Voir l’article en format PDF en cliquant ici : AGEFI Luxembourg Marie Paule GILLEN Renaud LE SQUEREN DSM Avocats à la Cour La sous traitance informatique dans le domaine financier

Au cours des dernières années, on a pu observer un développement croissant du recours à la sous-traitance dans l’industrie de la finance, et ce pour une part prépondérante en matière de services informatiques. Ceci s’explique à la fois par un souci d’économie d’échelle et de réduction des coûts ainsi que par le besoin de garantir un niveau d’excellence des services empreints d’une flexibilité et d’une efficacité toujours plus performantes, grâce au support de professionnels spécialisés dans les nouvelles technologies en matière financière (Fin Techs). Ainsi, pour la majorité des institutions, la sous-traitance fait aujourd’hui partie intégrante de leur modèle d’affaires.

Toutefois, ce mode opérationnel comporte des risques majeurs que les institutions doivent contrôler, maîtriser et limiter autant que possible. Ainsi, en sous-traitant à des tiers certains domaines d’activité, l’institution s’expose au risque de perdre partiellement le contrôle de ses fonctions stratégiques ou de certains domaines d’activité, en même temps que son expertise interne et sa logistique lui échapperont peu à peu. À cela s’ajoute que les données confidentielles de clients passeront entre les mains de tiers pour les besoins des traitements qui leur sont confiés, au risque d’affaiblir la sécurité de l’information et la confidentialité des données personnelles.

C’est pourquoi la sous-traitance a fait l’objet d’un encadrement légal et réglementaire, que ce soit au niveau de la loi et la réglementation nationales, essentiellement par les circulaires de la CSSF, ou au niveau européen[1]. Les autorités visent ainsi à assurer que les institutions disposent d’une gouvernance solide, étayée d’un contrôle interne indépendant et de qualité élevée. Il y va de la crédibilité et de la viabilité du secteur financier dans son ensemble.

  1. Cadre légal luxembourgeois

Au Grand-Duché de Luxembourg, où le principe du secret bancaire et de la garantie de la confidentialité des informations confiées par le client sont traditionnellement des valeurs primordiales dans les services financiers, la loi du 5 avril 1993 relative au secteur financier, telle que modifiée[2] (la « LSF ») a longtemps limité étroitement l’usage de la sous-traitance. L’article 41 de la LSF, siège de la règle sacro-sainte du secret bancaire, a récemment fait l’objet d’une dérogation majeure, obtenue de haute lutte par les professionnels du secteur financier eux-mêmes[3], pour ouvrir enfin une large voie au recours à la sous-traitance, qui s’avérait absolument vitale et nécessaire au maintien de la compétitivité des établissements luxembourgeois. Cette nouvelle ouverture reste toutefois strictement encadrée et surveillée et son application doit répondre à de sévères exigences organisationnelles. Celles-ci sont notamment développées dans la Circulaire CSSF 12/552 telle que modifiée, relative à l’administration centrale, gouvernance interne et gestion des risques[4]. Il convient également d’intégrer les EBA guidelines EBA/GL/2019/02[5] qui précisent les dispositifs en matière de gouvernance interne, y compris en termes de gestion saine des risques, que les entités concernées doivent mettre en œuvre lorsqu’elles externalisent des fonctions, en particulier en ce qui concerne l’externalisation de fonctions critiques ou importantes[6].

La sous-traitance est définie comme le transfert complet ou partiel de tâches opérationnelles, d’activités ou de prestations de services d’un établissement vers un prestataire externe (hors ou intra groupe)[7]. Elle peut avoir pour objet la délégation de tâches opérationnelles ou de certaines activités ou services, dont les services informatiques qui peuvent consister en des conseils de développement et de maintenance, des services d’hébergement ou des services de gestion/d’opérations de systèmes informatiques. Une place à part doit être réservée pour la sous-traitance informatique qui a recours à la technologie du « cloud computing ».

