Section 4.3.2 Phase contractuelle

76. Les droits et obligations de l’Entité concernée et du prestataire de services doivent être clairement répartis et définis dans un accord d’externalisation écrit.

77. L’accord d’externalisation doit comporter les éléments suivants :

a. une description claire de la fonction externalisée à fournir ;

b. la date de début et de fin de l’accord, le cas échéant, et les délais de préavis pour le prestataire de services et l’Entité concernée ;

c. la législation applicable à l’accord d’externalisation ;

d. les obligations financières des parties ;

e. si la sous-externalisation notamment d’une fonction critique ou importante, ou de parties significatives de celle-ci, est autorisée ou non et, dans l’affirmative, les conditions énoncées aux points 78 à 82 qui sont applicables à la sous-externalisation ;

f. le(s) lieu(x) (c.-à-d. les régions ou pays) où la fonction sera assurée et/ou où les données pertinentes seront conservées et traitées, y compris le lieu de stockage éventuel, et les conditions à remplir, y compris l’obligation d’informer l’Entité concernée si le prestataire de services envisage de modifier le(s) lieu(x) ;

g. le cas échéant, les dispositions concernant l’accessibilité, la disponibilité, l’intégrité, la confidentialité et la sécurité des données pertinentes, comme indiqué aux points 83 à 87 ;

h. le droit de l’Entité concernée de contrôler en permanence les performances du prestataire de services ;

i. les niveaux de service convenus, qui doivent inclure des objectifs de performance quantitatifs et qualitatifs précis pour la fonction externalisée afin de permettre un suivi en temps utile, de sorte que des mesures correctives appropriées puissent être prises dans les meilleurs délais si les niveaux de service convenus ne sont pas respectés ;

j. les obligations de reporting du prestataire de services envers l’Entité concernée, y compris la communication par le prestataire de services de tout fait nouveau susceptible d’avoir une incidence significative sur sa capacité à exercer efficacement la fonction selon les niveaux de service convenus et conformément aux lois et aux exigences réglementaires applicables (y compris l’obligation de déclarer tout problème significatif ayant une incidence sur les fonctions externalisées, de même que toute situation d’urgence) et, le cas échéant, l’obligation de présenter des rapports de la fonction de contrôle interne du prestataire de services ;

k. si le prestataire de services doit souscrire une assurance obligatoire contre certains risques et, le cas échéant, le niveau de couverture d’assurance demandé ;

l. l’obligation de mettre en œuvre et de tester les plans d’urgence de continuité de l’activité ;

m. des dispositions garantissant l’accès aux données appartenant à l’Entité concernée en cas d’insolvabilité, de résolution ou d’interruption des activités commerciales du prestataire de services ;

n. l’obligation pour le prestataire de services de coopérer avec les autorités compétentes et, le cas échéant, les autorités de résolution de l’Entité concernée, y compris avec les autres personnes désignées par celles-ci ;

o. pour les établissements BRRD, une référence claire aux pouvoirs de l’autorité nationale de résolution 29, en particulier aux articles 59-47 de la LSF et aux articles 66 et 69 de la Loi BRRD, et notamment une description des « obligations essentielles » du contrat au sens de l’article 59-47 de la LSF et de l’article 66 de la Loi BRRD ;

p. le droit inconditionnel des Entités concernées et des autorités compétentes d’inspecter et d’auditer le prestataire de services, y compris en cas de sous- externalisation, en ce qui concerne, au moins, la fonction critique ou importante externalisée, comme indiqué aux points 88 à 100 ;

q. les droits de résiliation, tels que précisés aux points 101 à 103.

Sous-section 4.3.2.1 Sous-externalisation 78. L’accord d’externalisation doit préciser si la sous-externalisation, notamment de fonctions critiques ou importantes, ou de parties significatives de celles-ci, est permise ou non.

79. Si la sous-externalisation de fonctions critiques ou importantes est autorisée, les Entités concernées doivent déterminer si la partie de la fonction à sous-externaliser est, en tant que telle, critique ou importante (c.-à-d. une partie significative de la fonction critique ou importante) et, si tel est le cas, elles doivent l’inscrire au registre.

