Section 4.2.3 Politique d'externalisation

39. L’organe de direction d’une Entité concernée qui a mis en place des dispositifs d’externalisation ou qui envisage de mettre en œuvre de tels dispositifs doit approuver, examiner régulièrement et mettre à jour une politique d’externalisation écrite et veiller à son application, le cas échéant, sur une base individuelle, sous-consolidée et consolidée. Pour les établissements de crédit et les entreprises d’investissement, la politique d’externalisation doit notamment prendre en compte les exigences relatives à la « Procédure d’approbation de nouveaux produits » (« New Product Approval Process ») 21.

40. La politique doit inclure les principales phases du cycle de vie des dispositifs d’externalisation et définir les principes, les responsabilités et les processus liés à l’externalisation. Plus particulièrement, la politique doit couvrir au moins :

a. les responsabilités de l’organe de direction conformément aux points 33 et 34, y compris sa participation, le cas échéant, à la prise de décisions concernant l’externalisation de fonctions critiques ou importantes ;

21 Veuillez vous référer à la partie II, sous-chapitre 7.3 de la circulaire CSSF 12/552 pour les établissements de crédit ou à la partie II, sous-chapitre 7.3 de la circulaire CSSF 20/758 pour les entreprises d'investissement.

b. la participation des activités, des fonctions de contrôle interne et d’autres personnes dans les dispositifs d’externalisation ;

c. la planification des dispositifs d’externalisation, et notamment :

i. la définition des exigences commerciales relatives aux dispositifs d’externalisation ;

ii. les critères, y compris ceux mentionnés aux points 18 à 20, et les processus d’identification des fonctions critiques ou importantes ;

iii. l’identification, l’évaluation et la gestion des risques conformément aux points 66 à 70 ;

iv. les vérifications nécessaires à l’égard des prestataires de services potentiels, y compris les mesures exigées en vertu des points 71 à 75 ;

v. les procédures d’identification, d’évaluation, de gestion et d’atténuation des conflits d’intérêts potentiels, conformément aux points 43 à 46 ;

vi. la planification de la poursuite de l’activité conformément aux points 47 à 50 ;

vii. le processus d’approbation des nouveaux dispositifs d’externalisation. Ce processus doit prendre en compte l’exigence de délai additionnel en raison de la notification préalable à l’autorité compétente conformément aux points 59 et 60 ;

d. la mise en œuvre, le suivi et la gestion des dispositifs d’externalisation, y compris :

i. l’évaluation continue des performances du prestataire de services conformément aux points 104 à 110 ;

ii. les procédures de notification et de réaction aux changements liés à un dispositif d’externalisation ou à un prestataire de services (p. ex. les changements liés à sa situation financière, à ses structures organisationnelles ou de participation, à la sous-externalisation) ;

iii. l’examen et l’audit indépendants de la conformité avec les exigences et les politiques prévues par la réglementation en vigueur ;

iv. le processus de renouvellement ;

e. les documents et la conservation d’informations, en tenant compte des exigences énoncées aux points 53 à 58 ;

f. les stratégies de sortie et les processus de résiliation, y compris l’exigence d’un plan de sortie documenté pour chaque fonction critique ou importante à externaliser lorsqu’une telle sortie est jugée possible compte tenu des éventuelles interruptions de service ou de la résiliation imprévue d’un accord d’externalisation, conformément aux points 111 à 113.

41. La politique d’externalisation doit établir une distinction entre les éléments suivants :

a. l’externalisation de fonctions critiques ou importantes et les autres dispositifs d’externalisation ;

b. l’externalisation à des prestataires de services agréés par une autorité compétente pertinente dans un État membre ou un pays tiers et l’externalisation à ceux qui ne le sont pas ;

c. les dispositifs d’externalisation intragroupe et l’externalisation à des entités extérieures au groupe ; et

d. l’externalisation à des prestataires de services situés dans un État membre ou dans un pays tiers.

42. Les Entités concernées doivent veiller à ce que la politique d’externalisation recense les effets potentiels suivants des dispositifs d’externalisation critiques ou importants et à ce que ceux-ci soient pris en compte dans le processus décisionnel :

a. le profil de risque des Entités concernées ;

b. la capacité à contrôler le prestataire de services et à gérer les risques ;

c. les mesures de poursuite de l’activité ; et

d. l’exercice de leurs activités commerciales.