Ne se voulant pas exhaustive, cette note a pour objectif de mettre en relief certaines des principales nouveautés desdites Orientations de l’ABE pour les établissements de crédit au regard de celles déjà existantes et consistantes, publiées en 2006 par le Comité européen des superviseurs bancaires (CEBS). Nous ne traiterons donc pas spécifiquement du cloud ni de l’externalisation dans le domaine des assurances[2], des sociétés de gestion de portefeuille, etc. Il en est de même des IOBSP[3], dont la Notice de l’ACPR[4] sera peut-être réactualisée.
Comme d’aucuns le constatent un peu plus chaque année, l’externalisation des activités bancaires ne cesse de se démultiplier, les banques souhaitant gagner en compétitivité, bénéficier des nouvelles technologies, améliorer leur flexibilité et leur efficacité ainsi que réduire significativement leurs coûts.
Une réglementation en la matière s’est donc avérée progressivement nécessaire.
Rappelons, d’une part, que les orientations anciennes (Guidelines), publiées par le Comité européen des superviseurs bancaires datent de 2006[5], [6] et d’autre part, que les recommandations de l’ABE de 2017[7] portaient uniquement sur le cloud/les fournisseurs de services en nuage, dont il devenait impératif de prendre en compte les spécificités.
L’ABE bénéficiant d’un mandat pour la publication de lignes directrices sur des dispositifs solides de gouvernance[8], la révision de celles se rapportant à l’externalisation était inscrite dans son programme de travail de 2018.
Il est, en effet, apparu indispensable d’encadrer au niveau européen[9] les éventuels risques encourus du fait de cet accroissement des externalisations (prise en compte de tous les risques, et notamment des risques opérationnels, de réputation et de concentration).
Dans ce contexte, l’ABE a donc établi de nouvelles orientations.
Ces Orientations[10], publiées le 25 février 2019, visent ainsi à faire converger les pratiques de gestion et de surveillance des conventions d’externalisation par les établissements[11] et par les superviseurs.
Toutes les autorités nationales compétentes ont eu deux mois à compter de la publication des Orientations de l’ABE en langue nationale, soit à compter du 5 juin 2019, pour se déclarer ou non conforme, leur retour étant donc attendu pour le 5 septembre dernier[12].
Dans le cadre de l’articulation des Orientations de l’ABE et des réglementations nationales, notons que contrairement à certains États membres, la réglementation française, applicable depuis de nombreuses années[13], [14], [15], se révèle d’ores et déjà assez exigeante en la matière.
Aussi, l’Autorité de contrôle prudentiel et de résolution (ACPR)[16] a estimé pouvoir se déclarer conforme ; sa Notice de conformité auxdites Orientations de l’ABE relatives à l’externalisation fut ainsi publiée le 15 juillet 2019.
Entrée en vigueur et période transitoire
Entrées en vigueur le 30 septembre dernier[17], ces Orientations de l’ABE s’appliquent dorénavant à tous les accords d’externalisation « conclus, revus ou modifiés » à cette date ou ultérieurement.
Ces dernières ont intégré les lignes directrices/Guidelines susvisées du CEBS de 2006[18] et les Recommandations de l’ABE sur l’externalisation vers des fournisseurs de services en nuage[19].
Concernant le stock des externalisations, l’ABE a retenu une période transitoire de deux ans (à l’exception des règles pour le cloud qui s’appliquent déjà), avec cependant cette obligation susvisée, imposant une mise à jour de la documentation et des évaluations si les accords d’externalisation existants sont renouvelés pendant cette période.
Il convient également d’avoir d’ores et déjà un niveau de surveillance renforcé pour les prestations dites « critiques ou importantes » (notion que nous allons évoquer ultérieurement) et, après ladite période de transition, la réévaluation systématique de ces dernières devra être effectuée et suivie.
• Les établissements de crédit (ci-après dénommés les « Établissement(s) ») et leurs dossiers d’externalisation devront donc tous être en conformité avec lesdites Orientations avant le 1er janvier 2022.
• Si l’examen des accords d’externalisation de prestations critiques ou importantes n’est pas achevé au 31 décembre 2021, l’Établissement concerné devra en informer son autorité compétente, en indiquant les mesures prévues pour achever cet examen, ou l’éventuelle stratégie de sortie.
Une application desdites Orientations faite « à la lumière des dispositions de l’arrêté du 3 novembre 2014 »
L’ACPR ayant indiqué dans sa Notice de conformité auxdites Orientations de l’ABE que ces dernières doivent être lues « à la lumière des dispositions de l’Arrêté du 3 novembre 2014 », les différentes prestations mentionnées sous l’art 10 r dudit Arrêté[20] comme étant des « prestations essentielles externalisées » /«PSEE » et cette notion de « prestations critiques ou importantes[21] » telle que visées par les Orientations de l’ABE relatives à l’externalisation doivent, à mon sens, désormais être considérées comme étant des notions équivalentes, pour lesquelles les mêmes règles s’appliquent.
Extension du périmètre de l’analyse en risque des dossiers des établissements de crédit
Et, toujours au regard des nouvelles exigences décrites dans les Orientations de l’ABE[22], les prestations relevant des trois premiers tirets de l’Arrêté du 3 novembre 2014, à savoir les prestations (1) « cœurs de métiers », (2) « connexes » ou (3) « participant directement à l’exécution desdites opérations susvisées » doivent désormais systématiquement[23] requérir une analyse en risque[24] en bonne et due forme (au même titre que les prestations relevant du quatrième tiret dudit Arrêté).
Mise à jour de la documentation
Si ce n’est pas déjà fait (étant rappelé que lesdites Orientations sont d’ores et déjà en vigueur et donc opposables à tous), les établissements de crédit se doivent donc de revoir toute leur documentation interne et contractuelle[25] afin de se conformer aux nouvelles exigences fixées par l’ABE, ces dernières étant plus strictes en présence d’externalisation de prestations dites « critiques ou importantes[26] ».
Une analyse en risque avec le maintien du « principe de proportionnalité »
Les règles de gouvernance[27], qui reprennent un certain nombre de règles figurant dans les Guidelines du CEBS de 2006, tiennent toujours compte du « principe de proportionnalité[28] » qui était d’ores et déjà mentionné dans les Guidelines de 2006, ce dernier s’appliquant cependant dorénavant (soit une nouveauté) pour « toutes » prestations confiées à un tiers, que l’on soit ou non en présence d’une « externalisation » en tant que telle[29].
