Le Luxembourg crée un cadre juridique pour l’outsourcing informatique dans le secteur bancaire

Publié le par - 765 vues

Après l’entrée en vigueur de la loi du 2 août 2003, modifiant la loi du 5 avril 1993 relative au secteur financier, qui augmentait le champ du contrôle de la Commission de surveillance du secteur financier en créant de nouveaux prestataires de services financiers (ci-après « PSF »), les « PSF connexes », il fallait…

Après l’entrée en vigueur de la loi du 2 août 2003, modifiant la loi du 5 avril 1993 relative au secteur financier, qui augmentait le champ du contrôle de la Commission de surveillance du secteur financier en créant de nouveaux prestataires de services financiers (ci-après « PSF »), les « PSF connexes », il fallait amender la circulaire IML 96/126 déjà ancienne, relative à l’outsourcing . Tel est l’objet de la circulaire 05/178 de la Commission du Surveillance du Secteur Financier sur : la réglementation de l’outsourcing au Luxembourg (Circulaire CSSF 05/178 du 11 avril 2005, accessible sur le site de la CSSF, http://www.cssf.lu).

L’outsourcing est synomyme du terme français de sous-traitance. Les deux circulaires ne donnent pas de définition. Une définition nous est fournie dans les high level principles about outsourcing par le Comité de Bâle (Et plus particulièrement le rapport Outsourcing in Financial Services, Basel Committee on Banking Supervision, February 2005) : “L’outsourcing peut consister soit dans le transfert initial d’une activité (ou d’une partie d’activité) d’une entité surveillée [NDR : par exemple une banque] (…) à un tiers ou encore le transfert d’une activité (ou partie d’activité) d’un tiers à un autre, quelquefois appelé « sous-traitance en cascade » (“Outsourcing can be the initial transfer of an activity (or a part of that activity) from a regulated entity to a third party or the further transfer of an activity (or a part of thereof) from one third-party service provider to another, sometimes referred to as “subcontracting. Le droit belge nous fournit également une définition claire : « on entend par sous-traitance tout appel à des tiers pour l’exercice d’activités ou de processus propres à l’établissement financier » (Commission bancaire, financière et des assurances, Circulaire PPB 2004/5 sur les saines pratiques en matière de gestion en matière de sous-traitance par des établissements de crédit et des entreprises d’investissement, 22 juin 2004). Par tiers, l’on entend les personnes ou entreprises qui n’opèrent pas sous le contrôle permanent du commettant.

La deuxième notion à définir est celle de « PSF connexe ». La Circulaire le décrit comme une nouvelle catégorie de PSF, soumis à la surveillance prudentielle de la CSSF, et défini par la loi modifiée du 5 avril 1993 relative au secteur financier (ci-après « la Loi ») dans son article 29-3 relatif aux « opérateurs de systèmes informatiques et de réseaux de communication du secteur financier ».

Dans le cadre de la Circulaire que nous examinons, l’outsourcing peut avoir lieu soit en recourant à un tiers, soit à une entité du groupe, soit à un PSF connexe.

Dispositions générales

La Circulaire contient un certain nombre de précisions préliminaires d’importance. Ainsi la sous-traitance informatique ne diminue en rien la responsabilité des professionnels financiers de tenir compte des principes de saine gestion dans toutes les activités et elle ne peut porter préjudice au contrôle interne du professionnel financier et à la qualité du contrôle externe, ni à la protection des clients. A cet égard, la Circulaire laisse le choix au professionnel financier d’informer ou non ses clients en cas d’outsourcing.

La Circulaire énonce ensuite les dispositions auxquelles tout professionnel financier doit se soumettre dans le cas oú il entend sous traiter en matière informatique. Ces dispositions tombent sous le sens mais elles ont le mérite d’exister. Ainsi la sous-traitance doit être inscrite dans une politique de sous-traitance documentée et validée par le conseil d’administration. Bien évidemment, la sous-traitance doit être formalisée par un contrat de services avec un cahier des charges qui tienne compte des conditions énumérées dans la présente circulaire c’est-à-dire les aspects de continuité, le caractère révocable de la sous-traitance, le maintien de l’intégrité du contrôle interne et externe et surtout une description claire des responsabilités des deux parties.