80. Si la sous-externalisation de fonctions critiques ou importantes, ou de parties significatives de celles-ci, est permise, l’accord d’externalisation écrit doit :

a. préciser tous les types d’activités qui sont exclus de la sous- externalisation ;

b. préciser les conditions à respecter en cas de sous-externalisation ;

c. préciser que le prestataire de services est tenu de superviser les services qu’il a sous-externalisés afin de s’assurer que toutes les obligations contractuelles entre le prestataire de services et l’Entité concernée sont constamment respectées ;

d. exiger du prestataire de services qu’il obtienne au préalable l’autorisation écrite, spécifique ou générale de l’Entité concernée avant de sous- externaliser des données ; 30

29 signifie une autorité telle que définie au point (8) de l’article 1er de la Loi BRRD. 30 Voir l’article 28 du RGPD.

e. prévoir l’obligation pour le prestataire de services d’informer l’Entité concernée de toute sous-externalisation prévue, ou de tout changement significatif concernant celle-ci, en particulier lorsque ce changement pourrait affecter la capacité du prestataire de services à s’acquitter des responsabilités qui lui incombent en vertu de l’accord d’externalisation. Cela inclut les changements significatifs prévus concernant les sous-traitants et le délai de notification ; en particulier, le délai de notification à fixer doit permettre à l’Entité concernée d’effectuer au moins une évaluation des risques liés aux changements proposés et de s’opposer aux changements avant que la sous-externalisation prévue, ou les changements significatifs concernant celle-ci, ne prenne(nt) effet ;

f. s’assurer, le cas échéant, que l’Entité concernée a le droit de s’opposer à la sous-externalisation envisagée, ou aux changements significatifs concernant celle-ci, ou qu’une approbation explicite est requise ;

g. s’assurer que l’Entité concernée a le droit contractuel de résilier l’accord en cas de sous-externalisation abusive, par exemple lorsque la sous- externalisation augmente sensiblement les risques pour l’Entité concernée, ou lorsque le prestataire de services sous-externalise les services sans en informer l’Entité concernée.

81. Les Entités concernées ne doivent accepter la sous-externalisation de fonctions critiques ou importantes, ou de parties significatives de celles-ci, que si le sous-traitant s’engage :

a. à se conformer à toutes les lois, exigences réglementaires et obligations contractuelles applicables ; et

b. à accorder à l’Entité concernée et à l’autorité compétente les mêmes droits contractuels d’accès et d’audit que ceux accordés par le prestataire de services.

82. Les Entités concernées doivent s’assurer que le prestataire de services contrôle de manière appropriée les sous-traitants, conformément à la politique définie par l’Entité concernée. Si la sous-externalisation proposée risque d’avoir des effets négatifs significatifs sur le dispositif d’externalisation d’une fonction critique ou importante ou d’entraîner une augmentation significative du risque, y compris lorsque les conditions énoncées au point 81 ne sont pas remplies, l’Entité concernée doit exercer son droit de s’opposer à la sous-externalisation, si ce droit a été convenu, et/ou de résilier le contrat.

Sous-section 4.3.2.2 Sécurité des données et des systèmes 83. La confidentialité et l’intégrité des données et des systèmes doivent être maîtrisées dans toute la chaîne d’externalisation. Notamment, l’accès aux données et systèmes doit respecter les principes du « besoin de savoir » et du « moindre privilège » : l’accès n’est octroyé qu’aux personnes dont la fonction

le justifie, dans un but précis, et leurs privilèges sont restreints au strict minimum nécessaire pour exercer leurs fonctions.

84. Les Entités concernées doivent veiller à ce que les prestataires de services, le cas échéant, se conforment à des normes de sécurité TIC appropriées.

85. Le cas échéant (p. ex. dans le contexte de l’externalisation de services en nuage ou d’autres services TIC), les Entités concernées doivent définir les exigences de sécurité des données et des systèmes dans le cadre du dispositif d’externalisation et contrôler en permanence le respect de ces exigences. Lorsque, dans le cadre de l’accord d’externalisation, des mesures de sécurité sont mises à disposition par le prestataire de services aux Entités concernées pour une sélection et une configuration personnalisées (notamment pour l’externalisation en nuage), les Entités concernées doivent veiller à ce qu’une sélection et une configuration correctes ont lieu, conformément à la politique et aux exigences en matière de sécurité de l’Entité concernée.