Ainsi, en présence de situations n’étant pas considérées comme de l’externalisation telles que la sollicitation de conseils juridiques auprès de cabinets d’avocats, au regard des dispositions des Orientations de l’ABE[30], les dossiers devront cependant faire l’objet d’une analyse en risque, cette dernière devant être faite au regard dudit principe de proportionnalité.
Or du fait de l’application de ce « principe de proportionnalité », il me paraît envisageable de prévoir, dans le process interne de l’établissement de crédit (qui devra, le cas échéant, en cas de contrôle, être remis au superviseur), une analyse non pas faite au cas par cas pour chaque dossier sollicitant un conseil juridique confié à un même cabinet d’avocat, mais réalisée en amont et de façon plus globale, par exemple lors de l’étude, par l’Établissement, des différents cabinets susceptibles de faire partie de son panel de cabinets. Ledit process interne peut prévoir également les conditions précises (règles strictes avec des validations à bon niveau) permettant de déroger à la sélection exclusive de cabinets faisant partie dudit panel des avocats.
En d’autres termes, pour chacun des types de dossiers portant sur les « prestations ne devant pas être considérées comme étant de l’externalisation », il me semble possible de veiller à expliquer (si tel a été bien évidemment le cas) dans ladite documentation interne susceptible d’être remise aux superviseurs et visant les process actuels portant sur les analyses en risque de ces dossiers, qu’une analyse en risque a été effectuée en amont (en explicitant cette dernière) et est valable donc pour tout type de dossier relevant du même périmètre. Des contrôles des prestataires devront bien évidemment continuer à être régulièrement effectués (cf. le KYS /« Know Your Supplier ») et des alertes devront être remontées en cas d’insatisfaction des opérationnels concernant la réalisation des prestations confiées à ces tiers.
Principales nouveautés au regard des Guidelines du CEBS
Par rapport aux Guidelines de 2006, il convient notamment de mettre en exergue les points ci-dessous, qui sont désormais visés par ces « nouvelles » Orientations de l’ABE.
• Ces dernières visent une Politique d’externalisation[31] respectant un certain nombre de règles :
– faisant notamment expressément référence : (a) à cette notion de « prestations critiques ou importantes », (b) à la distinction à faire entre l’externalisation à des prestataires de services agréés par une autorité compétente et à d’autres qui ne le sont pas, (c) aux conflits d’intérêts potentiels ;
– et devant être approuvée, examinée régulièrement et mise à jour par l’organe de direction qui doit veiller à son application.
• Ces Orientations de l’ABE mentionnent un certain nombre de facteurs à prendre en considération lors de l’analyse en amont du dossier d’externalisation, l’accent étant mis principalement sur l’externalisation desdites prestations critiques ou importantes[32].
• Chaque Établissement doit s’assurer que les accords d’externalisation sont en accord avec les normes de performance et de qualité appropriées, conformément à sa politique[33].
• Il doit être à même de démontrer qu’il surveille la performance des prestataires de services selon une approche fondée sur les risques.
Et ces nouvelles Orientations prévoient qu’en cas de lacunes constatées, l’Établissement se doit de prendre les mesures correctives qui s’imposent, en visant expressément l’éventuelle résiliation[34] de l’accord d’externalisation : « avec effet immédiat, si nécessaire[35] » si le prestataire de services n’exerce plus « la fonction critique ou importante externalisée d’une manière efficace ou conforme aux lois et aux exigences réglementaires applicables ».
• Concernant cette évaluation des risques, notons que ces Orientations ABE précisent qu’elle doit inclure, le cas échéant, « des scénarios de risques d’événements de risque potentiel, y compris des événements de risque opérationnel très élevé », les établissements devant « évaluer l’impact potentiel de services défaillants ou inadéquats, y compris les risques causés par les processus, systèmes, personnes ou événements externes ».
Par ailleurs, il est fait mention des cyber-risques.
• Il est également précisé que les Établissements doivent prendre les mesures appropriées pour veiller à ce que les prestataires de services agissent conformément à leurs valeurs et à leur code de conduite. Ils doivent notamment s’assurer que le prestataire de services et ses éventuels sous-traitants situés dans des pays tiers[36] agissent tous d’une manière éthique et socialement responsable et respectent les normes internationales relatives aux droits de l’homme, à la protection de l’environnement et des conditions de travail (mentionnant notamment l’interdiction du travail des enfants).
• Allant dans le sens des demandes de superviseurs, ces nouvelles Orientations exigent l’existence d’un registre[37] à jour (ce qui est une grande nouveauté par rapport à 2006[38]), recensant tous les dossiers relevant de l’externalisation, mis à la disposition du superviseur et devant viser les entités consolidées (précisant qu’en présence de gestion centralisée des externalisations, chaque Établissement doit pouvoir obtenir une extraction de son registre individuel sans délai).
• Elles mentionnent expressément l’identification, l’évaluation et la gestion des potentiels conflits d’intérêts[39] en ce qui concerne lesdits accords d’externalisation (notamment en présence de prestations externalisées entre entités appartenant au même groupe bancaire (base consolidée)).
Des précisions sont apportées sur l’identification des concentrations de risques[40], l’analyse des risques devant tenir compte desdits risques de concentration, les Orientations visant désormais expressément :
i. les risques de sous-traitance à un prestataire de services en situation de monopole ou quasi-monopole qui n’est pas facilement substituable ; et
ii. les risques de multiples accords d’externalisation avec le même prestataire de services ou des prestataires de services étroitement liés[41].
• Les Orientations énoncent également des règles supplémentaires concernant les sous-traitances[42], [43] éventuelles faites par les prestataires de services.
• Il est fait désormais mention de la nécessité d’examiner, lors de l’évaluation des risques, avant l’externalisation et pendant le suivi continu des performances du prestataire de services : la stabilité politique et la situation en matière de sécurité des juridictions en question, y compris :
i. les lois en vigueur, et notamment les lois sur la protection des données ;
ii. les dispositions en vigueur en matière d’application des lois ; et
iii. les dispositions de la loi sur l’insolvabilité qui s’appliqueraient en cas de défaillance d’un prestataire de services et les contraintes qui pourraient apparaître en ce qui concerne la récupération urgente des données de l’Établissement.
• À la lecture de ces Orientations, les Établissements doivent veiller :
– à mettre en place, maintenir et tester périodiquement des plans appropriés de continuité d’activité pour lesdites fonctions critiques ou importantes externalisées[44] ;
– à mettre en place des activités de la fonction d’audit interne[45], [46], des règles spécifiques étant désormais prévues en présence de ces prestations critiques ou importantes.
