Jean-François Terminaux (Damovo Luxembourg). (Photo: Eva Krins/Maison Moderne)

Jean-François Terminaux (Damovo Luxembourg). (Photo: Eva Krins/Maison Moderne)

En amont du Breakfast Talk – PSF de support: nouvelles règles d’outsourcing, organisé ce jeudi 5 mai 2022 par le Paperjam + Delano Club, découvrez l’interview de notre orateur Jean-François Terminaux, président de l’association professionnelle rassemblant les PSF de support et les fintech, depuis 2017.

Les exigences du régulateur financier ont profondément changé depuis les années 2000, quelles ont été les conséquences sur le marché?

 «Ce ne sont pas seulement les exigences du régulateur qui ont évolué mais aussi celles du législateur si l’on tient compte du changement de paradigme intervenu lors de la mise à jour de la loi relative au secteur financier intervenue en 2018 (et surtout son article 41).

La CSSF doit également tenir compte des recommandations de l’EBA (Autorité bancaire européenne). Pour le marché et pour les PSF de support, cela nous a obligés à repenser notre positionnement et même notre raison d’être.

En effet, des interprétations sur la nature même des PSF de support ont été avancées telles que la volonté de conserver/maintenir à Luxembourg le ‘secret bancaire’ et donc de cantonner le marché uniquement à la Place. En réalité, le but de la création des PSF de support a été d’assurer une stabilité et une pérennité des processus de nos clients du secteur financier.

Cette possibilité a, dès lors, apporté à la Place une compétence et une expérience dans le cadre de l’externalisation. Rappelons-nous que nous parlons de 2003! Voilà bientôt 20 ans que cette expertise s’est construite et consolidée au fil des années.

Nous ne pouvons donc plus réfléchir uniquement localement. Nous devons voir au-delà des frontières du pays tout en conservant et en capitalisant sur notre savoir-faire historique; bien sûr pour nos clients de la place financière luxembourgeoise en premier lieu.

Comment fournir le statut de PSF de support en dehors du Luxembourg?

«Jusqu’à aujourd’hui, il est difficile d’exporter cet agrément au-delà de nos frontières. Mais comme les règles évoluent et se jouent à présent au moins au niveau européen, le contexte change et cela implique une évolution du périmètre actuel. Nous avons recherché à moderniser le statut, au-delà des circulaires de la CSSF, en tenant compte des réglementations européennes actuelles et à venir.

L’objectif est clairement de nous appuyer sur les compétences des PSF de support pour créer un cadre de type ‘standard’ pouvant être utilisé au sein de nos groupes, souvent internationaux, pour faciliter l’exportation de nos services vers des clients étrangers. Il est évident que cela ne remplace pas les circulaires de la CSSF, elles seront toujours en vigueur. Néanmoins, si nous pouvons nous appuyer sur un standard reconnu internationalement, reprenant en grande partie les exigences de la CSSF ou de l’EBA, nous pourrons valoriser et capitaliser sur notre savoir-faire, simplifier dans la mesure du possible le travail de surveillance de la CSSF et harmoniser les contrôles de nos clients et de nos auditeurs respectifs.

Au cours de nos travaux, nous avons clairement constaté que le cadre de PSF de support était bien en avance sur son temps puisqu’aujourd’hui, nous retrouvons un cadre et des obligations très proches dans les recommandations de l’EBA, que ce soit pour les compétences ou la qualité de services apportés par les PSF de support.

Pouvez-vous nous donner des précisions sur la norme ISEA 3000, en particulier quel est son objectif?

«Dans le contexte de nos travaux pour moderniser le statut et pour donner suite aux conclusions d’un de nos groupes de travail, nous avons opté pour l’utilisation du cadre ISAE 3000 qui nous permettra de transcrire dans un premier temps la circulaire CSSF 20/750 sur la gestion des risques TIC et sécurité.

L’ISAE 3000 constitue une ‘enveloppe’ qui permet d’intégrer les obligations de la circulaire tout en assurant leur contrôle strict.

En utilisant ce standard, nous pourrons donc bénéficier de plusieurs avantages.

– Concentrer 70-80% des obligations des circulaires de la CSSF dans ce standard en faisant le lien avec d’autres standards tels que ISO 27001. Cela permet aux PSF de support de reprendre des rapports déjà existants et de ne pas refaire plusieurs fois le même travail.

– Présenter les rapports des différents PSF de support suivant une structure la plus harmonisée possible pour que le travail de contrôle de la CSSF soit également simplifié.

– Pouvoir partager ce document avec nos clients qui pourront analyser le niveau de contrôle mis en place et bien sûr le retour des auditeurs sur les actions prises.

– Et enfin, ajouter d’autres circulaires ou d’autres recommandations en fonction de l’évolution des règles qui s’appliqueront à notre secteur.»

.