86. Dans le cas de l’externalisation vers des fournisseurs de services en nuage et d’autres dispositifs d’externalisation qui impliquent le traitement ou le transfert de données à caractère personnel ou confidentielles, les Entités concernées doivent adopter une approche fondée sur les risques en ce qui concerne le(s) lieu(x) de stockage et de traitement des données (c.-à-d. le pays ou la région) qui doit en particulier prendre en compte le point 101(c), (d) et (e) et les considérations relatives à la sécurité informatique et respecter les dispositions des points 133 à 142.

87. Sans préjudice des exigences du RGPD, lorsqu’elles externalisent des services (en particulier vers des pays tiers), les Entités concernées doivent tenir compte des différences entre les dispositions nationales concernant la protection des données. Les Entités concernées doivent veiller à ce que l’accord d’externalisation prévoit l’obligation pour le prestataire de services de protéger les informations confidentielles, personnelles ou sensibles et de se conformer à toutes les exigences légales concernant la protection des données qui s’appliquent à l’Entité concernée (p. ex. protection des données à caractère personnel, respect du secret bancaire ou d’obligations de confidentialité similaires en ce qui concerne les informations sur les clients, le cas échéant).

Sous-section 4.3.2.3 Droits d’accès, d’information et d’audit 88. Les Entités concernées doivent s’assurer que dans l’accord d’externalisation écrit, la fonction d’audit interne, le réviseur d’entreprises agréé et l’autorité compétente ont un accès garanti aux informations relatives aux activités externalisées selon une approche fondée sur les risques afin de leur permettre d’émettre une opinion fondée sur l'adéquation de l’externalisation. Cet accès inclut que les précités peuvent également vérifier les données pertinentes détenues par le prestataire de services et, dans les cas prévus par la législation nationale, ont le pouvoir de mener des contrôles sur place auprès du prestataire

de services. L’opinion susmentionnée peut, le cas échéant, se baser sur les rapports du réviseur externe du prestataire de services. L’accord d’externalisation écrit doit aussi prévoir que les fonctions de contrôle interne ont accès à tout moment et sans encombre à toute documentation relative aux activités externalisées afin de maintenir en permanence la capacité de ces fonctions à exercer leurs contrôles.

89. Indépendamment du caractère critique ou important de la fonction externalisée, l’accord d’externalisation écrit doit faire référence aux pouvoirs de collecte d’informations et d’enquête des autorités compétentes en vertu des articles 49, 53 et 59 de la LSF et des articles 31, 38 et 58-5 de la LSP et, le cas échéant, des autorités de résolution en vertu de l’article 61, paragraphe 1, de la Loi BRRD en ce qui concerne les prestataires de services situés dans un État membre, et doit également garantir ces droits en ce qui concerne les prestataires de services situés dans des pays tiers.

90. En ce qui concerne l’externalisation de fonctions critiques ou importantes, les Entités concernées doivent veiller, dans l’accord d’externalisation écrit, à ce que le prestataire de services leur accorde, à leurs réviseurs d’entreprises agréés et à leur autorité compétente, y compris, le cas échéant, leur autorité de résolution, et à toute autre personne désignée par eux ou par l’autorité compétente ou par l’autorité de résolution, les droits suivants :

a. un accès complet à tous les locaux professionnels pertinents (p. ex. sièges sociaux et centres opérationnels), y compris à l’ensemble des appareils, systèmes, réseaux, informations et données pertinents utilisés pour assurer la fonction externalisée, notamment les informations financières connexes, le personnel et les auditeurs externes du prestataire de services (les « droits d’accès et d’information ») ; et

b. des droits inconditionnels en matière d’inspection et d’audit du dispositif d’externalisation (« droits d’audit »), y compris la possibilité pour l’autorité compétente de communiquer toute observation faite dans ce contexte aux Entités concernées, afin de leur permettre de contrôler le dispositif d’externalisation et de s’assurer du respect des exigences réglementaires et contractuelles applicables.