Par ailleurs, les Établissements doivent tenir compte du fait que les prestations peuvent devenir critiques ou importantes avec le temps.
• Il est expressément fait référence à la réglementation P2R[47].
• Enfin, le contrat de prestation de services doit faciliter le transfert de la prestation externalisée à un autre prestataire de services ou sa réintégration[48], [49] dans l’Établissement.
Sur ce point, les Orientations précisent que ledit contrat[50] doit :
a. énoncer clairement les obligations du prestataire de services existant, dans le cas d’un transfert de la prestation externalisée à un autre prestataire de services ou à l’Établissement, en incluant le traitement des données ;
b. fixer une période de transition appropriée pendant laquelle le prestataire de services, après la résiliation de l’accord d’externalisation, continuera d’assurer la prestation externalisée afin de réduire le risque d’interruption ; et
c. inclure l’obligation pour le prestataire de services de soutenir l’Établissement dans le transfert de la prestation en cas de résiliation de l’accord d’externalisation.
• Et, concernant la stratégie de sortie, à la lecture desdites Orientations, celle-ci devrait être « documentée » pour les prestations critiques ou importantes et il est notamment précisé que lors de l’élaboration des stratégies de sortie, les Établissements doivent désormais définir les indicateurs à utiliser pour la surveillance de l’accord d’externalisation, « y compris les indicateurs fondés sur des niveaux de service inacceptables qui doivent déclencher la sortie »[51].
En publiant ces nouvelles Orientations, l’ABE a ainsi souhaité tenir compte de cette évolution significative du paysage bancaire, les Établissements ne cessant de réactualiser leur stratégie et de procéder à des externalisations de façon récurrente, ayant notamment le souci de rester efficients, compétitifs et de profiter pleinement des technologies récentes mises à leur disposition.
Pour répondre à la question initialement posée, objectivement, eu égard aux Guidelines du CEBS de 2006, aux dispositions de l’arrêté du 3 novembre 2014 sur le contrôle interne, à la prise en compte d’éventuelles recommandations faites en interne par les superviseurs, l’externalisation rentrant dans le programme de supervision de la BCE[52], [53] (ces derniers ayant notamment pu recommander la création d’un registre recensant l’ensemble des externalisations), il serait pour le moins difficile de soutenir que l’entrée en vigueur de ces nouvelles Orientations de l’ABE en matière d’externalisation, le 30 septembre dernier, se révèle être « une révolution » pour les établissements de crédit français.
Il est en revanche notable que leur prise en compte en interne, par chaque Établissement de la place, nécessite un réel investissement :
(i) non seulement du côté des opérationnels et des experts en risques, mais également de nombreux services, impactés directement ou indirectement, tels que :
– le service juridique ;
– le service Achat, qui est en lien direct avec les Prestataires de services, avec qui il va falloir : (i) négocier les nouveaux avenants ou contrats (ce qui ne sera pas une mince affaire, notamment concernant les clauses visant les sous-traitants de chaque prestataire de services et les obligations respectives qui leur incombent), (ii) s’assurer de la prise en compte effective et du respect des contrats ;
– la Conformité ;
– le contrôle périodique, etc. ;
– sans oublier bien évidemment l’organe de direction ;
(ii) mais également :
– en termes d’outils, notamment concernant la création ou la mise en conformité du registre, permettant d’avoir une vision globale et exhaustive des externalisations du groupe bancaire et de faciliter le contrôle des risques et la supervision – avec notamment un archivage ad hoc de la documentation contractuelle et le suivi des audits/contrôles réalisés – afin d’être en adéquation avec cette nouvelle réglementation :
– en termes de process ;
– et enfin, en termes de coûts : nombre de Jours Homme, notamment pour : (i) la mise à jour de toute la documentation interne (Politique d’externalisation/Stratégie/Process internes/Instructions/…), (ii) la mise en place d’un plan de revue et de renégociation des contrats en cours et leur mise en œuvre effective ; ou encore les coûts informatiques, etc.
À la lumière du principe de proportionnalité, il conviendra de veiller à se conformer aux dispositions desdites Orientations de l’ABE au regard bien évidemment des positions présentes ou futures arrêtées par l’ACPR ou les différentes autorités nationales compétentes. Chaque entité locale appartenant à un groupe bancaire se devra de veiller également au respect des règles locales spécifiques applicables en la matière, qui, bien entendu, peuvent être plus strictes.
Se pose à ce jour la question de l’incidence de ces nouvelles Orientations sur les négociations avec les prestataires.
• Quid de l’opportunité pour les Établissements d’avoir, pour partie, des clauses standard idoines, opposables auxdits prestataires et non négociables par ces derniers ?
• Quid de la gestion des relations avec les « sous-traitants de énième rang », a fortiori s’ils sont situés « dans un pays tiers ou dans un pays autre que celui du prestataire de services » ?
• Une autre question fondamentale réside dans l’analyse et la prise de décisions stratégiques[54], pour chaque établissement de crédit, afin de veiller tout à la fois :
(i) à rester compétitif en ayant un souci de la baisse de ses coûts, de l’accroissement de sa flexibilité et de ses performances notamment techniques et technologiques, tenant compte de nouvelles compétences qui ne sont pas disponibles en interne, mais également :
(ii) à garder sa richesse intérieure en restant doté de ses compétences fondamentales[55] et inhérentes au cœur de métier de la banque, qui font sa réelle force, afin notamment d’être toujours à même de pouvoir fournir une qualité de service ad hoc, de toujours garder la maîtrise de ses process, le contrôle des prestations fournies, etc. et d’impérativement veiller à ne pas avoir une dépendance quasi irréversible (souci qui se pose actuellement notamment pour le cloud, qui n’est proposé que par peu de concurrents sur le marché).
Il convient également de prendre en considération le coût engendré par l’externalisation en tenant compte du coût du contrôle du prestataire eu égard aux prestations dont l’externalisation est envisagée et des éventuels risques encourus. Il n’apparaît en effet, par exemple, pas optimal d’externaliser un contrôle qui devrait être effectué en interne s’il faudra ensuite contrôler ce dernier réalisé cette fois-ci par un prestataire externe et si le coût final se révèle en définitive plus onéreux ou les difficultés rencontrées plus conséquentes.
