Le contrôle interne, les dispositifs d’externalisation et les prestations essentielles ou importantes

Les dispositifs d’externalisation sont au coeur de l’activité des entreprises du secteur de la banque, des services de paiement et des services d’investissement. Les enjeux opérationnels de ces dispositifs sont cruciaux lorsque c’est l’activité réglementée ellemême qui est externalisée, mais également quand l’intervention d’un tiers est essentielle, par exemple pour assurer la continuité de ces services ou pour protéger des données personnelles.

La mise en place de ces dispositifs techniques doit également se conformer aux dispositions relatives aux prestations de services essentiels externalisées (dites « PSEE ») résultant de l’Arrêté du 3 novembre 2014 sur le contrôle interne ^[1] (l’« Arrêté »). Ces dispositions relativement générales doivent s’appliquer à une grande variété de situations de fait, ce qui amène nécessairement chaque opérateur à les adapter à son cas particulier, et constitue un élément de complexité additionnel.

Les commentaires qui suivent portent sur les dispositions de l’Arrêté entrées en vigueur le 28 juin 2021 relatives aux PSEE.

Ces dispositions conduisent les entreprises assujetties à tenir un registre des dispositifs d’externalisation et à identifier parmi eux ceux qui portent sur des prestations ou des tâches opérationnelles essentielles ou importantes, pour en informer chaque année l’ACPR. Cette traçabilité nouvelle des contrats PSEE impose une vigilance accrue quant à leur identification et à leur négociation, dans l’intérêt de l’entreprise assujettie, de ses clients et plus généralement de toutes les parties prenantes.

1. LA TRAÇABILITÉ NOUVELLE DES CONTRATS PSEE

Depuis le 28 juin 2021, les entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution (ACPR) sont astreintes à de nouvelles obligations en matière de dispositifs d’externalisation.

À cette date en effet sont entrées en vigueur les dispositions des articles 232 et 238 de l’Arrêté modifiées par un arrêté du 5 février 2021 ^[2] qui mettent en place ce qui s’apparente à un véritable processus de traçabilité des dispositifs d’externalisation, et tout particulièrement des prestations de services ou autres tâches opérationnelles essentielles ou importantes conclues par l’entreprise.

Cette traçabilité a pour socle l’obligation nouvelle de tenir et mettre à jour un registre des dispositifs d’externalisation en vigueur, en distinguant ^[3] :

– les dispositifs d’externalisation portant sur des prestations de services ou des tâches opérationnelles essentielles ou importantes ;

– les dispositifs d’externalisation d’autres activités. Elle est complétée par l’obligation d’informer l’ACPR⁴ :

– de la conclusion d’un contrat d’externalisation portant sur des prestations de services ou autres tâches opérationnelles essentielles ou importantes ;

– ou lorsqu’une activité externalisée est devenue une prestation de service ou une tâche opérationnelle essentielle ou importante ;

– en lui adressant, une fois par an, une extraction du registre précité. Il s‘agit, pour chaque assujetti, d’un mécanisme d’auto-divulgation qui repose sur un triple examen :

– identifier parmi les contrats conclus ceux qui constituent des dispositifs d’externalisation ;

– parmi ces dispositifs identifier les PSEE ;

– et enfin, identifier parmi les dispositifs d’externalisation antérieurement conclus (et nécessairement portés sur le registre) ceux qui auraient pu, entre-temps, devenir des PSEE alors qu’ils n’étaient pas considérés comme tels lors de leur conclusion.

Cet exercice impose à chaque entreprise une obligation de vigilance renforcée pour éviter les erreurs par omission qui seront ensuite identifiables par référence aux informations reçues par l’ACPR. En effet, l’obligation d’auto-divulgation des contrats PSEE interdit, une fois qu’elle est réalisée, tout remords pour l’entreprise assujettie qui ne pourra plus compléter le registre. Pire, le fait de compléter le registre postérieurement à l’information annuelle adressée à l’ACPR constituerait pour l’entreprise assujettie l’aveu flagrant, parce qu’écrit, d’une irrégularité !

Et si l’entreprise assujettie estime avoir justement identifié tous les contrats PSEE qui la concernent, et n’en avoir omis aucun lors de l’information annuelle adressée à l’ACPR, cette auto-divulgation servira de base pour que l’ACPR, à l’occasion d’un contrôle, puisse s’attacher à en vérifier le bien-fondé.

L’auto-divulgation participe directement du contrôle des contrats PSEE par le régulateur, à la charge de l’entreprise assujettie.

