La transformation digitale et la crise actuelle poussent le secteur financier vers une externalisation plus prononcée. Déjà strictement encadrée au Luxembourg, l’externalisation IT a fait l’objet d’initiatives récentes qui instaurent, au niveau de l’UE, des règles allant au-delà de celles actuellement en vigueur.

Du secret bancaire au Luxembourg…

Historiquement, la réglementation sur l’externalisation IT au Luxembourg était axée sur le principe sacro-saint du secret professionnel (ou «secret bancaire»), qui était ancré dans la loi de 1993 sur le secteur financier. On le retrouve également dans le secteur des assurances et des services de paiement. Ce cadre visait avant tout à préserver la confidentialité des données des clients bancaires interdisant les externalisations donnant lieu à une divulgation de données en dehors du territoire national. Cette réglementation fut renforcée en 2003 par la création des professionnels du secteur financier (PSF) de support IT, ces professionnels pouvant se voir confier par les institutions de crédit et d’autres acteurs du secteur financier certaines fonctions IT sans violer le secret professionnel.

Même si le secret professionnel reste toujours important au Luxembourg, plusieurs exceptions y ont été prévues au fil du temps, notamment concernant l’externalisation.
Vincent Wellens

Vincent WellensIP & Tech Law PartnerNautaDutilh

… vers le principe de bonne gouvernance

Même si le secret professionnel reste toujours important au Luxembourg, plusieurs exceptions y ont été prévues au fil du temps, notamment concernant l’externalisation. Après une flexibilisation progressive de la position de la CSSF, un changement de la loi en 2018 a explicitement introduit une exception permettant aux acteurs du secteur financier d’externaliser sur la base du consentement de leurs clients. Le focus de la réglementation CSSF s’est déplacé du respect du secret professionnel vers les principes de l’administration centrale et de bonne gouvernance. Une attention particulière est portée à la prise de décision responsable basée sur une politique d’externalisation prédéfinie et une analyse des risques, ainsi qu’au contrôle que l’institution financière doit exercer sur les activités et la chaîne de sous-traitance. Ce basculement est aussi visible dans la circulaire CSSF de 2017 sur l’externalisation IT basée sur une infrastructure cloud qui met en avant l’accountability en introduisant l’obligation de tenir un registre des externalisations basées sur le cloud et la nécessité de pouvoir changer de prestataire si nécessaire. 

Le modèle luxembourgeois repris au niveau de l’UE

L’Association Bancaire Européenne (ABE) a établi en 2019 des lignes directrices pour des institutions de crédit, des entreprises d’investissement et des prestataires de paiement. Elles concernent tout type d’externalisation et établissent des règles très strictes sur la prise de décision et la gouvernance des opérations d’externalisation. Ainsi, l’ABE a instauré une réglementation se rapprochant de celle de la CSSF, mais plus précise sur certains points, ou allant au-delà des règles du régulateur luxembourgeois, notamment sur les clauses obligatoires des contrats de sous-traitance et les causes de sortie de ceux-ci. L’ABE a ainsi créé un level playing field entre les acteurs locaux et les acteurs dans le reste de l’UE, qui étaient souvent soumis à un régime moins strict. L’Autorité européenne des assurances et des pensions professionnelles et l’Autorité européenne des marchés financiers ont très récemment adopté des lignes directrices qui sont, malheureusement, limitées au cloud.

Même si la CSSF s’attend à ce que les institutions financières concernées s’y conforment déjà, elle adoptera sous peu une nouvelle circulaire, consolidant ses règles en la matière, basée sur les lignes directrices de l’EBA, tout en maintenant les spécificités locales résultant de sa circulaire cloud et en étendant sa circulaire aux sociétés de gestion dans le domaine des fonds.

La Commission européenne vient de publier une proposition de règlement sur la résilience opérationnelle digitale dans le secteur financier au sens large, y compris les sociétés de gestion dans le secteur des fonds.
Vincent Wellens

Vincent WellensIP & Tech Law PartnerNautaDutilh

Vers une réglementation plus holistique de l’IT au sein de l’UE

Entre-temps, l’ABE a également établi des exigences relatives à la gestion des risques liés aux technologies de l’information et à la sécurité. Via sa circulaire 20/750, la CSSF a étendu ces exigences à tous les professionnels au sens de la loi de 1993 sur le secteur financier et de la loi de 2009 sur les services de paiement. Ces exigences doivent être prises en compte lorsque les institutions financières externalisent des fonctions IT, voire lorsqu’elles s’appuient sur une infrastructure ou solution cloud.

La Commission européenne vient de publier une proposition de règlement sur la résilience opérationnelle digitale dans le secteur financier au sens large, y compris les sociétés de gestion dans le secteur des fonds. La proposition consolidera les règles de gestion de risques IT et de sécurité et en introduira de nouvelles, le tout dans l’objectif d’assurer, d’une manière plus holistique, la résilience IT. Ces règles concernent, entre autres, la gestion des prestataires tiers de services IT (donc également des services qui ne constituent pas une externalisation au sens strict du terme!). Les acteurs du secteur financier au Luxembourg pourront s’y conformer rapidement, car ces règles se rapprochent de celles de la CSSF et de l’ABE. Nous prévoyons le plus de difficultés pour les sociétés de gestion dont la gestion des risques IT a été moins extensivement réglementée jusqu’à présent. «Last but not least», la proposition prévoit aussi de réglementer directement des prestataires «critiques» ayant une importance systémique dans le secteur financier, tels qu’Amazon Web Services.