Section 4.2.2 Dispositifs de gouvernance sains pour l'externalisation

l’externalisation 33. L’externalisation de fonctions ne doit entraîner aucune délégation des responsabilités de l’organe de direction. L’organe de direction demeure entièrement responsable du respect de toutes ses obligations réglementaires ou

17 La loi du 17 juin 1992 relative aux comptes annuels et comptes consolidés des établissements de crédit soumis aux lois luxembourgeoises pour les établissements de crédit ou la loi modifiée du 19 décembre 2002 concernant le registre de commerce, les règles comptables et les comptes annuels de sociétés pour les autres Entités concernées. 18 Voir également les articles 6, 7, 24-2 et 24-3 de la LSP, le cas échéant. 19 Voir également la circulaire CSSF 20/750 relative à la gestion des risques liés aux TIC et à la sécurité.

ses responsabilités envers ses clients, y compris sa capacité à surveiller l’externalisation de fonctions critiques ou importantes.

34. L’organe de direction conserve en permanence l’entière responsabilité pour au moins :

a. s’assurer que l’Entité concernée satisfait en permanence aux conditions qu’elle doit remplir pour rester agréée, y compris aux conditions imposées par l’autorité compétente, le cas échéant ;

b. l’organisation interne de l’Entité concernée ;

c. l’identification, l’évaluation et la gestion des conflits d’intérêts ;

d. la définition des stratégies et politiques de l’Entité concernée (p. ex. le modèle d’entreprise, l’appétit pour le risque, le cadre de la gestion des risques) ;

e. la surveillance de la gestion quotidienne de l’Entité concernée, y compris la gestion de tous les risques associés à l’externalisation ; et

f. le rôle de contrôle de l’organe de direction dans sa fonction de surveillance, y compris de supervision et de contrôle du processus décisionnel de la direction.

35. L’externalisation ne doit pas abaisser les exigences en matière d’adéquation d’aptitudes applicables aux membres de l’organe de direction et aux titulaires de fonctions clés d’une Entité concernée. Les Entités concernées doivent disposer de compétences adéquates et de ressources suffisantes et disposant des qualifications appropriées pour assurer une gestion et un contrôle appropriés des dispositifs d’externalisation.

36. Les Entités concernées doivent :

a. attribuer clairement les responsabilités en matière de documentation, de gestion et de contrôle des dispositifs d’externalisation ;

b. allouer des ressources qualifiées suffisantes pour garantir le respect des exigences légales et réglementaires, y compris de la présente circulaire ainsi que de la documentation et du suivi de tous les dispositifs d’externalisation ;

c. pour chaque activité externalisée, désigner parmi ses employés une personne qui aura la responsabilité de la gestion de la(des) relation(s) d’externalisation ainsi que de la gestion des accès aux données confidentielles ; et

d. établir une fonction d’externalisation ou désigner un cadre suffisamment supérieur rendant compte directement à l’organe de direction (p. ex. un responsable d’une fonction de contrôle clé) et chargé de gérer et de contrôler les risques liés aux dispositifs d’externalisation conformément au

cadre de contrôle interne des Entités concernées, ainsi que de superviser la documentation des dispositifs d’externalisation. Les entités de petite taille 20 doivent au moins assurer une répartition claire et saine des tâches et des responsabilités en matière de gestion et de contrôle des dispositifs d’externalisation, et peuvent confier la fonction d’externalisation à un membre de l’organe de direction de l’Entité concernée.

37. Les Entités concernées doivent conserver en permanence une structure suffisante et ne pas devenir des « coquilles vides » ou des « sociétés boîtes aux lettres ». À cette fin, elles doivent :

a. satisfaire en permanence à toutes les conditions de leur agrément, y compris l’exercice effectif par l’organe de direction de ses responsabilités telles que définies au point 34 ;

b. conserver un cadre et une structure organisationnels clairs et transparents qui leur permettent d’assurer le respect des exigences légales et réglementaires ;

c. exercer un contrôle approprié et être en mesure de gérer les risques engendrés par l’externalisation de fonctions critiques ou importantes, en particulier lorsque les tâches opérationnelles des fonctions de contrôle interne, de la fonction financière et comptable ou des activités fondamentales sont externalisées ; et

d. disposer de ressources qualifiées et de capacités suffisantes pour assurer le respect des points a. à c. ci-dessus.

38. Lors de la mise en place d’un dispositif d’externalisation, les Entités concernées doivent au moins veiller :

a. à ce qu’elles puissent prendre et mettre en œuvre les décisions relatives à leurs activités commerciales et à leurs fonctions critiques ou importantes, y compris celles qui ont été externalisées ;

b. à maintenir la régularité de leurs activités et, pour les établissements de crédit et établissements de paiement, dans le cadre des services bancaires et des services de paiement qu’ils fournissent ;

c. à ce que les risques liés aux dispositifs d’externalisation actuels et prévus soient adéquatement identifiés, évalués, gérés et atténués, y compris les risques liés aux TIC et à la technologie financière (fintech) ;

20 Les établissements de crédit et les entreprises d'investissement doivent se référer aux circulaires CSSF 12/552 et CSSF 20/758 pour l’évaluation des entités de petite taille.

d. à ce que des dispositifs de confidentialité appropriés soient mis en place en ce qui concerne les données et autres informations ;

e. à ce que l’information puisse circuler avec les prestataires de services ;

f. en ce qui concerne l’externalisation de fonctions critiques ou importantes, à être en mesure d’entreprendre au moins l’une des actions suivantes dans un délai approprié :

i. transférer la fonction vers d’autres prestataires de services ;

ii. réinternaliser la fonction ; ou

iii. interrompre les activités commerciales qui dépendent de la fonction.

g. lorsque des données à caractère personnel sont traitées par des prestataires de services situés dans l’EEE et/ou dans des pays tiers, à ce que des mesures appropriées soient mises en œuvre et à ce que les données soient traitées conformément au RGPD ;

h. à ce que des dispositifs appropriés de confidentialité soient mis en place et s’assurer de la conformité avec l’article 41, paragraphe 2bis, de la LSF ou l’article 30, paragraphe 2bis, de la LSP, le cas échéant.