Publié par L’EBA publie une révision de ses lignes directrices sur les contrats d’externalisation, les dispositions spécifiques concernant les structures de gouvernance de toutes institutions financières relevant du mandat de l’EBA en ce qui concerne les accords d’externalisation, les attentes et les processus de surveillance.
L’objectif de ces lignes directrices est d’établir un cadre plus harmonisé pour ces institutions financières, à savoir les établissements de crédit et les entreprises d’investissement soumises à la directive Fond propres (CRD), ainsi que les établissements de paiement et de monnaie électronique. La recommandation sur l’externalisation auprès des prestataires de service cloud, publiée en décembre 2017, a également été intégrée aux lignes directrices.
Dans le contexte de digitalisation et compte tenu de l’importance de la croissante des nouveaux prestataires de technologies financières (Fintech), les institutions financières adaptent leurs « business model » pour faire face à ses innovations.
Certains ont intensifié l’utilisation des solutions Fintech et ont lancé des projets visant à améliorer leur rentabilité. En réponse aux marges d’intermédiation du « business model » bancaire traditionnel, qui sont mises à mal par la conjointe de taux d’intérêt bas. L’externalisation est un moyen d’obtenir un accès relativement facile aux nouvelles technologies et de réaliser des économies d’échelle.
Les nouvelles lignes directrices sont conformes aux exigences en matière d’externalisation de la directive sur les services de paiement (PSD2), de la directive sur les marchés d’instruments financiers (MiFID II) et du règlement délégué de la Commission (UE) 2017/565.
Celles ci visent à garantir que les établissements peuvent appliquer un cadre commun/unique pour l’externalisation de l’ensemble de leurs activités, services bancaires, d’investissement et de paiement.
Un tel cadre permet de garantir des mesures équitables à l’ensemble des institutions financières.
Les lignes directrices précisent que l’organe de direction de chaque institution financière reste responsable de son institution et de ses activités à tout moment. C’est à dire que l’organe de direction devrait veiller à ce que des ressources suffisantes soient disponibles pour soutenir et assurer l’exercice de ces responsabilités, notamment en supervisant tous les risques et en gérant les accords d’externalisation.
L’externalisation ne doit pas conduire à une situation dans laquelle une institution devient une « coquille vide » sans la substance pour conserver son agrément.
Il est particulièrement difficile d’assurer une supervision efficace des institutions et des établissements de paiement lorsque les fonctions sont externalisées à des prestataires de services situés dans des pays tiers. Les institutions financières sont censées veiller au respect de la législation et des exigences réglementaires de l’UE (secret professionnel, accès aux informations et aux données, protection des données à caractère personnel), en particulier des fonctions importantes ou critiques confiées à des prestataires de services externe.
À cet égard, les lignes directrices précisent que les accords avec des tiers doivent être considérés comme une externalisation.
Elles établissent une distinction entre les exigences relatives aux accords d’externalisation critiques et importantes et aux autres mesures d’externalisation. L’externalisation de fonctions essentielles et importantes à un impact plus important sur le profil de risque des institutions et des établissements de paiement. Par conséquent, les exigences sont plus strictes par rapport aux exigences d’autres accords d’externalisation moins risqués.
Enfin, les autorités compétentes sont tenues de superviser efficacement les accords d’externalisation des institutions financières, notamment en identifiant et en surveillant les concentrations de risque chez les prestataires de services individuels et en évaluant si ces concentrations pourraient constituer un risque pour la stabilité du système financier.
Pour identifier ces concentrations de risque, les autorités compétentes devraient pouvoir s’appuyer sur une documentation complète concernant les accords d’externalisation établis par les institutions financières.