Les établissements de crédit ont déjà réalisé de gros efforts ces dernières années, afin de mieux encadrer et suivre les prestations de services externalisées, mais il reste évidemment, à n’en pas douter, du travail à faire et il s’agit d’un travail au long cours.
[2] Concernant les Assurances, se reporter aux informations figurant sur le site de l’ACPR : https://acpr.banque-france.fr/autoriser/procedures-secteur-assurance/transmission-dinformation/externalisation-dactivite-importante. Voir notamment l’Instruction n° 2019-I-06, en date du 15 mars 2019, relative à l’information préalable de l’ACPR en cas d’externalisation d’activités ou de fonctions importantes ou critiques et d’évolution importante les concernant : https://acpr.banque-france.fr/contenu-de-tableau/instruction-ndeg-2019-i-06-en-date-du-15-mars-2019-relative-linformation-prealable-de-lacpr-en-cas. Et son formulaire en annexe : https://acpr.banque-france.fr/sites/default/files/media/2019/03/20/annexe_instruction_i_06.pdf. Voir également les slides de l’ACPR sur « L’externalisation sous Solvabilité 2, 16 mai 2017, Association des juristes de l’assurance et de la réassurance » : https://acpr.banque-france.fr/sites/default/files/medias/documents/20170516_ajar_vf-ffa.pdf.
[3] Intermédiaires en opérations de banque et en services de paiement.
[4] Position de l’ACPR relative à l’application du règlement n° 97-02 à l’intermédiation en opérations de banque et en services de paiement, 2013-P-01, Document de nature explicative : http://anacofi-iobsp.fr/telechargement/metier/201311PositionACPR.pdf.
[5] Orientations en matière d’externalisation, publiées le 14 décembre 2006 par le Committee of European Banking Supervisors (CEBS), ces dernières étant exclusivement applicables aux établissements de crédit : https://eba.europa.eu/documents/10180/104404/GL02OutsourcingGuidelines.pdf.pdf.
[6] Cf. également une publication faite en août 2006 par le Joint Forum (qui est composé de représentants de l’OICV (secteur des valeurs mobilières), de l’IAIS (secteur des assurances) et du Comité de Bâle (secteur bancaire)), ladite publication s’intitulant « High-Level Principles for Business Continuity », portant donc sur les plans de continuité des activités en cas de crise et contenant sous son point 24 les précisions suivantes visant expressément l’externalisation/l’outsourcing » : « […] 24. An organisation’s board and senior management are responsible for managing its business continuity effectively and for developing and endorsing appropriate policies to promote resilience to, and continuity in the event of, operational disruptions. They should recognise that outsourcing a business operation does not transfer the associated business continuity management responsibilities to the service provider. The board and senior management should create and promote an organisational culture that places a high priority on business continuity. This message should be reinforced by providing sufficient financial and human resources to implement and support the organisation’s approach to business continuity management. » : https://www.bis.org/publ/joint17.pdf.
[7] Recommandations de l’ABE sur l’externalisation vers des fournisseurs de services en nuage (EBA/REC/2017/03) : https://eba.europa.eu/documents/10180/2170125/Recommendations+on+Cloud+Outsourcing+%28EBA-Rec-2017-03%29_FR.pdf/de3571be-cdba-4c42-997e-98ec85eac7c2. Notice de l’ACPR relative aux modalités de mise en œuvre par les sociétés de financement des recommandations sur l’externalisation vers des fournisseurs de services en nuage : https://acpr.banque-france.fr/sites/default/files/media/2018/07/12/05-notice_conformite_acpr_eba_rec_2017_03.pdf
[8] Cf. l’art 74 de la Directive CRD IV (Capital Requirements Directive) n° 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement du 26 juin 2013 : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32013L0036
[9] Cf. l’article susvisé de l’ACPR de 2004 s’intitulant « L’externalisation des activités bancaires en France et en Europe » qui précisait déjà que : « […] Dans plusieurs pays européens, différents mécanismes de supervision ont été mis en place pour faire face à ces risques, comme la possibilité d’inspecter les prestataires de services, ou les lois relatives au contrôle interne , à la bonne adéquation de l’organisation, et à la capacité du management de contrôler régulièrement la qualité du service fourni par le prestataire. De nombreux pays interdisent l’externalisation d’activités liées au cœur du métier de banque (telles que la gestion des risques et la gestion des prêts et des dépôts). Certains superviseurs demandent à être informés des intentions et des modalités de mise en place des externalisations, voire à autoriser ex ante les projets en ce sens. Dans certains cas, cela doit être accompagné par l’évaluation d’une société d’audit externe . […] » : https://acpr.banque-france.fr/sites/default/files/media/2017/11/03/cb_bul_31_etu_02.pdf.
[10] European Banking Authority, EBA/GL/2019/02 : https://eba.europa.eu/documents/10180/2761380/EBA+revised+Guidelines+on+outsourcing_FR.pdf/6565c789-487b-4528-8a17-4b94147dc5b8. Orientations qui visent notamment sous le n° 26 la notion d’Externalisation (fonction externalisée chez un prestataire de services, étant exercée par ce dernier de manière récurrente ou continue* et relevant des fonctions pouvant raisonnablement être exercées par l’établissement la délégant).
*[concernant cette réalisation d’une prestation « de manière récurrente ou continue » : en cas de Proof of Concept(PoC) (Preuve du concept-Test temporaire), l’Établissement peut avoir une position prudente visant à considérer, le cas échéant, la prestation comme relevant des Orientations EBA et donc en faire une analyse ad hoc et un suiviad hoc, en l’insérant également dans le registre mentionné dans les présentes.]
[11] Périmètre de ces Orientations :
1. Types d’établissements concernés : élargissement du champ d’application par rapport aux Orientations du CEBS. Sont désormais soumis auxdites Orientations : non seulement les établissements de crédit et les entreprises d’investissement, mais également (nouveauté) : les établissements de paiement et de monnaie électronique.
Autre nouveauté : voir les précisions apportées dans la Notification de l’ACPR se déclarant « compliante » le 15 juillet 2019 : « L’ACPR s’attend également à ce que les sociétés de financement, qui n’entrent pas dans la définition des “établissements financiers” visés au paragraphe 1 de l’article 4 du règlement (UE) n° 1093/2010 instituant l’ABE mais auxquelles s’appliquent les exigences de la directive CRD IV mettent en œuvre les orientations sur l’externalisation. »
2. Périmètre incluant des entités consolidées/sous-consolidées : ces Orientations doivent s’appliquer sur une base sous-consolidée et consolidée, en tenant compte du périmètre de consolidation prudentiel.
