Sous-chapitre 1.2 Exigences applicables aux PSF de support

conformément aux articles 29-3, 29-5 et 29-6 de la LSF et à leurs succursales à l’étranger

123. Pour les besoins exclusifs du présent sous-chapitre, on entend par :

a. PSF de support : une Entité concernée, y compris ses succursales, qui est autorisée à exercer des activités OSIRC 34 conformément à l’article 29-3 ou des activités PSDC 35 conformément aux articles 29-5 ou 29-6 de la LSF ;

b. Systèmes de TIC propres 36 37: : les systèmes de support de l’organisation et de l’administration des PSF de support ; ils ne sont pas proposés en tant que service à des tiers et ne sont pas utilisés dans le cadre des services proposés à des tiers ;

c. Systèmes de TIC client : les systèmes qui remplissent les deux conditions cumulatives suivantes :

i. ils supportent partiellement ou exclusivement les activités prestées pour les clients régulés du secteur financier des PSF de support, indépendamment de leur appartenance au client ou au PSF de support ou de leur localisation ; et

ii. le PSF de support est responsable envers son client de leur bon fonctionnement.

124. Sans préjudice du point 119 ci-dessus, les PSF de support et leurs succursales autorisés en tant qu’OSIRC conformément à l’article 29-3 de la LSF peuvent partiellement externaliser leurs services d’opérateur de TIC, c’est- à-dire certains services de gestion/d’opération de systèmes de TIC client38 pour autant que les conditions prévues aux points 126 et 127 sont remplies.

125. Sans préjudice du point 119 ci-dessus, les PSF de support et leurs succursales autorisés en tant que PSDC conformément à l’article 29-5 ou à

34 Opérateurs de systèmes informatiques et de réseaux de communication du secteur financier (« OSIRC »). 35 Prestataires de services de dématérialisation et/ou de conservation du secteur financier (« PSDC »). 36 Le terme « système » peut ici se limiter à un logiciel si le service concerne uniquement un logiciel. 37 À titre d’exemple (liste non-exhaustive) : les systèmes de comptabilité, de gestion du personnel et de paiement du PSF de support ; les systèmes de gestion des commandes clients, de gestion des achats, de gestion de la relation client mais aussi les serveurs de messagerie, serveurs de fichiers internes, site Internet du PSF de support (hors utilisation pour des services prestés à ses clients), postes de travail du personnel, stockage de documents, téléphonie VoIP, etc. 38 Une telle externalisation par un OSIRC est en fait une sous-externalisation du point de vue des Entités concernées qui externalisent vers cet OSIRC.

l’article 29-6 de la LSF peuvent partiellement externaliser leurs services de gestion/d’opération de systèmes de TIC qui supportent partiellement ou exclusivement les services de dématérialisation ou de conservation qu’ils fournissent à des clients régulés du secteur financier pour autant que les conditions prévues aux points 126 et 127 sont remplies.

126. Pour les dispositifs d’externalisation visés aux points 124 et 125 ci- dessus, le prestataire de services doit être :

a. au Luxembourg 39, uniquement un établissement de crédit ou une entité qui est autorisée en tant que PSF de support conformément à l’article 29-3 de la LSF ; b. à l’étranger, tout prestataire de services TIC, y compris une entité du groupe auquel appartient le PSF de support.

127. Les dispositifs d’externalisation visés aux points 124 et 125 ci-dessus doivent être considérés comme critiques ou importants et sont interdits s’ils ne respectent pas ce qui suit :

a. La prestation de services est complémentaire 40 et ne vide pas le PSF de support (ou sa succursale, le cas échéant) de sa substance conformément au point 7 ; b. Les PSF de support et leurs succursales ont obtenu l’accord préalable de tous leurs clients régulés du secteur financier concernés ; c. Si le prestataire de services peut avoir accès aux données soumises au secret professionnel conformément à l’article 41 de la LSF ou à l’article 30 de la LPS, le cas échéant, les PSF de support et leurs succursales ont informé de manière claire leurs clients régulés du secteur financier et ont obtenu leur consentement préalable ; d. Chaque année, les PSF de support et leurs succursales doivent fournir à l’autorité compétente leur plan de contrôle détaillé et leur plan de sortie afin d’assurer le respect des sections 4.3.3 et 4.3.4 de la présente circulaire ; e. Les PSF de support et leurs succursales ont obtenu l’accord préalable de l’autorité compétente pour une telle externalisation en utilisant les instructions et, le cas échéant, les formulaires disponibles sur le site Internet de la CSSF.

