Pour en savoir plus, téléchargez notre dossier complet
La réglementation bancaire, dans son arrêté du 3 novembre 2014 reprend la notion de PSEE : « Activités externalisées : les activités pour lesquelles l’entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisation de prestations de services ou d’autres tâches opérationnelles essentielles ou importantes ».
Au niveau européen, l’EBA confirme cette définition et précise que l’externalisation de services essentiels est un « accord, de quelque forme que ce soit, (…) en vertu duquel le prestataire de services prend en charge un processus ou exécute un service ou une activité qui autrement, serait exécuté par l’établissement, l’établissement de paiement ou l’établissement de monnaie électronique lui-même. »
L’externalisation de fonctions essentielles, ou outsourcing, consiste à transférer tout ou une partie de la gestion de certains services à un prestataire extérieur à l’entreprise. Néanmoins, l’établissement conserve l’entière responsabilité des processus et des traitements liés à l’externalisation.
Elle concerne généralement des activités qui contribuent substantiellement à la création de valeur par l’entreprise.
Les établissements doivent évaluer l’ensemble des risques pertinents
L’externalisation apporte aux entreprises des avantages indéniables, qui consistent notamment à :
- Faire appel à des spécialistes dans un domaine particulier,
- Maîtriser les coûts en bénéficiant d’effets de volume,
- Réduire les délais opérationnels,
- Adapter la charge de travail face aux variations d’activité,
- Recentrer ses ressources sur des fonctions à valeur ajoutée.
Toutefois, l’externalisation d’un ensemble de services financiers peut engendrer des risques que les établissements doivent évaluer, en particulier en matière de :
- Dépendance vis-à-vis du prestataire : induit un risque opérationnel à terme et implique un plan de migration si l’entreprise souhaite changer de prestataire. En effet, l’établissement établit en amont une stratégie de sortie afin de garantir le plan de continuité de l’activité.
- Perte de compétences en interne sur les processus externalisés.
- Perte de contrôle des activités externalisées (manque de maîtrise ou de compréhension de l’information sur ses propres données). En effet, l’entreprise s’assure qu’elle peut se retirer des accords d’externalisation sans que cela n’entraine de perturbations dans son activité.
- Coordination des expertises attendues tout au long de la mise en œuvre de la prestation.
Afin de limiter ces risques, l’EBA recommande aux établissements d’effectuer un suivi de leurs prestataires, en particulier ceux auprès desquels l’entreprise externalise une fonction considérée comme critique ou importante, notamment dans les cas suivants :
- Une anomalie dans l’exécution du service est susceptible de nuire à la stabilité économique ou à l’image de l’entreprise. De plus, les établissements devraient étudier l’impact potentiel de services défaillants ou inadéquats.
- Les tâches opérationnelles des fonctions de contrôle internes sont externalisées.
- L’établissement a l’intention d’externaliser des fonctions d’activités bancaires ou de services de paiement qui nécessitent l’autorisation d’une autorité compétente.
EBA fixe des nouvelles guidelines
L’objectif de l’actualisation des guidelines est d’établir un cadre harmonisé qui concernent de manière identique les établissements de crédits et les établissements d’investissement, les établissements de paiement et les établissements de monnaie électronique. Auparavant, ces guidelines étaient limitées aux seuls établissements de crédits.
Elles visent à faire converger les pratiques de gestion et de surveillance des conventions d’externalisation au niveau européen en fixant :
- Les diligences à effectuer par les établissements avant de conclure une convention d’externalisation,
- Les modalités de la surveillance et du contrôle du prestataire par l’établissement,
- La gestion des différentes externalisations au sein de l’établissement,
- Le rôle des autorités compétentes dans la supervision des dispositifs d’externalisation mis en place par les établissements, posant notamment le principe de l’information préalable du superviseur et de l’établissement d’un registre des externalisations,
- L’homogénéisation dans le secteur financier.
Ce nouveau dispositif s’applique depuis Septembre 2019 à tous les nouveaux contrats d’outsourcing. Les contrats antérieurs à cette date devront être mis en conformité avant décembre 2021. Ces règles s’appliquent également aux prestations intragroupes.
Pour faire face à ces exigences, l’établissement doit en outre documenter l’ensemble des dispositifs d’externalisation en vigueur et conserver cette documentation dans un registre pendant une durée appropriée.
© Article rédigé par votre équipe VNCA.