L’impact du cadre européen de la finance digitale sur le régime d’externalisation

  • Publication publiée :11 juillet 2023
  • Post category:Avis d'expert
You are currently viewing L’impact du cadre européen de la finance digitale sur le régime d’externalisation

Chronique juridique de Sébastien Praicheux, docteur en droit, avocat au Barreau de Paris, associé (Norton Rose Fulbright LLP) et chargé d’enseignement (1).

Le règlement DORA (2) est entrée en vigueur le 16 janvier dernier, seulement vingt jours après sa publication au Journal Officiel de l’Union Européenne. Son objectif essentiel est d’harmoniser les exigences applicables aux entités financières en matière de risques liés à l’usage des technologies de l’information et de la communication (« TIC ») et d’assurer la résilience opérationnelle numérique de ces entités. En effet, notre système financier témoigne d’une dépendance croissante aux technologies de l'information et de la communication.

La prévention du risque systémique que génère l'interconnexion entre les entités financières, les marchés financiers et les infrastructures de marché nécessite une prise en compte des risques nés de l’externalisation vers des prestataires tiers, source potentielle de risques systémiques. A ce titre et dans le cadre du règlement DORA, l’externalisation aux prestataires tiers de services TIC fait l’objet de dispositions particulières, complémentaires du régime actuel en la matière.

Un « mille-feuille » de textes

La directive MiFID II, qui établit les règles applicables à l'externalisation des services d'investissement, ainsi que les orientations de l'Autorité bancaire européenne (European Banking Authority, « EBA ») pour les établissements de crédit et les prestataires de services de paiement, sans oublier l'arrêté du 3 novembre 2014 sur le contrôle interne des entreprises du secteur bancaire, des services de paiement et des services d'investissement, créent un cadre réglementaire complexe et sectoriel caractérisé par un « mille-feuille » de textes.

Dans ce contexte, le règlement DORA apporte une approche novatrice et multi-sectorielle à l'externalisation, en couvrant les entités du secteur financier qui sont généralement régies par des textes qui leur sont propres. Répondant à une finalité spécifique, le règlement DORA reproduit et complète les principes issus des régimes d'externalisation existants, en faveur cette fois de la résilience numérique des entités financières concernées.

Responsables des obligations externalisées

Le règlement DORA reprend ainsi les grands principes établis par les législations sectorielles existantes. C’est ainsi que les entités soumises à ce texte demeurent responsables des obligations externalisées. A l’image des orientations de l’EBA précitées, il demeure encore obligatoire d'évaluer les fonctions qui seront externalisées et les risques liés à leur externalisation avant de conclure un accord écrit avec le prestataire. Si ces fonctions sont qualifiées de critiques ou importantes, les autorités compétentes doivent être notifiées du projet d’externalisation.

En reprenant les principes des législations existantes, le règlement DORA institue des changements qui seront dans bien des cas connus des établissements régulés. Prenons l'exemple des entreprises d'investissement: sous le régime de la Directive MiFID II, l'externalisation de fonctions critiques ou importantes exigeait déjà un plan d'urgence pour le rétablissement des activités après un sinistre ; lui font écho l’obligation, pour les entités financières, en application du règlement DORA, de mettre en place des mécanismes de mesures d'urgence et celle, pour les prestataires tiers, de mettre en œuvre et de tester leurs plans d'urgence.

A l’inverse, les prestataires sur crypto-actifs, acteurs grandissant du paysage financier, observent un changement substantiel de leur cadre règlementaire. Dans l’attente de l’entrée en application du règlement (UE) 2023/1114 sur les marchés de crypto-actifs (« MiCA »), les prestataires de services sur actifs numériques de droit français (« PSAN ») jouissent d’une situation particulière. Les PSAN doivent à présent transmettre à l’Autorité des marchés financiers (AMF) une description de leur politique en matière d’externalisation ainsi que les contrats conclus avec les tiers. Il suivent ainsi un régime d’externalisation spécifique. Plus encore, dès 2025 (date à laquelle l’AMF annonce les premiers agréments MiCA), l’article 73 du règlement MiCA dessinera un régime d’externalisation des fonctions opérationnelles pour les PSAN agréés sous ce même règlement.

Maintenir une expertise et des ressources

En effet, les PSAN demeureront responsables des fonctions externalisées et devront maintenir une expertise et des ressources permettant l’évaluation, la supervision et la gestion efficace des risques liés à celles-ci. Jusqu’ici non couverts par la majorité des régimes sectoriels, leur soumission à un cadre englobant les « fonctions opérationnelles » devra être concomitante à l’application du règlement DORA. A certains égards, ce règlement dupliquera, dans d’autres cas ajoutera, des exigences en matière d’externalisation.

En effet, le règlement DORA se distingue des législations précédentes en offrant une protection spécifique aux risques afférents aux TIC par un régime centré sur l’identification des fonctions critiques et essentielles. Visiblement inspiré des orientations de l’EBA, ce règlement s’écarte des notions de « fonctions opérationnelles » structurant par exemple le régime général de l’article 73 du règlement MiCA. Le règlement DORA semble aussi s’adresser à un champ plus large que celui des entreprises d’investissement de la Directive MIFID II. En effet, le règlement délégué se concentre davantage sur les conséquences spécifiques aux entreprises d'investissement et leurs obligations réglementaires, tandis que DORA élargit sa portée pour inclure les « perturbations » des services essentiels à l'économie réelle et la stabilité financière de ses États membres.

A ces fins, le règlement DORA fait de la notion de fonction critique ou importante la clé de voûte d’une structure vouée à apporter sécurité numérique et résilience opérationnelle aux entités régulées. L’importance de cette notion est notamment illustrée par le nouveau cadre de supervision qu’il introduit. Désormais, les autorités européennes de supervision évaluent, sur la bases de critères définis, les prestataires tiers de services TIC. Cette évaluation mène à la désignation des prestataires qualifiés de critiques pour les entités financières. Ces derniers sont alors soumis à un cadre de supervision nouveau qui se superpose aux obligations de gestion des risques imposées aux entités financières régulées. Le cadre de supervision devra être précisé, notamment par la désignation de l’autorité européenne de surveillance qui prendra le rôle de superviseur principal pour les prestataires critiques. Reste encore à désigner ce superviseur, qui est tantôt l’EBA pour certains acteurs, tantôt l’Autorité européenne des marchés financiers (AEMF / ESMA) pour d’autres. Fort d'une vision d'ensemble, le superviseur principal surveillera l'ampleur des interdépendances sur le marché afin de protéger l'Union des risques de concentration pouvant mettre en péril l'intégrité de son système financier. 

(1) L’auteur entend remercier Clémence Durand et Mathilde Guibert de l’équipe règlementaire bancaire et financière de Norton Rose Fulbright LLP pour leur aide et contribution précieuse à l’élaboration de cet article.

(2) Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (« DORA »).

 

Partager cet article

A lire aussi:

  1. Le Parlement européen vote le cadre juridique du marché des crypto-actifs
  2. Solution de compromis à l’Assemblée sur le régime d’accréditation crypto
  3. Finance numérique : le Régime Pilote publié au JO de l’Union européenne
  4. Paris se voit en capitale de la finance à impact
  5. Intentionnalité, additionnalité et mesure :  nouvelle devise de la finance à impact
  6. Publication d’informations ESG : le cadre réglementaire se précise