Partager cet article
Quelques réflexions sur les enjeux de l’externalisation pour les établissements des secteurs bancaire et des paiements
Dans un communiqué publié le 22 juillet 2021, l’Autorité de contrôle prudentiel et de résolution a noté un recours croissant à l’externalisation des fonctions critiques ou importantes de la part des établissements des secteurs bancaire et des paiements et a rappelé, à cette occasion, les obligations en matière d’externalisation qui pèsent sur les établissements des secteurs bancaire, assurantiel et des paiements. Dans ce contexte, il est utile de mettre en lumière quelques enjeux liés à l’externalisation.
L’externalisation est courante dans la vie des entreprises1 et porte sur des domaines très variés (par exemple la comptabilité, le juridique, la relation client, etc.). L’externalisation présente de nombreux avantages mais génère également des risques pour l’entreprise qui externalise.
Dans les secteurs bancaire et des paiements2, la réglementation vient, à notre sens, poser un cadre destiné à permettre aux établissements de contrôler les prestations externalisées.
Le présent article entend exposer quelques avantages et risques liés à l’externalisation et présenter les enjeux de la réglementation encadrant l’externalisation dans les secteurs bancaire et des paiements pour les établissements opérant dans ces secteurs. Nous présenterons donc dans un premier temps les enjeux généraux de l’externalisation s’appliquant aux entreprises de manière générale (I). Puis, dans un second temps, nous porterons notre attention sur les enjeux spécifiques liés à l’externalisation des fonctions essentielles ou importantes par les établissements des secteurs bancaire et des paiements (II).
I – Enjeux généraux
Avantages de l’externalisation. L’externalisation consiste, pour une entreprise, à déléguer certaines tâches à un prestataire externe. L’externalisation peut avoir de nombreuses raisons telles que rediriger les ressources de l’entreprise vers des tâches à forte valeur ajoutée, acquérir de l’expérience en interne au contact d’experts externes, bénéficier d’un service de qualité, fluidifier le parcours client, favoriser le respect des exigences réglementaires… On peut également noter que l’externalisation offre en principe une plus grande flexibilité à la charge de travail et permet à l’entreprise cliente de bénéficier d’un jugement indépendant3. Autrement dit, l’externalisation présente de multiples avantages.
Risques de l’externalisation. Les avantages liés à l’externalisation ne vont pas sans risques. Parmi ceux-ci, nous pouvons citer dans certains cas une rigidité budgétaire (contrats longs renégociables lors du renouvellement par exemple), la mauvaise exécution de ses missions par le prestataire4, la défaillance du prestataire, la dépendance vis-à-vis du prestataire5…
II – Enjeux de l’externalisation des fonctions essentielles ou importantes par les établissements des secteurs bancaire et des paiements
Le 22 juillet 2021, l’Autorité de contrôle prudentiel et de résolution (ACPR) a publié un communiqué sur l’externalisation des fonctions critiques ou importantes6. Ce communiqué rappelle de manière pédagogique le cadre réglementaire encadrant les fonctions critiques ou importantes. Il nous semble utile de présenter brièvement lesdites fonctions avant de nous intéresser aux enjeux liés à leur externalisation.
A – Contexte de l’externalisation des fonctions essentielles ou importantes
Contexte. La réglementation détaille les conditions applicables en matière d’externalisation de fonctions essentielles ou importantes7. Dans les secteurs bancaire, assurantiel et des paiements, l’ACPR a constaté une augmentation de l’externalisation des prestations présentant un caractère essentiel ou important8.
Qu’est-ce que l’externalisation dans les secteurs bancaire et des paiements ? Les orientations de l’Autorité bancaire européenne (dite EBA pour European Banking Authority) relatives à l’externalisation9 apportent une définition bienvenue. Elles définissent l’externalisation comme un « accord, de quelque forme que ce soit, conclu entre un établissement, un établissement de paiement ou un établissement de monnaie électronique et un prestataire de services, en vertu duquel ce prestataire de services prend en charge un processus ou exécute un service ou une activité qui autrement, serait exécuté par l’établissement, l’établissement de paiement ou l’établissement de monnaie électronique lui-même »10.
Qu’est-ce qu’une fonction essentielle ou importante ? La réglementation définit une fonction essentielle ou importante comme une fonction pour laquelle une anomalie ou une défaillance dans son exécution serait susceptible de nuire sérieusement (i) à la capacité de l’établissement de se conformer aux conditions de leur agrément et à leurs obligations réglementaires, (ii) à ses performances financières ou (iii) à la continuité de ses services et activités11. En d’autres termes, les fonctions essentielles ou importantes sont polymorphes et fondamentales. En pratique, elles peuvent par exemple aller du cloud à la fourniture d’un service lié à l’identification et à la vérification de l’identité de la relation d’affaires ou aux filtrages PPE (personne politiquement exposée) ou au gel des avoirs.
