Section 4.1.2 Fonctions critiques ou importantes

18. Les Entités concernées doivent toujours considérer une fonction comme critique ou importante dans les situations suivantes :

a. lorsqu’une anomalie ou une défaillance de son exécution est susceptible de nuire sérieusement :

i. à la capacité des Entités concernées de se conformer de manière continue aux conditions de leur agrément et/ou à leurs autres obligations légales et réglementaires ;

ii. à leurs performances financières ; ou

iii. à la solidité ou à la continuité de leurs services et activités ;

b. lorsque les tâches opérationnelles des fonctions de contrôle interne ou des tâches opérationnelles de la fonction financière et comptable telle que prévues aux points 21 à 29 sont externalisées ;

c. lorsque les établissements de crédit et les établissements de paiement ont l’intention d’externaliser des fonctions d’activités bancaires ou de services de paiement dans une mesure qui nécessiterait l’autorisation 14 de l’autorité compétente pertinente telle que prévue aux points 61 à 63.

19. Dans le cas des établissements BRRD, une attention particulière doit être accordée à l’évaluation du caractère critique ou de l’importance des fonctions si l’externalisation concerne des fonctions liées à des activités fondamentales et des fonctions critiques conformément à la Loi BRRD 15 et identifiées par ces établissements selon les critères énoncés aux articles 6 et 7 du règlement délégué (UE) 2016/778 de la Commission 16. Les fonctions nécessaires à

13 Ne couvre pas l’émission d’instruments de paiement telle que l’émission de cartes de crédit, qui est un service de paiement régulé relevant de la LSP. 14 Cf. les activités énumérées à l’annexe I de la LSF et à l’annexe de la LSP relative aux services de paiement. 15 « Fonctions critiques » en vertu de l’article 1, point 64, de la Loi BRRD désigne les activités, services ou opérations dont l’interruption est susceptible, dans un ou plusieurs États membres, d’entraîner des perturbations des services indispensables à l’économie réelle ou de perturber la stabilité financière en raison de la taille ou de la part de marché de l’établissement BRRD ou du groupe, de son interdépendance interne et externe, de sa complexité ou des activités transfrontalières qu’il exerce, une attention particulière étant accordée à la substituabilité de ces activités, services ou opérations. 16 Règlement délégué (UE) n° 2016/778 de la Commission du 2 février 2016 complétant la directive 2014/59/UE du Parlement européen et du Conseil en ce qui concerne les circonstances et les conditions dans lesquelles le paiement de contributions ex post extraordinaires peut être partiellement ou totalement reporté, et en ce qui concerne les critères de détermination des activités, services et opérations constitutifs de fonctions critiques et les critères de détermination des activités et services associés constitutifs d’activités fondamentales.

l’exécution d’activités fondamentales ou de fonctions critiques doivent être considérées comme des fonctions critiques ou importantes aux fins de la présente circulaire, à moins que l’évaluation de l’établissement BRRD n’établisse que le non-exercice de la fonction externalisée ou l’exercice inapproprié de la fonction externalisée n’aurait pas d’incidence négative sur la continuité opérationnelle de l’activité fondamentale ou de la fonction critique.

20. Lorsqu’elles évaluent si un dispositif d’externalisation se rapporte à une fonction critique ou importante, les Entités concernées doivent tenir compte, outre des résultats de l’évaluation des risques énoncée aux points 66 à 70, au moins des facteurs suivants :

a. si le dispositif d’externalisation est directement lié à la fourniture d’activités fondamentales essentielles ;

b. l’incidence potentielle de toute perturbation de la fonction externalisée ou de l’incapacité du prestataire de services à assurer le service aux niveaux de service convenus, de manière continue, en prenant en compte les éléments suivants :

i. leur résilience et leur viabilité financière à court et à long terme, y compris, le cas échéant, leurs actifs, capital, coûts, financement, liquidités, profits et pertes ;

ii. la poursuite de l’activité et la résilience opérationnelle ;

iii. les risques opérationnels, y compris les risques liés à la conduite, aux TIC et les risques juridiques ;

iv. les risques de réputation ;

v. le cas échéant, la planification du redressement et de la résolution, la résolvabilité et la continuité opérationnelle dans une situation d’intervention précoce, de redressement ou de résolution ;

c. l’incidence potentielle du dispositif d’externalisation sur leur capacité :

i. à identifier, et gérer tous les risques ;

ii. à se conformer à toutes les exigences légales et réglementaires ;

iii. à effectuer les audits appropriés concernant la fonction externalisée ;

d. l’incidence potentielle sur les services fournis à leurs clients ;