[12] Voir leurs retours dans le document intitulé « Guidelines compliance table » figurant sous le lien suivant : https://eba.europa.eu/sites/default/documents/files/document_library//EBA%20GL%202019%2002%20-%20CT%20GLs%20on%20outsourcing%20arrangements.pdf.
Se sont notamment ainsi déclarées être conformité avec les Orientations : non seulement l’ACPR pour la France, mais également les autorités nationales des pays suivants : la Bulgarie, la République tchèque, l’Estonie, l’Irlande, la Slovénie, la Suède, le Lichtenstein, la Norvège. Deux pays, à savoir l’Espagne et la Pologne, apparaissent comme étant respectivement : « No complies or intends to comply. »
Les précisions apportées pour la BCE sont les suivantes : « Intends to comply » ; « Comments : For the SREP 2020. The ECB will comply with the Guidelines within the limit of, and without prejudice to, national provisions implementing Directive 2013/36/EU. All the necessary procedural steps to implement the GLs within the ECB framework will be completed by the end of September 2020. »
[13] Cf. l’article de Thierry Samin, « Les nouvelles obligations pesant sur les établissements de crédit et les entreprises d’investissement en cas d’externalisation d’activités », Banque et Droitn° 101, mai-juin 2005, p. 3 et suiv. Article faisant le point sur les nouveautés apportées par l’arrêté susvisé du 31 mars 2005, modifiant le règlement du Comité de la réglementation bancaire et financière n° 97-02 du 21 février 1997 et entrant en vigueur le 1er janvier 2006 pour les nouvelles activités externalisées et celles faisant l’objet d’un renouvellement à partir dudit 1er janvier 2006.
[14] Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution (l’« Arrêté ») : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000029700770&categorieLien=id. Ce dernier remplaça le règlement CRBF 97-02 du 21 février 1997 (le « Règlement ») qui définissait les notions d’« activités externalisées » et de « prestations essentielles » (file:///C:/Users/A313452/Downloads/85163_1%20(1).PDF). Cet Arrêté a pour objet de compléter le dispositif de transposition en France de la directive susvisée dite « CRD IV » n° 2013/36/UE : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000029700770&categorieLien=id.
[15] Cf. ledit Arrêté du 3 novembre 2014 (notamment, l’art 10 q et 10 r ainsi que les art. 231 à 240 précisant les conditions applicables en matière d’externalisation).
[16] Notice de conformité aux Orientations de l’Autorité bancaire européenne relatives à l’externalisation (EBA/GL/2019/02). Notice ACPR ayant « pour objet d’assurer le respect desdites Orientations de l’ABE auxquelles l’ACPR entend se conformer pleinement » : https://acpr.banque-france.fr/sites/default/files/media/2019/07/15/notice_orientation_externalisationeba_gl_2019_02_0.pdf.
[17] Notons cependant que la date d’entrée en vigueur des règles portant sur l’existence de certains accords internationaux entre autorités nationales compétentes, en présence d’un Etat tiers est fixée au 31 décembre 2021.
Il devra exister un accord de coopération approprié entre les autorités compétentes conformément aux dispositions des Orientations de l’ABE (cf. ces dernières sous le 12.1, notamment le point 63), visant notamment l’accès aux données, documents, locaux ou personnel du pays tiers.
Concernant cette externalisation vers des prestataires de services situés dans des pays tiers (hors UE), rappelons que les institutions financières doivent veiller tout particulièrement à ce que :
– le prestataire et ses sous-traitants agissent « d’une manière éthique et socialement responsable » en respectant la réglementation européenne et les normes internationales ;
– l’autorité compétente soit en mesure de contrôler efficacement les institutions financières, notamment en ce qui concerne les fonctions critiques ou importantes confiées à des prestataires de services.
[18] Notons l’existence, en 2004, de principes établis par le CEBS, ces derniers ayant été repris dans l’Annexe de l’article susvisé de l’ACPR de 2004 s’intitulant « L’externalisation des activités bancaires en France et en Europe » :
« Annexe : Principes relatifs à l’outsourcing énoncés par le CEBS en avril 2004
Le CEBS a identifié huit High Level Principles adressés aux banques :
1) les fonctions stratégiques et relevant du cœur de métier ne peuvent être externalisées ;
2) la responsabilité finale de la bonne gestion des risques associés à l’outsourcing incombe à la direction de l’institution procédant à l’externalisation ;
3) une attention particulière doit être portée dès lors que l’entité externalise des activités stratégiques, i.e. activités d’une telle importance que tout problème dans la fourniture de ces activités pourrait avoir un effet significatif sur la capacité de l’institution à satisfaire aux exigences réglementaires, voire à poursuivre son activité ;
4) il ne devrait y avoir aucune restriction quant à l’externalisation d’activités non stratégiques ;
5) l’externalisation doit s’inscrire dans une politique identifiée, incluant des plans d’urgence et des stratégies de sortie ;
6) les stratégies d’externalisation des institutions devraient leur permettre de faire face aux risques associés ;
7) tout accord d’externalisation devrait être l’objet d’un contrat officiel et détaillé ;
8) dans la gestion de ses relations avec le prestataire de service, l’institution devrait s’assurer de la mise en place d’un Service Level Agreement.
Le CEBS cite trois autres principes à destination des superviseurs :
9) les autorités de supervision doivent avoir pour objectif d’établir un droit à l’information et à conduire, ou ordonner, des inspections sur place auprès des prestataires de service ;
10) les autorités de supervision devraient prendre en compte le risque de concentration (quand un prestataire fournit ses services à plusieurs institutions) ;
11) les autorités de supervision devraient prendre en compte les risques associés aux “chaînes” d’externalisation (lorsqu’un prestataire sous-traite une partie des activités externalisées à d’autres prestataires). »
[19] Concernant l’interaction desdites Orientations avec les autres Orientations de l’ABE : cf. l’article de Stéphane Fékir, « Orientations de l’Autorité bancaire européenne (ABE) en matière d’externalisation, y compris vers des fournisseurs de services en nuage (cloud) », Banque et Droit n° 185, mai-juin 2019.
