Section 4.2.7 Exigences en matiere de documentation

53. Les Entités concernées doivent tenir à jour un registre comprenant des informations sur tous les dispositifs d’externalisation au niveau individuel et, le cas échéant, aux niveaux sous-consolidé et consolidé, comme indiqué au point 3, et doivent dûment documenter tous les dispositifs d’externalisation en vigueur, en faisant une distinction entre l’externalisation de fonctions critiques ou importantes et les externalisations portant sur d’autres fonctions. Les Entités concernées doivent conserver la documentation relative à des accords d’externalisation arrivés à échéance dans le registre ainsi que les pièces justificatives pendant une durée appropriée, conformément à la législation luxembourgeoise.

54. Pour les besoins de la surveillance prudentielle, le registre doit comprendre au moins les informations suivantes pour tous les dispositifs d’externalisation existants :

a. un numéro de référence pour chaque dispositif d’externalisation ;

b. la date de début et, le cas échéant, la prochaine date de renouvellement du contrat, la date de fin et/ou les délais de préavis pour le prestataire de services et pour l’Entité concernée ;

c. une brève description de la fonction externalisée, y compris les données qui sont externalisées et la confirmation (ou non) que des données à caractère personnel (p. ex. en indiquant oui ou non dans un champ de données séparé) ont été transférées ou si leur traitement est externalisé vers un prestataire de services ;

d. une catégorie attribuée par l’Entité concernée qui reflète la nature de la fonction visée au point c) (p. ex. TIC, fonction de contrôle interne), ce qui doit faciliter l’identification des différents types de dispositifs ;

e. le nom du prestataire de services, le numéro d’immatriculation de la société, l’identifiant de la personne morale (si disponible), le siège social et autres coordonnées pertinentes, ainsi que le nom de son entreprise mère (le cas échéant) ;

f. le(s) pays au sein duquel ou desquels le service sera exécuté, y compris la localisation (c.-à-d. le pays ou la région) des données ;

g. si (oui/non) la fonction externalisée est considérée comme critique ou importante, avec un bref résumé des raisons pour lesquelles la fonction externalisée est considérée comme critique ou importante ou non ;

h. en cas d’externalisation vers un prestataire de services en nuage, les modèles de services et de déploiement en nuage, c.-à-d. en cloud public/privé/hybride/communautaire, et la nature spécifique des données conservées et les lieux (c.-à-d. les pays ou régions) où ces données seront stockées ;

i. la date de la dernière évaluation du caractère critique ou important de la fonction externalisée.

55. Pour l’externalisation de fonctions critiques ou importantes, le registre doit comprendre les informations complémentaires suivantes :

a. les Entités concernées et autres entreprises incluses dans le périmètre de consolidation prudentielle, le cas échéant, qui ont recours à l’externalisation ;

b. si le prestataire de services ou le sous-traitant fait ou non partie du groupe ou s’il appartient aux Entités concernées du groupe ;

c. la date de l’évaluation des risques la plus récente et un bref résumé des principaux résultats ;

d. la personne ou l’organe de décision (p. ex. l’organe de direction) de l’Entité concernée qui a approuvé le dispositif d’externalisation ;

e. la législation applicable à l’accord d’externalisation ;

f. les dates des derniers audits et des prochains audits prévus, le cas échéant ;

g. le nom des éventuels sous-traitants auxquels des parties significatives d’une fonction critique ou importante sont sous-externalisées, y compris le pays où les sous-traitants sont enregistrés, où le service sera exécuté et, le cas échéant, le lieu (c.-à-d. le pays ou la région) où les données seront stockées ;

h. un résultat de l’évaluation de la substituabilité du prestataire de services (facile, difficile ou impossible), la possibilité de réinternaliser une fonction

critique ou importante dans l’Entité concernée, ou l’impact d’une interruption de la fonction critique ou importante ;

i. l’identification de prestataires de services alternatifs conformément au point h ;

j. si la fonction critique ou importante externalisée soutient ou non des opérations métier soumises à des exigences horaires pour leur fonctionnement ;

k. le coût budgétaire annuel estimé ;

l. la date de la notification préalable à l’autorité compétente conformément aux points 59 et 60, le cas échéant.

56. Les Entités concernées doivent mettre à la disposition de l’autorité compétente, à sa demande, soit le registre complet de tous les dispositifs d’externalisation existants, soit des parties déterminées de celui-ci, telles que des informations sur tous les dispositifs d’externalisation relevant de l’une des catégories visées au point 54(d) (p. ex. tous les dispositifs d’externalisation en matière de TIC).

57. Les Entités concernées doivent documenter de manière appropriée les évaluations effectuées en application des points 66 à 103 et les résultats de leur suivi continu (p. ex. les performances du prestataire de services, le respect des niveaux de service convenus, les autres exigences contractuelles et réglementaires, les mises à jour de l’évaluation des risques).

58. Les Entités concernées doivent mettre à la disposition de l’autorité compétente, à sa demande, toutes les informations nécessaires pour lui permettre d’assurer sa surveillance effective, y compris une copie de l’accord d’externalisation.