Chapitre 2. Champ d'application et proportionnalite

2. La présente circulaire définit les attentes en matière de surveillance à respecter lors d’un recours à l’externalisation.

La partie I de la présente circulaire est applicable aux Entités concernées suivantes lors de l’externalisation de services autres que des services TIC 6 :

- établissements de crédit 7 8, y compris leurs succursales, au sens de la LSF ;

- entreprises d'investissement, y compris leurs succursales, au sens de la LSF ;

- établissements de paiement et établissements de monnaie électronique, y compris leurs succursales, (dénommés chacun établissement de paiement) au sens de la LSP. Les prestataires de services d’information sur les comptes (AISP) fournissant uniquement le service visé au point 8 de l’annexe de la LSP ne sont pas inclus dans le champ d’application de la présente circulaire. Toute référence dans la présente circulaire aux « services de paiement » comprend les services de paiement ou l’émission de monnaie électronique fournis par les établissements de monnaie électronique ;

La présente circulaire est pleinement applicable (partie I et partie II) aux Entités concernées suivantes :

- professionnels du secteur financier spécialisés et de support (PSF), y compris leurs succursales, au sens de la LSF. Les succursales au Luxembourg de PSF ayant leur siège social dans un pays tiers sont réputées incluses dans la notion de PSF ;

- POST Luxembourg régi par la loi du 15 décembre 2000 sur les services financiers postaux 9. Toutes les dispositions applicables aux établissements de paiement le sont aussi à POST Luxembourg ;

- succursales au Luxembourg d’établissements de crédit, d’entreprises d'investissement et d’établissements de paiement ayant leur siège social dans un pays tiers. Elles sont réputées incluses dans la notion d’établissement de crédit, d’entreprise d'investissement et d’établissement de paiement.

6 Par souci de clarté, ces entités ne sont pas tenues d’inclure leurs dispositifs d’externalisation en matière de TIC dans le registre visé à la section 4.2.7. 7 La BCE est l’autorité compétente pour la surveillance prudentielle des établissements de crédit importants

(significant institutions - SI). Les SI doivent se référer aux règles de la BCE pertinentes (le cas échéant). 8 La présente circulaire s’applique aux compagnies financières holding (mixtes) qui sont autorisées conformément à l’article 34-2 de la LSF. Voir aussi la circulaire CSSF 12/552, point 3 de la partie I. 9 Par souci de clarté, le terme « services financiers postaux » est à comprendre au sens prévu à l’article 1 de la loi modifiée du 15 décembre 2000.

La présente circulaire est aussi pleinement applicable aux entités suivantes établies au Luxembourg lorsqu’elles ont recours à l’externalisation en matière de TIC :

- sociétés de gestion autorisées uniquement en vertu de l’article 125-1 du chapitre 16 de la Loi OPCVM

Les Entités concernées doivent se conformer à la présente circulaire lors de la conception des dispositifs de gouvernance interne dans le contexte de leur modèle d’affaires dans son ensemble, en tenant, en particulier, dûment compte des activités réglementées par la LSF, la LSP ou toute autre loi nationale conférant compétence à la CSSF. En conséquence, la présente circulaire s’applique aussi lorsque les Entités concernées fournissent des services d’investissement et exécutent des activités d’investissement conformément à la Loi MiFID, conçoivent les dispositifs de gouvernance interne dans le contexte de la Loi LBC/FT ou fournissent des services de gestion d’actifs et des tâches de dépositaire pour les organismes de placement collectif établis au Luxembourg.

Les succursales au Luxembourg des types d’entités susmentionnés qui font partie d’une entité légale dont le siège est situé dans un autre État membre de l’EEE (succursales EEE) sont soumises à la surveillance de l’autorité compétente de cet État membre (État membre d’origine). Cependant, étant donné que la CSSF est compétente pour s’assurer que les succursales EEE respectent les exigences spécifiques prévues dans les cadres réglementaires thématiques ou sectoraux 10, la partie I de la présente circulaire s’applique si des succursales EEE externalisent des fonctions qui relèvent de domaines pour lesquels la CSSF maintient une responsabilité de supervision, à l’exception de l’externalisation en matière de TIC 11. Alors que la présente circulaire n’impose pas d’exigences spécifiques relatives aux dispositifs de gouvernance interne de succursales EEE, il convient tout de même que ces succursales adoptent des dispositifs de gouvernance interne comparables à ceux prévus par la présente circulaire, en coordination avec leur siège.

3. Les dispositions de la présente circulaire s’appliquent à toutes les Entités concernées sur une base individuelle. Les établissements de crédit et les entreprises d'investissement doivent également se conformer à la présente circulaire sur une base sous-consolidée et consolidée, compte tenu de leur périmètre prudentiel de consolidation. Les établissements de crédit et entreprises d'investissement qui sont des entreprises mères doivent s’assurer

10 Notamment dans le contexte de services d’investissement conformément à la Loi MiFID, la Loi LBC/FT, la prestation de services de gestion d’actifs et l’exercice de tâches de dépositaire pour les organismes de placement collectif établis au Luxembourg. 11 Ces dispositifs sont couverts par la circulaire CSSF 25/882 sur les exigences relatives à l’utilisation de services TIC tiers pour les entités financières soumises au règlement DORA et à la réglementation DORA.

de la cohérence, de la bonne intégration et de l’adéquation des dispositifs, processus et mécanismes de gouvernance interne de leurs filiales, en vue de l’application effective de la présente circulaire à tous les niveaux pertinents de la surveillance 12.

4. Les Entités concernées doivent, lorsqu’elles se conforment à la présente circulaire, prendre en compte le principe de proportionnalité. En vertu de ce principe, les Entités concernées doivent prendre des mesures d’exécution qui sont proportionnées à leur taille et à leur organisation interne de même qu’à la nature, à la portée et à la complexité de leurs activités ou services, y compris leurs risques. En tant que telles, les Entités concernées qui sont de grande taille, complexes ou s’engagent dans des activités ou services risqués doivent adopter un cadre plus solide pour leur administration centrale, leur gouvernance interne et leur gestion des risques. En revanche, les Entités concernées peuvent appliquer un cadre moins élaboré si leur taille et leur organisation interne, ainsi que la nature, la portée et la complexité de leurs activités et services, y compris leurs risques, le justifient.

5. Ceci dit, les dispositifs d’externalisation peuvent avoir des répercussions sur le profil de risque des Entités concernées, notamment en ce qui concerne le risque opérationnel auquel elles peuvent être exposées (p. ex. risque de perturbations). En conséquence, les Entités concernées peuvent avoir besoin d’améliorer leurs cadre et procédures de contrôle interne afin d’intégrer cette dimension de risque modifiée dans leur cadre de gestion des risques à l’échelle de l’entité.

6. Afin de soutenir la mise en œuvre de la présente circulaire, les Entités concernées doivent documenter leur analyse de proportionnalité par écrit et faire approuver leurs conclusions par l’organe de direction.

Chapitre 3. Principes généraux régissant les dispositifs d’externalisation et l’externalisation intragroupe