Les premières recommandations en matière d’outsourcing en Suisse ont été mises en place en 1999 par la circulaire de la Commission fédérale des Banques : Externalisation d’activités (outsourcing). Cette circulaire a été révisée une première fois en 2008 par la circulaire FINMA 2008/7 « Outsourcing – banques » afin de s’adapter à l’évolution technologique et informatique des années qui ont suivi l’entrée en vigueur de la législation de 1999 et à une augmentation de la demande en matière d’outsourcing. La nouvelle circulaire FINMA 2018/3 « Outsourcing – banques et assureurs » qui va remplacer la circulaire FINMA de 2008 indique déjà, par son titre, un des principaux changements de cette nouvelle circulaire : elle s’applique désormais également aux compagnies d’assurance.
Après la publication d’une version préliminaire de la nouvelle circulaire fin 2016, les divers acteurs concernés par cette révision ont adressé leurs remarques à la FINMA [1] . Cette dernière, sur la base de ces remarques, a adopté diverses suggestions importantes que nous aborderons ci-dessous.
La nouvelle circulaire entre en vigueur le 1 avril 2018 et s’appliquera à toutes les nouvelles relations d’outsourcing à partir de cette date. Pour les relations d’outsourcing existantes avant le 1 avril, un délai transitoire de 5 ans est applicable.
Quelles sont les principales modifications et nouveautés mises en place par cette nouvelle circulaire ?
Qu’est-ce que l’outsourcing ?
Une entreprise pratique un outsourcing (externalisation) lorsqu’elle charge un prestataire de remplir, de manière indépendante et durable, tout ou partie d’une fonction essentielle à l’activité commerciale de l’entreprise [2] .
Est réputée essentielle toute fonction dont dépend de manière significative le respect des objectifs et des prescriptions de la législation sur la surveillance des marchés financiers [3] .
A qui est destinée cette circulaire ?
La circulaire est destinée aux banques et négociants en valeurs mobilières ayant leur siège en Suisse ainsi qu’aux succursales suisses de banques et négociants en valeurs mobilières étrangères [4] .
Elle s’applique également aux entreprises d’assurance ayant leur siège en Suisse et aux succursales des entreprises d’assurance étrangères qui ont obtenu l’agrément d’exploitation de la FINMA (au sens des art. 3 et 6 de la Loi fédérale sur la surveillance des entreprises d’assurance (LSA)) ou l’approbation de la FINMA pour les différents éléments du plan d’exploitation de l’entreprise (art. 4 et 5 LSA) [5] .
Les résultats de l’audition menée par la FINMA
La FINMA a mené une audition sur le projet de circulaire entre le 6 décembre 2016 et le 31 janvier 2017. Durant cette période de consultation, une trentaine d’intervenants, dont notamment des banques, des assureurs, des études d’avocats ainsi que des entreprises indirectement concernées par la circulaire se sont exprimées [6] .
Dans l’ensemble, les participants, ont soutenu la nécessité d’avoir des exigences prudentielles appropriées pour les externalisations et une gestion adéquate du risque. Ils ont également reconnu un besoin d’actualiser les dispositions existantes en raison des évolutions technologiques de ces dernières années [7] .
La FINMA a tenu compte de beaucoup de critiques émises lors de cette audition, tout en essayant de se rapprocher au plus près du standard européen (le Règlement général sur la protection des données ou RGPD) qui entre en vigueur à la même période que la circulaire, soit le 25 mai 2018.
Les modifications apportées par la nouvelle circulaire
La nouvelle circulaire FINMA 2018/3 « Outsourcing – banques et assureurs » qui va remplacer la circulaire de 2008 apporte quelques nouveautés. Les principales modifications portent notamment sur :
- le champ d’application de la circulaire : comme indiqué ci-dessus, il ne s’étend plus uniquement aux banques et négociants en valeurs mobilières ayant leur siège en Suisse, mais également aux entreprises d’assurance ayant leur siège en Suisse et aux succursales des entreprises d’assurance étrangères [8] .
- le champ d’application matériel de la circulaire : Alors que la Circulaire 2008/13 listait dans une annexe les prestations essentielles auxquelles la circulaire était susceptible de s’appliquer, la nouvelle circulaire laisse chaque assujetti se déterminer, sur la base d’une auto-évaluation, si un projet d’externalisation implique le respect des prescriptions de la Circulaire [9] .
- l’inventaire des fonctions externalisées : un inventaire des fonctions externalisées de la banque ou de l’entreprise d’assurance, comprenant une description de la fonction externalisée, le fournisseur (y compris les sous-traitants), le bénéficiaire et l’organe responsable au sein de l’entreprise, doit être établi et tenu à jour [10] . Dans une perspective pratique, il peut sembler opportun de coordonner la préparation de cet inventaire avec la préparation du “registre des activités de traitement” qui est évoqué aux articles 11 du projet de révision de la LPD et 30 du Règlement général européen sur la protection des données (RGPD) [11] .
