Exercice des pouvoirs du superviseur principal en dehors de l’Union
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
Exercice des pouvoirs du superviseur principal en dehors de l’Union
1. Lorsque les objectifs en matière de supervision ne peuvent être atteints en interagissant avec la filiale créée aux fins de l’article 31, paragraphe 12, ou en exerçant des activités de supervision dans des locaux situés dans l’Union, le superviseur principal peut exercer les pouvoirs visés dans les dispositions suivantes dans tout local situé dans un pays tiers qui est détenu, ou utilisé de quelque manière que ce soit, aux fins de la fourniture de services à des entités financières de l’Union par un prestataire tiers critique de services TIC, dans le cadre de ses activités, de ses fonctions ou de ses services, y compris tout bureau administratif, commercial ou opérationnel, tout local, terrain, bâtiment ou autre bien immobilier:
| a) | à l’article 35, paragraphe 1, point a); et |
| b) | à l’article 35, paragraphe 1, point b), conformément à l’article 38, paragraphe 2, points a), b) et d), et à l’article 39, paragraphe 1, et à l’article 39, paragraphe 2, point a). |
Les pouvoirs visés au premier alinéa peuvent être exercés pour autant que l’ensemble des conditions suivantes soient remplies:
| i) | le superviseur principal juge qu’il est nécessaire de réaliser une inspection dans un pays tiers pour pouvoir s’acquitter pleinement et efficacement des tâches qui lui incombent en vertu du présent règlement; |
| ii) | l’inspection dans un pays tiers est directement liée à la fourniture de services TIC à des entités financières dans l’Union; |
| iii) | le prestataire tiers critique de services TIC concerné consent à la réalisation d’une inspection dans un pays tiers; et |
| iv) | l’autorité compétente du pays tiers concerné a été officiellement informée par le superviseur principal et n’a soulevé aucune objection à cet égard. |
2. Sans préjudice des compétences respectives des institutions de l’Union et des États membres, aux fins du paragraphe 1, l’ABE, l’AEMF ou l’AEAPP conclut des accords de coopération administrative avec l’autorité compétente du pays tiers afin de permettre le bon déroulement des inspections menées dans le pays tiers concerné par le superviseur principal et son équipe désignée pour sa mission dans ce pays tiers. Ces accords de coopération ne créent pas d’obligations juridiques à l’égard de l’Union et de ses États membres et n’empêchent pas les États membres et leurs autorités compétentes de conclure des accords bilatéraux ou multilatéraux avec ces pays tiers et leurs autorités concernées.
Ces accords de coopération précisent au moins les éléments suivants:
| a) | les procédures de coordination des activités de supervision menées au titre du présent règlement et tout contrôle analogue du risque lié aux prestataires tiers de services TIC dans le secteur financier exercé par l’autorité compétente du pays tiers concerné, y compris les modalités de transmission de l’accord de cette dernière visant à permettre au superviseur principal et à son équipe désignée de mener les enquêtes générales et les inspections sur place visées au paragraphe 1, premier alinéa, sur le territoire relevant de sa juridiction; |
| b) | le mécanisme de transmission de toute information pertinente entre l’ABE, l’AEMF ou l’AEAPP et l’autorité concernée du pays tiers concerné, en particulier en ce qui concerne les informations qui peuvent être demandées par le superviseur principal en vertu de l’article 37; |
| c) | les mécanismes de notification rapide, par l’autorité compétente du pays tiers concerné, à l’ABE, à l’AEMF ou à l’AEAPP des cas où un prestataire tiers de services TIC établi dans un pays tiers et désigné comme critique conformément à l’article 31, paragraphe 1, point a), est réputé avoir enfreint les exigences auxquelles il est tenu d’adhérer en vertu du droit applicable du pays tiers concerné lorsqu’il fournit des services à des établissements financiers dans ce pays tiers, ainsi que les voies de recours et les sanctions appliquées; |
| d) | la transmission régulière d’informations actualisées sur l’évolution de la réglementation ou de la supervision en matière de suivi du risque lié aux prestataires tiers de services TIC des établissements financiers dans le pays tiers concerné; |
| e) | les modalités permettant, si nécessaire, la participation d’un représentant de l’autorité compétente du pays tiers aux inspections menées par le superviseur principal et l’équipe désignée. |
3. Lorsque le superviseur principal n’est pas en mesure de mener les activités de supervision, en dehors de l’Union, visées aux paragraphes 1 et 2, il:
| a) | exerce les pouvoirs qui lui sont conférés en vertu de l’article 35 sur la base de tous les faits et documents dont il dispose; |
| b) | documente et explique toute conséquence résultant de son incapacité à mener les activités de supervision envisagées visées au présent article. |
Les conséquences potentielles visées au point b) du présent paragraphe sont prises en considération dans les recommandations formulées par le superviseur principal conformément à l’article 35, paragraphe 1, point d).