L’externalisation n’est pas une nouveauté dans le secteur bancaire, s’agissant d’un outil de gestion – utilisé depuis les années 1970 – qui permet d’améliorer la performance et la compétitivité des établissements de crédit, de réduire les coûts et d’accroître leur flexibilité sur le marché.

Face à l’émergence de nouvelles technologies – comme la fintech qui est issue de la révolution numérique – les établissements de crédit et notamment les grands groupes bancaires ont considérablement développé ce mode de gestion.

Ils ont ainsi décidé de déléguer la responsabilité opérationnelle de processus ou de fonctions les moins stratégiques (comme les prestations de support ou de maintenance informatique) à des opérateurs externes pour se concentrer sur le cœur de métier de la banque.

Cependant, cette tendance à confier une ou plusieurs fonctions à des prestataires de services externes est très risquée et expose les établissements à plusieurs menaces (cyberattaques, fraudes, blanchiment d’argent, etc) qui peuvent avoir un impact significatif sur la continuité de l’activité d’entreprise.

Ainsi, pour aider les équipes de direction des établissements de crédit à définir et à mettre en œuvre un processus d’externalisation plus robuste, l’EBA (European Banking Autority) a publié des Guidelines qui fournissent des précisions importantes à ce sujet.

Conçu comme une feuille de route, ce document recommande aux établissements de se doter d’un dispositif de gouvernance sains et efficace, de renforcer les systèmes de contrôle interne et de gestion des risques, d’identifier l’externalisation des fonctions critiques ou importantes et de définir une stratégie de sortie documentée qui soit conforme à leur politique d’externalisation, ainsi qu’à leur plan de continuité.

Nouveau processus d’externalisation de l’EBA  

Les Guidelines de l’EBA s’inscrivent dans une tendance internationale, observée depuis quelques années, visant à renforcer les dispositifs de contrôle interne et de gestion des risques des établissements de crédit. À cet effet, l’EBA propose un nouveau processus d’externalisation des prestations de service, qui s’articule en 4 phases :

  1. Phase pre-outsourcing

Avant de conclure un accord d’externalisation, les établissements de crédit doivent préalablement identifier les fonctions critiques ou importantes. Telles sont considérées les fonctions qui se trouvent dans les situations suivantes :

  • Lorsque l’exécution des prestations est susceptible de nuire sérieusement à la capacité de l’établissement de se conformer de manière continue aux conditions de son agrément ou à ses autres obligations, à ses performances financières ou à la solidité ou à la continuité des services et de ses activités bancaires et de paiement.
  • Lorsque les taches opérationnelles des fonctions de contrôle interne sont externalisées, à moins que l’évaluation n’établisse que le non-exercice de la fonction externalisée ou l’exercice inapproprié de la fonction externalisée n’aurait pas d’incidence négative sur l’efficacité de la fonction de contrôle interne.
  • Lorsque, les établissements ont l’intention d’externaliser des fonctions d’activités bancaires ou de services de paiement dans une mesure qui nécessiterait l’autorisation d’une autorité compétente.

  1. Phase de contrôle du processus d’externalisation

Les établissements doivent s’assurer, dans leur processus de sélection et d’évaluation, que les prestataires de services sont aptes à exercer les fonctions externalisées. En ce qui concerne les fonctions critiques ou importantes, les établissements doivent veiller à ce que le prestataire de services possède la réputation commerciale, des capacités appropriées et suffisantes, l’expertise, la capacité, les ressources (notamment humaines, informatiques, financières), la structure organisationnelle, et le cas échéant, l’agrément ou l’enregistrement règlementaire nécessaire pour exercer la fonction critique ou importante.

Tout au long du processus d’externalisation, les établissements doivent identifier et évaluer l’ensemble des risques liés à l’externalisation des prestations de service (tels que : risques juridiques, risques de concentration, risques opérationnels, risques de sous-traitance, risques de continuité de l’activité, risques de sécurité des données, risques stratégiques, risques d’image et de réputation), et adopter et mettre en œuvre les dispositifs et les procédures de contrôle pour les gérer et les maitriser.       

  1. Phase contractuelle

Une fois les prestataires choisis, les établissements doivent formaliser le contrat d’externalisation et définir clairement les engagements de chaque partie. Tout particulièrement, les Guidelines de l’EBA fixent la liste d’informations devant figurer dans le contrat d’externalisation de fonctions critiques ou importantes. Ces dispositions incluent des informations concernant la sécurité des données, la sous-traitance, les objectifs de performance, le droit d’accès de la fonction d’audit interne, le reporting du prestataire de service envers l’établissement, le niveau d’assurance, l’obligation pour le prestataire de service de coopérer avec les autorités compétentes, etc.

Les établissements doivent en outre documenter l’ensemble des dispositifs d’externalisation en vigueur et conserver cette documentation dans un registre pendant une durée appropriée. 

  1. Phase de définition du Plan d’action et stratégie de sortie

Autre exigence clé, les établissements doivent mettre en place, maintenir et tester périodiquement des plans appropriés de poursuite de l’activité pour les fonctions critiques ou importantes externalisées.

En particulier, les plans de poursuite de l’activité devraient tenir compte de l’éventualité selon laquelle la qualité de la fourniture de la fonction critique ou importante externalisée pourrait se dégrader de manière inacceptable ou être défaillante. Ces plans devraient également tenir compte de l’incidence potentielle de l’insolvabilité ou d’autres défaillances des prestataires de services et, le cas échéant, des risques politiques liés à la juridiction du prestataire de service.

Rappel de l’ACPR

En vigueur depuis le 30 septembre 2019, le nouveau processus de l’externalisation de l’EBA s’applique à tous les contrats d’externalisation conclus, révisés ou modifiés à partir de cette date. Les contrats antérieurs à cette date doivent, en revanche, être mis en conformité avant le 31 décembre 2021.

Par ailleurs, les Guidelines de l’EBA doivent être lues à la lumière des dispositions de l’arrêté du 25 février 2021, qui a modifié les articles 232 et 238 de l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services soumis au contrôle de l’Autorité de contrôle prudentiel et de résolution (ACPR).

Récemment, l’ACPR a publié un communiqué de presse dans lequel rappelle à toutes les entreprises soumises à son activité de supervision leurs obligations en matière d’externalisation des prestations de services[1].

Elle insiste notamment sur le fait que les organismes qui externalisent des prestations essentielles demeurent pleinement responsables du respect de l’ensemble des obligations qui leur incombent. Ils doivent veiller à ce que l’externalisation de prestations essentielles ou critiques ne conduise pas à un affaiblissement de leurs systèmes de gouvernance, de la maîtrise de leurs risques opérationnels, de la continuité de leurs activités, ni même de la capacité de contrôle du superviseur.

L’externalisation doit être formalisée à travers la conclusion d’un contrat écrit entre l’organisme et son prestataire définissant clairement les droits et les obligations des deux parties. Par ailleurs, les prestataires doivent se conformer aux procédures établies par les organismes assujettis et permettre au responsable de l’audit interne d’avoir accès à toutes les informations concernant les fonctions critiques ou importantes externalisées, ainsi que celles relatives aux fonctions sous-externalisées. Les conclusions ainsi établies dans le rapport d’audit doivent enfin être adressées à l’ACPR.

gp@giovannellapolidoro.com

————————————–

[1] Voir communique de presse de l’ACPR du 22 juillet 2021

Leave a comment