Anne-Marie Ka, Senior Counsel au sein du cabinet Brucher Thieltgen & Partners. (Illustration: Maison Moderne/Photo: Brucher Thieltgen & Partners)

Anne-Marie Ka, Senior Counsel au sein du cabinet Brucher Thieltgen & Partners. (Illustration: Maison Moderne/Photo: Brucher Thieltgen & Partners)

En avril dernier, la circulaire CSSF 22/806 a été publiée par la Commission de surveillance du secteur financier. Ce texte a pour objet d’apporter plus de clarté dans les règles concernant l’externalisation de certaines fonctions.

Un phénomène croissant d’externalisation est observé ces dernières années dans le secteur financier. En outre, la pandémie a notamment renforcé la demande des professionnels en matière de digitalisation. Les entreprises ne disposant pas toutes des compétences nécessaires, elles ont dû faire appel à des prestataires de services afin de répondre à cette requête. « Les raisons de cette externalisation peuvent être multiples : économies d’échelle, réduction des coûts sans oublier la complexité progressive de la réglementation, les problèmes de recrutement de personnel qualifié et l’amélioration des compétences », nous explique Me Anne-Marie Ka, Senior Counsel au sein du cabinet Brucher Thieltgen & Partners.

La CSSF définit l’externalisation de manière très large à savoir tout processus, service ou activité qui autrement serait effectué par l’entité elle-même. Sont généralement concernées les fonctions informatiques et de support, les tâches commerciales et de marketing et enfin les services de gestion administrative. « Cette démarche peut être réalisée dans le cadre d’une prestation de services mais également dans celui du fonctionnement interne de l’entreprise. Si elle présente des avantages, elle possède aussi des risques. L’entreprise peut perdre une partie du contrôle sur l’activité en question. Des questions sur l’expertise interne et la logistique se posent quand la société externalise de manière trop intensive. Il s’agit d’un équilibre à trouver ».

Éclaircir les règles de l’externalisation

Jusqu’à présent, plusieurs règles étaient d’application pour les entités surveillées. L’autorité bancaire européenne (ABE) ainsi que l’autorité européenne des marchés financiers (AEMF) ont toutes deux pris des lignes directrices au niveau européen vis-à-vis des établissements financiers, des entreprises d’investissement et du cloud computing. « Ces lignes directrices européennes et les différentes circulaires CSSF régissant l’externalisation pouvaient créer une certaine  confusion quant à notamment leur champ d’application. La nouvelle circulaire 22/806 permet de lever les doutes sur les règles désormais en vigueur ».

En effet, ce nouveau texte apporte des changements majeurs. Il intègre par exemple les normes européennes dans les règles nationales pour que toutes les entreprises du secteur financier soient soumises aux mêmes règles. « Les règles luxembourgeoises sont ainsi consolidées en un document unique. Le champ d’application est quant à lui étendu. Avant, nous avions un socle restreint d’entités soumises aux lignes directrices : établissement de crédit, de paiement et de monnaie électrique et certaines entreprises d’investissement. Désormais, les fonds, leurs gestionnaires et d’autres opérateurs de marchés sont aussi concernés en cas d’externalisation de technologie de l’information et de la communication ».

La circulaire met également en place des spécificités luxembourgeoises. Le pays comptant de nombreuses filiales d’entreprises, les contrats d’externalisation intra-groupe devront également se conformer aux nouvelles règles.

Toutes les fonctions ne peuvent cependant pas être externalisées. Des restrictions s’appliquent ainsi  pour les fonctions d’audit et de contrôle interne pour lesquelles seules les tâches opérationnelles peuvent être externalisées. Par ailleurs, un droit d’accès doit être garanti au régulateur (CSSF), au contrôleur et aux auditeurs pour assurer la supervision des activités externalisées.  

Éviter toute problématique d’interprétation

Si certaines sociétés, prudentes, ont veillé à se mettre en conformité préalablement à cette obligation, d’autres vont devoir suivre cette voie. « Ces entreprises vont devoir réaliser une évaluation de la situation et, le cas échéant, mettre en place des politiques en interne et modifier leur contrats existant. Les futurs contrats devront également refléter cette réglementation. Une nouvelle négociation avec les prestataires de services est donc à prévoir.».

La circulaire s’applique à partir du 30 juin 2022 à tous les contrats d’externalisation conclus, revus ou modifiés à partir de cette date. Bien qu’aucun calendrier spécifique ne soit indiqué, il est conseillé de réexaminer les contrats d'’externalisation critiques ou importants avant le 31 décembre 2022. « Si cette mise en conformité n’est pas possible avant cette date, il faut en informer la CSSF. Nous accompagnons les clients dans l’analyse de leurs politiques internes et des contrats existants et futurs. Nous apportons également notre aide en cas de notification auprès de la CSSF pour assurer la conformité de la documentation soumise».