Contexte des orientations. Le recours à l’externalisation est une tendance croissante au sein du secteur financier. Les entités financières font le choix d’externaliser certaines de leurs activités en vue de réduire les coûts qui y sont associés et de gagner en flexibilité et en efficacité. L’externalisation auprès de fournisseurs de services en nuage (cloud) a, en particulier, pris une importance croissante ces dernières années.
En outre, le contexte du Brexit pourrait inciter des entités de droit britannique, souhaitant poursuivre leurs activités au sein de l’UE, à établir sur le territoire de l’UE des structures de type « letter-box », en cherchant à minimiser le transfert de l’exercice effectif de ces activités ou fonctions dans l’UE27, en recourant à l’externalisation ou à la délégation de certaines activités ou fonctions auprès d’entités établies au Royaume-Uni[1]. Il est donc crucial que le recours à l’externalisation ne puisse favoriser des relocalisations opportunistes d’entités dénuées de toute substance faisant obstacle à une supervision effective des autorités européennes. Dans ce contexte, l’EBA a publié le 25 février 2019 des orientations en matière d’externalisation, y compris vers des fournisseurs de services en nuage (cloud) (ci-après les « Orientations »)[2]..
La traduction de ces Orientations dans chacune des langues officielles de l’Union n’étant encore pas disponible, les termes choisis en français dans le présent article devront être confrontés à la version officielle en français lorsqu’elle sera publiée. Pour rappel, à compter cette publication, les autorités nationales compétentes disposeront d’un délai de 2 mois pour déclarer à l’ABE leur intention de se conformer ou non à ces Orientations, charge à elles d’expliquer les raisons de la non-conformité le cas échéant. On peut toutefois penser que l’ACPR décidera de s’y conformer sans réserve et qu’il est opportun pour les établissements de se mettre en ordre de marche.
La publication de ces Orientations fait suite à deux publications antérieures en la matière :
– la publication le 14 décembre 2006 par le Comité européen des superviseurs bancaires d’orientations en matière d’externalisation destinées uniquement aux établissements de crédit[3] ;
– la publication en 2018 par l’ABE de recommandations en matière d’externalisation vers des fournisseurs de services en nuage (cloud) destinées aux établissements de crédit et aux entreprises d’investissement, entrées en vigueur le 1er juillet 2018 [4].
Les Orientations actualisent les orientations CEBS de 2006 et intègrent les recommandations EBA « Cloud ».
Périmètre des Orientations. Les Orientations visent à créer un socle commun d’exigences en matière d’externalisation, puisqu’elles sont applicables aux établissements de crédit (soumis à la directive CRD IV[5]), aux entreprises d’investissement (soumises aux directives CRD IV et MIF 2[6]) ainsi qu’aux établissements de paiement (soumis à la directive DSP 2[7]), c’est-à-dire en somme à l’ensemble des entités financières entrant dans le champ de compétence de l’EBA.
Le domaine d’application de ces Orientations est donc plus vaste que celui des orientations et recommandations qu’il abroge. Bien que non directement visés, les intermédiaires de crédit, les prêteurs non bancaires soumis à la directive Crédit Immobilier (2014/17/UE) ainsi que les fournisseurs de services d’information bancaire uniquement enregistrés au titre de la fourniture du service d’information sur les comptes, sont indirectement concernés par ces projets d’orientation dans les cas où ils agissent en qualité de délégataire d’une des entités financières directement visées dans le cadre d’accords d’externalisation.