2. LA RESPONSABILITÉ « INDÉTACHABLE » DE L’ENTREPRISE ASSUJETTIE

Cette traçabilité nouvelle des contrats PSEE met l’accent sur l’importance qu’ils revêtent, sur l’attention et le soin que chaque entreprise assujettie doit leur accorder, dans un premier temps pour les identifier.

Les contrats PSEE participent des activités externalisées, à savoir les activités pour lesquelles l’entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisation de prestations de services ou d’autres tâches opérationnelles essentielles ou importantes, selon différentes modalités5 :

– par sous-traitance au sens de la loi n° 75-1334 du 31 décembre 1975 susvisée ; – par démarchage au sens des articles L. 341-1 et L. 341-4 du Code monétaire et financier ;

– par le recours à des personnes en vue de distribuer de la monnaie électronique pour le compte de l’entreprise assujettie au sens des articles L. 525-8 et suivants du même code ;

– par le recours aux agents liés définis aux articles L. 545-1 et suivants du même code ;

– par le recours aux agents définis aux articles L. 523- 1 et suivants du même code ;

– ou (dit le texte) « par toute autre forme », ce qui montre que l’énumération qui précède n’est qu’illustrative.

Les prestations des contrats PSEE sont conclues de manière durable, ce qui exclut les contrats dont l’exécution est instantanée ou qui s’exécutent sur une brève durée. Il s’agit également d’activités dont l’entreprise assujettie attribue habituellement l’exécution à un tiers, alors qu’elle pourrait (du moins en principe) les exécuter avec ses propres ressources pour autant qu’elle décide de s’organiser en conséquence. Autrement dit, les tâches ou fonctions considérées sont, par leur nature même, celles dont l’organisme assujetti assume l’entière responsabilité vis-à-vis des tiers.

Parmi les modalités juridiques d’externalisation ainsi visées à titre d’exemple, la référence à la sous-traitance au sens de la loi n° 75-1334 est loin d’être neutre puisque la sous-traitance « est l’opération par laquelle un entrepreneur confie par un sous-traité, et sous sa responsabilité, à une autre personne appelée sous-traitant l’exécution de tout ou partie du contrat d’entreprise ou d’une partie du marché public conclu avec le maître de l’ouvrage »6.

La référence à la sous-traitance est particulièrement « topique » de ce que l’entreprise assujettie ne peut en aucun cas considérer être déchargée, en quoi que ce soit, des obligations auxquelles elle est astreinte par la réglementation professionnelle qui s’impose à elle, tant vis-à-vis de ses clients, des tiers que du régulateur lorsqu’elle confie à un tiers la réalisation de prestations ou tâches opérationnelles essentielles ou importantes : ces prestations ou tâches opérationnelles sont accomplies « sous sa responsabilité » d’entreprise assujettie, sans qu’elle puisse s’en départir.

Cette caractéristique, irréfutable, conduit elle-même au double constat suivant :

– il n’est pas besoin que l’externalisation prenne la forme d’un contrat de représentation pour que l’assujetti, en qualité de mandant, conserve la responsabilité de son exécution (de son inexécution ou de sa mauvaise exécution). Même un contrat de prestation de services par lequel le prestataire souscrit des obligations et engage sa responsabilité civile professionnelle à l’égard de l’entreprise assujettie ne peut décharger cette dernière des obligations professionnelles qui résultent des dispositions de l’Arrêté. En quelque sorte, la responsabilité « réglementaire » professionnelle de l’assujetti ne s’efface jamais derrière la responsabilité du prestataire, quel que soit le vecteur juridique du contrat PSEE ;

– ce régime « indétachable » de responsabilité professionnelle tient à des éléments de fait : l’activité externalisée porte sur des prestations de services ou des tâches opérationnelles essentielles ou importantes, qu’il convient maintenant de préciser.

3. LES PRESTATIONS OU TÂCHES OPÉRATIONNELLES ESSENTIELLES OU IMPORTANTES

Ces prestations ou tâches sont constituées par l’exécution, par le prestataire7 :

– de l’activité réglementée elle-même, c’est-à-dire à la réalisation des opérations de banque (au sens de l’article L. 311-1 du Code monétaire et financier), à l’émission et la gestion de monnaie électronique (au sens de l’article L. 315-1 du même code), à la réalisation des services de paiement (au sens du II de l’article L. 314-1 du même code) et à l’exécution des services d’investissement (au sens de l’article L. 321-1 du même code), pour lesquels l’entreprise assujettie a été agréée ;

– des opérations connexes (mentionnées aux 1, 2, 3, 7 et 8 du I de l’article L. 311-2, aux 1, 2, 5 et 6 de l’article L. 321-2 et aux articles L. 522-2 et L. 526-2 du Code monétaire et financier) ;

– des prestations participant directement à l’exécution des opérations ou des services mentionnés aux deux premiers tirets ;

– ou de toute prestation de services lorsqu’une anomalie ou une défaillance dans son exercice est susceptible de nuire sérieusement à la capacité de l’entreprise assujettie de se conformer en permanence aux conditions et obligations de son agrément et à celles relatives à l’exercice de son activité, à ses performances financières ou à la continuité de ses services et activités.