e. tous les dispositifs d’externalisation, l’exposition globale de l’Entité concernée à un même prestataire de services et l’incidence cumulative potentielle des dispositifs d’externalisation dans un même domaine d’activité ;

f. la taille et la complexité de tout domaine d’activité touché ;

g. la possibilité que le dispositif d’externalisation proposé puisse être étendu sans remplacer ou réviser l’accord sous-jacent ;

h. la capacité de transférer le dispositif d’externalisation proposé vers un autre prestataire de services, si nécessaire ou souhaitable, tant sur le plan contractuel que dans la pratique, y compris les risques estimés, les obstacles à la poursuite de l’activité, les coûts et le délai nécessaire pour procéder au transfert (« substituabilité ») ;

i. la capacité de réinternaliser la fonction externalisée dans l’Entité concernée, si nécessaire ou souhaitable ;

j. la protection des données et l’impact potentiel d’une violation de la confidentialité ou d’un manquement à l’obligation de garantir la disponibilité et l’intégrité des données sur l’Entité concernée et ses clients, notamment, mais non exclusivement, le respect du RGPD.

Section 4.1.3 Dispositifs d’externalisation relatifs aux fonctions de contrôle interne 21. Les dispositifs d’externalisation des fonctions de contrôle interne ne doivent pas avoir pour conséquence effective un transfert de ces fonctions dans leur ensemble au(x) prestataire(s) de services. De ce fait, les dispositifs d’externalisation doivent être limités, en principe, aux tâches opérationnelles de ces fonctions.

22. Les dispositifs d’externalisation de tâches opérationnelles des fonctions de contrôle interne ne doivent pas compromettre la permanence des dispositifs et des fonctions de contrôle interne de l’Entité concernée ou leur efficacité permanente. En pratique, cela signifie que les dispositifs d’externalisation doivent être proportionnés et ne doivent pas aboutir à vider les fonctions de contrôle interne des Entités concernées de leur substance.

23. Conformément aux exigences de la section 4.3.1.2, les Entités concernées doivent s’assurer que le prestataire de services remplit les exigences d’adéquation applicables et qu’il dispose de connaissances et d’une expérience techniques appropriées et suffisantes. En particulier, le prestataire de services doit faire preuve de connaissances appropriées et à jour du cadre réglementaire qui s’applique à l’Entité concernée.

24. Lors de l’externalisation de tâches opérationnelles des fonctions de contrôle interne, le prestataire de services doit être soumis à la surveillance de la personne responsable de la fonction de contrôle interne pertinente de l’Entité concernée (p. ex. le Chief Compliance Officer, le Chief Risk Officer ou le Chief Internal Auditor) et lui rapporter directement. Lorsque les Entités concernées externalisent l’ensemble des tâches opérationnelles de leur fonction de contrôle interne, le prestataire de services doit rapporter au membre de l’organe de direction responsable de la fonction de contrôle interne.

25. Dans le contexte de la fonction d’audit interne, le prestataire de services doit également avoir un accès direct à l’organe de direction dans l’exercice de

sa fonction de surveillance ou, le cas échéant, au président du comité d’audit. En outre, le prestataire de services doit réaliser les tâches opérationnelles d’audit interne conformément au plan d’audit interne et au plan de travail de l’Entité concernée, documenter le travail et les résultats de chaque mission de façon suffisamment détaillée et émettre un rapport dédié relatif à chaque mission. Tous les documents doivent être rédigés en français, allemand ou anglais et remis à la personne responsable de la fonction d’audit interne, à l’organe de direction et, le cas échéant, au comité d’audit.

Section 4.1.4 Dispositifs d’externalisation relatifs à la fonction financière et comptable 26. Les dispositifs d’externalisation de la fonction financière et comptable ne doivent pas avoir pour conséquence effective un transfert de cette fonction dans son ensemble au(x) prestataire(s) de services. De ce fait, les dispositifs d’externalisation doivent être limités, en principe, aux tâches opérationnelles de cette fonction. Les dispositifs d’externalisation de tâches opérationnelles des fonctions financière et comptable ne doivent pas compromettre la permanence de l’administration centrale de l’Entité concernée.

27. Lors de l’externalisation de tâches opérationnelles de la fonction comptable, les Entités concernées doivent disposer, à la fin de chaque jour, d’un accès inconditionnel et sans restriction à la balance de tous les comptes et de tous les mouvements comptables de la journée, afin de pouvoir fournir ces informations à l’autorité compétente ou tout autre organe, tel que requis par les lois et règlements applicables.

