PLACE FINANCIÈRE & MARCHÉS — Banques

Sous-traitance informatique

Pourquoi la CSSF a changé ses règles



La digitalisation des acteurs financiers, confiée à des sous-traitants, a vu le nombre de demandes d’autorisation exploser. Et la CSSF de changer les règles du jeu pour gagner du temps. (Photo: Shutterstock)

La digitalisation des acteurs financiers, confiée à des sous-traitants, a vu le nombre de demandes d’autorisation exploser. Et la CSSF de changer les règles du jeu pour gagner du temps. (Photo: Shutterstock)

La semaine dernière, la CSSF a publié une nouvelle circulaire sur la sous-traitance informatique. Pour ne pas être au cœur de blocage des acteurs de la place financière, explique-t-elle ce mercredi, dans un communiqué de presse.

Entre 2019 et 2021, le nombre de demandes d’autorisations de sous-traitance informatique a augmenté de plus de 40%, signe que les acteurs du secteur financier se recentrent sur leur cœur de métier et laissent aux professionnels de l’IT le soin de régler les services informatiques. Les demandes qui ont trait au cloud ont même doublé.

Forcément, qui dit demande dit examen par les experts de la Commission de surveillance du secteur financier, dit peut-être aussi décisions plus longues et dit potentiellement problèmes de calendrier pour les sociétés qui font ces demandes d’autorisation.

La semaine dernière, la CSSF a donc remplacé l’autorisation préalable par une notification préalable dans sa circulaire 21/785 relative à la sous-traitance informatique matérielle. Celle qui concerne des «fonctions critiques ou importantes», dont la défaillance porterait atteinte à la solidité et à la continuité des services et activités de l’entité ainsi qu’à la conformité réglementaire à laquelle elle est tenue.

«Notre souhait était de revoir notre approche, afin que l’analyse de ces demandes d’autorisation ne soit pas un frein à la bonne exécution des projets des entités sous la surveillance de la CSSF», explique Cécile Gellenoncourt, chef de service en charge de la surveillance des systèmes d’information et des PSF de support, dans un rare communiqué de presse pédagogique.

Ainsi, les entités surveillées doivent au préalable notifier leur projet au moins trois mois avant que la sous-traitance prévue ne soit effective, ou au moins un mois dans le cas d’un recours à un PSF de support.

«Dans la pratique, les notifications reçues feront l’objet d’un traitement différencié qui pourra varier en fonction des risques liés au projet de sous-traitance. Ainsi, l’analyse pourrait être plus ou moins approfondie et avoir lieu avant la date prévue de mise en œuvre du projet ou après dans le cadre de la surveillance permanente ou d’un contrôle sur place», poursuit-elle.

Derrière ce «gentleman agreement», la CSSF prévient quand même que ses contrôles n’en sont pas allégés pour autant.

«La nouvelle circulaire ne remet absolument pas en cause la qualité et la profondeur de notre surveillance. Ainsi, même sur un dossier qui nous a été simplement notifié, nous pourrions intervenir a posteriori, par le biais de contrôles sur place par exemple, si nous constations des manquements graves en matière de respect des obligations professionnelles», conclut Mme Gellenoncourt.