B – Enjeux liés à l’externalisation des fonctions essentielles ou importantes
Assurer le maintien de la qualité de la prestation externalisée. L’externalisation d’une fonction essentielle ou importante revient à externaliser une fonction qui peut nuire sérieusement à l’établissement et, par extension, à ses clients. Dans ce contexte, nous comprenons que la réglementation a notamment entendu demander aux établissements d’identifier les fonctions externalisées et les prestataires (et sous-prestataires) externes, mettre en place un dispositif de bonne gouvernance et une politique d’externalisation, la prise en compte opérationnelle de l’externalisation dans le dispositif de contrôle interne et la mise en place de plans de poursuite de l’activité. Ainsi, à notre sens, la réglementation entend demander aux établissements de mettre en place un contrôle approprié des prestations externalisées. À notre avis, ce contrôle permet de favoriser la fourniture d’une prestation de qualité et d’encadrer le risque lié à l’externalisation.
Un contrat écrit destiné à favoriser la clarté. Les orientations de l’EBA sur l’externalisation énoncent que les droits et obligations de l’établissement de crédit ou l’entreprise d’investissement), de l’établissement de paiement et du prestataire de services devraient être clairement répartis et définis dans un accord écrit12. En droit français, l’arrêté du 3 novembre 2014 indique que « l’externalisation d’activité (…) donne lieu à un contrat écrit entre le prestataire externe et l’entreprise assujettie »13, « définissant clairement les droits et obligations des deux parties »14. Selon notre compréhension, la demande de clarté est de bon aloi dans la mesure (i) où certains contrats peuvent être rédigés de manière difficilement compréhensible et (ii) où il peut être opportun pour les parties d’avoir une vision claire et précise des tâches externalisées. Ainsi, en situation de crise, engendrant un haut niveau de stress, un contrat clair peut éviter des incompréhensions et aider à la mise en œuvre de mesures de remédiation.
La responsabilité de l’établissement. L’externalisation d’une prestation ne transfère pas la responsabilité au prestataire de services. En tant que donneur d’ordres, l’établissement demeure responsable. L’ACPR rappelle à ce propos que « le principe général qui structure le recours à l’externalisation est que les organismes qui externalisent des prestations essentielles ou importantes demeurent pleinement responsables du respect de toutes les obligations qui leur incombent ». Ce rappel se comprend à l’aune des orientations de l’EBA15 et de l’arrêté du 3 novembre 201416.
Le droit d’audit17. Le droit d’audit du prestataire par l’établissement est un droit important. Il est prévu par la réglementation française18 et par les orientations de l’EBA, ces dernières qualifiant même ce droit d’« inconditionnel »19. L’enjeu de cette clause est de permettre le contrôle des prestataires externes. Il s’agit, à notre d’avis, d’une clause structurante puisqu’in fine, ce sont les établissements qui restent responsables des actes des prestataires externalisés. L’ACPR rappelle à ce sujet que « les prestataires ne sauraient entraver la conduite de travaux d’audit en leur sein en imposant des conditions ou des restrictions spécifiques »20.
Manque de substituabilité. Les orientations de l’EBA indiquent que lorsqu’ils évaluent si le dispositif d’externalisation se rapporte à une fonction essentielle ou importante, les établissements devraient notamment prendre en compte « la capacité de transférer le dispositif d’externalisation proposé vers un autre prestataire de services, si nécessaire ou souhaitable, tant sur le plan contractuel que dans la pratique, y compris les risques estimés, les obstacles à la poursuite de l’activité, les coûts et le délai nécessaire pour procéder au transfert (“substituabilité”) »21. En pratique, il arrive que certaines technologies ou services soient difficilement substituables, limitant dès lors le pouvoir de négociation des établissements22. En outre, cette situation peut conduire à la concentration de services critiques auprès d’un seul prestataire de services, pouvant conduire à la création d’un risque systémique23.
Notes de bas de pages
-
1.
Les entreprises ne sont pas les seules à externaliser puisque l’État ou les collectivités locales sont aussi amenés à externaliser des tâches.
-
2.
Le présent article ne portera que sur les secteurs bancaire et des paiements.
-
3.