Interactions des Orientations avec les autres Orientations de l’EBA. Les Orientations requièrent des établissements qui y sont soumis d’être en mesure de contrôler et d’évaluer efficacement la qualité et la performance des fonctions externalisées et de procéder à leur propre évaluation des risques et à un suivi permanent. Les principes qui sous-tendent l’accomplissement de cette mise en conformité ne sont donc pas exclusifs à l’externalisation ; c’est la raison pour laquelle l’ABE précise que la mise en œuvre de ces Orientations doit être réalisée également en accord avec d’autres orientations qu’elle a émises :
a. pour les établissements de crédit et entreprises d’investissement :
– sur la gouvernance interne[8] ;
– sur les procédures et les méthodologies communes à appliquer dans le cadre du processus de contrôle et d’évaluation prudentiels[9] ;
– sur l’évaluation du risque lié aux technologies de l’information et de la communication (TIC) dans le cadre du processus de contrôle et d’évaluation prudentiels[10] ;
b. pour les établissements de paiement et les établissements de monnaie électronique :
– sur l’agrément et l’enregistrement au titre de la DSP 2[11] ;
– relatives aux mesures de sécurité pour les risques opérationnels et de sécurité dans le cadre de la DSP 2[12] ;
– sur la notification des incidents majeurs en vertu de la DSP 2[13].
Principaux objectifs des Orientations. Sur un plan purement formel, les Orientations contiennent un nombre de dispositions bien plus conséquent que les orientations du CEBS de 2006 qu’elles viennent mettre à jour. Cette inflation ne résulte pas seulement de l’intégration des recommandations sur le cloud adoptées entre-temps (cf. Supra). En effet, le superviseur européen souligne la nécessité de définir plus précisément les conditions de maîtrise des risques et de leur contrôle en cas d’externalisation, dans le contexte de la numérisation et de l’importance croissante des fournisseurs de nouvelles technologies financières (FinTech). Il apparaît évident que le degré d’adaptation des modèles économiques des institutions financières à ces technologies est bien différent de celui de 2006. Aussi les Orientations se caractérisent-elles par la poursuite de trois objectifs majeurs.
Définition des notions d’« externalisation » et de « fonctions critiques ou importantes ». La notion d’externalisation est définie de façon similaire à celle des orientations CEBS de 2006 : il s’agit de toute forme d’arrangement entre une entité et un fournisseur de services par lequel ce dernier réalise tout ou partie d’un processus, d’un service ou d’une activité qui serait sinon assuré par l’entité elle-même. Cette définition est large et purement fonctionnelle ; elle se distingue ainsi de l’approche retenue en droit interne français par l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution, laquelle est plus axée sur les prestations essentielles[14].
Face à cette définition extensive, l’ABE apporte cependant quelques clarifications, en précisant quel type de prestation ne peut être entendu comme une externalisation (§ 28 des Orientations), tout en relevant que les activités confiées à des tiers – même n’entrant pas dans la définition de l’externalisation – doivent faire l’objet a minima d’un suivi du risque opérationnel et de réputation (§ 24 des Orientations[15]). Parmi les fonctions externalisées, les Orientations distinguent les fonctions critiques ou importantes pour lesquelles des exigences plus fortes s’appliquent[16]. L’ABE précise que la définition de ces fonctions critiques ou importantes a été conçue en cohérence avec la définition MIF 2 d’une fonction opérationnelle essentielle ou importante, mais qu’elle a été adaptée au champ d’application plus large de ces Orientations.
Aussi une fonction critique ou importante dans le cadre de l’externalisation d’activités est-elle définie comme une fonction[17] :
a. dont un défaut ou une erreur dans sa réalisation est susceptible d’avoir une incidence négative sur :
– le respect, par l’entité financière, des conditions de son agrément prévues par la directive CRD IV, le règlement CRR, la directive DSP2 et la directive « monnaie électronique » ;
– la performance financière de l’entité ;
– la solidité ou la continuité des activités de l’entité et des services qu’elle fournit ;
b. relative à des tâches opérationnelles ou des fonctions de contrôle interne ;
c. concernant des services bancaires ou de paiement pour lesquels l’entité dispose d’un agrément.
Ainsi, lorsqu’elles sont externalisées, les fonctions relatives aux métiers cœurs (core business lines) et aux fonctions critiques de l’entité sont toujours considérées comme critiques ou importantes. Les Orientations listent également des critères complémentaires permettant d’analyser le caractère critique ou important de la fonction externalisée (cf. Annexe I).
