La digitalisation croissante, l’innovation, la mutualisation des coûts constituent autant de facteurs poussant vers une augmentation de la sous-traitance. La Commission de surveillance du secteur financier (CSSF) a donc publié, le 22 avril, , réglementant l’externalisation de fonctions par les entités soumises à la la loi sur le secteur financier (LSF). Le Paperjam + Delano Club a tenu ce 5 mai un pour discuter de la circulaire, fortement attendue par les acteurs de la Place. Près de 150 participants sont ainsi venus écouter l’intervention de Cécile Gellenoncourt, chef du service de la surveillance des systèmes d’information et des PSF de support à la CSSF, et de , président de Finance & Technology Luxembourg.
Ça a été un travail de longue haleine, le texte est complexe. (…) Nous avions créé un groupe de travail au sein de la CSSF comprenant tous les services concernés.
Co-autrice de la circulaire 22/806, Cécile Gellenoncourt explique d’emblée: «Ça a été un travail de longue haleine, le texte est complexe.» Afin d’arriver à un texte le plus abouti possible, «nous avions créé un groupe de travail au sein de la CSSF comprenant tous les services concernés», indique-t-elle. Par la suite, la CSSF a consulté le marché, notamment via une consultation publique qui a duré trois mois au cours de l’été 2021.
Par la suite, la CSSF a encore mené des échanges avec différentes associations professionnelles. Parmi celles-ci se trouvait Finance & Technology Luxembourg, représentant les PSF de support et les fintech. Son président, Jean-François Terminaux, a d’ailleurs souligné l’importance de ces échanges: «Nous sommes venus avec des exemples pratiques. Les points que nos membres ont soulevés ont été pris en compte par la CSSF.» Une remarque qu’il illustre avec «la porte entrouverte» sur la possibilité de sous-traiter en cascade.
Nous sommes venus avec des exemples pratiques. Les points que nos membres ont soulevés ont été pris en compte par la CSSF.
Un supplément luxembourgeois
Adoptant les orientations de la European Banking Authority (EBA) sur l’outsourcing datant de 2019, Cécile Gellenoncourt explique que «la CSSF a pris la décision d’étendre le champ d’application de la circulaire à toutes les entités qui sont couvertes par la LSF». La circulaire s’adresse donc également aux PSF financiers et de support. Autre subtilité: «Nous avons également pris en compte les gestionnaires de fonds d’investissement, uniquement pour la partie outsourcing informatique.» Le but étant que «la circulaire fourni[sse] un cadre complet, harmonisé et transparent, unique au Luxembourg». Ce qui est alors apparu comme une opportunité de créer une convergence nationale.
Nous avons tenu à, parfois, apporter certaines précisions, voire à ajouter certaines spécificités luxembourgeoises sur certains sujets.
Alors que les recommandations de l’EBA comprennent une quarantaine de pages, la circulaire 22/806 en compte pas moins de 60. Soit un différentiel d’une vingtaine de pages, relatives à des spécificités luxembourgeoises liées au cadre législatif préexistant. «Nous avons tenu à, parfois, apporter certaines précisions, voire à ajouter certaines spécificités luxembourgeoises sur certains sujets», précise Cécile Gellenoncourt, illustrant de la sorte: «Avec l’outsourcing informatique, clairement, nous avions notre circulaire cloud avec certains éléments qui sont spécifiques au Luxembourg. Nous avions par exemple l’existence des PSF de support. Il faut donc expliquer que, si l’on sous-traite au Luxembourg, il faut respecter la LSF. On a l’article 41 sur le secret professionnel. On a tout une série de spécificités qu’il a fallu ajouter.» Malgré ces ajouts propres à la Place, un compliance officer d’un groupe international pourra facilement les identifier, la CSSF ayant veillé à les inscrire en italique dans la circulaire. «On a maintenant la possibilité, grâce à ces règles, de capitaliser également sur le savoir-faire», ajoute Jean-François Terminaux.
L’évolution-clé de la circulaire 22/806 provient du changement de procédure administrative pour la soumission des projets de sous-traitance au régulateur. Au lieu d’une autorisation préalable, une simple notification sera désormais suffisante. Cécile Gellenoncourt rappelle toutefois qu’il ne s’agit pas pour autant d’un droit acquis: «La CSSF, par ses pouvoirs de surveillance, garde la possibilité de revenir sur un projet qui lui aurait été notifié.» Un contrôle sur place peut tout à fait révéler d’éventuelles déficiences par la suite. La simplification de la procédure administrative «apporte une assurance plus importante aux entités quant au délai dans lequel elles vont pouvoir mettre en œuvre leurs projets».
On a maintenant la possibilité, grâce à ces règles, de capitaliser également sur le savoir-faire.
Une approche par les risques
Outre l’allégement de la démarche, Jean-François Terminaux constate quant à lui une évolution additionnelle: «On a une circulaire et non plusieurs. On arrive à regrouper des éléments sous un cadre. Et non, ce n’est pas négligeable.» Il met également en exergue la notion de proportionnalité. «C’est important pour nous, en tant que PSF de support, sur l’audit, que nos réviseurs tiennent compte de cet aspect de proportionnalité et qu’on puisse assouplir certaines mesures.»
Plus une activité est risquée ou complexe, plus on va s’attendre à ce que les mesures prises soient sérieuses et poussées.
Bien que la proportionnalité mentionnée dans la circulaire prenne en considération la taille de l’entreprise, il ne faut pas négliger le niveau de risque du service sous-traité. «Plus une activité est risquée ou complexe, plus on va s’attendre à ce que les mesures prises soient sérieuses et poussées», nuance Cécile Gellenoncourt, insistant sur le fait qu’il s’agit d’une approche par les risques. Elle insiste toutefois sur le fait que le «choix reste celui de l’entité, ce qu’elle considère comme critique ou important», et que «cette évaluation doit être documentée par le management de la société». Certains pourraient être tentés d’automatiser leurs analyses de risques. «Ce n’est pas une option.»
Se présente alors la question de la criticité des fonctions IT, soumises généralement à la contrainte de la protection des données. «Je ne pense pas que toute sous-traitance IT soit forcément critique ou importante», clarifie la co-autrice de la circulaire. Inversement, «ce n’est pas rare qu’une sous-traitance ne soit pas qualifiée de critique ou d’importante et qu’il ne faille pas malgré tout mettre en place les mesures pour protéger les données». Ce sur quoi Jean-François Terminaux embraie: «Si on documente correctement, qu’on fait une analyse de risques et qu’on a des éléments qu’on peut présenter au régulateur, avec des arguments, je ne vois pas où ça pourrait poser problème.»
Si on documente correctement, qu’on fait une analyse de risques et qu’on a des éléments qu’on peut présenter au régulateur, avec des arguments, je ne vois pas où ça pourrait poser problème.
Afin d’atténuer toute subjectivité dans l’interprétation des conclusions des due diligences, la CSSF a accompagné la publication de la circulaire d’une FAQ. «L’idée est de compléter cette liste dans le cas où des questions sont récurrentes ou particulièrement pertinentes», explique Cécile Gellenoncourt.
La circulaire 22/806 sera d’application à partir du 30 juin. Seul bémol: «La mise en place du processus de notification pour les outsourcings informatiques est entrée en application à la date de publication», note Cécile Gellenoncourt. Les entités bénéficient de temps jusqu’à la fin de l’année pour s’assurer de la conformité de leurs contrats et implémenter un registre des sous-traitances.