aux risques opérationnels, du point de vue de la concentration et de la dépendance, mais aussi d’un point de vue de contrôle: «L’externalisation ne doit pas porter attente à la qualité et à l’indépendance des contrôles internes des entités.»
Une notification préalable
La circulaire 22/806 est applicable à partir du 30 juin 2022 à tous les accords d’externalisation conclus ou modifiés à partir de cette date. Dès lors, les entités régulées devront notifier la CSSF au minimum trois mois à l’avance de leurs projets d’externalisation. «L’autorisation préalable précédemment applicable aux ‘externalisations matérielles non ICT’ est dorénavant remplacée par une notification préalable simple des ‘externalisations de fonctions critiques ou importantes non ICT’ à compter du 30 juin 2022», rappelle la CSSF
Le texte réglementaire apporte une un autre nouvelle subtilité, indique la CSSF: «La notification préalable avec possibilité d’objecter des ‘externalisations ICT matérielles’, introduite en 2021, est également remplacée par une notification préalable simple des ‘externalisations ICT critiques ou importantes’”. À la différence des externalisations non ICT, la procédure de notification simple est entrée en vigueur dès la date de publication de la circulaire. Une application rétroactive a ainsi été mise en place pour les dossiers d’externalisation ICT déjà notifiés à la CSSF.