Section 4.3.1 Analyse prealable a l'externalisation

65. Avant de conclure un accord d’externalisation, les Entités concernées doivent :

25 Les accords de coopération peuvent prendre la forme d’un protocole d’accord (Memorandum of Understanding - MoU) ou d’un accord dédié conclu entre l’autorité compétente et une autorité de surveillance d’un pays tiers dans le contexte de la surveillance prudentielle d’une Entité concernée spécifique. Une liste des MoU signés par la CSSF est disponible sur le site Internet de la CSSF. Une liste des MoU signés par la BCE est disponible sur le site Internet de la BCE. 26 Ou POST Luxembourg. 27 Conformément à l’article 2, paragraphe 3, de la LSF, il est interdit aux personnes ou entreprises autres que des établissements de crédit d'exercer l'activité de réception de dépôts ou d'autres fonds remboursables du public.

a. évaluer si l’accord d’externalisation de services concerne une fonction importante ou critique ;

b. évaluer si les conditions de surveillance de l’externalisation sont remplies ;

c. identifier et évaluer tous les risques pertinents du dispositif d’externalisation ;

d. effectuer les vérifications nécessaires à l’égard du prestataire de services potentiel ; et

e. identifier et évaluer les conflits d’intérêts que l’externalisation pourrait entraîner.

Sous-section 4.3.1.1 Évaluation des risques liés aux dispositifs d’externalisation 66. Les Entités concernées doivent évaluer l’incidence potentielle des dispositifs d’externalisation sur leurs capacités et risques opérationnels, tenir compte des résultats de l’évaluation lorsqu’ils décident si la fonction doit être externalisée vers un prestataire de services, et prendre les mesures appropriées pour éviter tout risque opérationnel supplémentaire indu avant de conclure des accords d’externalisation.

67. L’évaluation doit inclure, le cas échéant, des scénarios d’événements de risque potentiel, y compris des événements de risque opérationnel très élevé, en particulier lorsque le dispositif d’externalisation se rapporte à une fonction critique ou importante de l’Entité concernée. Dans le cadre de l’analyse de scénarios, les Entités concernées doivent évaluer l’impact potentiel de services défaillants ou inadéquats, y compris les risques causés par les processus, systèmes, personnes ou événements externes. Les Entités concernées doivent documenter l’analyse effectuée et ses résultats et estimer dans quelle mesure le dispositif d’externalisation augmenterait ou réduirait leur risque opérationnel. Les entités de petite taille peuvent utiliser des approches qualitatives d’évaluation des risques, tandis que les autres Entités concernées doivent adopter une approche plus sophistiquée, y compris, le cas échéant, l’utilisation de données internes et externes sur les pertes pour éclairer l’analyse du scénario.

68. Lorsqu’ils procèdent à l’évaluation des risques préalablement à la mise en place d’une externalisation et pendant le suivi continu des performances du prestataire de services, les Entités concernées doivent, au moins :

a. identifier et classifier les fonctions pertinentes et les données et systèmes connexes au regard de leur sensibilité aux risques et des mesures de sécurité requises ;

b. procéder à une analyse approfondie fondée sur les risques des fonctions et des données et systèmes connexes dont l’externalisation est envisagée ou qui ont été externalisés, afin d’examiner les risques potentiels, en

particulier les risques opérationnels, y compris les risques juridiques, de TIC, de conformité et de réputation, ainsi que les limites en matière de contrôle liées aux pays où les services externalisés sont ou pourraient être fournis et où les données sont stockées ou sont susceptibles de l’être ;

c. examiner les conséquences du lieu d’implantation du prestataire de services (à l’intérieur ou à l’extérieur de l’EEE) conformément aux points 61 à 64 et si le prestataire de services est surveillé par une autorité compétente pertinente ;

d. examiner la stabilité politique et la situation en matière de sécurité des juridictions en question, y compris :

i. les lois en vigueur, et notamment les lois sur la protection des données ;

ii. les dispositions en vigueur en matière d’application des lois ; et

iii. les dispositions en vigueur en matière d’insolvabilité qui s’appliqueraient en cas de défaillance d’un prestataire de services et les contraintes qui pourraient apparaître en ce qui concerne la récupération urgente des données de l’Entité concernée en particulier ;

e. définir et décider d’un niveau approprié de protection de la confidentialité des données, de poursuite des activités externalisées, ainsi que d’intégrité et de traçabilité des données et des systèmes dans le cadre de l’externalisation (envisagée). Les Entités concernées doivent également envisager la mise en place de mesures spécifiques, le cas échéant, applicables aux données en transit, aux données en mémoire et aux données au repos, telles que l’utilisation de technologies de cryptage associées à une architecture de gestion des clés appropriée ;

f. examiner si le prestataire de services est une filiale ou une entreprise mère de l’Entité concernée ou s’il est inclus dans le périmètre de consolidation comptable et, si tel est le cas, la mesure dans laquelle l’Entité concernée contrôle le prestataire de services ou peut exercer une influence sur ses actions.

