Les banques avaient jusqu’au 31 décembre 2021 pour revisiter leurs contrats avec leurs sous-traitants PECI si elles veulent se conformer aux directives de l’EBA publiées 2 ans plus tôt.

Ces directives définissent la notion d’externalisation et posent des critères permettant de déterminer si l’activité externalisée est critique ou importante , elles fixent enfin un cadre de gouvernance aux relations avec le prestataire.

Qu’est ce que l’externalisation ?

 C’est un accord conclu entre un établissement, un établissement de paiement ou un établissement de monnaie électronique et un prestataire de services, en vertu duquel ce prestataire de services prend en charge un processus ou exécute un service ou une activité qui autrement, serait exécuté par l’établissement lui-même.

Ces recommandations sont applicables à l’externalisation de fonctions critiques ou importantes, mais pas uniquement, ainsi qu’aux opérations d’externalisation intra et extra groupe.

Comment savoir si une prestation est critique et importante ?

En répondant oui à l’une de ces questions : 

• est-ce qu’une anomalie ou une défaillance de son exécution va nuire sérieusement à la capacité des établissements de se conformer de manière continue aux conditions de leur agrément ou à leurs autres obligations ?
• est-ce qu’une anomalie ou une défaillance de son exécution va nuire sérieusement à leurs performances financières ?
• est-ce qu’une anomalie ou une défaillance de son exécution va nuire sérieusement à la solidité ou à la continuité de leurs services et de leurs activités bancaires et de paiement ?
• est-ce qu’une anomalie ou une défaillance de son exécution va nuire sérieusement à leur résilience et leur viabilité financière à court et à long terme, y compris, le cas échéant, leurs actifs, capital, coûts, financement, liquidités, profits et pertes ?
• est-ce qu’une anomalie ou une défaillance de son exécution influe sur la poursuite de l’activité et la résilience opérationnelle ? 
•  est-ce qu’une anomalie ou une défaillance de son exécution augmente leurs risques opérationnels et leurs risques de réputation ? 

Concrètement?

Les établissements (bancaire et de paiement) doivent tenir à jour un registre des externalisations et doivent documenter l’ensemble des accords d’externalisation. Ce registre qui dans le cadre d’un groupe peut être tenu au niveau central doit comporter pour chaque opération une liste d’information.

Les points de contrôles qu’un établissement (bancaire ou de paiement) doit avoir envers un sous-traitant:

• Rester autonomes dans leurs décisions liées à leurs activités bancaires même dans le cadre d’une activité externalisée.
• Maintenir la régularité de leurs activités
• Identifier, évaluer, gérer et atténuer les risques liés aux dispositifs d’externalisation actuels et prévus y compris les risques liés aux TIC et à la technologie financière. Cela inclus, PCA (Plan de Continuité d’Activité, PRA (Plan de Reprise d’Activité), PRI (Plan de Reprise Informatique).

L’ impact est lourd pour le prestataire PECI

Cette réglementation s’impose aux établissements (bancaires et de paiement) et ce quelque soit la taille de leurs sous-traitants.

L’établissement doit être en mesure d’entreprendre au moins l’une des actions suivantes dans un délai approprié: transférer la fonction vers d’autres prestataires de services;  réinternaliser la fonction; ou  interrompre les activités commerciales qui dépendent de la fonction.

Les règles et conditions d’audits sont assez stricts. Des aménagements lors de la négociations du contrat peuvent être envisagés. (Ex : fréquence, durée)

Si l’externalisation comporte des données personnelles, l’établissement doit d’assurer que le prestataire prend des mesures techniques et organisationnels appropriées pour les protéger.

RGPD &  EBA même combat

A proprement parler, le RGPD n’impose pas de tenir un registre des sous-traitants mais de recenser et de suivre les opérations externalisées comportant des traitements de données personnelles.

Mais les informations à collecter au titre du RGPD sont similaires à celles mentionnées par l’EBA. Donc, dans un souci de rationalisation, stocker l’ensemble de ces informations au même endroit pourrait être un facteur de simplification et de cohérence des deux démarches.