Recommandations de l’Autorité bancaire européenne sur l’externalisation et RGPD

Autorité bancaire européenneL’Autorité bancaire européenne (EBA) a rendu public le 25 février 2019 les conclusions de sa consultation lancée en juin dernier sur les lignes directrices encadrant l’externalisation.

Certaines des recommandations se rapprochent de celles devant être appliquées dans le cadre de la gestion des opérations de sous-traitance au sens du RGPD.

Une consultation pour faire évoluer les orientations du CEBS

Le projet reprenait les lignes directrices du Comité européen des superviseurs bancaires (CEBS pour Committee of European Banking Supervisors) de 2006 applicables uniquement aux établissements de crédit pour étendre leur champ d’application à l’ensemble des établissements soumis au mandat de l’EBA notamment aux établissements de paiement et de monnaie électronique.

En outre, il intégrait les recommandations de l’EBA de décembre 2017 sur le recours à des fournisseurs de services de Cloud computing.

L’EBA a clôturé cette consultation et publié le 25 février 2019 ses nouvelles Lignes directrices de l’EBA sur l’externalisation (1). Ces dernières définissent la notion d’externalisation et des critères permettant de déterminer si l’activité externalisées est critique ou importante et fixent un cadre de gouvernance des opérations d’externalisation. Elles sont applicables à l’externalisation de fonctions critiques ou importantes mais pas uniquement et aux opérations d’externalisation intra et extra groupe.

A la lecture de ces recommandations, il apparaît que certaines d’entre elles se rapprochent de celles devant être appliquées dans le cadre de la gestion des opérations de sous-traitance au sens du RGPD.

Dès lors, il apparaît possible d’identifier des synergies entre ces deux process.

La documentation et le registre des externalisations

Les établissements de crédit et les établissements de paiement assujettis doivent tenir à jour un registre des externalisations et doivent documenter « appropriately » l’ensemble des accords d’externalisation. Ce registre qui dans le cadre d’un groupe peut être tenu au niveau central doit comporter pour chaque opération une liste d’information (2) dont notamment :

  • une référence ;
  • la date de début, la date du prochain renouvellement de contrat, la date de fin et/ou la période de préavis ;
  • une brève description de la fonction externalisée incluant les données et le cas échéant s’il s’agit de données à caractère personnel ;
  • le nom du prestataire et le ou les pays dans lesquels le service est réalisé ;
  • si l’externalisation porte sur une fonction critique ou importante (dans cette hypothèse des informations additionnelles doivent être conservées) ;
  • s’il s’agit d’un prestataire de Cloud computing, etc.

Par ailleurs, ce registre doit être mis à disposition des autorités compétentes à leur demande.

A proprement parler, le RGPD n’impose pas de tenir un registre des sous-traitants. Toutefois, le respect des exigences du Règlement, en particulier de son article 28, nécessite en pratique de mettre en place un programme de gestion des sous-traitants. Le RGPD impose en effet de recenser et de suivre les opérations externalisées comportant des traitements de données personnelles.

Dès lors, les établissements doivent peu ou prou collecter au titre du RGPD des informations similaires à celles mentionnées par l’EBA. Donc, dans un souci de rationalisation, stocker l’ensemble de ces informations au même endroit pourrait être un facteur de simplification et de cohérence des deux démarches.

L’évaluation des sous-traitants

Les Lignes directrices de l’EBA sur l’externalisation imposent de procéder à une évaluation du prestataire avant de procéder à cette externalisation. Les éléments à analyser sont listés au chapitre IV des lignes directrices.

Il s’agit notamment de conditions relatives aux modalités d’exercice (le prestataire doit-il être autorisés ou enregistrés pour exercer cette activité ? l’existence d’un accord de coopération entre les autorités de supervision respectives des deux parties, l’existence ou non de la possibilité de sous-traiter et les conditions de cette sous-sous-traitance, etc.). Les conditions de compétence et de réputation sont également analysées.

Si l’externalisation comporte des données personnelles, l’établissement doit d’assurer que le prestataire prend des mesures techniques et organisationnels appropriées pour les protéger.

Cette évaluation doit être maintenue et revue de manière périodique tout au long de la relation. Elle diffère en fonction de l’entité ayant la qualité de prestataire notamment s’il s’agit d’une entité du même groupe, une entité soumise au même cadre de gouvernance ou d’une entité extérieure.

Cette évaluation rappelle cette devant être réalisée dans le cadre du RGPD. L’article 28 précise que l’établissement « fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement ».

Le responsable du traitement doit donc évaluer en amont de la contractualisation la conformité au RGPD de son sous-traitant. Dans la mesure où l’évaluation au titre des lignes directrices est plus large, il apparait possible de capitaliser sur ce process pour procéder à l’évaluation des sous-traitants au titre de l’article 28 du RGPD voir de fusionner ces deux process.

Les dispositions contractuelles

L’article 13 des lignes directrices de l’EBA sur l’externalisation fixe la liste des exigences devant figurer dans l’accord d’externalisation. Ces dispositions incluent des éléments relatifs à la sécurité des données, à la sous-sous traitance de la prestation, au droit d’audit de l’établissement à l’initiative de l’opération, à la fin du contrat, etc.

Encore une fois les points communs sont nombreux avec la liste des exigences contractuelles figurant à l’article 28, 3 du RGPD.

Pour résumer, les lignes directrices de l’EBA sur l’externalisation qui seront applicables à compter du 30 septembre 2019, imposent la mise en place d’une véritable politique d’externalisation et la désignation d’une fonction en charge de ces opérations.

Pour conclure, au vu des nombreux points communs avec le processus de gestion des sous-traitants au sens du RGPD, les établissements assujettis auraient tout intérêt à rapprocher ces process afin d’en assurer la cohérence et d’en rationaliser les coûts.

Aurélie Banck
Lexing Conformité RGPD Banque et Assurance

(1) Final Report on EBA Guidelines on outsourcing arrangements (EBA/GL/2019/02).
(2) Une liste d’information : la liste exhaustive figure au point 54 des lignes directrices recommandations de l’EBA de décembre 2017 sur le recours à des fournisseurs de services de Cloud Computing.