Enfin, les Orientations admettent que les activités bancaires et les services de paiement soumis à un agrément puissent être externalisés, y compris à un prestataire de services situé dans un pays tiers, mais sous certaines conditions (notamment en termes d’agrément du prestataire de service et de conclusion, lorsque celui-ci est situé dans un pays tiers, d’accord de coopération entre les autorités compétentes).
Cadre de gouvernance en matière d’externalisation. Les Orientations édictent tout d’abord les principes qui doivent s’appliquer à toute externalisation. Ainsi, l’opération envisagée :
– ne doit entraîner aucune délégation de la responsabilité des instances dirigeantes ;
– ne doit pas transformer l’entité en « coquille vide » ou « boîte aux lettres » ;
– doit permettre la conservation en interne des compétences et moyens humains suffisants pour gérer et surveiller les fonctions externalisées ;
– requiert la mise en place d’une fonction en charge de l’externalisation, la désignation d’un collaborateur senior (fonction clé) en charge de l’externalisation, rattaché directement aux instances dirigeantes et d’une répartition claire des tâches relatives à la gestion et au suivi des fonctions externalisées ;
– doit assurer le respect des exigences du règlement RGPD lorsque des données sensibles, y compris personnelles, sont transmises aux fournisseurs de services[18].
En sus, les Orientations décrivent les composantes indispensables à l’établissement d’un cadre de gouvernance approprié :
– la rédaction d’une politique d’externalisation, validée par les instances dirigeantes qui s’assurent de sa bonne mise en œuvre. Les Orientations précisent les informations devant figurer, a minima, dans cette politique.
– la nécessité de gérer les conflits d’intérêts pouvant être générés par les schémas d’externalisation, et notamment dans le cas où celle-ci est effectuée en intra-groupe ;
– la mise en place d’un plan de continuité d’activité (PCA) pour les fonctions essentielles ou importantes externalisées. Si l’échec du fournisseur de service à réaliser la fonction externalisée peut entraîner une grave interruption de l’activité, ce dernier doit être impliqué dans la mise en place du PCA et un plan d’urgence de reprise d’activité doit être défini et testé périodiquement. Le plan doit également prévoir des modalités permettant la poursuite des activités même dans le cas où la qualité de la prestation de service fournie par le prestataire externe diminue jusqu’à un niveau inacceptable ;
– la couverture par les fonctions d’audit interne des fonctions externalisées selon une approche par les risques, et notamment les fonctions critiques ou importantes. Les Orientations font état des éléments qui, a minima, sont vérifiés par l’audit interne ;
– la mise en place et le maintien d’un registre de l’ensemble des fonctions externalisées (y compris au sein du groupe) en distinguant les fonctions critiques ou importantes des autres fonctions externalisées. Les Orientations listent les informations que doit renfermer le registre et précisent les informations spécifiques concernant les fonctions critiques ou importantes et les fonctions externalisées vers des fournisseurs de services en nuage (cloud).
Harmonisation du processus d’externalisation. Les Orientations exigent des établissements assujettis une maîtrise « de bout en bout » des processus en cas de recours à l’externalisation. Ces processus peuvent être synthétisés comme présenté dans le schéma 1.
En outre, les Orientations imposent aux établissements des obligations d’information de l’autorité compétente :
a. information préalable et dans un délai approprié avant l’externalisation de fonctions critiques ou importantes, y compris vers des fournisseurs de services en nuage ;
b. mise à la disposition de l’autorité compétente des informations du registre concernant l’ensemble des fonctions externalisées, au moins tous les 3 ans et sur demande de l’autorité compétente ;
c. information immédiate :
– lorsque des fonctions actuellement externalisées deviennent critiques ou importantes ;
– en cas de changements significatifs et d’évènements graves pouvant avoir un impact matériel sur la poursuite des activités de l’entité.
