Annexe - Liste des Orientations des ESA mises en oeuvre

Partie I - Dispositifs d’externalisation

Chapitre 1. Définitions, abréviations et acronymes

1. Sauf indication contraire, les termes utilisés et définis dans la LSF, dans la LSP et dans le règlement (UE) n° 575/2013 ont la même signification dans la présente circulaire. En outre, aux fins de la présente circulaire, on entend par :

1) Services en services fournis au moyen du cloud computing, nuage (« cloud à savoir un modèle permettant d’accéder services ») partout, aisément et à la demande, par le réseau, à des ressources informatiques configurables mutualisées (réseaux, serveurs, stockage, applications et services par exemple) qui peuvent être rapidement mobilisées et libérées avec un minimum d’effort ou d’intervention d’un prestataire de services.

Les services sont considérés comme des services de cloud computing au sens de la présente circulaire si les conditions définies aux points 135 et 136 sont remplies.

a. Cloud communautaire infrastructure cloud accessible à une communauté d’Entités concernées précise, y compris à plusieurs Entités concernées d’un même groupe, en vue d’une utilisation exclusive.

b. Cloud hybride infrastructure cloud composée d’au moins deux infrastructures cloud distinctes.

c. Cloud public infrastructure cloud accessible au grand public en vue d’une utilisation ouverte.

d. Cloud privé infrastructure cloud accessible à une seule Entité concernée en vue d’une utilisation exclusive.

2) Autorité compétente la CSSF ou la BCE comme autorité compétente pour la surveillance des entités conformément au point 2 de la présente circulaire.

3) Activités fondamentales les activités des Entités concernées soumises à autorisation ou enregistrement par une autorité compétente.

4) Fonction critique ou toute fonction considérée comme fonction importante 4 critique ou importante, tel qu’énoncé aux points 18 à 20.

5) Fonction tous processus, services ou activités.

6) Externalisation en matière accord, de quelque forme que ce soit, conclu de TIC entre une Entité concernée et un prestataire de services en vertu duquel ce prestataire de services prend en charge un processus de TIC ou exécute un service de TIC ou une activité de TIC qui autrement, serait exécuté par l’Entité concernée elle-même. Les services sont des services exclusivement relatifs aux TIC.

7) Entité concernée toutes les entités surveillées conformément au point 2 de la présente circulaire.

8) Fonctions de contrôle la fonction de gestion des risques, la fonction interne compliance et la fonction d’audit interne.

9) Externalisation intragroupe5 une externalisation par une Entité concernée à un prestataire de services qui appartient au même groupe.

Pour les Entités concernées qui sont soumises à une surveillance sur une base consolidée conformément à leurs lois et règlements sectoraux ou qui appartiennent à un groupe soumis à une telle surveillance sur une base consolidée, il importe de noter que le champ d’application des dispositions régissant l’externalisation intragroupe s’étend au-delà du seul champ d’application d’une telle surveillance sur base consolidée.

10) Titulaires de fonctions clés les personnes qui ont une influence notable sur la direction de l’Entité concernée mais qui ne

4 Dans le contexte de l’externalisation, le sens de « fonction critique ou importante » doit être lu conformément à la Loi MiFID et au règlement délégué (UE) 2017/565 complétant la directive MiFID II. À cet égard, les dispositifs d’externalisation comprennent ceux qui sont liés à des « fonctions critiques » en ce qui concerne le cadre pour le redressement et la résolution au sens de l’article 1, point 64, de la Loi BRRD. 5 Pour les établissements de crédit qui appartiennent à un réseau d’un organisme central ou font partie d’un système de protection institutionnel soumis aux conditions énoncées à l’article 113, paragraphe 7, du règlement CRR, une externalisation à un membre du réseau ou du système de protection institutionnel est considérée comme une externalisation intragroupe pour les besoins de la présente circulaire.

sont ni membres de l’organe de direction ni le directeur général.

Conformément aux dispositions spécifiques de la circulaire CSSF 12/552 et de la circulaire CSSF 20/758, ces personnes comprennent les responsables des fonctions de contrôle interne et peuvent inclure le responsable de la fonction financière (Chief Financial Officer, « CFO »), lorsqu’ils ne sont pas membres de l’organe de direction, et, lorsqu’ils sont identifiés selon une approche fondée sur les risques par les établissements, d’autres titulaires de fonctions clés.

