+
-

Les nouveaux enjeux de l’externalisation : un dispositif ad hoc au 30 septembre 2019

Les lignes directrices de l’EBA en matière d’externalisation nécessitent de mettre en œuvre une politique globale et transversale d’externalisation et un dispositif ad hoc qui devra être opérationnel fin septembre.

Le 03/06/2019

Les lignes directrices de l’EBA en matière d’externalisation publiées le 25 février 2019 entreront en vigueur le 30 septembre prochain. Elles actualisent les précédentes guidelines sur ce sujet établies en 2006 par le Comité européen des superviseurs bancaires (CESB). Initialement limitées aux seuls établissements de crédit, elles s’étendent désormais aux établissements de paiement et de monnaie électronique et aux prestataires de cloud computing.

« Ces lignes directrices nécessitent de mettre en œuvre une politique globale et transversale d’externalisation et un dispositif ad hoc qui devra être opérationnel fin septembre » explique Nicolas Vetriak, Associé Fondateur de Novaminds. Il s’agira notamment de tenir un registre des externalisations ; de qualifier les prestations externalisées selon leur importance (essentielles, importantes) ; d’évaluer les prestataires (en incluant les critères d’éthique et de RSE), les catégoriser selon une approche par les risques d’externalisation, afin d’assurer leur conformité réglementaire et en organiser le contrôle (mise en place d’un Know Your Supplier – KYS – piloté par les risques).

« Ce dispositif s’appliquera à partir de fin septembre à tous les nouveaux contrats d’outsourcing, précise Nicolas Vetriak, mais se posera ensuite la question de la mise en conformité de l’existant d’ici à décembre 2021. Le chantier de remédiation est d’envergure dans les établissements financiers qui comptent plusieurs milliers de fournisseurs. Les établissements devront en outre être attentifs à la sous-traitance en cascade : les règles devant s’appliquer à tous les niveaux de la chaîne de sous-traitance ». Les lignes directrices traitent également le sujet les prestations intragroupes, fournies par les centres de services internes, auxquels devront s’appliquer également ces nouvelles règles.

Enfin « ces exigences sont à adresser alors même que d’autres obligations réglementaires en cours de mise en œuvre, notamment le RGPD ou la Loi de Programmation Militaire, comportent également un volet relatif à la sous-traitance qui requiert des actions de remédiation. Sans oublier l’arrêté du 3 novembre 2014 sur le contrôle interne qui traite déjà des prestations essentielles externalisées, souligne Christine Wrucka, directeur chez Novaminds. Aussi, l’enjeu des établissements est de déployer une approche convergente et coordonnée, pour mutualiser les ressources consacrées à cette mise en conformité et rationnaliser les coûts. »

Sur le même sujet