Le Luxembourg précise les obligations relatives à la sous-traitance informatique dans le secteur bancaire
Publié le 25/09/2006 par sandrine munoz
Après l’entrée en vigueur de la loi du 2 août 2003, modifiant la loi du 5 avril 1993 relative au secteur financier, qui augmentait le champ du contrôle de la Commission de surveillance du secteur financier en créant de nouveaux prestataires de services financiers (ci-après « PSF »), les « PSF connexes », il avait…
Après l’entrée en vigueur de la loi du 2 août 2003, modifiant la loi du 5 avril 1993 relative au secteur financier, qui augmentait le champ du contrôle de la Commission de surveillance du secteur financier en créant de nouveaux prestataires de services financiers (ci-après « PSF »), les « PSF connexes », il avait fallu amender la circulaire IML 96/126 déjà ancienne, relative à l’outsourcing.
Tel était l’objet de la circulaire 05/178 de la Commission du Surveillance du Secteur Financier sur : la réglementation de l’outsourcing au Luxembourg (Circulaire CSSF 05/178 du 11 avril 2005, accessible sur le site de la CSSF, http://www.cssf.lu).
Nous avons déjà consacré une analyse au cadre juridique luxembourgeois de la sous-traitance informatique dans le secteur bancaire et y renvoyons.
La nouvelle circulaire, 06/240 du 22 mars 2006, fournit de nombreuses précisions.
La première circulaire à réglementer la question était la circulaire 96/126 qui a été modifiée par la circulaire 05/178 suite à l’introduction des nouveaux statuts de professionnels du secteur financier (ci-après « PSF de support »). L’ancienne circulaire continue à s’appliquer pour les points sur lesquels elle n’a pas été modifiée par les circulaires 05/178 et 06/240..
Clarification des activités ne relevant pas d’un agrément de PSF de support
Les activités des PSF de support des articles 29-1 à 29-3 nécessitent un agrément de la Commission de surveillance du secteur financier (ci-après « CSSF »).
Les services de développement ou de vente de matériel ne requièrent pas d’agrément.
Pour les autres services il n’y a pas de changement par rapport à la circulaire 05/178 (conseil, programmation ou maintenance) c’est-à-dire que l’agrément n’est pas nécessaire mais ceci à condition que le sous-traitant n’ait pas accès aux données confidentielles.
Cet accès aux données confidentielles par le sous-traitant peut avoir lieu dans des cas exceptionnels et accompagné tout au long de sa mission par une personne du professionnel financier en charge de l’informatique.
Cette exception est encadrée par la circulaire, en effet, le professionnel financier (on entend par professionnel financiers les banques, professionnels du secteur financier hors PSF connexes) peut recourir à du personnel externe ne faisant pas partie d’un PSF de support pour l’assister dans des tâches sur ses systèmes de production susceptibles de contenir des données confidentielles aux conditions suivantes :
-
que ces accès soient occasionnels et nécessaires à l’exécution des tâches ;
-
que ces accès soient traçables et auditables ;
-
qu’il y ait signature d’un accord de confidentialité par le personnel externe : cet accord contiendra l’information du sous-traitant relative à son obligation au respect du secret professionnel visé à l’art.41 de la loi du 5 avril 1993 relative au secteur financier.
Délimitation entre les statuts d’opérateur de systèmes informatiques et de réseaux de communication du secteur financier (OSIRC) (art.29-3) et d’agent administratif (art.29-1)
Si le professionnel financier sous-traite des services qui s’étendent au delà de la prestation purement technique d’opérations des systèmes, que ces services concernent des prestations pouvant avoir une incidence sur l’activité (on songe par exemple à la saisie d’informations financières pour lesquelles une erreur aura un impact sur l’activité), il sera nécessaire pour le professionnel financier de sous-traiter auprès d’un PSF ayant le statut d’OSIRC et également celui de PSF agent administratif art.29-2.
Si le professionnel financier ne met pas directement sa plateforme informatique à disposition du professionnel financier, en dehors de ses services administratifs prestés, la sous-traitance pourra s’effectuer auprès d’un prestataire ayant le statut de PSF agent administratif.
Si le professionnel financier met à disposition du professionnel financier un équipement informatique qu’il administre mais qui ne sert pas à son activité d’agent administratif la sous-traitance devra se faire auprès d’un prestataire ayant le statut d’OSIRC.
Qualification de la prestation technique sous-traitée relevant d’un agrément OSIRC
Si la prestation porte sur un équipement situé dans un environnement de production et qu’au moins une des deux conditions mentionnées ci-après est remplie il s’agit de prestations techniques relevant du statut d’OSIRC.
Les deux conditions sont les suivantes :
- soit la responsabilité du bon fonctionnement de cet équipement ou d’une application qui y est logée est explicitement définie par contrat, ou le professionnel financier a perdu le contrôle et les connaissances sur cette application ou cet équipement;
-
soit le prestataire intervient sur cet équipement ou cette application « librement ».