28. Lorsqu’elles utilisent un système comptable situé en dehors du Luxembourg (externalisation de l’hébergement du système comptable) indépendamment ou en relation avec l’externalisation de tâches opérationnelles de la fonction comptable, les Entités concernées doivent disposer, à la fin de chaque jour, de sauvegardes sécurisées de toutes les positions comptables de fin de journée, y compris les positions client, dans un format lisible, afin de garantir l’établissement autonome d’un bilan, d’un compte de profits et pertes et de positions client.

Cette sauvegarde doit être stockée soit dans les locaux de l’Entité concernée dans l’EEE, soit dans les locaux d’une entité du groupe située dans l’EEE, ou encore dans les locaux d’un autre prestataire de services (c’est-à-dire un prestataire de services différent de celui auprès duquel le système comptable est externalisé) situé dans l’EEE. Le système comptable doit permettre de tenir des comptes réguliers conformément au référentiel comptable applicable au Luxembourg, d’établir les comptes statutaires et d’établir les rapports prudentiels à l’intention de l’autorité compétente.

29. Dans le cas d’une externalisation de la production de rapports prudentiels, la personne responsable de la fonction financière et comptable au sein de l’Entité

concernée doit s’assurer que ces rapports représentent fidèlement la situation prudentielle de l’Entité concernée et qu’ils sont établis conformément aux instructions applicables. En outre, cette personne doit être en mesure d’assurer que les comptes annuels de l’Entité concernée sont établis conformément aux lois et règlements comptables applicables 17.

Sous-chapitre 4.2 Cadre de gouvernance

Section 4.2.1 Dispositifs de bonne gouvernance et risque de tiers 30. Dans le cadre du dispositif de contrôle interne d’ensemble, y compris les mécanismes de contrôle interne 18, les Entités concernées doivent disposer d’un cadre global de gestion des risques à l’échelle de l’entité, s’étendant à toutes les activités et unités internes. Dans ce cadre, les Entités concernées doivent identifier et gérer tous les risques auxquels elles sont exposées, y compris les risques résultant d’arrangements avec des tiers. Le cadre de la gestion des risques doit également permettre aux Entités concernées de prendre des décisions éclairées en matière de prise de risques et de veiller à ce que les mesures de gestion des risques soient mises en œuvre de façon appropriée, notamment en ce qui concerne les cyber-risques 19.

31. Les Entités concernées, compte tenu du principe de proportionnalité, doivent identifier, évaluer, surveiller et gérer tous les risques auxquels elles sont ou pourraient être exposés dans le cadre d’arrangements conclus avec des tiers, qu’il s’agisse ou non d’accords d’externalisation. Les risques, en particulier les risques opérationnels, de tous les arrangements conclus avec des tiers, doivent être évalués conformément aux points 66 à 70.

32. Les Entités concernées doivent veiller à se conformer à toutes les exigences du RGPD, y compris en ce qui concerne les arrangements conclus avec des tiers et les accords d’externalisation.

Section 4.2.2 Dispositifs de gouvernance sains pour l’externalisation 33. L’externalisation de fonctions ne doit entraîner aucune délégation des responsabilités de l’organe de direction. L’organe de direction demeure entièrement responsable du respect de toutes ses obligations réglementaires ou

17 La loi du 17 juin 1992 relative aux comptes annuels et comptes consolidés des établissements de crédit soumis aux lois luxembourgeoises pour les établissements de crédit ou la loi modifiée du 19 décembre 2002 concernant le registre de commerce, les règles comptables et les comptes annuels de sociétés pour les autres Entités concernées. 18 Voir également les articles 6, 7, 24-2 et 24-3 de la LSP, le cas échéant. 19 Voir également la circulaire CSSF 20/750 relative à la gestion des risques liés aux TIC et à la sécurité.

ses responsabilités envers ses clients, y compris sa capacité à surveiller l’externalisation de fonctions critiques ou importantes.

34. L’organe de direction conserve en permanence l’entière responsabilité pour au moins :

a. s’assurer que l’Entité concernée satisfait en permanence aux conditions qu’elle doit remplir pour rester agréée, y compris aux conditions imposées par l’autorité compétente, le cas échéant ;

b. l’organisation interne de l’Entité concernée ;

c. l’identification, l’évaluation et la gestion des conflits d’intérêts ;

d. la définition des stratégies et politiques de l’Entité concernée (p. ex. le modèle d’entreprise, l’appétit pour le risque, le cadre de la gestion des risques) ;

e. la surveillance de la gestion quotidienne de l’Entité concernée, y compris la gestion de tous les risques associés à l’externalisation ; et

f. le rôle de contrôle de l’organe de direction dans sa fonction de surveillance, y compris de supervision et de contrôle du processus décisionnel de la direction.