91. En ce qui concerne l’externalisation de fonctions qui ne sont pas critiques ou importantes, les Entités concernées doivent garantir les droits d’accès et d’audit prévus au point 90 et à la sous-section 4.3.2.3, selon une approche fondée sur les risques, compte tenu de la nature de la fonction externalisée et des risques opérationnels et de réputation connexes, de son caractère évolutif, de l’incidence potentielle sur la poursuite de ses activités et de la durée du contrat. Les entités concernées doivent tenir compte du fait que les fonctions peuvent devenir critiques ou importantes au fil du temps.

92. Les Entités concernées doivent veiller à ce que l’accord d’externalisation ou toute autre disposition contractuelle n’entrave ni ne limite l’exercice effectif des droits d’accès et d’audit par elles-mêmes, par les réviseurs d’entreprises agréés, par les autorités compétentes ou par les tiers désignés par elles pour exercer ces droits.

93. Les Entités concernées doivent exercer leurs droits d’accès et d’audit, déterminer la fréquence des audits et les domaines à auditer selon une approche fondée sur les risques et se conformer à des normes d’audit nationales et internationales pertinentes et communément acceptées.

94. Sans préjudice de leur responsabilité finale en ce qui concerne les dispositifs d’externalisation, les Entités concernées peuvent avoir recours :

a. à des audits regroupés organisés conjointement avec d’autres clients du même prestataire de services, et réalisés par eux-mêmes et par les autres clients, ou par un tiers qu’ils auraient désigné, afin d’utiliser plus efficacement les ressources d’audit et de réduire la charge organisationnelle tant pour les clients que pour le prestataire de services ;

b. à des certifications de tiers et à des rapports d’audit internes ou externes mis à disposition par le prestataire de services.

95. En ce qui concerne l’externalisation de fonctions critiques ou importantes, les Entités concernées doivent évaluer si les certifications et les rapports visés au point 94(b), sont adéquats et suffisants pour se conformer à leurs obligations réglementaires et ne doivent pas se fier uniquement à ces rapports sur le long terme.

96. Les Entités concernées ne doivent recourir à la méthode visée au point 94(b), que si elles :

a. sont satisfaites du plan d’audit pour la fonction externalisée ;

b. veillent à ce que le périmètre de la certification ou du rapport d’audit couvre les systèmes (à savoir les processus, les applications, les infrastructures, les centres de données, etc.) et les contrôles considérés comme essentiels par l’Entité concernée, ainsi que le respect des exigences réglementaires pertinentes ;

c. évaluent de manière approfondie et continue le contenu des certifications ou des rapports d’audit, et s’assurent que les rapports ou les certifications ne sont pas obsolètes ;

d. s’assurent que les systèmes et contrôles essentiels sont couverts dans les futures versions de la certification ou du rapport d’audit ;

e. sont satisfaites de l’aptitude de la partie chargée de la certification ou de l’audit (notamment en ce qui concerne la rotation de l’entreprise chargée de la certification ou de l’audit, les qualifications, l’expertise, la

réexécution/la vérification des éléments probants inclus dans le dossier d’audit sous-jacent) ;

f. s’assurent que les certifications sont délivrées et que les audits sont effectués sur la base de normes professionnelles pertinentes largement reconnues et qu’ils incluent un test relatif à l’efficacité opérationnelle des contrôles essentiels en place ;

g. ont le droit contractuel de demander l’extension du périmètre des certifications ou des rapports d’audit à d’autres systèmes et contrôles pertinents ; le nombre et la fréquence de ces demandes de modification du périmètre doivent être raisonnables et légitimes du point de vue de la gestion des risques ; et

h. conservent le droit contractuel d’effectuer, à leur discrétion, des audits individuels en ce qui concerne l’externalisation de fonctions critiques ou importantes.