Mise en œuvre opérationnelle et conformité : question sur le périmètre. Même si l’exigence de maîtrise des processus d’externalisation n’est pas une nouveauté pour le secteur bancaire, le niveau de détail des attentes des superviseurs contenues dans les Orientations va conduire les établissements à réévaluer significativement leur dispositif, en termes d’outils, de processus et de gouvernance, et ce sous le contrôle des instances dirigeantes.
À n’en pas douter, l’établissement et le maintien à jour du registre vont représenter un défi important, ainsi que la maîtrise toujours plus fine de la relation fournisseur en général, y compris dans la phase de contractualisation. En effet, le contrat établi avec le délégataire devient un instrument obligatoire pour obtenir des garanties de la part d’acteurs notamment non régulés en vue de permettre aux établissements de se conformer aux exigences contenues dans les Orientations.
À l’échelle d’un groupe, l’efficacité d’un tel dispositif est probablement sous-tendue par la nécessité d’un dispositif global, voire centralisé. Ceci est confirmé par les Orientations qui requièrent d’apprécier le respect de ses dispositions sur une base consolidée ou sous-consolidée au sens de CRD IV pour les établissements de crédit et les entreprises d’investissement.
À l’heure où les systèmes pouvant faire l’objet d’externalisation sont de plus en plus partagés entre les différentes entités d’un groupe (et notamment s’agissant de ceux relatifs aux technologies de l’information et de la communication (TIC), y compris le recours au cloud), se pose alors la question de l’application des Orientations à des entités faisant partie du périmètre de consolidation sans être situées dans l’Union européenne, alors même que la juridiction du superviseur européen s’arrête à ses frontières.
En effet, les Orientations visent à ce que l’externalisation, a fortiori de fonctions critiques ou importantes, ne peut être réalisée d’une façon qui nuise sensiblement à la qualité du contrôle interne des établissements ou qui empêche l’autorité de surveillance de contrôler que ceux-ci respectent bien toutes leurs obligations. Dès lors, il apparaît nécessaire pour les établissements européens de maîtriser le risque qui pourrait naître dans leurs filiales et succursales, y compris celles implantées dans les pays tiers. Ceci révélerait la portée extraterritoriale des Orientations, laquelle pourrait soulever des questions de cohérence avec les réglementations locales quand elles existent.
Sur un autre plan, et puisque le dispositif devrait être global, se pose la question de l’application des Orientations à des entités d’un groupe (consolidé) n’ayant pas la qualité d’établissement de crédit, d’entreprise d’investissement ou de prestataire de paiement. Si l’application des Orientations, par exemple à des gestionnaires d’actifs ou des entreprises d’assurance, n’est pas de droit (pour autant que ce terme soit effectivement adapté à l’application d’orientations non juridiquement contraignantes), les autres superviseurs européens (ESMA
et EIOPA) ont déjà annoncé vouloir développer, pour les acteurs qui relèvent de leur compétence, des orientations ayant le même objet, avec une volonté affichée de capitaliser sur les Orientations de l’EBA.
La maîtrise effective du risque au niveau d’un groupe peut donc conduire les acteurs à décliner volontairement leur dispositif à l’ensemble des entités régulées le constituant, d’autant que ces autres acteurs régulés (mais non visés par les Orientations) sont soumis à des exigences en matière d’externalisation ou de délégation dans les textes qui leur sont applicables que l’on peut considérer comme similaires.
Entrée en application progressive des Orientations. Les Orientations sont applicables à tous les schémas d’externalisation mis en place au 30 septembre 2019 ou postérieurement. Néanmoins, les établissements bénéficient de dispositions transitoires aux termes desquelles ils doivent compléter la documentation relative à tous les accords d’externalisation existants, à l’exception des accords d’externalisation conclus avec des fournisseurs de services dans les nuages, conformément aux Orientations après la première date de renouvellement de chaque accord d’externalisation existant, sans pouvoir excéder le 31 décembre 2021.