Une autre disposition celle de l’information aux tiers est plus sensible. La Circulaire laisse le choix au professionnel financier de la nécessité d’informer ou non les tiers concernés par cette sous-traitance et plus particulièrement les clients. Cette nécessité pourrait apparaître en raison des risques juridiques ou autres qui pourraient résulter de cet outsourcing.

Enfin, la Circulaire exige de remplir deux conditions ultimes :

  1. En cas d’évènements exceptionnels le professionnel financier doit être en mesure de fonctionner normalement ;

  2. Il doit organiser le transfert adéquat des services sous-traités à un autre fournisseur ou les reprendre en gestion propre.

Ensuite les dispositions de la Circulaire distinguent les activités sous-traitées : les prestations de maintenance, de programmation et de conseil d’une part, les prestations de gestion des systèmes d’autre part.

Les différents types d’activités sous-traitées

Il apparaît clairement que cette distinction est à mettre en relation avec le statut de PSF connexe. Le PSF a accès aux données confidentielles, il est soumis en conséquence à moins d’exigences, et peut opérer la gestion de systèmes informatiques. A cet égard, la Circulaire favorise clairement le recours à ce statut.

La circulaire distingue deux catégories d’activités sous-traitées (Pour plus de précisions sur cette distinction, voir le Rapport annuel de la CSSF 2003, in http://www.cssf.lu) :

  1. Le recours à une sous-traitance informatique pour des prestations de maintenance, programmation, conseil ;

  2. Le recours à l’outsourcing pour des prestations de gestion des systèmes.

  3. Le recours pour des services de gestion des systèmes à des prestataires autres que les PSF connexes soumet le professionnel à des exigences supplémentaires peu pratiques, dont par exemple, l’accord préalable du professionnel pour toute modification du programme.

En tout état de cause, le texte établit clairement que l’accès du tiers aux données confidentielles autres que des PSF connexes est interdit. Cette interdiction d’accéder vaut également pour le cas oú la gestion est confiée à une entité du groupe.

En cas de recours à un tiers non PSF il faut obtenir l’autorisation préalable de la Commission de surveillance du secteur financier ci-après « CSSF », l’autorité prudentielle luxembourgeoise.

Le recours à un PSF connexe

Le texte dispose qu’aucune donnée confidentielle de nature à identifier un client du professionnel financier ne peut être stockée auprès d’un centre de traitement autre qu’un PSF connexe, à moins d’être cryptée et à condition que le décryptage ne puisse se faire qu’au sein du professionnel financier ou d’un PSF connexe dans le cadre de sa prestation.

La Circulaire favorise clairement le recours à un PSF connexe car elle dispose que les exigences de contrôle, de qualité et de garantie stricte de la protection des données confidentielles à respecter par les professionnels financiers sont remplies lorsque le professionnel financier a recours à un PSF connexe.

Enfin, petite « révolution » au sein du secret bancaire, l’obligation au secret n’existe pas à l’égard des PSF connexes (art.41-5 de la loi du 5 avril 1993) dans la mesure oú les renseignements communiqués à ces derniers sont fournis dans le cadre d’un contrat de services relevant de l’activité réglementée et à condition que ces renseignements soient indispensables à l’exécution du contrat de services en cause. On comprend pourquoi ces PSF « connexes » doivent obtenir l’agrément de la CSSF, comme tout autre PSF.Autre condition, ils ne peuvent exercer leur activité de PSF connexe que pour des professionnels financiers.

En cas de recours à un PSF pour procéder à d l’outsourcing informatique, une notification à la CSSF doit être envoyée en justifiant que les conditions fixées par la présente circulaire sont respectées. Certes il ne s’agit pas d’une autorisation préalable mais la CSSF vérifie si les conditions établies par la Circulaire sont respectées, la nuance est mince.

Ce texte a le mérite de clarifier le recours à l’outsourcing informatique après l’introduction en août 2003 de la catégorie des PSF « connexes ».

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK