COMMUNAUTÉS & EXPERTISES — Expertises

Droit: ICT, GDPR et Immatériel

Où en est l’externalisation dans le fond(s)?



Cyril Pierre-Beausse, Avocat à la Cour chez /c law, et Rodolphe Mans, expert en sécurité de l’information chez #mans (Photo: /c law)

Cyril Pierre-Beausse, Avocat à la Cour chez /c law, et Rodolphe Mans, expert en sécurité de l’information chez #mans (Photo: /c law)

Il fut un temps où les gestionnaires de fonds d’investissement (GFI) pouvaient externaliser leur informatique sans guère d’entraves ni véritable gouvernance. Depuis bientôt 3 ans, des règles venues du monde bancaire encadrent logiquement ces pratiques dans un secteur mal préparé. Où en sont les efforts de conformité?

Des règles techniques et complexes

Culturellement, les acteurs des fonds étaient moins préparés que le secteur bancaire aux règles complexes et exigeantes de la CSSF en matière d’externalisation, notamment vers le cloud. Le monde bancaire évolue en effet depuis longtemps dans un environnement contraint, voire cadenassé. Mais pour les GFI, l’impact a été rude et nombre d’entre eux n’en ont pas encore pris toute la mesure.

Il faut dire que les exigences de la CSSF en matière d’externalisation sont difficiles à satisfaire pour des acteurs assez peu préparés à des contraintes techniques, juridiques et organisationnelles fortes.

Celles-ci sont pourtant légitimes au regard du poids de l’industrie des fonds dans l’économie et du risque lié à une externalisation insuffisamment maîtrisée pour la continuité de l’activité.

Une gouvernance et des ressources bien légères

Les GFI sont concentrés sur leur cœur de métier et n’ont pas toujours su maintenir une gouvernance adaptée au développement de leur activité. Aujourd’hui, ces infrastructures légères – qui firent autrefois le charme de cette industrie pour ses dirigeants – sont à la fois un risque et un handicap. D’où une confiance et une dépendance parfois excessives à l’égard des fournisseurs de solutions. C’est ce que révèlent les questions parfois embarrassantes de la CSSF sur les projets d’externalisation qui lui sont présentés.

Appartenir à un groupe international, habitué à des standards étrangers plus permissifs, n’est pas un avantage. Ces groupes ont en outre parfois tendance à ignorer des règles luxembourgeoises jugées disproportionnées et incompréhensibles. La donne change néanmoins avec les initiatives d’harmonisation des régulateurs européens.

La tentation de l’échappement

Dans un processus d’externalisation, les GFI font-ils tous la démarche d’approcher la CSSF autant qu’ils le devraient? La tentation est parfois grande de choisir la simplicité en qualifiant son projet d’externalisation de «non matériel» (ou non critique), afin d’échapper aux fourches caudines du régulateur.

Or, la matérialité ne se détermine pas sur un coin de table et ne doit pas être influencée par les discours commerciaux des fournisseurs. Elle requiert une analyse méticuleuse et documentée, sur base des critères définis par la CSSF et sous la responsabilité des dirigeants du GFI. Malgré cela, nous constatons que certaines analyses sont légères et ne résisteraient pas à un examen de la CSSF. Au risque d’exposer les GFI concernés à des sanctions et, surtout, à devoir se mettre en conformité en urgence, voire à renoncer à des externalisations en cours. En pratique, cela peut impliquer la refondation de la gouvernance et des opérations, sous la pression du régulateur. Des situations vécues et peu enviables.

Pourtant, les GFI ne devraient pas être inquiets à l’idée de présenter un projet d’externalisation à la CSSF. Un dossier bien préparé, assorti d’une analyse des risques méthodique, a toutes les chances de recevoir l’agrément requis. Quant aux questions du régulateur, elles ont pour but – et souvent pour conséquence – d’améliorer gouvernance et maturité pour le plus grand bénéfice des GFI. La conformité a un coût, mais n'est pas infructueuse dans le fond(s).

Cyril Pierre-Beausse, Avocat à la Cour,  /c law

Rodolphe Mans, expert en sécurité de l’information, #mans