35. L’externalisation ne doit pas abaisser les exigences en matière d’adéquation d’aptitudes applicables aux membres de l’organe de direction et aux titulaires de fonctions clés d’une Entité concernée. Les Entités concernées doivent disposer de compétences adéquates et de ressources suffisantes et disposant des qualifications appropriées pour assurer une gestion et un contrôle appropriés des dispositifs d’externalisation.

36. Les Entités concernées doivent :

a. attribuer clairement les responsabilités en matière de documentation, de gestion et de contrôle des dispositifs d’externalisation ;

b. allouer des ressources qualifiées suffisantes pour garantir le respect des exigences légales et réglementaires, y compris de la présente circulaire ainsi que de la documentation et du suivi de tous les dispositifs d’externalisation ;

c. pour chaque activité externalisée, désigner parmi ses employés une personne qui aura la responsabilité de la gestion de la(des) relation(s) d’externalisation ainsi que de la gestion des accès aux données confidentielles ; et

d. établir une fonction d’externalisation ou désigner un cadre suffisamment supérieur rendant compte directement à l’organe de direction (p. ex. un responsable d’une fonction de contrôle clé) et chargé de gérer et de contrôler les risques liés aux dispositifs d’externalisation conformément au

cadre de contrôle interne des Entités concernées, ainsi que de superviser la documentation des dispositifs d’externalisation. Les entités de petite taille 20 doivent au moins assurer une répartition claire et saine des tâches et des responsabilités en matière de gestion et de contrôle des dispositifs d’externalisation, et peuvent confier la fonction d’externalisation à un membre de l’organe de direction de l’Entité concernée.

37. Les Entités concernées doivent conserver en permanence une structure suffisante et ne pas devenir des « coquilles vides » ou des « sociétés boîtes aux lettres ». À cette fin, elles doivent :

a. satisfaire en permanence à toutes les conditions de leur agrément, y compris l’exercice effectif par l’organe de direction de ses responsabilités telles que définies au point 34 ;

b. conserver un cadre et une structure organisationnels clairs et transparents qui leur permettent d’assurer le respect des exigences légales et réglementaires ;

c. exercer un contrôle approprié et être en mesure de gérer les risques engendrés par l’externalisation de fonctions critiques ou importantes, en particulier lorsque les tâches opérationnelles des fonctions de contrôle interne, de la fonction financière et comptable ou des activités fondamentales sont externalisées ; et

d. disposer de ressources qualifiées et de capacités suffisantes pour assurer le respect des points a. à c. ci-dessus.

38. Lors de la mise en place d’un dispositif d’externalisation, les Entités concernées doivent au moins veiller :

a. à ce qu’elles puissent prendre et mettre en œuvre les décisions relatives à leurs activités commerciales et à leurs fonctions critiques ou importantes, y compris celles qui ont été externalisées ;

b. à maintenir la régularité de leurs activités et, pour les établissements de crédit et établissements de paiement, dans le cadre des services bancaires et des services de paiement qu’ils fournissent ;

c. à ce que les risques liés aux dispositifs d’externalisation actuels et prévus soient adéquatement identifiés, évalués, gérés et atténués, y compris les risques liés aux TIC et à la technologie financière (fintech) ;

20 Les établissements de crédit et les entreprises d'investissement doivent se référer aux circulaires CSSF 12/552 et CSSF 20/758 pour l’évaluation des entités de petite taille.

d. à ce que des dispositifs de confidentialité appropriés soient mis en place en ce qui concerne les données et autres informations ;

e. à ce que l’information puisse circuler avec les prestataires de services ;

f. en ce qui concerne l’externalisation de fonctions critiques ou importantes, à être en mesure d’entreprendre au moins l’une des actions suivantes dans un délai approprié :

i. transférer la fonction vers d’autres prestataires de services ;

ii. réinternaliser la fonction ; ou

iii. interrompre les activités commerciales qui dépendent de la fonction.

g. lorsque des données à caractère personnel sont traitées par des prestataires de services situés dans l’EEE et/ou dans des pays tiers, à ce que des mesures appropriées soient mises en œuvre et à ce que les données soient traitées conformément au RGPD ;

h. à ce que des dispositifs appropriés de confidentialité soient mis en place et s’assurer de la conformité avec l’article 41, paragraphe 2bis, de la LSF ou l’article 30, paragraphe 2bis, de la LSP, le cas échéant.