A. Goetzmann, « Externaliser les compétences », Finyear, 31 mai 2012, https://lext.so/MiK7u1. V. également BPI France, « Externaliser : pourquoi, comment ? », https://lext.so/EsJTXK.
-
4.
Il peut s’agir par exemple de livrables dont la qualité n’est pas celle escomptée ou de mauvais reporting au client.
-
5.
V. not. Centre d’analyse stratégique, « L’externalisation des services publics : un moyen efficace pour réduire les dépenses de fonctionnement ? », La note de veille n° 148, juill. 2009, https://lext.so/AU8Vmf ; A. Brisach, « Quels sont les risques liés à l’externalisation ? », Rev. Banque 2011, n° 739.
-
6.
Ce communiqué porte sur l’externalisation des fonctions critiques ou importantes au sein des établissements des secteurs de la banque, de l’assurance et des paiements. V. ACPR, communiqué de presse, « Externalisation : l’ACPR rappelle les parties prenantes au respect de leurs obligations », 22 juill. 2021, https://lext.so/R53WgG.
-
7.
A., 3 nov. 2014, relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution, art. 231 à 240.
-
8.
ACPR, communiqué de presse, « Externalisation : l’ACPR rappelle les parties prenantes au respect de leurs obligations », 22 juill. 2021, https://lext.so/R53WgG.
-
9.
EBA, Orientations relatives à l’externalisation, EBA/GL/2019/02, 25 févr. 2019.
-
10.
EBA, Orientations relatives à l’externalisation, EBA/GL/2019/02, 25 févr. 2019, § 12.
-
11.
ACPR, communiqué de presse, « Externalisation : l’ACPR rappelle les parties prenantes au respect de leurs obligations », 22 juill. 2021, https://lext.so/R53WgG. V. également A., 3 nov. 2014, relatif au contrôle interne, art. 10, r).
-
12.
EBA, Orientations relatives à l’externalisation, EBA/GL/2019/02, 25 févr. 2019, § 74.
-
13.
A., 3 nov. 2014, art. 238.
-
14.
ACPR, communiqué de presse, « Externalisation : l’ACPR rappelle les parties prenantes au respect de leurs obligations », 22 juill. 2021, https://lext.so/R53WgG.
-
15.
EBA, Orientations relatives à l’externalisation, EBA/GL/2019/02, 25 févr. 2019, § 35 : « L’externalisation de fonctions ne saurait entraîner la délégation des responsabilités de l’organe de direction. Les établissements et les établissements de paiement demeurent entièrement responsables du respect de toutes leurs obligations réglementaires, y compris leur capacité à surveiller l’externalisation de fonctions critiques ou importantes. »
-
16.
A., 3 nov. 2014, art. 237, al. 1er : « Les entreprises assujetties qui externalisent des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes, au sens du q) et du r) de l’article 10, demeurent pleinement responsables du respect de toutes les obligations qui leur incombent ». Nous invitons également notre lecteur à prendre connaissance de l’étude de la BPI sur l’externalisation (https://lext.so/EsJTXK). Dans son étude, la BPI souligne que « même si le contrat d’externalisation encadre la pratique, il n’annule en rien les responsabilités du donneur d’ordres ».
-
17.
Nous n’aborderons pas ici le droit d’audit en faveur des autorités de supervision.
-
18.
A., 3 nov. 2014, art. 239 : « Les entreprises assujetties s’assurent, dans leurs relations avec leurs prestataires externes, que ces derniers : (…) f) leur permettent, chaque fois que cela est nécessaire, l’accès, le cas échéant, sur place, à toute information sur les services mis à leur disposition, dans le respect des réglementations relatives à la communication d’informations ».
-
19.
EBA, Orientations relatives à l’externalisation, EBA/GL/2019/02, 25 févr. 2019, § 13, p).
-
20.
ACPR, communiqué de presse, « Externalisation : l’ACPR rappelle les parties prenantes au respect de leurs obligations », 22 juill. 2021, https://lext.so/R53WgG.
-
21.
EBA, Orientations relatives à l’externalisation, EBA/GL/2019/02, 25 févr. 2019, § 31.
-
22.
FSB, Regulatory and Supervisory Issues relating to Outsourcing and Third-Party Relationships, Overview of Responses to the Public Consultation, 14 juin 2021, p. 3.
-
23.
FSB, Regulatory and Supervisory Issues relating to Outsourcing and Third-Party Relationships, Overview of Responses to the Public Consultation, 14 juin 2021, p. 3.
Référence : AJU001y2
Copier dans le presse-papier