Il apparaît clairement que cette qualification dépend du contrôle ou pas du professionnel financier.
Le paramétrage technique des systèmes ou des applications, par exemple l’attribution des droits d’accès aux utilisateurs, peut être considéré comme relevant uniquement du statut d’OSIRC, à condition que la définition des droits d’accès soit sous le contrôle du professionnel financier .
En ce qui concerne l’assistance aux utilisateurs (help desk), si cette assistance implique la prise de contrôle à distance ou le paramétrage du système du professionnel financier, l’activité relève du statut d’OSIRC. Cette assistance peut même nécessiter l’octroi du statut d’agent administratif si le prestataire peut modifier à distance des données liées à l’activité du professionnel financier.
Le cas spécifique de la migration de systèmes et de données
Les projets de migration de systèmes ne constituent pas le cœur d’un projet de sous-traitance donc est appliqué ici le même principe que celui applicable aux projets de mise en production d’applications informatiques :
-
lorsque la prestation est fournie par un PSF de support (OSIRC) ce dernier peut avoir accès aux données confidentielles ;
-
lorsqu’il s’agit d’un tiers et que, lors de son intervention dans un environnement de production celui-ci est susceptible de contenir des données confidentielles, il doit être accompagné tout au long de sa mission par une personne du professionnel financier en charge de l’informatique.
Les projets de migration de données combinent une manipulation humaine des données et une expertise sur celles-ci, est visé par exemple l’archivage et l’indexation de documents. Pour ce type de migrations la confidentialité est un enjeu considérable donc le recours à un PSF de support (notamment ayant le statut d’OSIRC) est imposé par la CSSF. De plus, si la manipulation des données a des conséquences directes sur l’activité du professionnel financier il faut que ce PSF ait aussi le statut d’agent administratif.
Le recours par une filiale ou une succursale d’un professionnel financier, située à l’étranger, à une sous-traitance informatique
La circulaire 06/240 modifie le point 4.5.2.2 de la circulaire 05/178. Ainsi un professionnel financier peut choisir pour ses filiales et succursales situées à l’étranger, de sous-traiter une partie ou la totalité de leur informatique à un prestataire local.
Les autres dispositions de la circulaire 05/178 restent applicables aux filiales et succursales ce qui implique que la filiale ou la succursale à l’étranger du professionnel financier veillera :
-
à disposer d’une bonne organisation administrative et comptable et de disposer d’un contrôle interne adéquat ;
-
à prévoir un plan de continuité qui tient compte de cette sous-traitance, y compris en cas de défaillance du prestataire ;
-
à préserver la confidentialité des données qui lui sont confiées ;
-
à s’assurer de protéger les communications électroniques avec le prestataire et la maison mère.
Sauf cas à soumettre à la CSSF, la filiale ou la succursale ne pourra pas proposer de services de sous-traitance d’opérations informatiques au siège ou à la maison mère, services fournis par un prestataire du pays d’accueil.
Dispositions diverses
La circulaire 06/240 supprime les limites à l’obligation au secret professionnel du professionnel financier à l’égard du PSF ayant le statut d’OSIRC qui étaient contenues dans la circulaire 06/178. Cette dernière stipulait que “l’obligation au secret n’existe pas à l’égard des PSF connexes dans la mesure où les renseignements communiqués à ces PSF sont fournis dans le cadre d’un contrat de services […] et à condition que ces renseignements soient indispensables à l’exécution du contrat de services en cause ».
Ainsi le professionnel s’adressant à un PSF de support ne doit plus veiller à ce que le personnel du PSF de support intervenant sur site soit accompagné tout au long de sa mission par une personne du professionnel financier en charge de l’informatique.
Bien évidemment, le professionnel financier est libre de prévoir ou non des mesures pour que le PSF ait un accès limité à certains services ou zones « plus sensibles ».
Par ailleurs, concernant la gestion du courrier, il est impératif que le sous-traitant garde le secret sur les informations obtenues dans le cas par exemple d’un service d’assistance à la clientèle, de gestion de courrier entrant ou sortant. Ainsi la CSSF exige que le prestataire dispose d’un agrément de PSF de support et plus particulièrement d’agent de communication à la clientèle (art-29-1).
La présente circulaire estime nécessaire d’apporter des clarifications concernant la prestation d’intérimaire. Elle la définit comme la mise à disposition par un prestataire de personnes disposant de compétences spécifiques et qui sont rémunérées par le prestataire. Il y a donc un contrat conclus entre le professionnel financier et le prestataire qui met à disposition le personnel qualifié.
Le personnel intérimaire au sens de la présente circulaire est à considérer comme un tiers au sens de la circulaire 05/178.Le professionnel financier peut recourir à une prestation d’intérimaire mais il doit garder les compétences et les connaissances suffisantes pour garantir la pérennité de ses activités, et cette prestation doit être limitée dans le temps.
Cette circulaire apporte des compléments importants à la circulaire 05/178 et fournit des exemples concrets notamment pour la qualification des activités de PSF de support soumis à l’agrément de la CSSF.