Orientations – ABE – Externalisation – Cloud – Fonctions critiques ou importantes.
Annexe I : critères complémentaires d’analyse du caractère critique ou important des fonctions externalisées
31. Lorsqu’ils évaluent si un accord d’externalisation se rapporte à une fonction critique ou importante, les établissements et les établissements de paiement devraient tenir compte, avec les résultats de l’évaluation des risques décrite à la section 12.2, au moins des facteurs suivants :
a. si l’accord d’externalisation est directement lié à la fourniture d’activités bancaires ou de services de paiement pour lesquelles ils sont autorisés ;
b. l’impact potentiel de toute perturbation de la fonction externalisée ou de l’incapacité du prestataire de services à fournir le service aux niveaux de service convenus sur une base continue sur :
i. la résilience et la viabilité financières à court et à long terme, y compris, le cas échéant, ses actifs, son capital, ses coûts, son financement, ses liquidités et ses profits et pertes ;
ii. la continuité des activités et la résilience opérationnelle ;
iii. le risque opérationnel, y compris les risques liés à la conduite, aux technologies de l’information et de la communication (TIC) et les risques juridiques ;
iv. les risques liés à la réputation ;
v. le cas échéant, la planification du rétablissement et de la résolution, la capacité de résolution et la continuité opérationnelle dans une situation d’intervention précoce, de rétablissement ou de résolution ;
c. l’incidence potentielle de l’entente d’impartition sur leur capacité de :
i. cerner, surveiller et gérer tous les risques ;
ii. se conformer à toutes les exigences légales et réglementaires ;
iii. effectuer les vérifications appropriées concernant la fonction impartie ;
d. l’impact potentiel sur les services fournis à ses clients ;
e. toutes les ententes d’impartition, l’exposition globale de l’institution ou de l’établissement de paiement au même fournisseur de services et l’incidence cumulative potentielle des ententes d’impartition dans le même secteur d’activité ;
f. la taille et la complexité de tout secteur d’activité touché ;
g. la possibilité que l’accord d’externalisation proposé puisse être étendu sans remplacer ou réviser l’accord sous-jacent ;
h. la possibilité de transférer l’accord d’externalisation proposé à un autre prestataire de services, si nécessaire ou souhaitable, tant sur le plan contractuel que sur le plan pratique, y compris les risques estimés, les obstacles à la continuité des activités, les coûts et le délai pour ce faire («substituabilité»)
i. la capacité de réintégrer la fonction externalisée dans l’établissement ou l’établissement de paiement, si nécessaire ou souhaitable ;
j. la protection des données et l’impact potentiel d’une violation de la confidentialité ou d’un manquement à garantir la disponibilité et l’intégrité des données sur l’établissement ou l’établissement de paiement et ses clients, y compris, mais sans s’y limiter, le respect du règlement (UE) 2016/679.
[1] ESMA issues principles on supervisory approach to relocations from the UK, 31 mai 2017, https://www.esma.europa.eu/press-news/esma-news/esma-issues-principles-supervisory-approach-relocations-uk.
[2] EBA/GL/2019/02- 25 février 2019 - https://eba.europa.eu/documents/10180/2551996/EBA+revised+Guidelines+on+outsourcing+arrangements.
[3] Disponibles en anglais uniquement, https://eba.europa.eu/documents/10180/104404/GL02OutsourcingGuidelines.pdf.pdf.
[4] EBA/REC/2017/03 du 28 mars 2018.
[5] Directive 2013/36/UE du Parlement Européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE, JOUE du 27 juin 2013, L176/338.
[6] Directive 2014/65/UE du Parlement Européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE, JOUE du 12 juin 2014, L173/49.
[7] Directive (UE) 2015/2366 du Parlement Européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE, JOUE du 23 décembre 2015, L337/35.
[8] EBA/GL/2017/11 du 21 mars 2018.