Les prestations ou tâches visées aux trois premières occurrences sont aisément identifiables soit parce que le prestataire exerce lui-même l’activité réglementée soit parce qu’il accomplit une prestation ou une tâche qui, bien que non réglementée, concourt à l’exécution de l’activité réglementée (par exemple, l’éditique en masse des informations destinées aux clients de l’assujetti etc.).

La dernière occurrence est beaucoup plus imprécise parce qu’elle conduit à identifier une prestation ou tâche opérationnelle ou importante (donc un contrat PSEE) en procédant à une approche par les risques. Cela vise « toute prestation de services » (quel qu’en soit l’objet) rendue par un tiers et oblige l’entreprise assujettie à effectuer une appréciation très concrète et opérationnelle des conséquences qu’une éventuelle défaillance dans l’exécution de la prestation, ou que l’anomalie de tout système mis en place par le prestataire peut entraîner (par exemple, la maintenance du dispositif de sécurité informatique de l’établissement).

Sur ce point, le texte du quatrième tiret de l’article 10 r) de l’Arrêté incite à la prudence. Tout d’abord parce qu’il suffit que l’anomalie ou la défaillance soit « susceptible de nuire ». Le terme « susceptible » n’est pas un terme juridique mais un mot du langage courant qui vise une simple potentialité. Prouver que le service ou que la tâche opérationnelle n’est pas « susceptible de nuire » amène à devoir démontrer soit qu’une défaillance ou une anomalie ne peut absolument pas survenir soit (dans le cas où elle survient) qu’elle ne peut pas nuire. Ce qui aboutit à devoir établir une preuve négative, laquelle est toujours très difficile (voire impossible) à rapporter.

Ensuite, parce qu’il faut une certaine matérialité à cette nuisance, qui doit « sérieusement » affecter l’entreprise assujettie. L’appréciation de la défaillance ou de l’anomalie doit être effectuée au regard :

– de la capacité de l’entreprise de se conformer en permanence aux conditions et obligations de son agrément et à celles relatives à l’exercice de son activité8 ;

– de ses performances financières ;

– de la continuité de ses services et activités. Le premier critère exige que la défaillance ou l’anomalie ne nuise pas sérieusement à la capacité de se conformer « en permanence » aux conditions et obligations de l’agrément.

Ainsi le risque que la défaillance ou que l’anomalie puisse affecter la permanence de la maîtrise des risques (par exemple) suffit pour qualifier cette nuisance de « sérieuse ». L’exigence de permanence (dans le respect des conditions et obligations de l’agrément) réduit d’autant la tolérance aux effets nuisibles d’une prestation ou tâche opérationnelle, même si elle ne porte pas sur une activité ou un service réglementé. Il paraîtrait au demeurant anormal qu’un établissement ait un système de maîtrise des risques à deux niveaux : un niveau exigeant pour tout ce qui a trait aux activités réglementées, et un niveau « dégradé » (voire « défaillant ») pour toute autre activité ou service. Cette approche par les risques protège l’unicité des conditions et obligations de l’agrément en imposant de s’y conformer en permanence, que les activités ou services rendus par l’entreprise assujettie soient réglementés, ou non. En d’autres termes, les conditions et modalités de l’agrément s’imposent d’abord à l’assujetti en raison de son état, et ne sont par conséquent pas entièrement « sécables » en fonction des activités effectivement exercées.

Le troisième critère paraît presque aussi exigeant puisque rien dans ce texte ne limite l’obligation de continuité aux seuls services et activités réglementés. Autrement dit, la défaillance ou l’anomalie ne doit pas nuire à la continuité des services et activités, même non réglementés, de l’entreprise assujettie.

Du fait de l’exigence de conformité permanente aux conditions et obligations de l’agrément, et de la continuité des services ou activités, toute prestation ou tâche opérationnelle dont la défaillance ou dont une anomalie menacerait cette conformité ou cette continuité pourrait être qualifiée de prestation ou tâche opérationnelle essentielle ou importante, et identifierait un contrat PSEE devant être porté comme tel dans le registre prévu par l’article 238 de l’Arrêté.

