CSSF 22/806, externalisation et cloud des entités financières.

Qui est concerné ?

Toutes les entités surveillées par la CSSF qui externalisent une fonction ou un service : établissements de crédit, entreprises d\'investissement, établissements de paiement et de monnaie électronique (LSF et LSP), sociétés de gestion sous l\'article 125-1 de la loi OPCVM, ainsi que les PSF de support (sous-traitants TIC du secteur financier au titre des articles 29-3, 29-5 et 29-6 de la LSF).

La circulaire s\'applique au-delà du champ EBA : la CSSF a choisi d\'étendre la convergence à l\'ensemble des entités financières luxembourgeoises pour aligner les pratiques nationales.

Obligations clés

• Cartographier tous les dispositifs d\'externalisation, identifier ceux qui portent sur des fonctions critiques ou importantes.
• Politique d\'externalisation validée par l\'organe de direction, revue au moins annuellement, couvrant choix du prestataire, gestion des risques, surveillance et sortie.
• Phase contractuelle avec clauses minimales : SLA, audits, sous-traitance en cascade, confidentialité, restitution des données, droit applicable, juridiction.
• Surveillance continue du prestataire : indicateurs de performance, incidents, contrôle d\'accès, conformité réglementaire, certifications.
• Plans de sortie testables et documentés pour chaque fonction critique externalisée, avec scénarios de rapatriement et de migration vers un autre prestataire.
• Exigences cloud spécifiques : localisation des données, chiffrement, audit-right, multi-tenant, notification à la CSSF avant déploiement d\'une nouvelle solution cloud sur fonction critique.
• Notification CSSF obligatoire pour toute externalisation matérielle ou cloud sur fonction critique, avant la mise en oeuvre.

Échéances

La circulaire 22/806 est en vigueur depuis le 30 juin 2022 (date d\'application initiale) et a été modifiée par CSSF 25/883 pour aligner avec DORA. Depuis le 17 janvier 2025, les entités financières dans le champ DORA doivent appliquer en priorité le règlement européen ; la CSSF 22/806 reste applicable en complément pour les exigences spécifiques nationales (notification, PSF de support, conventions intragroupes luxembourgeoises).

Sanctions en cas de non-conformité

La CSSF dispose de l\'arsenal complet du droit financier luxembourgeois : injonctions de mise en conformité, sanctions administratives, restrictions ou suspension de l\'agrément, sanctions pécuniaires, voire retrait d\'agrément pour les manquements graves. Les sanctions sont alignées avec la loi du 5 avril 1993 sur le secteur financier.

Au-delà des sanctions formelles, un manquement à la 22/806 lors d\'une inspection CSSF peut bloquer un projet (déploiement cloud refusé, externalisation gelée) ou compromettre une autorisation préalable (nouveau service, nouvelle activité, fusion-acquisition).

Comment Luxgap vous aide

Nous accompagnons les entités CSSF, PSF et fonds sur le cycle complet de l\'externalisation :

• Audit de votre dispositif actuel : cartographie, identification des écarts versus 22/806 et DORA.
• Rédaction de la politique d\'externalisation, des clauses contractuelles types, des modèles de plans de sortie testables.
• Mise en place du registre des dispositifs d\'externalisation (avec criticité, certifications, exit horizon).
• Préparation des notifications CSSF pour les fonctions critiques et le cloud, gestion du dialogue avec votre relationship manager CSSF.
• Tests annuels des plans de sortie en condition réelle, documentés et opposables.
• Articulation avec DORA : registre des prestataires TIC, gestion des incidents TIC, tests de résilience opérationnelle numérique (TLPT).