[20] Arrêté du 3 novembre 2014 : se reporter à l’Art 10 r) :
Prestation de services ou autres tâches opérationnelles essentielles ou importantes :
– les opérations de banque, l’émission et la gestion de monnaie électronique, les services de paiement et les services d’investissement, pour lesquels l’entreprise assujettie a été agréée ;
– les opérations connexes telles que mentionnées dans le code monétaire et financier ;
– les prestations participant directement à l’exécution des opérations ou des services mentionnés aux deux premiers tirets ;
– ou toute prestation de services lorsqu’une anomalie ou une défaillance dans son exercice est susceptible de nuire sérieusement à la capacité de l’entreprise assujettie de se conformer en permanence aux conditions et obligations de son agrément et à celles relatives à l’exercice de son activité, à ses performances financières ou à la continuité de ses services et activités.
Sans préjudice de l’appréciation de toute autre tâche, les tâches suivantes ne sont pas considérées comme des prestations de services et d’autres tâches opérationnelles essentielles ou importantes :
– la fourniture à l’entreprise assujettie de services de conseil et d’autres services ne faisant pas partie des activités couvertes par son agrément ou par son habilitation, y compris la fourniture de conseils juridiques, la formation de son personnel, les services de facturation et la sécurité des locaux et du personnel de l’entreprise ;
– l’achat de prestations standard, y compris des services fournissant des informations de marché ou des flux de données sur les prix.
[21] Cf. les Orientations de l’ABE, notamment le point 4 s’intitulant « Fonctions critiques ou importantes » y intégrant notamment l’externalisation de fonctions d’activités bancaires ou de services de paiement nécessitant l’autorisation d’une autorité compétente (cf. le n° 29 sous le point c.) :
Au regard desdites Orientations de l’ABE, une prestation doit toujours être considérée comme critique ou importante dans les situations suivantes :
a. lorsqu’une anomalie ou une défaillance de son exécution est susceptible de nuire sérieusement :
– i. à la capacité de se conformer de manière continue aux conditions de l’agrément ou aux autres obligations en vertu des directives européennes et des obligations réglementaires ;
– ii. aux performances financières ; ou
– iii. à la solidité ou la continuité des services et activités bancaires et de paiement
b. lorsque les tâches opérationnelles des fonctions de contrôle interne sont externalisées, à moins que l’évaluation n’établisse que le non-exercice de la fonction externalisée ou l’exercice inapproprié de la fonction externalisée n’aurait pas d’incidence négative sur l’efficacité de la fonction de contrôle interne ;
c. lorsqu’il est envisagé d’externaliser les fonctions des activités bancaires ou des services de paiement dans une mesure qui nécessiterait l’autorisation/l’agrément d’une autorité compétente.
[22] Quand bien même il s’agit en principe d’une soft law/d’un droit souple, il convient d’appliquer lesdites Orientations en n’omettant cependant pas ce principe de proportionnalité, qui reste dûment applicable et opposable s’il reste démontrable.
[23] Cf. cependant les Orientations de l’ABE sous le n° 30 : « […] Les fonctions nécessaires à l’exécution d’activités fondamentales ou de fonctions critiques devraient être considérées comme des fonctions critiques ou importantes aux fins des présentes orientations, l’évaluation de l’établissement n’établisse que le non-exercice de la fonction externalisée ou l’exercice inapproprié de la fonction externalisée n’aurait pas d’incidence négative sur la continuité opérationnelle de l’activité fondamentale ou de la fonction critique. […] ».
[24] Cf. les Orientations de l’ABE sous le n° 31, renvoyant en présence d’externalisation de fonctions critiques ou importantes à l’évaluation des risques énoncée à la section 12.2, « Évaluation des risques liés aux dispositifs d’externalisation ».
[25] Concernant le stock des contrats : se reporter au point ci-dessus, intitulé « Entrée en vigueur et période transitoire » visant le stock des externalisations.
[26] En présence de prestations « critiques ou importantes » : respect d’obligations plus strictes (cf. les Orientations de l’ABE sous le n° 31), notamment en matière d’appréciation des risques (cf. sous la section 12.2 desdites Orientations), de gouvernance (rapport périodique à faire à l’« organe de direction »/au « Management Body » ; …) ou encore dans la documentation contractuelle. (Rappelons que les Guidelines de 2006 du CEBS visaient quant à elles la notion de « material activities ».)
[27] Cf. l’article précité de Stéphane Fékir, concernant l’extra-territorialité des orientations ABE, d’une part, et les règles de gouvernance, d’autre part.
Sur ce dernier point, notons notamment que :
– l’organe de gestion de l’Établissement doit veiller à ce que des ressources suffisantes soient disponibles pour appuyer et assurer l’exécution de ses responsabilités, y compris la surveillance de tous les risques et la gestion des accords d’externalisation.
– Il doit attribuer clairement les responsabilités en matière de documentation, de gestion et de contrôle des dispositifs d’externalisation.
– L’externalisation ne doit pas conduire à une situation dans laquelle un Établissement deviendrait une « coquille vide » ne disposant pas de la substance nécessaire pour rester autorisée/agréée.
Voir également ledit article de Stéphane Fékir concernant les obligations d’information de l’autorité compétente.
[28] Toutes les exigences énoncées dans les Orientations doivent être appliquées d’une manière appropriée, compte tenu, notamment, de la taille et de l’organisation interne de l’Établissement. Le principe de proportionnalité vise à garantir que les modalités de gouvernance, y compris celles liées à l’externalisation, sont compatibles avec le profil de risque individuel, la nature et le modèle économique de l’Établissement, ainsi que l’ampleur et la complexité de ses activités, afin que les objectifs des exigences réglementaires soient effectivement atteints. Lors de leur analyse, les Établissements doivent donc tenir compte de la complexité des fonctions externalisées, des risques découlant de l’accord d’externalisation, de la « criticité » ou de l’importance de la fonction externalisée et de l’impact potentiel de cette externalisation sur la continuité de leurs activités.
[29] Cf. le n° 28 des Orientations de l’ABE qui donne un certain nombre de situations ne devant pas être considérées comme étant de l’externalisation (ladite liste étant détaillée et non exhaustive) [Liste à voir au regard des dispositions de l’Arrêté reprises dans les présentes, listant les tâches « n’étant pas considérées comme des prestations de services et d’autres tâches opérationnelles essentielles ou importantes »].
[30] Cf. le n° 33 des Orientations de l’ABE.
[31] Cf. sous le point 7 – Politique d’externalisation, n° 41 et suiv. desdites Orientations ABE.