Section 4.2.3 Politique d’externalisation

39. L’organe de direction d’une Entité concernée qui a mis en place des dispositifs d’externalisation ou qui envisage de mettre en œuvre de tels dispositifs doit approuver, examiner régulièrement et mettre à jour une politique d’externalisation écrite et veiller à son application, le cas échéant, sur une base individuelle, sous-consolidée et consolidée. Pour les établissements de crédit et les entreprises d’investissement, la politique d’externalisation doit notamment prendre en compte les exigences relatives à la « Procédure d’approbation de nouveaux produits » (« New Product Approval Process ») 21.

40. La politique doit inclure les principales phases du cycle de vie des dispositifs d’externalisation et définir les principes, les responsabilités et les processus liés à l’externalisation. Plus particulièrement, la politique doit couvrir au moins :

a. les responsabilités de l’organe de direction conformément aux points 33 et 34, y compris sa participation, le cas échéant, à la prise de décisions concernant l’externalisation de fonctions critiques ou importantes ;

21 Veuillez vous référer à la partie II, sous-chapitre 7.3 de la circulaire CSSF 12/552 pour les établissements de crédit ou à la partie II, sous-chapitre 7.3 de la circulaire CSSF 20/758 pour les entreprises d'investissement.

b. la participation des activités, des fonctions de contrôle interne et d’autres personnes dans les dispositifs d’externalisation ;

c. la planification des dispositifs d’externalisation, et notamment :

i. la définition des exigences commerciales relatives aux dispositifs d’externalisation ;

ii. les critères, y compris ceux mentionnés aux points 18 à 20, et les processus d’identification des fonctions critiques ou importantes ;

iii. l’identification, l’évaluation et la gestion des risques conformément aux points 66 à 70 ;

iv. les vérifications nécessaires à l’égard des prestataires de services potentiels, y compris les mesures exigées en vertu des points 71 à 75 ;

v. les procédures d’identification, d’évaluation, de gestion et d’atténuation des conflits d’intérêts potentiels, conformément aux points 43 à 46 ;

vi. la planification de la poursuite de l’activité conformément aux points 47 à 50 ;

vii. le processus d’approbation des nouveaux dispositifs d’externalisation. Ce processus doit prendre en compte l’exigence de délai additionnel en raison de la notification préalable à l’autorité compétente conformément aux points 59 et 60 ;

d. la mise en œuvre, le suivi et la gestion des dispositifs d’externalisation, y compris :

i. l’évaluation continue des performances du prestataire de services conformément aux points 104 à 110 ;

ii. les procédures de notification et de réaction aux changements liés à un dispositif d’externalisation ou à un prestataire de services (p. ex. les changements liés à sa situation financière, à ses structures organisationnelles ou de participation, à la sous-externalisation) ;

iii. l’examen et l’audit indépendants de la conformité avec les exigences et les politiques prévues par la réglementation en vigueur ;

iv. le processus de renouvellement ;

e. les documents et la conservation d’informations, en tenant compte des exigences énoncées aux points 53 à 58 ;

f. les stratégies de sortie et les processus de résiliation, y compris l’exigence d’un plan de sortie documenté pour chaque fonction critique ou importante à externaliser lorsqu’une telle sortie est jugée possible compte tenu des éventuelles interruptions de service ou de la résiliation imprévue d’un accord d’externalisation, conformément aux points 111 à 113.

41. La politique d’externalisation doit établir une distinction entre les éléments suivants :

a. l’externalisation de fonctions critiques ou importantes et les autres dispositifs d’externalisation ;

b. l’externalisation à des prestataires de services agréés par une autorité compétente pertinente dans un État membre ou un pays tiers et l’externalisation à ceux qui ne le sont pas ;

c. les dispositifs d’externalisation intragroupe et l’externalisation à des entités extérieures au groupe ; et

d. l’externalisation à des prestataires de services situés dans un État membre ou dans un pays tiers.

42. Les Entités concernées doivent veiller à ce que la politique d’externalisation recense les effets potentiels suivants des dispositifs d’externalisation critiques ou importants et à ce que ceux-ci soient pris en compte dans le processus décisionnel :

a. le profil de risque des Entités concernées ;

b. la capacité à contrôler le prestataire de services et à gérer les risques ;

c. les mesures de poursuite de l’activité ; et

d. l’exercice de leurs activités commerciales.

Section 4.2.4 Conflits d’intérêts 22 43. Les Entités concernées doivent identifier, évaluer et gérer les conflits d’intérêts liés à leurs dispositifs d’externalisation.