D’autres titulaires de fonctions clés pourraient inclure des responsables de lignes d’activité importantes, des succursales de l’Espace économique européen/l’Association européenne de libre-échange, des filiales de pays tiers et d’autres fonctions internes.

11) Organe de direction organe ou organes de l’Entité concernée, qui sont désignés conformément au droit national, qui sont compétents pour définir la stratégie, les objectifs et la direction globale de l’Entité concernée et qui assurent la supervision et le suivi des décisions prises en matière de gestion et, incluent, les personnes qui dirigent effectivement les activités de l’Entité concernée et les administrateurs et personnes responsables de la direction de l’Entité concernée.

Conformément aux circulaires CSSF pertinentes telles qu’applicables, le terme organe de direction comprend les notions de direction autorisée, conseil d’administration/ou conseil de gérance et/ou conseil de surveillance et conseil exécutif.

12) État membre État membre de l’Union européenne. Par principe, ce terme inclut les pays de l’EEE autres que les pays de l’UE.

13) accord, de quelque forme que ce soit, conclu entre une Entité concernée et un prestataire a. Externalisation de services en vertu duquel ce prestataire de services prend en charge un processus ou exécute un service ou une activité qui autrement, serait exécuté par l’Entité concernée elle-même.

b. Sous-externalisation situation dans laquelle le prestataire de services relevant d’un accord d’externalisation transfère lui-même à un autre fournisseur de services une fonction externalisée (« sous- traitant »).

Il peut y avoir des accords de sous- externalisation multiples dans un même accord d’externalisation. La sous- externalisation peut aussi être désignée par « chaîne d’externalisation » ou « externalisation en chaîne ».

14) Prestataire de services un tiers exécutant au titre d’un accord d’externalisation tout ou partie d’une procédure, d’un service ou d’une activité externalisé.

Dans ce contexte, une entité du groupe doit être considérée comme un tiers.

15) Pays tiers un État autre qu’un État membre de l’Espace économique européen.

Abréviations et acronymes :

16) Loi LBC/FT loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme

17) Loi BRRD loi modifiée du 18 décembre 2015 relative aux mesures de résolution, d’assainissement et de liquidation des établissements de crédit et de certaines entreprises d’investissement ainsi qu’aux systèmes de garantie des dépôts et d’indemnisation des investisseurs

18) Établissement BRRD un établissement de crédit ou une entreprise d'investissement BRRD conformément à l’article 59-15, point (13), de la LSF

19) règlement CRR règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d'investissement

20) règlement DORA règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011

21) EBA Autorité bancaire européenne

22) BCE Banque centrale européenne

23) EEE Espace économique européen

24) ESMA Autorité européenne des marchés financiers

25) RGPD règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données)

26) TIC Technologies de l’information et de la communication

27) LSF loi modifiée du 5 avril 1993 relative au secteur financier

28) LSP loi modifiée du 10 novembre 2009 relative aux services de paiement

29) directive MiFID II directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant les directives 2002/92/CE et 2011/61/UE

30) Loi MiFID loi modifiée du 30 mai 2018 relative aux marchés d’instruments financiers

31) Loi OPCVM loi modifiée du 17 décembre 2010 concernant les organismes de placement collectif

Chapitre 2. Champ d’application et proportionnalité

2. La présente circulaire définit les attentes en matière de surveillance à respecter lors d’un recours à l’externalisation.

La partie I de la présente circulaire est applicable aux Entités concernées suivantes lors de l’externalisation de services autres que des services TIC 6 :

- établissements de crédit 7 8, y compris leurs succursales, au sens de la LSF ;

- entreprises d'investissement, y compris leurs succursales, au sens de la LSF ;

- établissements de paiement et établissements de monnaie électronique, y compris leurs succursales, (dénommés chacun établissement de paiement) au sens de la LSP. Les prestataires de services d’information sur les comptes (AISP) fournissant uniquement le service visé au point 8 de l’annexe de la LSP ne sont pas inclus dans le champ d’application de la présente circulaire. Toute référence dans la présente circulaire aux « services de paiement » comprend les services de paiement ou l’émission de monnaie électronique fournis par les établissements de monnaie électronique ;

La présente circulaire est pleinement applicable (partie I et partie II) aux Entités concernées suivantes :

- professionnels du secteur financier spécialisés et de support (PSF), y compris leurs succursales, au sens de la LSF. Les succursales au Luxembourg de PSF ayant leur siège social dans un pays tiers sont réputées incluses dans la notion de PSF ;

- POST Luxembourg régi par la loi du 15 décembre 2000 sur les services financiers postaux 9. Toutes les dispositions applicables aux établissements de paiement le sont aussi à POST Luxembourg ;

- succursales au Luxembourg d’établissements de crédit, d’entreprises d'investissement et d’établissements de paiement ayant leur siège social dans un pays tiers. Elles sont réputées incluses dans la notion d’établissement de crédit, d’entreprise d'investissement et d’établissement de paiement.

