«Nous sommes d’avis qu’il y a deux angles intéressants dans l’avis des AES», soulignent Anaïs Sohler et Sophie Dupin, associées chez Elvinger Hoss Prussen, ajoutant «une clarification très bienvenue du projet de normes techniques d’exécution sur les registres d’information concernant le champ d’application de ce registre, ce qui est une très bonne nouvelle pour l’industrie financière.» (Photos: Elvinger Hoss Prussen/Montage: Maison Moderne)

«Nous sommes d’avis qu’il y a deux angles intéressants dans l’avis des AES», soulignent Anaïs Sohler et Sophie Dupin, associées chez Elvinger Hoss Prussen, ajoutant «une clarification très bienvenue du projet de normes techniques d’exécution sur les registres d’information concernant le champ d’application de ce registre, ce qui est une très bonne nouvelle pour l’industrie financière.» (Photos: Elvinger Hoss Prussen/Montage: Maison Moderne)

Les experts juridiques d’Elvinger Hoss Prussen prévoient que les amendements proposés par la Commission européenne aux projets de normes techniques pour Dora auront un impact opérationnel ou financier limité, et ils ont accueilli favorablement la clarification des AES selon laquelle les entités financières ne sont pas tenues d’inclure les fournisseurs de services non liés aux TIC dans leurs registres d’information.

Les trois autorités paneuropéennes de surveillance financière – l’Autorité bancaire européenne (ABE), l’Autorité européenne des assurances et des pensions professionnelles (Eiopa) et l’Autorité européenne des marchés financiers (Esma) – ont leurs vives inquiétudes concernant le récent rejet par la Commission européenne des projets de normes techniques pour la loi sur la résilience opérationnelle numérique (Dora), ce qui constitue un développement important pour le secteur financier.

Les experts juridiques d’Elvinger Hoss Prussen ont déclaré à Paperjam que, même si le fait de permettre aux entités financières d’identifier leurs fournisseurs de services TIC tiers enregistrés dans l’UE en utilisant soit l’identifiant d’entité légale (LEI), soit l’identifiant unique européen (EUID), comme le suggère la Commission européenne, augmenterait probablement de manière significative la charge de travail des autorités de surveillance nationales et des AES, ils ne considèrent pas cela comme une raison pour les entreprises financières de retarder l’achèvement de leur registre d’informations.

MMes Anaïs Sohler et Sophie Dupin, associées chez Elvinger Hoss Prussen, ont déclaré: «Nous pensons qu’il y a deux angles intéressants dans l’avis des AES: (i) la «bataille» LEI/EUID entre les AES et la Commission; et (ii) une clarification très bienvenue du projet de normes techniques d’exécution (ITS) sur les registres d’information concernant le champ d’application de ce registre, ce qui est une très bonne nouvelle pour l’industrie financière».

Implications financières et opérationnelles

Dans leur évaluation, MMes Sohler et Dupin prévoient un impact pratique ou financier limité pour les entités financières soumises à Dora. Ils ont fait valoir que la Commission de surveillance du secteur financier du Luxembourg (CSSF) avait clairement indiqué, par le biais de , que les entités financières luxembourgeoises devaient être conformes à Dora d’ici le 17 janvier 2025. Ainsi, de nombreuses entités ont déjà investi des efforts considérables pour se mettre en conformité, comme le démontrent sur l’état de préparation à Dora. Par conséquent, certaines institutions financières ont commencé à compléter leurs registres d’informations sur la base des projets de normes techniques d’exécution (ITS) sur les registres d’informations publiés le 17 janvier 2024 par les AES. Cela impliquait la collecte des numéros LEI auprès de leurs prestataires de services TIC tiers.

Le 3 septembre 2024, la Commission européenne a suggéré que les entités financières pourraient alternativement collecter l'EUID de leurs fournisseurs de services TIC tiers situés dans l'UE. Mmes Sohler et Dupin ont indiqué dans leur note à Delano que si les amendements de la Commission étaient intégrés dans le projet d'ITS, ils ne prévoyaient pas de conséquences opérationnelles ou financières majeures pour les entités financières relevant de Dora.

D’après les observations du marché, ils ont noté que les entités financières avaient déjà demandé des numéros LEI à leurs fournisseurs de services TIC tiers ou qu’elles continueraient probablement à le faire. Elles estiment que si les entités n’ont pas encore obtenu ces identifiants, elles peuvent choisir de recevoir soit le LEI, soit l’EUID, ce qui ne les empêchera pas de remplir leurs registres. En outre, les AES ont clairement indiqué que l’utilisation des numéros LEI serait moins contraignante pour les entités financières.

Charge de travail pour les régulateurs

Cependant, les avocats ont mis en garde contre un impact opérationnel important résultant de l’approche des régulateurs de l’UE et pour les AES elles-mêmes. Ils ont précisé que l’utilisation du LEI et de l’EUID dans les registres d’information augmenterait considérablement la charge de travail des autorités nationales de surveillance, telles que la CSSF, et des AES.

Les entités financières relevant de Dora étaient tenues de soumettre leurs registres d’information respectifs à leurs autorités nationales de surveillance. Ces registres serviraient de ressources essentielles aux AES pour déterminer quels fournisseurs de services TIC tiers seraient considérés comme critiques et relèveraient de la supervision de l’ABE, de l’Eiopa ou de l’Esma, en tant que «lead overseer» (superviseur principal). Les experts ont averti que si toutes les entités financières de l’UE n’utilisaient pas les mêmes numéros d’identification pour leurs fournisseurs de services TIC tiers dans leurs registres, cela pourrait compliquer la tâche des AES pour effectuer cette évaluation critique au niveau de l’UE.

Une lueur d’espoir

Malgré les différences entre l’avis des AES et celui de la Commission, Mmes  Sohler et Dupin ont salué la clarification apportée par les AES sur le champ d’application du registre d’informations dans le cadre de Dora. Ils ont noté que les allers-retours sur les numéros d’identification ont permis aux AES d’introduire une clarification importante dans le projet de STI sur les registres d’information.

Initialement, le projet d’ITS créait une ambiguïté sur la question de savoir si les entités financières sous Dora devaient collecter des informations uniquement sur leurs propres fournisseurs de services TIC tiers ou si elles devaient inclure des informations sur leurs délégués ou fournisseurs de services pour des tâches non informatiques, si ces entités utilisent des services TIC. Mmes Sohler et Dupin ont noté que cette ambiguïté aurait pu donner lieu à des registres d’informations excessivement étendus, créant une charge inutile pour les entités financières. «Plusieurs questions ont été posées à la CSSF et aux AES à ce sujet au cours des derniers mois», rappellent les deux auteurs.

Par le biais d’une proposition de modifications supplémentaires au projet d’ITS, les AES ont confirmé qu’il n’y a pas d’exigences générales pour les entités tombant dans le champ d’application de Dora d’inclure leurs délégués/fournisseurs de services non-TIC dans leurs registres d’information même s’ils utilisent des services TIC», ont remarqué Mmes Sohler et Dupin. Cette clarification serait probablement «un soulagement et une clarification très bienvenue pour le marché qui est déjà très occupé à mettre en œuvre les exigences de Dora», ont affirmé Mmes Sohler et Dupin.

Cet article a été rédigé initialement en anglais, traduit et édité pour le site de Paperjam en français.

Articles Associés