Les points essentiels de l’encadrement réglementaire sont repris ci-dessous. Ils s’appliquent de façon générale à tout type de sous-traitance, qu’elle soit ou non informatique, mais nous soulignerons séparément les exigences réglementaires particulières qui concernent la sous-traitance informatique. Toutes ces règles doivent s’appliquer en prenant en compte le principe de proportionnalité, compte tenu de la taille et des spécificités de l’institution concernée.

  1. Principes généraux en matière de sous-traitance

En premier lieu, il n’est pas permis de sous-traiter des fonctions essentielles telles que les fonctions stratégiques ou celles relevant du cœur de métier. La sous-traitance ne peut pas non plus avoir pour effet de délocaliser l’administration centrale, de faire de l’établissement une coquille vide ou d’entraver le contrôle de l’autorité de surveillance.

Quelle que soit l’activité sous-traitée, l’établissement sous-traitant reste in fine seul responsable de ses obligations légales et réglementaires et envers sa clientèle, sachant que sa direction garde la responsabilité finale de la gestion des risques.

Avant de sous-traiter des activités dites « matérielles » (étant celles qui, si elles ne sont pas exécutées dans les règles, diminuent la capacité de l’établissement à respecter les exigences réglementaires ou à poursuivre ses opérations, ainsi que celles qui sont nécessaires à la gestion saine et prudente des risques) un établissement doit obtenir au préalable l’autorisation de la CSSF, sauf en cas de sous-traitance à des établissements de crédit luxembourgeois ou PSF de supports agréés, où cette autorisation peut être remplacée par une simple notification.

La question se pose de savoir si une sous-traitance informatique doit être qualifiée de « matérielle ». Dans la grande majorité des cas la réponse sera affirmative, sous réserve de vérifier dans les faits la portée exacte de la sous-traitance et son effet sur l’activité et le contrôle de l’institution.

Un accès sans restriction aux informations relatives aux activités sous-traitées doit toujours être ouvert à l’autorité de surveillance, au réviseur externe et aux fonctions de contrôle interne, pour leur permettre de vérifier utilement l’adéquation de la sous-traitance.

Les accords de sous-traitance seront consignés par écrit, et cette convention devra contenir certaines clauses obligatoires définies par la réglementation.

Dès lors que la sous-traitance entraîne une transmission à des tiers de ses données personnelles[8], l’acceptation du client sera un élément clé. Une telle sous-traitance requiert l’acceptation du client, qui doit aussi couvrir le type de renseignements transmis dans le cadre de cette sous-traitance et le pays d’établissement des prestataires. La forme de cette acceptation a été longuement discutée, et aujourd’hui on admet généralement qu’elle put figurer comme une clause spécifique des conditions générales de l’établissement. Dans ces cas, les sous-traitants doivent également être soumis au secret professionnel légal ou avoir signé un accord de confidentialité.

Il incombe aussi à l’établissement de s’assurer que la réglementation sur la protection des données personnelles est entièrement respectée. Il devra en outre assurer sur le plan technique la confidentialité et l’intégrité des données des systèmes, qui doivent rester entièrement maîtrisées dans toute la chaîne de la sous-traitance. Ainsi, la sous-traitance en cascade  (« chaînes de sous-traitance ») ne sera permise que moyennant l’accord préalable de l’établissement et moyennant un contrôle par celui-ci de la maîtrise de la chaîne à tous les niveaux et de la sauvegarde de l’intégrité du contrôle interne et externe.

Les établissements devront veiller à éviter une trop grande concentration des sous-traitances sur un seul ou un petit nombre de prestataires, ce qui aurait pour effet d’accentuer trop lourdement leur dépendance à des entités externes.

  1. Régime spécifique de la sous-traitance informatique

Outre les exigences précitées généralement applicables à toute sous-traitance, la sous-traitance dans les domaines IT doit aussi rencontrer des exigences spécifiques détaillées dans la Circulaire CSSF 12/55 (point 7.4.2) et la Circulaire CSSF 17/656.