6 Par souci de clarté, ces entités ne sont pas tenues d’inclure leurs dispositifs d’externalisation en matière de TIC dans le registre visé à la section 4.2.7. 7 La BCE est l’autorité compétente pour la surveillance prudentielle des établissements de crédit importants

(significant institutions - SI). Les SI doivent se référer aux règles de la BCE pertinentes (le cas échéant). 8 La présente circulaire s’applique aux compagnies financières holding (mixtes) qui sont autorisées conformément à l’article 34-2 de la LSF. Voir aussi la circulaire CSSF 12/552, point 3 de la partie I. 9 Par souci de clarté, le terme « services financiers postaux » est à comprendre au sens prévu à l’article 1 de la loi modifiée du 15 décembre 2000.

La présente circulaire est aussi pleinement applicable aux entités suivantes établies au Luxembourg lorsqu’elles ont recours à l’externalisation en matière de TIC :

- sociétés de gestion autorisées uniquement en vertu de l’article 125-1 du chapitre 16 de la Loi OPCVM

Les Entités concernées doivent se conformer à la présente circulaire lors de la conception des dispositifs de gouvernance interne dans le contexte de leur modèle d’affaires dans son ensemble, en tenant, en particulier, dûment compte des activités réglementées par la LSF, la LSP ou toute autre loi nationale conférant compétence à la CSSF. En conséquence, la présente circulaire s’applique aussi lorsque les Entités concernées fournissent des services d’investissement et exécutent des activités d’investissement conformément à la Loi MiFID, conçoivent les dispositifs de gouvernance interne dans le contexte de la Loi LBC/FT ou fournissent des services de gestion d’actifs et des tâches de dépositaire pour les organismes de placement collectif établis au Luxembourg.

Les succursales au Luxembourg des types d’entités susmentionnés qui font partie d’une entité légale dont le siège est situé dans un autre État membre de l’EEE (succursales EEE) sont soumises à la surveillance de l’autorité compétente de cet État membre (État membre d’origine). Cependant, étant donné que la CSSF est compétente pour s’assurer que les succursales EEE respectent les exigences spécifiques prévues dans les cadres réglementaires thématiques ou sectoraux 10, la partie I de la présente circulaire s’applique si des succursales EEE externalisent des fonctions qui relèvent de domaines pour lesquels la CSSF maintient une responsabilité de supervision, à l’exception de l’externalisation en matière de TIC 11. Alors que la présente circulaire n’impose pas d’exigences spécifiques relatives aux dispositifs de gouvernance interne de succursales EEE, il convient tout de même que ces succursales adoptent des dispositifs de gouvernance interne comparables à ceux prévus par la présente circulaire, en coordination avec leur siège.

3. Les dispositions de la présente circulaire s’appliquent à toutes les Entités concernées sur une base individuelle. Les établissements de crédit et les entreprises d'investissement doivent également se conformer à la présente circulaire sur une base sous-consolidée et consolidée, compte tenu de leur périmètre prudentiel de consolidation. Les établissements de crédit et entreprises d'investissement qui sont des entreprises mères doivent s’assurer

10 Notamment dans le contexte de services d’investissement conformément à la Loi MiFID, la Loi LBC/FT, la prestation de services de gestion d’actifs et l’exercice de tâches de dépositaire pour les organismes de placement collectif établis au Luxembourg. 11 Ces dispositifs sont couverts par la circulaire CSSF 25/882 sur les exigences relatives à l’utilisation de services TIC tiers pour les entités financières soumises au règlement DORA et à la réglementation DORA.

de la cohérence, de la bonne intégration et de l’adéquation des dispositifs, processus et mécanismes de gouvernance interne de leurs filiales, en vue de l’application effective de la présente circulaire à tous les niveaux pertinents de la surveillance 12.