Seul le second critère paraît tolérer un seuil de matérialité plus étendu, lorsque l’impact de la défaillance ou de l’anomalie dans la réalisation d’une prestation demeure faible ou non significative quant à la performance financière d’ensemble de l’assujetti. À cet égard, il n’est pas inutile de souligner que depuis le 28 juin 2021 l’article 238 de l’Arrêté précise que l’externalisation d’activité donne lieu à une évaluation du risque encouru préalablement à la signature du contrat9.

4. LA PROTECTION DE L’ENTREPRISE ASSUJETTIE

L’identification des contrats PSEE doit permettre à l’entreprise assujettie de contrôler l’exécution conforme des activités externalisées, dans son intérêt, celui de ses clients, de l’ensemble des parties prenantes, et plus généralement du marché sur lequel elle intervient.

À cet effet, l’entreprise assujettie doit inclure dans tout contrat PSEE des clauses qui répondent aux dispositions de l’article 239 de l’Arrêté, lequel comprend huit prescriptions devant se traduire par autant de stipulations à inclure obligatoirement dans la convention d’externalisation.

La plupart de ces obligations sont en elles-mêmes explicites et ne requièrent pas de développement particulier. Elles ont pour objet notamment :

– d’assurer la protection des informations confidentielles ayant trait à l’entreprise assujettie et à ses clients ;

– de permettre à l’entreprise assujettie, chaque fois que cela est nécessaire, l’accès, le cas échéant sur place, à toute information sur les services mis à sa disposition, dans le respect des dispositions relatives à la communication d’informations ;

– d’informer l’entreprise assujettie de tout événement susceptible d’avoir un impact sensible sur la capacité du prestataire à exercer les tâches externalisées de manière efficace et conforme à la législation en vigueur et aux exigences réglementaires ;

– d’accepter que l’Autorité de contrôle prudentiel et de résolution ou toute autre autorité étrangère équivalente (au sens des articles L. 632-7, L. 632-12 et L. 632-13 du Code monétaire et financier) ait accès aux informations sur les activités externalisées nécessaires à l’exercice de sa mission, y compris sur place. Signalons que l’une de ces prescriptions a pour objet d’interdire au prestataire d’imposer une modification substantielle de sa prestation sans l’accord préalable de l’entreprise assujettie. D’autres prescriptions de l’article précité obligent les parties à définir de manière assez précise le détail des prestations du fournisseur de services puisque ce dernier doit :

– s’engager sur un niveau de qualité répondant à un fonctionnement normal du service et, en cas d’incident, s’engager à recourir à mettre en œuvre des mécanismes de secours en cas de difficulté grave affectant la continuité du service. À défaut, l’entreprise assujettie doit s’assurer que son plan d’urgence et de poursuite d’activité tient compte de l’impossibilité pour le prestataire externe d’assurer sa prestation ;

– se conformer aux procédures définies par l’entreprise assujettie concernant l’organisation et la mise en œuvre du contrôle des services qu’il fournit.

La mise en œuvre de ces deux dernières prescriptions ne devrait pas, en principe, poser de difficulté particulière lorsque l’entreprise assujettie décide de ne plus exercer elle-même mais d’externaliser une activité réglementée, une opération connexe à celle-ci ou encore une prestation qui participe directement à leur exécution.

Dans ce cas, il appartient à l’entreprise assujettie d’obliger le prestataire à satisfaire aux mêmes exigences et aux mêmes procédures que celles préalablement mises en place par celle-ci.

Mais l’entreprise assujettie peut également confier à un prestataire l’exécution d’une activité qu’elle peut n’avoir jamais exercée par elle-même (la maintenance informatique, par exemple) et le fait que l’entreprise assujettie ne dispose d’aucune procédure préétablie ne peut justifier qu’il soit dérogé aux exigences de l’article 239 de l’Arrêté.

364165. Aussi appartient-il dans ce cas à l’entreprise assujettie de définir, avec le concours et l’appui de son prestataire, un niveau de qualité répondant à un fonctionnement normal du service, comme de concevoir et mettre en place les procédures concernant l’organisation et la mise en oeuvre des contrôles des services ainsi fournis pour éviter les dysfonctionnements, comme de configurer et organiser les mesures d’urgences garantissant la continuité d’activité. À cet effet, les parties pourront par exemple établir un cahier des charges et, tout au long de l’exécution du contrat, l’amender et le faire évoluer pour qu’il continue de répondre à leurs attentes respectives au fur et à mesure de la réalisation des prestations et de leur évolution.
364165. 1. 1 Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteurde la banque, des services de paiement et des services d’investissement soumises aucontrôle de l’Autorité de contrôle prudentiel et de résolution (NOR : FCPT1423259A).
        2. 2 Arrêté du 25 février 2021 modifiant l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution (NOR : ECOT2100526A).
        3. 3 Arrêté du 3 novembre 2014 précité, art. 238, dernier alinéa.