Outsourcing bancaire: la réglementation évolue
L’externalisation (outsourcing en anglais ) est depuis des décennies d’un usage très répandu auprès des institutions financières tant en Suisse qu’à l’étranger. Cette pratique, qui consiste à déléguer à un tiers l’exécution de tâches diverses (relevant généralement du middle ou du back-office), est aujourd’hui une réalité pour la plupart des banques suisses (et étrangères). Cet outsourcing peut intervenir auprès de prestataires tant suisses qu’étrangers.
Selon les cas, le prestataire est soit une autre entité du groupe (voire le siège de la succursale suisse), soit un tiers. De manière générale, le prestataire chargé de fournir des fonctions externalisées se voit transmettre des informations confidentielles relatives aux affaires, voire aux clients de l’entreprise externalisante.
Approche très libérale
Les motifs qui ont conduit à la généralisation de l’outsourcing en matière bancaire tiennent tant à la recherche de standardisation et d’efficience accrue (notamment pour les externalisations intra-groupes) qu’à des considérations financières (économies de coûts).
En Suisse, la pratique des autorités de surveillance bancaire (à l’époque la Commission fédérale des banques, CFB, devenue ensuite la Finma) en matière d’outsourcing a historiquement été très libérale. Dès les années 1980, l’externalisation de fonctions bancaires a été autorisée à des conditions qui se sont assouplies avec le temps. Cette pratique était codifiée pour les banques et les négociants en valeurs mobilières dans une circulaire (aujourd’hui, la circulaire Finma 2008/7). Le secteur des assurances opérait dans un cadre similaire, sans être toutefois soumis à une circulaire de la Finma.
Un certain nombre de problèmes survenus ces dernières années en lien avec des fonctions externalisées ont toutefois amené la Finma à réexaminer de manière approfondie la question de l’outsourcing. Après une période de consultation ayant débuté en décembre 2016, une nouvelle circulaire (Finma 2018/3) a récemment été publiée reflétant la nouvelle approche de l’autorité de surveillance en matière d’externalisation. Cette circulaire qui entrera en vigueur le 1er avril 2018, tout en maintenant l’approche de base de la Finma, apporte un certain nombre de changements significatifs à la pratique existante sur lesquels il convient de revenir.
En substance et en résumé, quatre points sont à relever:
La nouvelle circulaire – très succincte – adopte une approche fondée sur des principes et se veut «neutre technologiquement». Partant, elle supprime un certain nombre de précisions figurant dans la circulaire précédente qui en facilitait l’interprétation (portant par exemple sur la nature «essentielle» de la fonction déléguée). Ce faisant, elle vise à forcer l’institution à assumer la responsabilité de son appréciation et, le cas échéant, à justifier celle-ci vis-à-vis de l’autorité selon le cas d’espèce. Cela étant, la nouvelle circulaire impose aux institutions d’établir un inventaire de l’ensemble des fonctions externalisées, incluant notamment une description des fonctions externalisées et l’organe responsable au sein de l’institution. A la suite de certaines expériences malheureuses avec des groupes bancaires internationaux, la Finma abandonne pour l’essentiel dans sa circulaire 2018/3 la distinction faite jusque-là entre externalisations intra-groupes et celles opérées auprès de prestataires tiers. La circulaire 2008/7 offrait en effet un certain nombre d’allégements à l’outsourcing mis en place au sein d’un groupe, notamment s’agissant des obligations imposées dans le choix et le contrôle du prestataire et la documentation contractuelle. Ces allégements disparaissent, sauf si l’entreprise externalisante peut démontrer qu’il n’existe dans le cas d’espèce aucun risque justifiant l’imposition de telles obligations (circulaire 2018/3 – ch 22), démonstration qu’il sera généralement impossible d’apporter.
L’externalisation de fonctions à l’étranger reste possible sans conditions préalables particulières. La Finma a en effet renoncé dans le texte final de sa nouvelle circulaire à l’exigence d’une information préalable et à la démonstration formelle d’un droit de contrôle sur le prestataire étranger. Il importe toutefois que l’entreprise qui recourt à un outsourcing à l’étranger puisse assurer un accès «intégral, permanent et sans entraves» aux fonctions déléguées tant pour elle-même que pour ses réviseurs et la Finma, droit d’accès qui doit être garanti contractuellement. L’idée est ainsi de mettre sur un pied d’égalité prudentiel les institutions qui recourent à l’outsourcing et celles qui ne le font pas.
«En Suisse, la pratique des autorités de surveillance bancaire en matière d’outsourcing a historiquement été très libérale»
Historiquement, la CFB, puis la Finma étaient particulièrement attachées au respect du secret des affaires et bancaire en cas de transfert de données à l’étranger, pour lequel certaines exigences spécifiques étaient imposées (notamment un avis séparé aux clients concernés avec possibilité de résilier la relation). Cet aspect disparaît complètement dans la nouvelle circulaire Finma, qui laisse aux institutions le soin de s’assurer du respect du secret bancaire et de la législation en matière de protection des données (LPD) auprès du préposé fédéral à la protection des données et à la transparence. Si l’on peut comprendre la logique de la nouvelle circulaire, l’on doit s’attendre à ce que cette approche complique en pratique la situation, l’usage étant jusque-là de considérer que le respect de la réglementation de la Finma couvrait également le secret bancaire et la LPD. A noter qu’en matière bancaire, l’autorité de surveillance se réserve par ailleurs l’examen de ces questions de transfert de données clients sous l’angle de l’organisation et des procédures mises en place par l’institution pour assumer les risques opérationnels découlant de cette activité (circulaire Finma 2008/21).
L’on voit ainsi que si, pour l’essentiel, l’approche réglementaire de l’externalisation reste inchangée, les détails de celle-ci vont évoluer de manière marquée avec la nouvelle circulaire de la Finma. L’autorité l’a bien apprécié en acceptant d’octroyer un délai transitoire particulièrement long (cinq ans!) aux banques et aux négociants pour adapter le cadre de leurs activités existantes en matière d’outsourcing. Un tel délai n’est pas accordé aux assurances, qui n’étaient pas couvertes par la précédente circulaire.
▅