4. Les Entités concernées doivent, lorsqu’elles se conforment à la présente circulaire, prendre en compte le principe de proportionnalité. En vertu de ce principe, les Entités concernées doivent prendre des mesures d’exécution qui sont proportionnées à leur taille et à leur organisation interne de même qu’à la nature, à la portée et à la complexité de leurs activités ou services, y compris leurs risques. En tant que telles, les Entités concernées qui sont de grande taille, complexes ou s’engagent dans des activités ou services risqués doivent adopter un cadre plus solide pour leur administration centrale, leur gouvernance interne et leur gestion des risques. En revanche, les Entités concernées peuvent appliquer un cadre moins élaboré si leur taille et leur organisation interne, ainsi que la nature, la portée et la complexité de leurs activités et services, y compris leurs risques, le justifient.

5. Ceci dit, les dispositifs d’externalisation peuvent avoir des répercussions sur le profil de risque des Entités concernées, notamment en ce qui concerne le risque opérationnel auquel elles peuvent être exposées (p. ex. risque de perturbations). En conséquence, les Entités concernées peuvent avoir besoin d’améliorer leurs cadre et procédures de contrôle interne afin d’intégrer cette dimension de risque modifiée dans leur cadre de gestion des risques à l’échelle de l’entité.

6. Afin de soutenir la mise en œuvre de la présente circulaire, les Entités concernées doivent documenter leur analyse de proportionnalité par écrit et faire approuver leurs conclusions par l’organe de direction.

Chapitre 3. Principes généraux régissant les dispositifs d’externalisation et l’externalisation intragroupe

Sous-chapitre 3.1 Principes généraux régissant les dispositifs d’externalisation

7. L’externalisation permet aux Entités concernées un accès relativement aisé à l’expertise y compris dans le domaine des nouvelles technologies et de réaliser des économies d’échelle, parvenant ainsi à améliorer leur rentabilité. Cependant, la mise en œuvre de dispositifs d’externalisation par les Entités

12 Lorsqu’une exemption a été accordée conformément à l’article 10 du règlement CRR à des sociétés coopératives ou à l’article 7 du règlement CRR, les dispositions de la présente circulaire doivent être appliquées au niveau de l’entreprise mère, y compris pour ses filiales, ou par l’organe central et ses établissements affiliés dans leur ensemble.

concernées crée des risques spécifiques et doit être soumise à des exigences spécifiques conformément aux articles 36-2 et 37-1, paragraphe 5, de la LSF, et aux articles 11, paragraphe 4, et 24-7, paragraphe 4, de la LSP, le cas échéant.

Les dispositifs d’externalisation sont soumis aux principes suivants :

- Les dispositifs d’externalisation doivent être soumis à une supervision appropriée et ne peuvent, en aucun cas, aboutir à un contournement de l’esprit et de la lettre des exigences réglementaires ou des mesures prudentielles.

- Lors d’une externalisation de tâches opérationnelles à un prestataire de services, les Entités concernées doivent s’assurer que ces tâches opérationnelles sont effectivement exécutées. Les Entités concernées doivent effectuer un suivi et un audit appropriés des dispositifs d’externalisation, y compris via la réception de rapports conformément à la section 4.3.3 et la section 4.2.6 et la sous- section 4.3.2.3, respectivement.

- La responsabilité de l’organe de direction pour l’Entité concernée et toutes ses activités ne peuvent jamais être externalisées :

• Aucune externalisation qui résulterait en une délégation par l’organe de direction de sa responsabilité, altérant la relation et les obligations des Entités concernées vis-à-vis de leurs clients, compromettant les conditions de leur autorisation ou supprimant ou modifiant une quelconque condition sur base de laquelle l’autorisation de l’Entité concernée a été accordée, n’est permise. • L’Entité concernée demeure pleinement responsable de la mise en conformité avec les exigences réglementaires, y compris dans le cas d’une sous-externalisation, du fait qu’une sous-externalisation peut modifier le risque et la fiabilité des dispositifs d’externalisation. De ce fait, l’Entité concernée doit déterminer si la sous-externalisation est autorisée et adapter son cadre de gouvernance interne et de gestion des risques en ce qui concerne la sous-externalisation, et en particulier par rapport aux dispositifs d’externalisation critiques ou importants, alors que le prestataire de services initial est également soumis à des obligations de supervision.

