20 octobre 2021
Communiqué de presse

Publication d’une nouvelle circulaire CSSF sur l’obligation de notification dans le cas d’une sous-traitance informatique

Communiqué de presse 21/25

Face à l’évolution continue de la sous-traitance informatique matérielle, la Commission de surveillance du secteur financier (CSSF) simplifie ses procédures d’information préalable en la matière en publiant la circulaire CSSF 21/785.

La sous-traitance informatique de plus en plus utilisée par le secteur financier

Depuis une dizaine d’années, les acteurs du secteur financier ont de plus en plus recours à des solutions de sous-traitance informatique. Ce choix s’appuie notamment sur des stratégies de réduction de coût, mais également sur la volonté au sein de groupes financiers de se recentrer sur des compétences cœur de métier et de bénéficier de services informatiques offerts par des experts. Par ailleurs, ce mouvement s’est accéléré avec l’avènement des solutions cloud.

La CSSF a ainsi constaté une augmentation de plus de 40% des demandes d’autorisation de sous-traitance informatique entre 2019 et 2021. Dans cette catégorie, la part relative à la sous-traitance cloud a doublé.

Notification préalable plutôt qu’autorisation préalable

La CSSF a publié le 14 octobre 2021, la circulaire CSSF 21/785 relative au remplacement de l’obligation d’autorisation préalable par une obligation de notification préalable en cas de sous-traitance informatique matérielle. Des mesures transitoires sont également prévues pour les dossiers déjà soumis à la CSSF et encore en instruction.*

Une sous-traitance informatique matérielle concerne des « fonctions critiques ou importantes » telles que définies par les guidelines de l’EBA relatives à la sous-traitance (EBA/GL/2019/02), à savoir des fonctions dont la défaillance porterait atteinte à la solidité et à la continuité des services et activités de l’entité ainsi qu’à la conformité réglementaire à laquelle elle est tenue.

« Notre souhait était de revoir notre approche, afin que l’analyse de ces demandes d’autorisation ne soit pas un frein à la bonne exécution des projets des entités sous la surveillance de la CSSF », explique Cécile Gellenoncourt, chef de service en charge de la Surveillance des Systèmes d’Informations et des PSF de support. Ainsi les entités surveillées doivent au préalable notifier leur projet au moins trois (3) mois avant que la sous-traitance prévue ne soit effective, ou au moins un (1) mois dans le cas d’un recours à un PSF de support. « Dans la pratique, les notifications reçues feront l’objet d’un traitement différencié qui pourra varier en fonction des risques liés au projet de sous-traitance. Ainsi, l’analyse pourrait être plus ou moins approfondie et avoir lieu avant la date prévue de mise en œuvre du projet ou après dans le cadre de la surveillance permanente ou d’un contrôle sur place. » poursuit-elle.

Pas d’impact sur la surveillance en tant que telle

La CSSF a une double mission : veiller à la stabilité du secteur financier, une tâche qu’elle partage avec la Banque centrale du Luxembourg, et protéger les consommateurs de services financiers. En matière de sous-traitance, l’autorité veille à ce que la maîtrise des risques continue d’être garantie et que la responsabilité de cette maîtrise reste auprès de l’entité surveillée. « La nouvelle circulaire ne remet absolument pas en cause la qualité et la profondeur de notre surveillance. Ainsi, même sur un dossier qui nous a été simplement notifié, nous pourrions intervenir a posteriori, par le biais de contrôles sur place par exemple, si nous constations des manquements graves en matière de respect des obligations professionnelles », conclut Cécile Gellenoncourt.

La Commission de Surveillance du Secteur Financier

La Commission de Surveillance du Secteur Financier (CSSF) est un établissement public qui assure la surveillance des professionnels et des produits du secteur financier luxembourgeois. Elle supervise, règlemente, autorise, informe et, le cas échéant, effectue des contrôles sur place et sanctionne. Elle est, par ailleurs, chargée de promouvoir la transparence, la simplicité et l’équité sur les marchés des produits et services financiers et veille à l’application de la législation en matière de protection des consommateurs financiers et de lutte contre le blanchiment des capitaux et le financement du terrorisme.

La CSSF conduit ses missions de surveillance prudentielle et des marchés dans le but de contribuer à la solidité et à la stabilité du secteur financier et ce, exclusivement dans l’intérêt public.

La CSSF est placée sous autorité du Ministère des Finances, mais dispose d’une autonomie financière et d’action telle qu’exigée par les plus hautes instances internationales. Elle compte un effectif de près de 1.000 agents hautement qualifiés.

Contact presse : Paul Wilwertz, t. +352 25 25 1 3157, courriel : paul.wilwertz@cssf.lu

 

*(Communiqué concernant la publication de la circulaire CSSF 21/785 relative au remplacement de l’obligation d’autorisation préalable par une obligation de notification préalable en cas de sous-traitance informatique matérielle – CSSF)