39 Conformément à la LSF, l’opération de systèmes de TIC pour les établissements de crédit, professionnels du secteur financier, établissements de paiement, établissements de monnaie électronique, OPC, fonds de pension, entreprises d’assurance ou de réassurance de droit luxembourgeois ou étranger est une activité régulée qui nécessite une autorisation pour pouvoir être exercée au Luxembourg. 40 Un exemple de complémentarité est l’opération d’un logiciel par un OSIRC (ou de sa succursale, le cas échéant) et l’opération en cascade de l’infrastructure sous-jacente par un prestataire de services.

128. Sans préjudice des points 59, 60 et 119 ci-dessus, les PSF de support et leurs succursales peuvent externaliser les services de gestion/d’opération de leurs propres systèmes de TIC :

a. au Luxembourg, uniquement auprès d’un établissement de crédit ou d’une entité qui est autorisée en tant que PSF de support conformément à l’article 29-3 de la LSF ;

b. à l’étranger, auprès de tout prestataire de services TIC, y compris à une entité du groupe auquel appartient le PSF de support.

129. La prestation de services d’opération de TIC relatifs à des systèmes de TIC client ou des systèmes supportant les activités des PSDC, par les succursales de PSF de support à leur siège, est interdite si les services ne sont pas conformes aux exigences pertinentes établies au point 127.

130. Les PSF de support et leurs succursales agissant en qualité d’OSIRC peuvent recourir, pour leurs prestations d’opérateurs de TIC, à des infrastructures appartenant à leur groupe, à condition que les services prestés par le groupe ou leurs éventuels sous-traitants, soient limités à ceux nécessitant une présence physique sur ces infrastructures. La gestion des systèmes contenant les données et les traitements à charge du PSF de support doit être exclue d’une telle externalisation. Par infrastructure, il faut comprendre les ressources informatiques nécessaires à l’hébergement des systèmes et des données dont l’OSIRC a la gestion. Dans ce cas, les PSF de support doivent, en particulier, veiller à garder un contrôle permanent sur les actions réalisées par le groupe pour leur compte. Lorsque cette externalisation implique la présence, sur les infrastructures, de données soumises au secret professionnel conformément à l’article 41 de la LSF ou à l’article 30 de la LPS, le cas échéant, les PSF de support doivent obtenir l’accord préalable des clients régulés du secteur financier avant de procéder à l’externalisation.

131. Les succursales des PSF de support peuvent proposer à leurs clients régulés du secteur financier du pays où elles sont établies (« pays d’accueil ») des services reposant sur une infrastructure établie dans le pays d’accueil. Cette infrastructure peut être externalisée à un prestataire de services local à condition que les services prestés par ce prestataire et ses éventuels sous- traitants, soient limités à ceux nécessitant une présence physique sur ces infrastructures et à l’exclusion de toute gestion des systèmes contenant les données et traitements à charge du PSF de support ou de sa succursale. La succursale doit appliquer les principes énoncés dans la présente circulaire et le siège au Luxembourg doit conserver le contrôle adéquat des prestations réalisées par sa succursale. Les succursales doivent obtenir l’accord des clients régulés du secteur financier concernés pour cette externalisation locale.

132. Les PSF de support peuvent externaliser tout service de TIC autre que les services visés aux points 124 à 131 ci-dessus à tout prestataire de services TIC,

y compris à une entité du groupe fournissant des services TIC ou à un PSF de support. De tels dispositifs d’externalisation doivent être mis en place conformément aux exigences énoncées au point 119 ci-dessus. En particulier, si le prestataire de services n’est pas autorisé à accéder aux données soumises au secret professionnel conformément à l’article 41 de la LSF ou à l’article 30 de la LSP, le cas échéant, le prestataire de services peut avoir accès à ces données seulement s’il est supervisé, tout au long de sa mission, par une personne du PSF de support en charge des TIC.

Chapitre 2. Dispositifs d’externalisation en matière de TIC reposant sur une infrastructure de cloud computing

133. Le présent chapitre établit des exigences spécifiques supplémentaires à respecter en cas d’externalisation en matière de TIC reposant sur une infrastructure de cloud computing (ci-après également « solutions de cloud computing »). L’utilisation d’un cloud privé sans recours à une externalisation est donc exclue du champ d’application de ce chapitre.

Sous-chapitre 2.1 Définitions et application