Chapitre 1. Definitions, abreviations et acronymes

1. Sauf indication contraire, les termes utilisés et définis dans la LSF, dans la LSP et dans le règlement (UE) n° 575/2013 ont la même signification dans la présente circulaire. En outre, aux fins de la présente circulaire, on entend par :

1) Services en services fournis au moyen du cloud computing, nuage (« cloud à savoir un modèle permettant d’accéder services ») partout, aisément et à la demande, par le réseau, à des ressources informatiques configurables mutualisées (réseaux, serveurs, stockage, applications et services par exemple) qui peuvent être rapidement mobilisées et libérées avec un minimum d’effort ou d’intervention d’un prestataire de services.

Les services sont considérés comme des services de cloud computing au sens de la présente circulaire si les conditions définies aux points 135 et 136 sont remplies.

a. Cloud communautaire infrastructure cloud accessible à une communauté d’Entités concernées précise, y compris à plusieurs Entités concernées d’un même groupe, en vue d’une utilisation exclusive.

b. Cloud hybride infrastructure cloud composée d’au moins deux infrastructures cloud distinctes.

c. Cloud public infrastructure cloud accessible au grand public en vue d’une utilisation ouverte.

d. Cloud privé infrastructure cloud accessible à une seule Entité concernée en vue d’une utilisation exclusive.

2) Autorité compétente la CSSF ou la BCE comme autorité compétente pour la surveillance des entités conformément au point 2 de la présente circulaire.

3) Activités fondamentales les activités des Entités concernées soumises à autorisation ou enregistrement par une autorité compétente.

4) Fonction critique ou toute fonction considérée comme fonction importante 4 critique ou importante, tel qu’énoncé aux points 18 à 20.

5) Fonction tous processus, services ou activités.

6) Externalisation en matière accord, de quelque forme que ce soit, conclu de TIC entre une Entité concernée et un prestataire de services en vertu duquel ce prestataire de services prend en charge un processus de TIC ou exécute un service de TIC ou une activité de TIC qui autrement, serait exécuté par l’Entité concernée elle-même. Les services sont des services exclusivement relatifs aux TIC.

7) Entité concernée toutes les entités surveillées conformément au point 2 de la présente circulaire.

8) Fonctions de contrôle la fonction de gestion des risques, la fonction interne compliance et la fonction d’audit interne.

9) Externalisation intragroupe5 une externalisation par une Entité concernée à un prestataire de services qui appartient au même groupe.

Pour les Entités concernées qui sont soumises à une surveillance sur une base consolidée conformément à leurs lois et règlements sectoraux ou qui appartiennent à un groupe soumis à une telle surveillance sur une base consolidée, il importe de noter que le champ d’application des dispositions régissant l’externalisation intragroupe s’étend au-delà du seul champ d’application d’une telle surveillance sur base consolidée.

10) Titulaires de fonctions clés les personnes qui ont une influence notable sur la direction de l’Entité concernée mais qui ne

4 Dans le contexte de l’externalisation, le sens de « fonction critique ou importante » doit être lu conformément à la Loi MiFID et au règlement délégué (UE) 2017/565 complétant la directive MiFID II. À cet égard, les dispositifs d’externalisation comprennent ceux qui sont liés à des « fonctions critiques » en ce qui concerne le cadre pour le redressement et la résolution au sens de l’article 1, point 64, de la Loi BRRD. 5 Pour les établissements de crédit qui appartiennent à un réseau d’un organisme central ou font partie d’un système de protection institutionnel soumis aux conditions énoncées à l’article 113, paragraphe 7, du règlement CRR, une externalisation à un membre du réseau ou du système de protection institutionnel est considérée comme une externalisation intragroupe pour les besoins de la présente circulaire.

sont ni membres de l’organe de direction ni le directeur général.

Conformément aux dispositions spécifiques de la circulaire CSSF 12/552 et de la circulaire CSSF 20/758, ces personnes comprennent les responsables des fonctions de contrôle interne et peuvent inclure le responsable de la fonction financière (Chief Financial Officer, « CFO »), lorsqu’ils ne sont pas membres de l’organe de direction, et, lorsqu’ils sont identifiés selon une approche fondée sur les risques par les établissements, d’autres titulaires de fonctions clés.

D’autres titulaires de fonctions clés pourraient inclure des responsables de lignes d’activité importantes, des succursales de l’Espace économique européen/l’Association européenne de libre-échange, des filiales de pays tiers et d’autres fonctions internes.

11) Organe de direction organe ou organes de l’Entité concernée, qui sont désignés conformément au droit national, qui sont compétents pour définir la stratégie, les objectifs et la direction globale de l’Entité concernée et qui assurent la supervision et le suivi des décisions prises en matière de gestion et, incluent, les personnes qui dirigent effectivement les activités de l’Entité concernée et les administrateurs et personnes responsables de la direction de l’Entité concernée.

Conformément aux circulaires CSSF pertinentes telles qu’applicables, le terme organe de direction comprend les notions de direction autorisée, conseil d’administration/ou conseil de gérance et/ou conseil de surveillance et conseil exécutif.

12) État membre État membre de l’Union européenne. Par principe, ce terme inclut les pays de l’EEE autres que les pays de l’UE.

13) accord, de quelque forme que ce soit, conclu entre une Entité concernée et un prestataire a. Externalisation de services en vertu duquel ce prestataire de services prend en charge un processus ou exécute un service ou une activité qui autrement, serait exécuté par l’Entité concernée elle-même.

b. Sous-externalisation situation dans laquelle le prestataire de services relevant d’un accord d’externalisation transfère lui-même à un autre fournisseur de services une fonction externalisée (« sous- traitant »).

Il peut y avoir des accords de sous- externalisation multiples dans un même accord d’externalisation. La sous- externalisation peut aussi être désignée par « chaîne d’externalisation » ou « externalisation en chaîne ».

14) Prestataire de services un tiers exécutant au titre d’un accord d’externalisation tout ou partie d’une procédure, d’un service ou d’une activité externalisé.

Dans ce contexte, une entité du groupe doit être considérée comme un tiers.

15) Pays tiers un État autre qu’un État membre de l’Espace économique européen.

Abréviations et acronymes :

16) Loi LBC/FT loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme

17) Loi BRRD loi modifiée du 18 décembre 2015 relative aux mesures de résolution, d’assainissement et de liquidation des établissements de crédit et de certaines entreprises d’investissement ainsi qu’aux systèmes de garantie des dépôts et d’indemnisation des investisseurs

18) Établissement BRRD un établissement de crédit ou une entreprise d'investissement BRRD conformément à l’article 59-15, point (13), de la LSF

19) règlement CRR règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d'investissement

20) règlement DORA règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011

21) EBA Autorité bancaire européenne

22) BCE Banque centrale européenne

23) EEE Espace économique européen

24) ESMA Autorité européenne des marchés financiers

25) RGPD règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données)

26) TIC Technologies de l’information et de la communication

27) LSF loi modifiée du 5 avril 1993 relative au secteur financier

28) LSP loi modifiée du 10 novembre 2009 relative aux services de paiement

29) directive MiFID II directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant les directives 2002/92/CE et 2011/61/UE

30) Loi MiFID loi modifiée du 30 mai 2018 relative aux marchés d’instruments financiers

31) Loi OPCVM loi modifiée du 17 décembre 2010 concernant les organismes de placement collectif