22/07/22

Nouvelle réglementation des contrats d’outsourcing par la CSSF

La CSSF a publié ce 22 avril 2022 la Circulaire CSSF 22/806 on Outsourcing arrangements (la « Circulaire »). Elle concerne les banques, les PSF ainsi que diverses entités du secteur financier (“In-Scope Entities”).

On trouvera le texte intégral de la Circulaire (qui existe uniquement en anglais) sous le lien suivant : https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf

Les entités concernées sont tenues à l’obligation Générale décrite comme suit:  “to adopt robust internal governance arrangements, which shall include a clear organisational structure, adequate internal control mechanisms, including sound administrative and accounting procedures and practices allowing and promoting sound and effective risk management, as well as control and security mechanisms for their IT systems”.

La Circulaire vise à compléter ce cadre général de gouvernance interne dans les cas où l’entité recourt à des accords de sous-traitance, que ce soit en matière IT ou en d’autres matières. Ces règles se fondent sur les dernières orientations de l’Autorité Bancaire Européenne sur l’outsourcing (EBA/GL/2019/02 on outsourcing arrangements).

On trouve sous la Partie I, les définitions et règles générales de la sous-traitance.

Il est notamment essentiel d’identifier les cas de sous-traitance d’une fonction « critique ou importante » (notion qui remplace l’ancienne notion de « material outsourcing »), selon la Section 4.1.2 de la Circulaire.

Ce terme est défini sous le point 18 « Critical or important functions ».

Pour ces fonctions, une notification préalable de toute sous-traitance à l’autorité est requise (sauf si, pour les arrangements déjà en place, la sous-traitance a déjà été autorisée ou notifiée à la CSSF).

Les sous-traitance de fonctions ICT sont traitées sous la Partie II de la Circulaire.

Un chapitre particulier est réservé aux accords de sous-traitante basés sur une infrastructure de cloud computing.

On notera que l’obligation de notification préalable s’applique toujours pour les “cloud computing outsourcing arrangements”.

Partie III

Enfin, cette partie traite des dispositions transitoires. Ainsi, il incombe aux entités de revoir et le cas échéant amender les accords de sous-traitance existants afin de s’assurer qu’ils sont conformes à la nouvelle réglementation. Cette obligation comporte une urgence certaine.

Voir points 145 et 146 de la Circulaire :

“145. In-Scope Entities shall review and amend existing outsourcing arrangements with a view to ensuring that they are compliant with this Circular.

146. In-Scope Entities shall complete the documentation of all existing outsourcing arrangements in line with this Circular following the first renewal date of each existing outsourcing arrangement, but by no later than 31 December 2022.

Where the In-Scope Entities assess that the review and amendment of outsourcing arrangements of critical or important functions existing prior to 30 June 2022 will not be finalised by 31 December 2022, they shall inform their competent authority in a timely manner of that fact, including the measures planned to complete the review or the possible exit strategy.”

Les entités concernées doivent donc s’atteler sans tarder à cette tâche afin de rencontrer autant que possible le délai du 31 décembre 2022, quitte à négocier avec l’Autorité un report de date au cas où des difficultés seraient recontrées.

dotted_texture