97. Les Entités concernées doivent, le cas échéant, s’assurer qu’elles sont en mesure d’effectuer des tests d’intrusion pour évaluer l’efficacité des mesures et des processus mis en œuvre en matière de cybersécurité et de sécurité des TIC internes.

98. Avant toute planification d’inspection sur place et dans un délai raisonnable, les Entités concernées, les auditeurs ou les tiers agissant au nom de l’Entité concernée ou de l’autorité compétente doivent en informer le prestataire de services, à moins que cela ne soit impossible en raison d’une situation d’urgence ou de crise ou ne conduise à une situation dans laquelle l’audit ne serait plus efficace.

99. Lors de la réalisation d’audits dans des environnements multi-clients, il convient de veiller à ce que les risques pour l’environnement d’un autre client (p. ex. l’impact sur les niveaux de service, la disponibilité des données, les aspects de confidentialité) soient évités ou atténués.

100. Lorsque le dispositif d’externalisation présente un niveau élevé de complexité technique, par exemple dans le cas de l’externalisation en nuage, l’Entité concernée doit s’assurer que la personne qui effectue l’audit – qu’il s’agisse de ses auditeurs internes, de l’équipe d’auditeurs ou des auditeurs externes agissant en son nom – possède les compétences et les connaissances appropriées et pertinentes pour procéder à un audit et/ou à une évaluation pertinents de manière efficace. Il en va de même pour tout membre du personnel de l’Entité concernée qui examine les certifications ou les audits effectués par les prestataires de services.

Sous-section 4.3.2.4 Droits de résiliation 101. L’accord d’externalisation doit expressément prévoir la possibilité pour l’Entité concernée de résilier l’accord, conformément à la législation applicable, y compris dans les situations suivantes :

a. lorsque le prestataire de services chargé d’assurer les fonctions externalisées contrevient aux dispositions légales, réglementaires ou contractuelles applicables ;

b. lorsque des obstacles susceptibles d’altérer les performances de la fonction externalisée sont identifiés ;

c. lorsqu’il se produit des changements significatifs concernant le dispositif d’externalisation ou le prestataire de services (p. ex. sous-externalisation ou changement de sous-traitants) ;

d. lorsqu’il existe des faiblesses concernant la gestion et la sécurité de données ou d’informations confidentielles, personnelles ou sensibles ; et

e. lorsque des instructions sont données par l’autorité compétente pour la surveillance de l’Entité concernée, par exemple dans le cas où l’autorité compétente n’est plus en mesure de surveiller efficacement l’Entité concernée du fait du dispositif d’externalisation.

102. L’accord d’externalisation doit faciliter le transfert de la fonction externalisée vers un autre prestataire de services ou la réinternalisation de la fonction dans l’Entité concernée, chaque fois que la continuité ou la qualité de la prestation de services risque d’être compromise. À cette fin, l’accord d’externalisation écrit doit :

a. définir clairement les obligations du prestataire de services existant, dans le cas d’un transfert de la fonction externalisée vers un autre prestataire de services ou de la réintégration de la fonction à l’Entité concernée, y compris le traitement des données ;

b. fixer une période de transition appropriée au cours de laquelle le prestataire de services, après la résiliation de l’accord d’externalisation, continuerait d’assurer la fonction externalisée afin de réduire le risque de perturbations ;

c. prévoir l’obligation pour le prestataire de services d’aider l’Entité concernée à assurer le transfert ordonné de la fonction en cas de résiliation de l’accord d’externalisation ; et

d. sans préjudice de la législation applicable, inclure un engagement de la part du prestataire de services de supprimer les données et systèmes de l’Entité concernée endéans une période de temps raisonnable lorsque l’accord est résilié.

103. L’accord d’externalisation ne doit pas contenir de clause de résiliation ou d’arrêt des prestations en raison d’une procédure de faillite, de gestion

contrôlée, de sursis de paiement, de concordat préventif de faillite ou autres procédures analogues. En particulier, dans le contexte des établissements BRRD, ne sont pas permises des clauses qui déclenchent la résiliation ou l'arrêt des prestations en raison d’actions de résolution, de mesures de réorganisation ou d’une procédure de liquidation tels que requis conformément à la Loi BRRD.