Sous-chapitre 3.1 Principes generaux regissant les dispositifs d'externalisation

7. L’externalisation permet aux Entités concernées un accès relativement aisé à l’expertise y compris dans le domaine des nouvelles technologies et de réaliser des économies d’échelle, parvenant ainsi à améliorer leur rentabilité. Cependant, la mise en œuvre de dispositifs d’externalisation par les Entités

12 Lorsqu’une exemption a été accordée conformément à l’article 10 du règlement CRR à des sociétés coopératives ou à l’article 7 du règlement CRR, les dispositions de la présente circulaire doivent être appliquées au niveau de l’entreprise mère, y compris pour ses filiales, ou par l’organe central et ses établissements affiliés dans leur ensemble.

concernées crée des risques spécifiques et doit être soumise à des exigences spécifiques conformément aux articles 36-2 et 37-1, paragraphe 5, de la LSF, et aux articles 11, paragraphe 4, et 24-7, paragraphe 4, de la LSP, le cas échéant.

Les dispositifs d’externalisation sont soumis aux principes suivants :

- Les dispositifs d’externalisation doivent être soumis à une supervision appropriée et ne peuvent, en aucun cas, aboutir à un contournement de l’esprit et de la lettre des exigences réglementaires ou des mesures prudentielles.

- Lors d’une externalisation de tâches opérationnelles à un prestataire de services, les Entités concernées doivent s’assurer que ces tâches opérationnelles sont effectivement exécutées. Les Entités concernées doivent effectuer un suivi et un audit appropriés des dispositifs d’externalisation, y compris via la réception de rapports conformément à la section 4.3.3 et la section 4.2.6 et la sous- section 4.3.2.3, respectivement.

- La responsabilité de l’organe de direction pour l’Entité concernée et toutes ses activités ne peuvent jamais être externalisées :

• Aucune externalisation qui résulterait en une délégation par l’organe de direction de sa responsabilité, altérant la relation et les obligations des Entités concernées vis-à-vis de leurs clients, compromettant les conditions de leur autorisation ou supprimant ou modifiant une quelconque condition sur base de laquelle l’autorisation de l’Entité concernée a été accordée, n’est permise. • L’Entité concernée demeure pleinement responsable de la mise en conformité avec les exigences réglementaires, y compris dans le cas d’une sous-externalisation, du fait qu’une sous-externalisation peut modifier le risque et la fiabilité des dispositifs d’externalisation. De ce fait, l’Entité concernée doit déterminer si la sous-externalisation est autorisée et adapter son cadre de gouvernance interne et de gestion des risques en ce qui concerne la sous-externalisation, et en particulier par rapport aux dispositifs d’externalisation critiques ou importants, alors que le prestataire de services initial est également soumis à des obligations de supervision.

- Les dispositifs d’externalisation ne doivent pas créer des risques opérationnels indus. Les risques à prendre en compte comprennent ceux qui sont liés à la relation avec le prestataire de services, le risque causé pour avoir autorisé la sous-externalisation, le risque de concentration posé par des accords d’externalisation multiples au même prestataire de services et/ou le risque de concentration posé par l’externalisation de fonctions critiques ou importantes à un nombre limité de prestataires de services. Les Entités concernées doivent en tout état de cause gérer les risques de concentration et de dépendance de manière appropriée.

- L’externalisation ne doit pas nuire à la qualité et à l’indépendance des contrôles internes des Entités concernées ou à la capacité de ces entités à surveiller et superviser la conformité avec les exigences réglementaires et de poursuivre leurs activités en continuité d’exploitation (« going concern »).

- L’externalisation ne doit pas aboutir à une situation où les Entités concernées seraient en violation des obligations légales ou réglementaires en matière d’administration centrale et deviendraient des « coquilles vides » sans substance suffisante pour maintenir leur agrément. À cette fin, les organes de direction doivent s’assurer, y compris dans un contexte d’externalisation de fonctions à une entreprise mère ou à d’autres entités du groupe, que des ressources suffisantes sont disponibles afin de soutenir et d’assurer de manière appropriée l’exécution/exercice de leurs responsabilités, y compris la surveillance des risques et la gestion des dispositifs d’externalisation.

- Lors d’une externalisation, les Entités concernées doivent s’assurer que toutes les exigences de la présente circulaire sont respectées en permanence. Les fonctions considérées comme critiques d’un point de vue de la résolution peuvent également être externalisées à condition de ne pas créer d’obstacles à la résolvabilité de l’établissement BRRD.

8. Lorsqu’elles exécutent des contrats d’externalisation qui impliquent des informations soumises à des exigences de confidentialité, les Entités concernées doivent mettre en place des dispositifs de confidentialité appropriés et s’assurer de la conformité avec l’article 41, paragraphe 2bis, de la LSF ou l’article 30, paragraphe 2bis, de la LSP, le cas échéant.

9. Les Entités concernées doivent se conformer au RGPD et aux exigences de l’autorité luxembourgeoise compétente dans ce domaine, à savoir la Commission Nationale pour la Protection des Données (CNPD).

10. L’externalisation ne doit en aucun cas entraver l’exercice des pouvoirs de surveillance par les autorités compétentes concernant tous les aspects pertinents de la surveillance. Les dispositifs d’externalisation ne doivent, en particulier, pas avoir d’impact sur la capacité des autorités compétentes à surveiller et superviser la conformité des Entités concernées avec les exigences légales ou réglementaires en continuité d’exploitation ou la conformité des établissements BRRD du point de vue de la résolution.