Paris, le 22 juillet 2021
Dans un contexte de hausse du recours à des prestataires externes pour l’exécution de prestations présentant un caractère essentiel ou critique au sens de la réglementation prudentielle, l’Autorité de contrôle prudentiel et de résolution (ACPR) souhaite rappeler aux organismes qu’elle supervise leurs obligations en la matière et tout particulièrement la nécessité pour ces derniers de contrôler suffisamment les prestations qu’ils ont choisi d’externaliser.
En effet, ces dernières années, un nombre croissant d’acteurs du secteur de la banque, de l’assurance ou des paiements, a confié à des prestataires externes l’exécution de prestations présentant de plus en plus souvent un caractère essentiel ou critique au sens des règlementations prudentielles en vigueur dans ces secteurs. Il s’agit par exemple de
l’externalisation de prestations informatiques essentielles - dont le recours à des services de « cloud » -, de fonctions de contrôle ou de traitements de « back-office » de diverse nature. A l’occasion de ses contrôles l’ACPR a pu constater que les organismes qu’elle supervise n’assuraient pas toujours un contrôle approprié des prestataires externes auxquels ils
recourent. De même elle a eu à connaître de situations où les organismes pouvaient se heurter à des difficultés pour accéder à toutes les informations relatives aux fonctions et activités sous-traitées.
Le principe général qui structure le recours à l’externalisation est que les organismes qui externalisent des prestations essentielles ou critiques (1) demeurent pleinement responsables du respect de toutes les obligations qui leur incombent. En particulier, l’externalisation de prestations essentielles ne saurait conduire à un affaiblissement du système de
gouvernance, de la maîtrise du risque opérationnel, de la continuité de l’activité, ni même de la capacité de contrôle du superviseur.
L’externalisation requiert donc la conclusion d’un contrat écrit entre l’organisme et son prestataire définissant clairement les droits et obligations des deux parties et la définition par l’organisme d’une politique formalisée de contrôle de ses prestataires externes. Dans ce cadre, il est attendu des prestataires auxquels recourent les organismes supervisés qu’ils se
conforment aux procédures définies par ces derniers concernant l’organisation et la mise en œuvre du contrôle des services fournis. Cela implique que les organismes puissent, chaque fois que cela est nécessaire, avoir accès, dans des conditions qui leur permettent d’effectuer leurs contrôles avec diligence ou de les faire effectuer par des auditeurs extérieurs, le cas
échéant sur place, à toutes les informations sur les services mis à leur disposition. En particulier, les prestataires ne sauraient entraver la conduite de travaux d’audit en leur sein en imposant des conditions ou des restrictions spécifiques (2).
L’autorité de contrôle peut de plus demander à avoir un accès direct aux informations d’un sous-traitant voire diligenter chez lui une extension d’un contrôle sur place conduit au sein d’un organisme, relativement à l’activité externalisée (3) dont les conclusions sont adressées à l’organisme supervisé par l’ACPR puisque c’est ce dernier qui reste responsable in fine.
1 _Entendues comme toutes celles pour lesquelles une anomalie ou une défaillance dans leur exécution serait
susceptible de nuire sérieusement (i) à la capacité de l’organisme de se conformer à son agrément, (ii) à ses
performances financières ou (ii) à la continuité de ses services et activités. Cf. article 10 (r) de l’Arrêté du 3
novembre 2014 relatif au contrôle interne et article R. 345-7 du Code des assurances._
2 _Cf. pour les entreprises d‘assurance et de réassurance : article 274 du règlement délégué (UE) 2015/35
(Solvabilité 2)_
3 L 612-26 du code monétaire et financier
À propos de l’ACPR :
Adossée à la Banque de France, l’Autorité de contrôle prudentiel et de résolution (ACPR) est l’autorité administrative qui contrôle les secteurs de la banque et de l’assurance et veille à la stabilité financière. L’ACPR est également chargée de la protection de la clientèle des établissements contrôlés et assure la mission de lutte contre le blanchiment des capitaux et le financement du terrorisme. Elle est aussi dotée de pouvoirs de résolution. Les services opérationnels de l’ACPR sont regroupés au sein de son Secrétariat général.
2021072022\_cp\_prestation\_externes.pdf (banque-france.fr)
p/o Virginie Gastine Menou
RISQUES ET VOUS
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.