[32] Cf. sous les n° 70 et 71 des Orientations ABE : En ce qui concerne les prestations critiques et importantes, les Établissements doivent veiller à ce que le prestataire de services ait une réputation commerciale, des capacités appropriées et suffisantes, l’expertise, la capacité, les ressources (humaines, informatiques, financières, par exemple), la structure organisationnelle et, le cas échéant, les autorisations/agréments ou enregistrements réglementaires nécessaires pour remplir la prestation critique ou importante de manière fiable et professionnelle pour remplir ses obligations pendant la durée du contrat proposé. D’autres facteurs à prendre en considération comprennent, sans toutefois s’y limiter :
a. son modèle d’entreprise, sa nature, son échelle, sa complexité, sa situation financière, son actionnariat et sa structure de groupe ;
b. les relations à long terme avec les prestataires de services qui ont déjà été évalués et qui fournissent des services à l’Établissement ;
c. si le prestataire de services est une entreprise mère ou une filiale de l’Établissement, s’il fait partie du périmètre comptable de consolidation de l’Établissement ;
d. si le prestataire de services est ou non contrôlé par des autorités compétentes.
[33] Cf. sous le n° 104 des Orientations ABE :
Ils doivent notamment :
a. s’assurer qu’ils reçoivent les rapports appropriés des prestataires de services ;
b. évaluer la performance des prestataires de services à l’aide d’outils tels que des indicateurs de rendement clés, des indicateurs de contrôle clés, des rapports sur la prestation de services, l’auto-certification et des examens indépendants ; et
c. examiner tous les autres renseignements pertinents reçus du prestataire de services, y compris les rapports* sur les mesures de continuité des opérations et les essais.
* [Cf. sous le point 13, Phase contractuelle desdites Orientations ABE, le n° 75 j) qui vise : « les obligations de reporting du prestataire de services envers l’Établissement, y compris la communication par le prestataire de services de tout fait nouveau susceptible d’avoir une incidence significative sur sa capacité à exercer efficacement la fonction critique ou importante selon les niveaux de service convenus et conformément aux lois et aux exigences réglementaires applicables et, le cas échéant, l’obligation de présenter des rapports de la fonction de contrôle interne du prestataire de services. »].
[34] Cf. notamment le n° 98, sous le point 13.4 – Droits de résiliation desdites Orientations ABE.
[35] Cf. le n° 105 desdites Orientations ABE.
Concernant les Autorités Nationales Compétentes : voir également le n° 118 desdites Orientations ABE, visant le cas d’un établissement ne disposant plus de dispositifs de gouvernance solides ou ne se conformant plus aux exigences réglementaires, qui précise notamment que « la résiliation de contrats pourrait être nécessaire si la surveillance et le respect des exigences réglementaires ne peuvent être garantis par d’autres mesures ».
[36] Concernant les pays tiers : quid du devenir du Royaume-Uni, face aux incertitudes relatives au Brexit ?
[37] Cf. sous le point 54 la liste d’informations devant figurer dans ledit registre pour tous les dispositifs d’externalisation existants et cf. sous le point 55 la liste d’informations devant exister en présence de fonctions dites critiques ou importantes.
[38] Notons cependant que les Recommandations de l’ABE sur l’externalisation vers des fournisseurs de services en nuage (EBA/REC/2017/03), en 2017, visaient également la tenue d’un registre (cf. les n° 4 et 5 desdites Recommandations).
[39] En matière de conflits d’intérêts, lorsque les prestations sont réalisées par un prestataire de services faisant partie d’un même groupe ou d’un plan de redressement ou de résolution (PRR – Directive BRRD), les conditions, y compris les conditions financières, du service externalisé doivent être fixées de manière indépendante. Toutefois, dans la tarification des services, des synergies résultant de la fourniture de services identiques ou similaires à plusieurs institutions au sein d’un même groupe ou d’un plan de redressement ou de résolution (PRR – Directive BRRD), peuvent être prises en compte, pour autant que le prestataire de services reste viable sur une base autonome.
[40] Cette obligation était déjà existante. Cf. les Principes relatifs à l’outsourcing énoncés par le CEBS en avril 2004 (op. cit). Un des objectifs recherchés est de permettre aux Autorités nationales compétentes d’avoir une vue d’ensemble grâce aux remontées faites par les différents établissements, de connaître ainsi quels sont les principaux prestataires de services sollicités et de veiller également à éviter, le cas échéant, tout éventuel risque systémique. (Quid du cloud, pour lequel il existe très peu d’acteurs sur le marché ?)
[41] Cf. le n° 31 : lorsqu’ils évaluent si un dispositif d’externalisation se rapporte à une fonction critique ou importante, les Établissements devraient tenir compte, outre des résultats de l’évaluation des risques énoncée à la section 12.2, au moins des facteurs suivants : […] e. tous les dispositifs d’externalisation, l’exposition globale de l’Établissement à un même prestataire de services et l’incidence cumulative potentielle des dispositifs d’externalisation dans un même domaine d’activité.
Cf. également le n° 66 sous le point a.
[42] Cf. sous le n° 67 des Orientations ABE :
Lorsque le dispositif d’externalisation prévoit la possibilité que le prestataire de services soustraite des fonctions critiques ou importantes à d’autres prestataires de services, les Établissements doivent tenir compte :
a. des risques associés à la sous-externalisation, y compris les risques supplémentaires qui peuvent survenir si le sous-traitant de énième rang est situé dans un pays tiers ou dans un pays autre que celui du prestataire de services ;
b. du risque que des chaînes longues et complexes de sous-externalisation réduisent la capacité des Établissements à contrôler la fonction critique ou importante externalisée et la capacité des autorités compétentes à les surveiller efficacement.
[43] Voir également sous la section portant sur la Phase contractuelle, sous le point 13.1 s’intitulant « Sous-externalisation de fonctions critiques ou importantes » qui indique les clauses devant être insérées dans l’accord d’externalisation et qui précise que si l’externalisation partielle de prestations critiques ou importantes est autorisée, l’Établissement doit déterminer si la partie de la prestation à externaliser est, en tant que telle, critique ou importante (c’est-à-dire une partie importante de la prestation elle-même critique ou importante) et, le cas échéant, l’inscrire au registre. Il est également précisé que l’Établissement doit veiller à ce que le prestataire de services supervise de manière appropriée ses prestataires de sous-traitance, conformément à la politique définie par l’Établissement. Et si la sous-traitance proposée risque d’avoir des effets négatifs importants sur l’accord d’externalisation d’une prestation critique ou importante ou d’entraîner une augmentation sensible du risque, l’Établissement devra exercer son droit de s’opposer à cette sous-traitance, si ce droit a été convenu, et/ou résilier le contrat.
