Recommandations de l’Autorité bancaire européenne sur l’externalisation et RGPD

L’Autorité bancaire européenne (EBA) a rendu public le 25 février 2019 les conclusions de sa consultation lancée en juin dernier sur les lignes directrices encadrant l’externalisation.

Certaines des recommandations se rapprochent de celles devant être appliquées dans le cadre de la gestion des opérations de sous-traitance au sens du RGPD.

Une consultation pour faire évoluer les orientations du CEBS

Le projet reprend les lignes directrices du Comité européen des superviseurs bancaires (1) de 2006 applicables aux établissements de crédit. Il étend leur champ d’application à l’ensemble des établissements soumis au mandat de l’EBA notamment aux établissements de :

• paiement et
• monnaie électronique.

En outre, il intégrait les recommandations de l’EBA de décembre 2017 sur le recours à des fournisseurs de services Cloud.

L’EBA a clôturé cette consultation et publié le 25 février 2019 ses nouvelles Lignes directrices de l’EBA sur l’externalisation (2). Ces dernières :

• définissent la notion d’externalisation et des critères permettant de déterminer si l’activité externalisées est critique ou importante et
• fixent un cadre de gouvernance des opérations d’externalisation.

Elles sont applicables :

• à l’externalisation de fonctions critiques ou importantes mais pas uniquement et
• aux opérations d’externalisation intra et extra groupe.

A la lecture de ces recommandations, il apparaît que certaines d’entre elles se rapprochent de celles devant être appliquées dans le cadre de la gestion des opérations de sous-traitance au sens du RGPD.

Dès lors, il apparaît possible d’identifier des synergies entre ces deux process.

La documentation et le registre des externalisations

Les établissements de crédit et les établissements de paiement assujettis doivent tenir à jour un registre des externalisations et doivent documenter « appropriately » l’ensemble des accords d’externalisation. Ce registre qui dans le cadre d’un groupe peut être tenu au niveau central doit comporter pour chaque opération une liste d’information (3) dont notamment :

• une référence ;
• la date de début, la date du prochain renouvellement de contrat, la date de fin et/ou la période de préavis ;
• une brève description de la fonction externalisée incluant les données et le cas échéant les données personnelles ;
• le nom du prestataire et le ou les pays dans de réalisation du service ;
• si l’externalisation porte sur une fonction critique ou importante (dans cette hypothèse, la conservation des informations additionnelles s’impose) ;
• s’il s’agit d’un prestataire de Cloud computing, etc.

Par ailleurs, les autorités compétentes doivent pouvoir accéder au registre sur demande.

A proprement parler, le RGPD n’impose pas de tenir un registre des sous-traitants. Toutefois, le respect des exigences du Règlement, en particulier de son article 28, nécessite en pratique de mettre en place un programme de gestion des sous-traitants. Le RGPD impose en effet de recenser et de suivre les opérations externalisées comportant des traitements de données personnelles.

Dès lors, les établissements doivent collecter au titre du RGPD des informations similaires à celles mentionnées par l’EBA. Donc, dans un souci de rationalisation, stocker l’ensemble de ces informations au même endroit pourrait être un facteur de simplification et de cohérence des deux démarches.

L’évaluation des sous-traitants

Les Lignes directrices de l’EBA sur l’externalisation imposent de procéder à une évaluation du prestataire avant d’externaliser. Le chapitre IV des lignes directrices reprend la liste des éléments à analyser.

Il s’agit notamment de conditions relatives aux modalités d’exercice :

• le prestataire doit-il être autorisés ou enregistrés pour exercer cette activité ?
• l’existence d’un accord de coopération entre les autorités de supervision respectives des deux parties,
• l’existence ou non de la possibilité de sous-traiter et les conditions de cette sous-sous-traitance, etc.

Les conditions de compétence et de réputation sont également analysées.

Si l’externalisation comporte des données personnelles, l’établissement doit d’assurer que le prestataire prend des mesures techniques et organisationnels appropriées pour les protéger.

Cette évaluation doit être maintenue et revue de manière périodique tout au long de la relation. Elle diffère en fonction de l’entité ayant la qualité de prestataire notamment s’il s’agit d’une entité du même groupe, une entité soumise au même cadre de gouvernance ou d’une entité extérieure.

Cette évaluation rappelle celle réalisée dans le cadre du RGPD. L’article 28 précise que l’établissement « fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement ».

Le responsable du traitement doit donc évaluer en amont de la contractualisation la conformité au RGPD de son sous-traitant. Dans la mesure où l’évaluation au titre des lignes directrices est plus large, il apparait possible de capitaliser sur ce process pour procéder à l’évaluation des sous-traitants au titre de l’article 28 du RGPD voir de fusionner ces deux process.

Les dispositions contractuelles

L’article 13 des lignes directrices de l’EBA sur l’externalisation fixe la liste des exigences devant figurer dans l’accord d’externalisation. Ces dispositions incluent des éléments relatifs à la sécurité des données, à la sous-sous traitance de la prestation, au droit d’audit de l’établissement à l’initiative de l’opération, à la fin du contrat, etc.

Encore une fois les points communs sont nombreux avec la liste des exigences contractuelles figurant à l’article 28, 3 du RGPD.

Pour résumer, les lignes directrices de l’EBA sur l’externalisation qui seront applicables à compter du 30 septembre 2019, imposent la mise en place d’une véritable politique d’externalisation et la désignation d’une fonction en charge de ces opérations.

Pour conclure, au vu des nombreux points communs avec le processus de gestion des sous-traitants au sens du RGPD, les établissements assujettis auraient tout intérêt à rapprocher ces process afin d’en assurer la cohérence et d’en rationaliser les coûts.

Aurélie Banck
Lexing Conformité RGPD Banque et Assurance

(1) CEBS pour Committee of European Banking Supervisors.
(2) Final Report on EBA Guidelines on outsourcing arrangements (EBA/GL/2019/02).
(3) Une liste d’information : la liste exhaustive figure au point 54 des lignes directrices recommandations de l’EBA de décembre 2017 sur le recours à des fournisseurs de services de Cloud Computing.