Couverture Luxgap RGPD NIS 2 DORA AI Act Lanceurs d'alerte CSSF 22/806
Article 30

Principales dispositions contractuelles

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Principales dispositions contractuelles

1.   Les droits et obligations de l’entité financière et du prestataire tiers de services TIC sont définis clairement et consignés par écrit. L’intégralité du contrat comprend les accords de niveau de service et est consignée dans un document écrit unique qui est mis à la disposition des parties sur papier, ou dans un document sous un autre format téléchargeable, durable et accessible.

2.   Les accords contractuels relatifs à l’utilisation de services TIC comportent au moins les éléments suivants:

a)

une description claire et exhaustive de tous les services TIC et fonctions qui seront fournis par le prestataire tiers de services TIC, indiquant si la sous-traitance d’un service TIC qui soutient une fonction critique ou importante, ou de parties significatives de celle-ci, est autorisée et, le cas échéant, les conditions applicables à cette sous-traitance;

b)

les lieux, notamment les régions ou les pays, où les services TIC et fonctions visés par le contrat ou la sous-traitance seront fournis et où les données seront traitées, y compris le lieu de stockage, et l’obligation pour le prestataire tiers de services TIC d’informer au préalable l’entité financière si celui-ci envisage de changer ces lieux;

c)

des dispositions sur la disponibilité, l’authenticité, l’intégrité et la confidentialité en ce qui concerne la protection des données, y compris les données à caractère personnel;

d)

des dispositions sur la garantie de l’accès, de la récupération et de la restitution, dans un format facilement accessible, des données à caractère personnel et autres traitées par l’entité financière en cas d’insolvabilité, de résolution, de cessation des activités du prestataire tiers de services TIC ou de résiliation des accords contractuels;

e)

des descriptions des niveaux de service, y compris leurs mises à jour et révisions;

f)

l’obligation pour le prestataire tiers de services TIC de fournir à l’entité financière, sans frais supplémentaires ou à un coût déterminé ex ante, une assistance en cas d’incident lié aux TIC en rapport avec le service TIC fourni à l’entité financière;

g)

l’obligation pour le prestataire tiers de services TIC de coopérer pleinement avec les autorités compétentes et les autorités de résolution de l’entité financière, y compris les personnes nommées par eux;

h)

les droits de résiliation et les délais de préavis minimaux correspondants pour la résiliation des accords contractuels, conformément aux attentes des autorités compétentes et des autorités de résolution;

i)

les conditions de participation des prestataires tiers de services TIC aux programmes de sensibilisation à la sécurité des TIC et aux formations à la résilience opérationnelle numérique élaborés par les entités financières, conformément à l’article 13, paragraphe 6.

3.   Les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes comportent au moins les éléments suivants, en plus de ceux qui figurent au paragraphe 2:

a)

des descriptions complètes des niveaux de service, y compris leurs mises à jour et révisions, assorties d’objectifs de performance quantitatifs et qualitatifs précis dans le cadre des niveaux de service convenus, afin de permettre un suivi efficace par l’entité financière des services TIC, et de prendre, sans retard injustifié, des mesures correctives appropriées lorsque les niveaux de service convenus ne sont pas atteints;

b)

les délais de préavis et les obligations de notification du prestataire tiers de services TIC à l’entité financière, y compris la notification de tout développement susceptible d’avoir une incidence significative sur la capacité du prestataire tiers de services TIC à fournir les services TIC qui soutiennent des fonctions critiques ou importantes de manière efficace conformément aux niveaux de service convenus;

c)

l’obligation pour le prestataire tiers de services TIC de mettre en œuvre et de tester des plans d’urgence et de mettre en place des mesures, des outils et des politiques de sécurité des TIC qui fournissent un niveau approprié de sécurité en vue de la prestation de services par l’entité financière, conformément à son cadre réglementaire;

d)

l’obligation pour le prestataire tiers de services TIC de participer et de coopérer pleinement au test de pénétration fondé sur la menace effectué par l’entité financière visé aux articles 26 et 27;

e)

le droit d’assurer un suivi permanent des performances du prestataire tiers de services TIC, qui comprend les éléments suivants:

i)

les droits illimités d’accès, d’inspection et d’audit par l’entité financière ou par une tierce partie désignée, et par l’autorité compétente, et le droit de prendre des copies des documents pertinents sur place s’ils sont essentiels aux activités du prestataire tiers de services TIC, dont l’exercice effectif n’est pas entravé ou limité par d’autres accords contractuels ou politiques d’exécution;

ii)

le droit de convenir d’autres niveaux d’assurance si les droits d’autres clients sont affectés;

iii)

l’obligation pour le prestataire tiers de services TIC de coopérer pleinement lors des inspections sur place et des audits effectués par les autorités compétentes, le superviseur principal, l’entité financière ou une tierce partie désignée; et

iv)

l’obligation de fournir des précisions sur la portée, les procédures à suivre et la fréquence de ces inspections et audits;

f)

les stratégies de sortie, en particulier la fixation d’une période de transition adéquate obligatoire:

i)

au cours de laquelle le prestataire tiers de services TIC continuera à fournir les fonctions ou services TIC concernés en vue de réduire le risque de perturbation au niveau de l’entité financière ou d’assurer sa résolution et sa restructuration efficaces;

ii)

qui permet à l’entité financière de migrer vers un autre prestataire tiers de services TIC ou de recourir à des solutions en interne adaptées à la complexité du service fourni.

Par dérogation au point e), le prestataire tiers de services TIC et l’entité financière qui est une microentreprise peuvent convenir que les droits d’accès, d’inspection et d’audit de l’entité financière peuvent être délégués à une tierce partie indépendante, nommée par le prestataire tiers de services TIC, et que l’entité financière est habilitée à demander à la tierce partie, en tout temps, des informations ainsi qu’une garantie concernant la performance du prestataire tiers de services TIC.

4.   Lors de la négociation d’accords contractuels, les entités financières et les prestataires tiers de services TIC envisagent l’utilisation de clauses contractuelles types élaborées par les autorités publiques pour des services particuliers.

5.   Les AES élaborent, par l’intermédiaire du comité mixte, des projets de normes techniques de réglementation visant à préciser davantage les éléments visés au paragraphe 2, point a), qu’une entité financière doit déterminer et évaluer lorsqu’elle sous-traite des services TIC qui soutiennent des fonctions critiques ou importantes.

Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations.

Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 juillet 2024.

Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.