[44] Plan de continuité d’activité : les Établissements faisant partie d’un même groupe ou d’un plan de redressement ou de résolution (PRR – Directive BRRD) peuvent s’appuyer sur des plans de continuité d’activité établis au niveau central concernant leurs prestations externalisées.
Les plans de continuité des opérations doivent tenir compte de l’éventualité où la qualité de la prestation critique ou importante externalisée se détériore à un niveau inacceptable ou échoue. Ces plans doivent également tenir compte de l’impact potentiel de l’insolvabilité ou d’autres défaillances des prestataires de services et, le cas échéant, des risques politiques dans la juridiction du prestataire de services.
[45] Cf. sous le n° 13.3 des Orientations ABE.
[46] L’audit interne doit notamment vérifier : « […] b. l’adéquation, la qualité et l’efficacité de l’évaluation des prestations critiques ou importantes […] ».
[47] Les établissements de crédit doivent accorder une attention particulière à l’évaluation des prestations critiques ou importantes si l’externalisation concerne des prestations liées à des activités relevant de leur cœur de métier ou des prestations critiques au sens de la réglementation BRRD (c’est-à-dire toute prestation impérativement nécessaire pour que l’établissement puisse continuer son activité de manière normale vis-à-vis de sa clientèle dans une situation très dégradée pouvant mener à sa résolution). Lesdites activités externalisées/(« activities of core business lines or critical functions ») doivent être considérées comme des fonctions critiques ou importantes à moins qu’il soit démontré qu’une éventuelle défaillance n’aurait pas d’incidence négative sur la continuité opérationnelle de ladite activité/prestation.
Les Orientations mentionnent à ce sujet (cf. 13. Phase contractuelle, n° 75, sous les points n. et o.) que l’accord d’externalisation pour des prestations critiques ou importantes doit prévoir :
n. l’obligation pour le prestataire de services de coopérer avec les autorités compétentes et les autorités de résolution de l’Établissement, y compris les autres personnes qu’ils désignent ;
o. une référence claire aux pouvoirs de l’autorité nationale de résolution, en particulier aux articles 68* et 71 de la directive 2014/59/UE (BRRD), et notamment une description des “obligations essentielles*” du contrat au sens de l’article 68 de ladite directive.
* [Cet article 68 vise : « les obligations essentielles au titre du contrat, notamment les obligations de paiement et de livraison, ainsi que la fourniture d’une garantie ».]
[48] Cf. l’article de Gaétan Cordier, « La clause de réversibilité : retour aux sources de l’outsourcing », Communication Commerce électronique n° 5, mai 2008, prat. 5.
[49] Cf. l’article d’Hervé Gabadou, « La gestion de la sortie des contrats d’outsourcing », Option Finance, 14 juillet 2014, pp. 30-31.
[50] Cf. l’article d’Amélie Bruder, « Contrat d’outsourcing : vigilance de mise lors de la rédaction du contrat-cadre », Petites Affiches n° 77, 17 avril 2009, p. 3.
[51] Cf. sous le point 15, Stratégie de sortie, n° 106 et suiv. desdites Orientations ABE.
[52] Cf sous le lien suivant : https://www.bankingsupervision.europa.eu/press/pr/date/2016/html/sr161215_1.fr.html. « La supervision bancaire de la BCE publie ses priorités prudentielles pour 2017 » : « […] L’accent est également mis sur les activités externalisées par les banques et sur les risques associés […] ». « […] Par ailleurs, les autorités de surveillance vont entreprendre un nouvel examen thématique pour faire le point sur les activités externalisées par les banques et examiner leur gestion des risques associés. Cet examen pourra prendre plus d’une année. […] ».
[53] Cf le rapport annuel de la BCE sous le point intitulé « Thematic review of outsourcing » : https://www.bankingsupervision.europa.eu/press/publications/annual-report/html/ssm.ar2018~927cb99de4.en.html#toc21. « In recent years, technological developments have affected the way banking services are offered worldwide. Outsourcing, for instance, may help banks to be more efficient, but it may also pose challenges for them in terms of their risk management and the ways in which they control outsourced activities. Banks are also showing increasing interest in outsourcing to cloud service providers. While cloud services can offer some advantages (e.g. economies of scale and cost-effectiveness), they also present challenges in terms of data protection and data location . Against this backdrop, ECB Banking Supervision has been keeping a close eye on outsourcing, which was identified as one of the SSM supervisory priorities for 2017. To this end, a thematic review involving a targeted sample of SIs was launched and concluded in 2017, with follow-up actions continuing in 2018 as part of ordinary ongoing supervision. The thematic review took stock of banks’ outsourcing practices, revealing significant differences in terms of their governance and management. ECB Banking Supervision also identified best practices in order to promote further improvements. Based on the thematic review, it has contributed to the EBA’s work in relation to (i) the EBA Recommendations on outsourcing to cloud service providers[11], and (ii) the new EBA Guidelines on outsourcing, which will replace the CEBS Guidelines and the aforementioned recommendations, when they enter into force later in 2019. »
[54] Cf. l’article de Rouzanna Bedanokova et Thomas Colin, « Direction des opérations – De l’Outsourcing vers le Global Sourcing », Revue Banque n° 697, décembre 2007.
[55] Cf. l’article de Georges Pujals, « Délocalisations et externalisations dans le secteur financier », Revue de l’OFCE 2005/3, n° 94, p. 212 à 238 : https ://www.cairn.info/revue-de-l-ofce-2005-3-page-212.htm. « L’externalisation peut enfin avoir un impact sur les ressources humaines et la culture d’entreprise (pour près de 20 % des établissements consultés ). Dans ce genre d’opération, il arrive assez souvent que les entreprises concentrent leurs efforts sur les aspects techniques et financiers et sous-estiment, de fait, la dimension humaine du projet. Or, une absence ou une insuffisante prise en compte de cette dimension peut engendrer des réactions négatives se manifestant non seulement par des conflits internes, mais également par une baisse de la productivité , et plus insidieusement par une perte de confiance individuelle et collective dans l’entreprise. L’entreprise s’expose alors à un risque moins visible mais tout aussi important, le risque humain. Ce risque sera d’autant plus important que l’activité est externalisée ou délocalisée vers un PED. Dans ce cas précis, il faudra en plus considérer le risque pays . »