69. Dans le cadre de l’évaluation des risques, les Entités concernées doivent également tenir compte des avantages et des coûts attendus du dispositif d’externalisation proposé, notamment en mettant en balance les risques qui pourraient être réduits ou mieux gérés avec les risques qui pourraient découler du dispositif d’externalisation proposé, en tenant compte au moins des éléments suivants :

a. les risques de concentration, y compris les risques provenant :

i. de l’externalisation à un prestataire de services majeur qui n’est pas facilement substituable ; et

ii. d’accords d’externalisation multiples conclus avec le même prestataire de services ou des prestataires de services étroitement liés ;

b. les risques agrégés résultant de l’externalisation de plusieurs fonctions au sein de l’Entité concernée et, dans le cas de groupes d’Entités concernées, les risques agrégés sur une base consolidée ;

c. dans le cas d’Entités concernées importantes 28, le risque d’intervention (« step-in risk »), c’est-à-dire le risque qui peut résulter de la nécessité d’apporter un soutien financier à un prestataire de services en difficulté ou de reprendre ses activités commerciales ; et

d. les mesures mises en œuvre par l’Entité concernée et par le prestataire de services pour gérer et atténuer les risques.

70. Lorsque le dispositif d’externalisation prévoit la possibilité que le prestataire de services sous-traite des fonctions critiques ou importantes, ou des parties significatives de celles-ci, à d’autres prestataires de services, les Entités concernées doivent tenir compte :

a. des risques associés à la sous-externalisation, y compris les risques supplémentaires qui peuvent survenir si le sous-traitant est situé dans un pays tiers ou dans un pays autre que celui du prestataire de services ;

b. du risque que des chaînes longues et complexes de sous-externalisation réduisent la capacité des Entités concernées à contrôler la fonction critique ou importante externalisée et la capacité des autorités compétentes à les surveiller efficacement.

Sous-section 4.3.1.2 Diligence appropriée 71. Avant de conclure un accord d’externalisation et compte tenu des risques opérationnels liés à la fonction à externaliser, les Entités concernées doivent s’assurer, dans leur processus de sélection et d’évaluation, que le prestataire de services est apte à exercer la fonction en question.

72. Les Entités concernées doivent veiller à ce que le prestataire de services possède la réputation commerciale, des capacités appropriées et suffisantes, l’expertise, la capacité, les ressources (notamment humaines, TIC, financières), la structure organisationnelle et, le cas échéant, l’(les) autorisation(s) ou l’(les) enregistrement(s) réglementaire(s) nécessaire(s) pour exercer la fonction de manière fiable et professionnelle, de façon à satisfaire à ses obligations pendant toute la durée du projet de contrat.

28 En particulier les entités qui sont concernées par l’article 59-3 de la LSF.

73. D’autres facteurs à prendre en considération lors de l’exercice d’une diligence appropriée à l’égard d’un prestataire de services potentiel comprennent notamment, mais sans limitation aucune :

a. le modèle d’entreprise, la nature, l’envergure, la complexité, la situation financière, ainsi que la structure de participation et du groupe du prestataire de services ;

b. les relations à long terme avec les prestataires de services qui ont déjà fait l’objet d’une évaluation et qui fournissent des services pour le compte de l’Entité concernée ;

c. si le prestataire de services est une entreprise mère ou une filiale de l’Entité concernée ou s’il est inclus dans le périmètre de consolidation comptable de l’Entité concernée ;

d. si le prestataire de services est ou non surveillé par des autorités compétentes pertinentes.

74. Lorsque l’externalisation implique le traitement de données à caractère personnel ou confidentielles, les Entités concernées doivent s’assurer que le prestataire de services met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données.

75. Les Entités concernées doivent prendre les mesures appropriées pour veiller à ce que les prestataires de services agissent conformément à leurs valeurs et à leur code de conduite. En particulier, en ce qui concerne les prestataires de services situés dans des pays tiers et, le cas échéant, leurs sous-traitants, les Entités concernées doivent s’assurer que le prestataire de services agit d’une manière éthique et socialement responsable et respecte les normes internationales relatives aux droits de l’homme (p. ex. la Convention européenne des droits de l’homme), à la protection de l’environnement et à la mise en place de conditions de travail appropriées, notamment l’interdiction du travail des enfants.