Sans entrer dans le détail de ces règles complexes, nous en retiendrons les grandes lignes, qui visent à préserver à la fois l’intégrité et la sécurité des données personnelles des clients, la maîtrise des process et de leur contrôle par l’établissement et garantit à celui-ci la continuité des services en cas de crise et la possibilité de reprendre à tout moment de transférer le services sous-traités à un autre fournisseur ou de les reprendre sous sa gestion propre.

Retenons principalement que l’établissement doit posséder un dispositif complet de gouvernance de la sous-traitance informatique par le biais de :

  • Une politique informatique qui intègre les activités sous-traitées, ainsi qu’une politique de sécurité des systèmes d’information cohérentes avec les activités sous-traitées ;
  • Des procédures couvrant la sous-traitance IT ;
  • Une documentation complète, incluant une politique écrite approuvée par la Direction autorisée, des plans d’urgence[9] et de stratégies de sorties, ainsi qu’un contrat détaillé pour chaque accord de sous-traitance, et une documentation suffisante des programmes utilisés.

Pour les sous-traitances impliquant la gestion des systèmes IT ou l’accès au système de production ou la prestation de services d’hébergement de l’infrastructure IT par un fournisseur externe, une latitude plus grande est accordée dans les cas où les prestataires sont établis au Grand-Duché de Luxembourg et disposent du statut d’établissement de crédit ou professionnel de support. Si le prestataire est un professionnel étranger, les données confidentielles doivent par défaut être cryptées. Dans le cas contraire, l’établissement sous-traitant devra s’assurer, au regard des risques juridiques, de la nécessité d’informer ou non ou d’obtenir le consentement de ses clients. Toute intervention d’un prestataire tiers pour le développement, la maintenance et les modifications du système est soumise à des mesures similaires, et doit notamment par défaut se faire hors du système IT de production, sinon être soumise à des mesures d’encadrement strict.

  1. Règles particulières en cas de recours à une infrastructure de cloud computing

Le recours à une infrastructure cloud computing n’a pas manqué d’inquiéter les autorités qui ne pouvaient tolérer que par ce biais, les activités sous-traitées des institutions échappent à leur champ de surveillance.[10]

La Circulaire CSSF 17/654, telle que modifiée, précise certaines notions hautement techniques utilisées par ce type de structure, définit les 5 caractéristiques essentielles du concept de « cloud computing »[11] et prévoit des règles strictes à mettre en place dans ce contexte à des fins de transparence en définissant le rôle des différents intervenants ainsi que leur responsabilité respective.

Les choix stratégiques et opérationnels portant sur les risques liés aux TIC et à la sécurité doivent maintenant en outre se faire l’aune des EBA guidelines (EBA/GL/2019/04) sur la gestion des risques liés aux TIC et à la sécurité, qui sont applicables à partir du 30 juin 2020.

Finalement l’ESMA vient d’inviter les autorités nationales compétentes et les acteurs des marchés financiers ce 03 juin 2020[12] à formuler des commentaires sur son projet de lignes directrices sur l’externalisation vers des fournisseurs de services dans le Cloud précisant les mécanismes de gouvernance, de documentation, de surveillance et de contrôle que les entreprises devraient mettre en place, l’analyse préalable des risques et la due diligence qui devraient être entreprises avant l’externalisation, les éléments minimums que les accords de sous-traitance par le cloud devraient comporter, tels que les stratégies de sortie, les droits d’accès et d’audit, la sous-traitance en cascade, qui doivent être pris en compte, la notification aux autorités compétentes et la surveillance par les autorités compétentes. L’ESMA examinera tous les commentaires reçus au plus tard le 1er septembre 2020. Affaire à suivre donc…

