L’outsourcing IT (ou externalisation informatique) a toujours été au cœur des débats dans la vie économique au Luxembourg, en particulier dans le secteur financier. Un outsourcing IT représente souvent non seulement une économie de coûts, mais il permet également aux organisations de recourir à des solutions commodes et à la pointe de la technologie.
Ainsi, un outsourcing IT comprend les services «classiques» d’hébergement, de maintenance et de l’opération de systèmes IT, mais également des solutions cloud «ready-made» (par exemple, les ERP de Salesforce), ainsi que des solutions de digitalisation de certains processus (par exemple, des chatbots ou des solutions de digital onboarding).
L’outsourcing IT gagne en importance dans le secteur financier, puisque les entreprises de ce secteur s’intéressent souvent à la possibilité de mettre en place un outsourcing au sein de leur groupe. C’est notamment le cas des institutions financières qui envisagent de migrer leur headquarter européen vers le Luxembourg dans le cadre du Brexit, tout en gardant une certaine flexibilité en externalisant des services vers leurs entités britanniques…
... qui requiert une protection tant pour les entreprises, voire pour le secteur concerné...
Qui dit externalisation, dit également une perte partielle de contrôle sur les services externalisés! De manière générale, il faudrait donc compenser cette perte par des garanties sur le plan contractuel.
C’est aussi la raison pour laquelle la CSSF a élaboré au fil des années des règles qui sensibilisent les institutions financières à mesurer et mitiger les risques qui vont de pair avec une externalisation. Ces règles leur imposent, entre autres, certaines clauses qui doivent figurer dans un contrat avec un prestataire, comme une clause permettant de changer de prestataire en cas de problème.
La CSSF a émis une circulaire spécifique en 2017, qui renforce davantage les mesures à prendre en compte dans le cas d’un outsourcing IT qui repose sur une infrastructure cloud. Selon certains, cette réglementation porterait préjudice à la compétitivité du Luxembourg comme place financière, mais, à notre avis, la réglementation de la CSSF prescrit des mesures que toute organisation, même en dehors du secteur financier, devrait adopter lorsqu’elle externalise des services informatiques!
L’EBA va prochainement émettre de nouvelles règles relatives à l’outsourcing dans le secteur financier.
Vincent Wellens, IP & tech law partner (NautaDutilh)
De plus, la réputation et la crédibilité de tout un secteur sont en jeu lorsque les acteurs externalisent ces services de manière irresponsable. C’est la raison pour laquelle l’EBA (l’Autorité bancaire européenne) va prochainement émettre de nouvelles règles relatives à l’outsourcing dans le secteur financier.
Ces règles se rapprochent de celles de la CSSF et créeront un certain level playing field au sein de l’UE. Les établissements luxembourgeois sont donc déjà bien disciplinés et auront donc moins de problèmes pour s’y adapter, ce qui ne sera pas forcément le cas pour les institutions financières des autres États membres de l’UE.
Par ailleurs, le fameux règlement général sur la protection des données (ou «RGPD») renforce l’idée que tout responsable d’un traitement de données personnelles doit prévoir des mesures complémentaires dans les contrats avec un prestataire de services externalisés, afin de garder le contrôle sur l’outsourcing réalisé. Le responsable du traitement devra ainsi donner son autorisation avant que le prestataire ne puisse sous-déléguer des services à un autre prestataire.
... que pour la clientèle.
Le RGPD vise évidemment avant tout la protection des personnes physiques dont des données personnelles sont traitées (très souvent les clients des entreprises). C’est également dans cette perspective que toute organisation doit appréhender un projet d’outsourcing IT, les mesures de sécurité offertes par un prestataire étant un des points les plus importants à prendre en compte.
Le législateur a explicitement prévu la possibilité pour les institutions financières d’externaliser des services vers une entité qui ne serait pas réglementée au Luxembourg.
Les professionnels de certains secteurs (finance, assurance, santé, secteur public…) sont soumis au secret professionnel qui interdit la divulgation des données relatives à leurs clients à des tiers. Cette obligation au secret requiert donc une attention particulière puisqu’un outsourcing pourrait engendrer la divulgation de données protégées.
Dans ce cas, les professionnels devront prendre des mesures complémentaires (par exemple, un chiffrement renforcé des données) et envisager d’obtenir le consentement de leurs clients.
En 2017, le législateur a explicitement prévu la possibilité pour les institutions financières d’externaliser des services vers une entité qui ne serait pas réglementée au Luxembourg, à condition que le client ait donné son consentement. Une telle exception au secret professionnel basée sur le consentement serait également la bienvenue pour les autres professions qui sont soumises à une telle obligation au secret…