[9] Supervisory and Evaluation Process – SREP EBA/GL/2014/13 du 19 décembre 2014.
[10] Supervisory and Evaluation Process – SREP EBA/GL/2017/05 du 11 septembre 2017.
[11] EBA/GL/2017/09 du 8 novembre 2017.
[12] EBA/GL/2017/17 du 12 janvier 2018.
[13] EBA/GL/2017/10 du 18 décembre 2017.
[14] Article 10 q) : « Les activités externalisées sont les activités pour lesquelles l’entreprise assujettie con-fie à un tiers, de manière durable et à titre habituel, la réalisation de prestations de services ou d’autres tâches opérationnelles essentielles ou importantes par sous-traitance au sens de la loi n°75-1334 au 31/12/1975 susvisée, par démarchage au sens des articles L. 341-1 et L. 341-4 du CMF, par le recours à des personnes en vue de distribuer de la monnaie électronique pour le compte de l’entreprise assujettie au sens des articles L. 525-8 et suivants du même code, par le recours aux agents liés définis aux articles L. 545-1 et suivants du même code, par le recours aux agents définis aux articles L. 523-1 et suivants du même code ou par autre forme. »
[15] « Bien que les lignes directrices soient axées sur l’externalisation de fonctions essentielles ou importantes, les établissements et les établissements de paiement doivent tenir compte du fait que recevoir des services, y compris des services informatiques, de tiers crée des risques, même lorsque ces ac-cords ne sont pas considérés comme des accords d’externalisation ou lorsque les accords d’externa-lisation concernent des fonctions qui ne sont ni importantes ni critiques. Pour gérer l’ensemble des risques, les établissements et les établissements de paiement devraient évaluer les risques qui résul-tent ou peuvent résulter de ces dispositifs, en particulier le risque opérationnel et de réputation. »
[16] Tous les risques associés à l’externalisation de fonctions critiques ou importantes doivent identifiés, évalués, surveillés, gérés, rapportés et, s’il y a lieu, atténués. Il doit en outre exister des plans appro-priés en cas de sortie des accords d’externalisation de fonctions critiques ou importantes, par exemple en cas de recours à un autre fournisseur de services ou du fait de la volonté de réintégrer les fonctions critiques ou importantes sous-traitées.
[17] A rapprocher avec la définition de l’arrêté du 3 novembre 2014 précité pour les prestations de services ou autres tâches opérationnelles essentielles ou importantes, article 10 r) :
« – les opérations de banque au sens de l’article L. 311-1 du code monétaire et financier, l’émission et la gestion de monnaie électronique au sens de l’article L. 315-1 du même code, les services de paiement au sens du II de l’article L. 314-1 du même code et les services d’inves-tissement au sens de l’article L. 321-1 du même code, pour lesquels l’entreprise assujettie a été agréée ;
– les opérations connexes mentionnées aux 1, 2 ,3, 7 et 8 du I de l’article L. 311-2, aux 1, 2, 5 et 6 de l’article L. 321-2 et aux articles L. 522-2 et L. 526-2 du code monétaire et financier ;
– les prestations participant directement à l’exécution des opérations ou des services mentionnés aux deux premiers tirets ;
– ou toute prestation de services lorsqu’une anomalie ou une défaillance dans son exercice est sus-ceptible de nuire sérieusement à la capacité de l’entreprise assujettie de se conformer en perma-nence aux conditions et obligations de son agrément et à celles relatives à l’exercice de son activité, à ses performances financières ou à la continuité de ses services et activités. »
[18] Ce qui peut s’avérer être problématique dans le contexte du CLOUD Act, lequel pose quelques difficultés d’application vis-à-vis du RGPD – Sur ce sujet, cf. notamment M. Abadi et E. Jouffin « Extraterritorialité, sécurité nationale et libertés individuelles », Banque et Droit n° 182, nov.-déc.2018, spéc. p. 9.