  1. Règles particulières à certains PSF

Enfin, la sous-traitance est soumise à des réglementations différentes selon que  l’institution qui l’utilise est un établissement de crédit ou une entreprise d’investissement ou un établissement de paiement, un établissement de monnaie électronique ou un autre professionnel du secteur financier, voire un gestionnaire investissement. On a vu que les règles applicables aux établissements de crédit et entreprises d’investissement sont très strictes, alors que les autres professions réglementées se voient appliquer un cadre relativement plus léger. Il n’en reste pas moins qu’un cadre réglementaire visant des objectifs similaires leur est réservé, qui est précisé par l’autorité en s’appuyant sur les règles légales de base que nous avons évoquées ci-dessus. Relevons notamment à cet égard la Circulaire CSSF 18/698 qui prévoit, pour les gestionnaires de fonds d’investissement, une notification préalable à la CSSF et la formalisation au sein d’un contrat de service du recours à un tiers pour le conseil, la programmation, la maintenance ou la gestion de systèmes informatiques ou le Règlement RTS (Regulatory Technical Standards)[13] sur les normes techniques de la réglementation PSD2 (Directive des services de Paiement) par exemple.

  1. Une règlementation sans préjudice du RGPD

La conformité aux règles applicables dans le secteur financier ne permet pas en tant que telle de satisfaire pleinement aux exigences en matière de protection des données personnelles dont la règlementation se superpose au cadre règlementaire existant. Une analyse de chaque traitement devra être effectuée par l’entité concernée de manière à mettre en place la documentation adéquate en matière de « sous-traitance » au sens du RGPD[14] y compris dans les relations intragroupes. De la même manière, la notification à l’autorité de contrôle en matière de protection des données et la communication de violation de données personnelles aux personnes concernées ne permet pas d’éluder les obligations de déclaration à l’égard de l’autorité de surveillance du secteur financier (CSSF et/ou BCE) s’agissant des incidents informatiques et des cyberattaques[15].

 

[1] Voir les Lignes Directrices de l’autorité bancaire européenne sur la gouvernance interne (EBA/GL 44 du 27.09.2011), ainsi que l’EBA GL/2019/02 sur la sous-traitance du 25 février 2019. Ces dernières s’appliquent aux établissements de crédit, aux entreprises d’investissement, établissements de paiement et établissements de monnaie électronique.

[2] Article 41 de la LSF.

[3] Article 41 (2 bis) introduit dans la LSF par la loi du 13 février 2018.

[4] Voir le sous-chapitre 7.4 de la Circulaire CSSF 12/552. On notera que cette Circulaire s’applique uniquement aux établissements de crédit, aux entreprises d’investissement et partiellement aux professionnels effectuant des opérations de prêt. Les autres professionnels, dont les PSF, sont quant à eux soumis aux principes posés par la LSF aux articles 41 (2bis), 36 (1) et 36-2.

[5] La Circulaire 12/552 fait actuellement l’objet d’une refonte par la CSSF. On prévoit la sortie  de la nouvelle version en septembre prochain. Elle sera suivie par une autre circulaire spécifiquement dédiée à la sous-traitance qui transposera les EBA Guidelines sur cette matière.

[6] Les EBA/GL/2019/02 sont applicables à compter du 30 septembre 2019 à tous les accords d’externalisation conclus, révisés ou modifiés à partir de cette date à l’exception du paragraphe 63 (b) qui s’applique à compter du 31 décembre 2021 (accord de coopération).

[7] Voir Circulaire CSSF 12/552, n° 181.

[8] Article 41 (2bis) de la LSF.

[9] Par exemple, un BCP – Business Continuity Plan et un DRP – Disaster Recovery Plan.

[10] Dès 2017, l’EBA a émis des recommandations sur la sous-traitance par le Cloud, qui furent ensuite intégrées dans les EBA/GL/2019/02 précitées.

[11] Défini comme un modèle qui permet un accès omniprésent, pratique et à la demande à un ensemble de ressources informatiques partagées et configurables qui peuvent être rapidement fournies et libérées avec un minimum d’interaction par les fournisseurs de services.

[12] ESMA Consultation Paper 50-164-3342.

[13] Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication

[14] Règlement (UE) 2016/679 du Parlement européen et du Conseil européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[15] Voir Circulaires CSSF 11/504 et 18/704.

Par Me Marie-Paule GILLEN, Partner – Avocat à la Cour & Me Renaud LE SQUEREN, Partner – Avocat à la Cour.