Site icon Deloitte Société d'Avocats

Dispositifs d’externalisation : l’ACPR rappelle les acteurs à leurs obligations

Pour tous les acteurs du secteur de la banque, de l’assurance ou des paiements projetant d’externaliser ou externalisant déjà des prestations informatiques, des fonctions de contrôle ou de traitements de « back-office » de nature diverse, il est crucial de qualifier l’importance de ces prestations.

Celles-ci, peuvent en effet présenter un caractère essentiel ou critique au sens des réglementations prudentielles en vigueur et, à ce titre, relever des obligations spécifiques s’imposant en cas d’externalisation.

L’identification des fonctions critiques

A titre d’exemple, conformément aux dispositions des orientations relatives à l’externalisation de l’EBA, une fonction doit être considérée comme étant critique ou importante par un établissement de crédit et un établissement de paiement :

En fonction de la typologie de leur agrément, les établissements concernés doivent alors informer de façon appropriée, et en temps utile, l’Autorité de contrôle prudentiel et de résolution (ACPR) au sujet de l’externalisation de fonctions critiques ou importantes

Exemple : les établissements de crédit doivent informer l’ACPR en cas de conclusion d’un contrat d’externalisation portant sur des prestations de services ou d’autres tâches essentielles ou importantes ou lorsqu’une activité externalisée est devenue une prestation de service ou une tâche opérationnelle essentielle ou importante en lui adressant, une fois par an, une extraction du registre des dispositifs d’externalisation).

L’ACPR rappelle les obligations en matière d’externalisation

Dans ce contexte, l’ACPR a publié, le 22 juillet dernier, un communiqué dans lequel elle rappelle aux acteurs entrant dans son périmètre de supervision (acteurs dits « services financiers, c’est-à-dire, du secteur de la banque, de l’assurance et des paiements) leurs obligations en matière d’externalisation ; en particulier, en ce qui concerne leurs prestations présentant un caractère essentiel ou critique).

A titre d’exemples, en ce qui concerne les établissements de crédit et les établissements de paiement, ces règles découlent, notamment, des orientations relatives à l’externalisation adoptées par l’Autorité bancaire européenne (EBA/GL/2019/02) et des articles 231 et suivants de l’arrêté du 3 novembre 2014 relatif au contrôle interne. En ce qui concerne les entreprises d’assurance, ces règles découlent, en particulier, des articles L.354-3 et R.354-7 du Code des assurances et de l’article 274 du règlement délégué (UE) n°2015/35.

Les principaux points d’attention rappelés par l’ACPR

Les principaux points d’attention rappelés par l’ACPR à l’occasion de son communiqué de juillet 2021 sont les suivants :

Sanctions en cas de manquement

Conformément aux dispositions des articles L.612-1 et L.612-39 du Code monétaire et financier, l’établissement qui ne respecte pas les règles relatives aux modalités d’exercice de ses activités encourt une sanction disciplinaire de la part de l’ACPR. Cette sanction sera, en particulier, déterminée selon la gravité du manquement constaté.

Exit mobile version