- Les dispositifs d’externalisation ne doivent pas créer des risques opérationnels indus. Les risques à prendre en compte comprennent ceux qui sont liés à la relation avec le prestataire de services, le risque causé pour avoir autorisé la sous-externalisation, le risque de concentration posé par des accords d’externalisation multiples au même prestataire de services et/ou le risque de concentration posé par l’externalisation de fonctions critiques ou importantes à un nombre limité de prestataires de services. Les Entités concernées doivent en tout état de cause gérer les risques de concentration et de dépendance de manière appropriée.

- L’externalisation ne doit pas nuire à la qualité et à l’indépendance des contrôles internes des Entités concernées ou à la capacité de ces entités à surveiller et superviser la conformité avec les exigences réglementaires et de poursuivre leurs activités en continuité d’exploitation (« going concern »).

- L’externalisation ne doit pas aboutir à une situation où les Entités concernées seraient en violation des obligations légales ou réglementaires en matière d’administration centrale et deviendraient des « coquilles vides » sans substance suffisante pour maintenir leur agrément. À cette fin, les organes de direction doivent s’assurer, y compris dans un contexte d’externalisation de fonctions à une entreprise mère ou à d’autres entités du groupe, que des ressources suffisantes sont disponibles afin de soutenir et d’assurer de manière appropriée l’exécution/exercice de leurs responsabilités, y compris la surveillance des risques et la gestion des dispositifs d’externalisation.

- Lors d’une externalisation, les Entités concernées doivent s’assurer que toutes les exigences de la présente circulaire sont respectées en permanence. Les fonctions considérées comme critiques d’un point de vue de la résolution peuvent également être externalisées à condition de ne pas créer d’obstacles à la résolvabilité de l’établissement BRRD.

8. Lorsqu’elles exécutent des contrats d’externalisation qui impliquent des informations soumises à des exigences de confidentialité, les Entités concernées doivent mettre en place des dispositifs de confidentialité appropriés et s’assurer de la conformité avec l’article 41, paragraphe 2bis, de la LSF ou l’article 30, paragraphe 2bis, de la LSP, le cas échéant.

9. Les Entités concernées doivent se conformer au RGPD et aux exigences de l’autorité luxembourgeoise compétente dans ce domaine, à savoir la Commission Nationale pour la Protection des Données (CNPD).

10. L’externalisation ne doit en aucun cas entraver l’exercice des pouvoirs de surveillance par les autorités compétentes concernant tous les aspects pertinents de la surveillance. Les dispositifs d’externalisation ne doivent, en particulier, pas avoir d’impact sur la capacité des autorités compétentes à surveiller et superviser la conformité des Entités concernées avec les exigences légales ou réglementaires en continuité d’exploitation ou la conformité des établissements BRRD du point de vue de la résolution.

Sous-chapitre 3.2 Externalisation intragroupe

11. L’externalisation intragroupe n’est pas nécessairement moins risquée que l’externalisation à une entité extérieure au groupe. De ce fait, l’externalisation intragroupe est soumise au même cadre et aux mêmes conditions réglementaires que l’externalisation à des prestataires de services extérieurs au groupe. Lorsque des Entités concernées ont l’intention d’externaliser à des entités appartenant au même groupe, elles doivent également s’assurer que la

raison pour laquelle elles sélectionnent une entité du groupe est objective. En particulier, l’entité du groupe doit être apte à exercer la fonction en question et le dispositif d’externalisation ne doit pas exposer les Entités concernées à un conflit d’intérêts indu.

12. Lors d’une externalisation dans le même groupe, les Entités concernées peuvent avoir un degré de contrôle et d’informations plus élevé par rapport à la fonction externalisée et au prestataire de services, qu’elles pourraient prendre en compte dans leur évaluation des risques. Cependant, les Entités concernées ne doivent pas s’appuyer exclusivement sur leurs entités du groupe pour la gestion de l’externalisation et doivent concevoir des procédures de suivi et de supervision appropriés au niveau de l’Entité concernée elle-même afin d’être conformes avec les exigences énoncées dans la présente circulaire.

13. Sous réserve des principes généraux énoncés au sous-chapitre 3.1, les Entités concernées qui ont recours à des dispositifs de gouvernance centralisés doivent de ce fait se conformer à ce qui suit :

a. lorsque les Entités concernées ont conclu des accords d’externalisation avec des prestataires de services au sein du groupe, l’organe de direction de l’Entité concernée conserve, pour ces accords d’externalisation également, l’entière responsabilité de veiller au respect de toutes les exigences réglementaires et de l’application effective de la présente circulaire ;