Externalisation

Publication de la version révisée de la Circulaire Outsourcing

18 Déc 2017

Le 5 décembre 2017, la FINMA a publié la version révisée de la Circulaire Outsourcing (désormais appelée Circulaire FINMA 2018/3), qui s’appliquera aux banques et aux négociants en valeurs mobilières. La nouvelle circulaire s’appliquera aussi aux assurances, mais ce volet ne sera pas abordé dans le cadre du présent commentaire.

Elle remplace la Circulaire 2008/7 et fixe les conditions qu’un projet d’externalisation d’une fonction essentielle doit remplir afin de pouvoir être mis en œuvre sans requérir une approbation spécifique de la FINMA. Les questions relatives au secret bancaire et à la protection des données sont désormais exclusivement régies par les lois spéciales (notamment la LB et la LPD, en cours de révision).

Le principe fondamental demeure inchangé sous l’empire de la Circulaire 2018/3: l’assujetti continue d’assumer vis-à-vis de la FINMA la même responsabilité que s’il exerçait lui-même la fonction externalisée (Cm 23).

A. Principaux enjeux de la Circulaire FINMA 2018/3

Champ d’application matériel: La Circulaire 2008/13 ne contient plus d’annexe listant les prestations essentielles auxquelles la circulaire est susceptible de s’appliquer. Chaque assujetti doit déterminer sur une base autonome (auto-évaluation) si un projet d’externalisation implique une “fonction dont dépend de manière significative le respect des objectifs et des prescriptions de la législation sur la surveillance des marchés financiers” (Cm 4).

Inventaire: Chaque assujetti doit établir et tenir à jour un inventaire des fonctions externalisées (Cm 14), lequel doit comprendre (i) une description de la fonction externalisée, ainsi que les noms (ii) du fournisseur, (iii) du bénéficiaire et (iv) de l’organe responsable au sein de l’assujetti (Cm 14). Dans une perspective pratique, il peut sembler opportun de coordonner la préparation de cet inventaire avec la préparation du “registre des activités de traitement” qui est évoqué aux art. 11 du projet de révision de la LPD et 30 du Règlement général européen sur la protection des données (RGPD). A l’avenir, tout projet d’externalisation devra être revu à l’aune de la Circulaire FINMA 2018/3 et des règles suisses et européennes en matière de protection des données.

Choix du prestataire: Dans le cadre du choix du prestataire, l’assujetti doit notamment (i) prêter attention au risque de concentration si plusieurs fonctions sont externalisées auprès d’un même prestataire et (ii) s’assurer que la réintégration ordonnée de la fonction externalisée est garantie (Cm 16ss).

B. Principaux changements par rapport au projet de Circulaire publié en décembre 2016

Hormis l’extension du délai transitoire (cf. ci-dessous), deux changements notables sont à signaler:

Outsourcing intra-groupe: La Circulaire actuelle (2008/7) prévoit une application partielle aux externalisations au sein d’un groupe. Le projet de révision visait à supprimer totalement cet allègement. La Circulaire 2018/3 prévoit finalement que l’externalisation au sein d’un groupe peut être “prise en compte” au niveau de l’appréciation du risque (ce qui aura notamment un impact au niveau de la formalisation de la procédure ayant mené au choix du prestataire).

Externalisation vers l’étranger: La FINMA renonce au devoir d’information préalable de l’autorité en cas d’externalisation à l’étranger impliquant une grande quantité de données-clients. Cela dit, les projets d’externalisation impliquant des données-clients doivent être réalisés en conformité avec la Circulaire 2008/21 (cf. Annexe 3, Principe 9).

C. Principaux points à régler dans le contrat

Toute externalisation couverte par la Circulaire 2018/3 doit faire l’objet d’un contrat écrit avec le prestataire de services. Celui-là doit contenir au minimum les dispositions suivantes:

1. droit de donner des instructions au prestataire et de contrôler leur respect (Cm 21);

2. délimitation contractuelle des responsabilités de l’assujetti et du prestataire (Cm 19);

3. exigence d’une approbation préalable en cas de recours à des sous-traitants (Cm 33);

4. fixation contractuelle des exigences en matière de sécurité (notamment dans le domaine informatique) et de business continuity (Cm 24);

5. droit d’examen intégral et sans entrave en faveur de l’assujetti, de l’auditeur règlementaire de l’assujetti et de la FINMA (Cm 26), également en cas d’externalisation à l’étranger (Cm 30);

6. engagement du prestataire de mettre à disposition de la FINMA toutes les informations relatives au domaine d’activités transféré (Cm 29); et

7. en cas d’externalisation vers l’étranger, exigence que les informations nécessaires à l’assainissement et la liquidation de l’assujetti soient disponibles depuis la Suisse à tout moment (Cm 31).

D. Dispositions transitoires

La Circulaire 2018/3 entrera en vigueur le 1er avril 2018. Elle s’appliquera immédiatement aux projets d’externalisation des banques et des négociants en valeurs mobilières qui seront conclus ou modifiés après son entrée en vigueur.

Les externalisations (soumises à la Circulaire 2018/3) en place au 1er avril 2018 devront être adaptées dans un délai transitoire de cinq ans (soit jusqu’au 31 mars 2023): un aspect important à prendre en compte dans le cadre de la renégociation des contrats d’externalisation.



Reproduction autorisée avec la référence suivante: Philipp Fischer, Externalisation : Publication de la version révisée de la Circulaire Outsourcing , publié le: 18 Déc 2017 par le Centre de droit bancaire et financier, https://www.cdbf.ch/991/
Download PDF