- l’externalisation au sein d’un groupe : pour la première fois, l’externalisation au sein d’un groupe est soumis aux mêmes exigences qu’une externalisation vers un fournisseur hors de la banque ou de l’entreprise d’assurance à moins qu’il ne soit démontré que les risques inhérents à une externalisation n’existent pas [12] .
- le transfert de l’outsourcing à l’étranger : un transfert à l’étranger est autorisé à condition que l’entreprise puisse garantir l’exercice et l’application du droit de regard et d’examen de l’entreprise elle-même, de sa société d’audit ainsi que de la FINMA sur les activités effectuées à l’étranger [13] . Cette solution, retenue par la FINMA, aura notamment un impact au niveau de la formalisation de la procédure ayant mené au choix du prestataire [14] .
- Les exigences contractuelles de l’externalisation : l’externalisation doit reposer sur un contrat écrit désignant les parties et une description de la fonction du prestataire de services d’outsourcing. Ledit contrat doit également contenir au minimum des dispositions concernant un système de contrôle interne, les exigences en matière de sécurité, un droit de regard et d’examen permanent par l’entreprise externalisatrice, la société d’audit de l’entreprise et la FINMA que ce soit en Suisse ou à l’étranger en cas de transfert à l’étranger. Il faudra également prévoir contractuellement que le recours à des sous-traitants par le prestataire soit soumis à l’accord préalable de la banque ou de l’entreprise d’assurance [15] .
Par l’entrée en vigueur de la circulaire FINMA “Outsourcing – banques et assureurs” , le 1 avril 2018, la FINMA poursuit le but de limiter les risques liés à l’outsourcing par des exigences organisationnelles et contractuelles à la relation entre les banques et les entreprises d’assurance avec leur prestataire de services. La FINMA laisse les questions relatives au secret bancaire ainsi qu’à la protection des données être exclusivement réglées par les lois spéciales (en particulier la LB et la LPD) [16] . Il faudra donc porter une importance toute particulière au fonctionnement interne de l’entreprise ainsi que de ces relations contractuelles avec ses prestataires afin de satisfaire aux nouvelles exigences de la nouvelle circulaire.
Notes de bas de page:
[1] Communiqué de presse de la FINMA du 5 décembre 2017, “la FINMA publie la circulaire sur l’outsourcing”.
[2] Circulaire FINMA 2018/3 Outsourcing – banques et assureurs du 21 septembre 2017, par. 3.
[3] Circulaire FINMA 2018/3 Outsourcing – banques et assureurs du 21 septembre 2017, par. 4.
[4] Circulaire FINMA 2018/3 Outsourcing – banques et assureurs du 21 septembre 2017, par. 5.
[5] Circulaire FINMA 2018/3 Outsourcing – banques et assureurs du 21 septembre 2017, par. 6.
[6] Rapport de la FINMA du 21 septembre 2017 sur l’audition concernant le projet de circulaire qui s’est déroulée du 6 décembre 2016 au 31 janvier 2017.
[7] Rapport de la FINMA du 21 septembre 2017 sur l’audition concernant le projet de circulaire qui s’est déroulée du 6 décembre 2016 au 31 janvier 2017.
[8] Circulaire FINMA 2018/3 Outsourcing – banques et assureurs du 21 septembre 2017, par. 6.
[9] Philipp Fischer, Externalisation : Publication de la version révisée de la Circulaire Outsourcing, du 18 Déc 2017, par le Centre de droit bancaire et financier.
[10] Circulaire FINMA 2018/3 Outsourcing – banques et assureurs du 21 septembre 2017, par. 14.
[11] Philipp Fischer, Externalisation : Publication de la version révisée de la Circulaire Outsourcing, du 18 Déc 2017, par le Centre de droit bancaire et financier.
[12] Circulaire FINMA 2018/3 Outsourcing – banques et assureurs du 21 septembre 2017, par. 22.
[13] Circulaire FINMA 2018/3 Outsourcing – banques et assureurs du 21 septembre 2017, par. 30-31.
[14] Philipp Fischer, Externalisation : Publication de la version révisée de la Circulaire Outsourcing, du 18 Déc 2017, par le Centre de droit bancaire et financier.
[15] Circulaire FINMA 2018/3 Outsourcing – banques et assureurs du 21 septembre 2017, par. 32-34.
[16] Philipp Fischer, Externalisation : Publication de la version révisée de la Circulaire Outsourcing, du 18 Déc 2017, par le Centre de droit bancaire et financier.