Vous êtes sur la page 1sur 10

Circulaire 2008/7 Outsourcing banques Externalisation dactivits dans le secteur bancaire

Circ.-FINMA 08/7 Outsourcing banques 20 novembre 2008 1er janvier 2009 20 novembre 2008 remplace la Circ.-FINMA 99/2 Outsourcing du 26 aot 1999 LFINMA art. 7 al. 1 let. b LB art. 3 al. 2 let. a OB art. 9 LBVM art. 10 al. 2 let. a OBVM art. 19, 26 LPD art. 67, 1213 OLPD art. 8 ss Annexe : Exemples doutsourcing

Rfrence : Date : Entre en vigueur : Dernire modification : Concordance : Bases lgales :

Destinataires
LB
Groupes et congl. financiers

LSA
Groupes. et congl. dassur.

LBVM
Ngociants en valeurs mob. Socits en comm. de PCC

LPCC
Reprsentants de PCC tr.

LBA
Entits surveilles par OAR

Autres

Bourses et participants

Intermdiaires dassur.

Gestionnaires de PCC

Banques dpositaires

Autres intermdiaires

Autres intermdiaires

Einsteinstrasse 2, 3003 Berne Tl. +41 (0)31 327 9100, Fax +41 (0)31 327 9101 www.finma.ch

Agences de notation

Directions de fonds

Socits daudit

Distributeurs

Assureurs

Banques

SICAV

SICAF

IFDS

OAR

Table des matires

I. II. III. A. B. C.

But Dfinition Champ d'application Champ d'application matriel Champ d'application territorial Application partielle de la circulaire

Cm Cm Cm Cm Cm Cm

1 23 412 4 5 612

IV. Admissibilit V. A. B. C. D. E. F. G. H. I. Conditions Principe 1 : Dtermination du domaine d'activits sujet la dlgation Principe 2 : Choix, instruction et contrle du dlgataire Principe 3 : Responsabilit Principe 4 : Scurit Principe 5 : Secret des affaires et secret professionnel, protection des donnes Principe 6 : Information des clients Principe 7 : Audit et surveillance Principe 8 : Transfert l'tranger Principe 9 : Contrat

Cm 1318 Cm 1953 Cm 1920

Cm 2125 Cm 2627 Cm 2833 Cm 3436

Cm 3739 Cm 4047 Cm 4850 Cm 5153 Cm Cm 54 55

VI. Compte rendu des socits daudit VII. Exceptions

2/10

I.

But
1

La prsente circulaire dfinit les conditions remplir pour que les solutions d'outsourcing satisfassent aux exigences dcoulant d'une organisation approprie, du secret bancaire et de la protection des donnes.

II.

Dfinition
2

Une entreprise pratique un outsourcing (externalisation d'activits) au sens de la prsente circulaire lorsqu'elle charge une autre entreprise (dlgataire) dassurer, de manire indpendante et durable, une prestation de services essentielle l'activit de l'entreprise. Au sens de cette circulaire sont essentielles les prestations de services qui peuvent en particulier avoir un effet sur la dtermination, la limitation et le contrle des risques de crdit et de pertes, des risques lis au march, l'excution des transactions et au manque de liquidits, des risques oprationnels et juridiques, ainsi que des risques susceptibles de ternir sa rputation. Des exemples dexternalisations dactivits soumises la prsente circulaire, ainsi que dautres qui ne le sont pas, figurent dans lannexe. L'outsourcing comprend d'une part la dlgation de prestations de services jusqu'alors assumes par l'entreprise elle-mme. Cette dfinition inclut galement, d'autre part, des activits que le dlgataire accomplit pour l'entreprise, et que celle-ci n'avait pas encore dveloppes.

III. A.

Champ d'application Champ d'application matriel


4

La circulaire est applicable aux banques et aux ngociants en valeurs mobilires organiss selon le droit suisse, ainsi qu'aux succursales suisses de banques et ngociants trangers. Les banques et les ngociants en valeurs mobilires sont dsigns ci-aprs en tant qu' entreprises . La circulaire est galement applicable aux socits de groupe qui, selon les exigences en matire de fonds propres, ont une obligation de consolidation. Les socits immobilires font exception.

4a

B.

Champ d'application territorial


5

Une entreprise, lorsqu'elle est organise selon le droit suisse, doit s'assurer que ses succursales ainsi que les socits trangres du mme groupe, soumises l'obligation de consolidation, se conforment aux principes noncs dans la prsente circulaire, dans la mesure o la taille et limportance de lexternalisation ne sont pas si insignifiantes que celle-ci na aucune influence sur les risques conformment au Cm 2, pour autant quil nexiste pas de rglementation trangre.

C.

Application partielle de la circulaire


6
3/10

Les principes 14, ainsi que 7 et 9, noncs sous chapitre V, ne sont pas applicables aux ex-

ternalisations pratiques par des succursales d'entreprises trangres auprs du sige principal (ou inversement) ou auprs d'autres succursales, au sein dun groupe ou une organisation centrale d'entreprises, ou auprs de dlgataires organiss selon le droit suisse, crs en commun par des entreprises et dont le but social consiste exclusivement fournir des prestations de services ces entreprises. 7

8 9

Dans les cas mentionns aux Cm 79 ci-dessus, la dispense ne s'applique cependant que si les dlgataires font examiner par une socit daudit agre par la FINMA les activits que des entreprises leur transfrent et s'engagent rendre accessibles leur organe de rvision, aux entreprises qui leur transfrent des activits de mme qu'aux organes de rvision internes et socits daudit externes de ces dernires, et la FINMA toutes les informations requises, ainsi qu' mettre, sur demande, le rapport daudit disposition de la FINMA et des organes de rvision internes et des socits daudit externes de ces entreprises. 10

11

La FINMA peut interdire une entreprise de transfrer des activits un dlgataire qui n'observe pas les prescriptions des Cm 10 et 11 de la circulaire.

12

IV. Admissibilit
En principe, le transfert de n'importe quel domaine d'activits est possible sans que l'autorisation de la FINMA soit ncessaire. Cela suppose cependant que la loi fdrale du 19 juin 1992 sur la protection des donnes (LPD; RS 235.1), conformment aux Cm 30 ss, et les conditions rgissant la pratique de l'outsourcing, nonces ci-dessous, soient respectes, et, dans l'hypothse d'un transfert l'tranger, que les documents exigs soient produits. Si l'entreprise ne parvient pas remplir ces exigences, elle doit adresser la FINMA, avant l'externalisation, une requte motive de dispense. Si l'approbation de la FINMA relative au transfert d'un domaine dtermin est exige par une autre circulaire, ses prescriptions l'emportent sur celles de la prsente circulaire. La haute direction, la surveillance et le contrle exercs par le conseil d'administration, ainsi que les tches centrales de conduite de la direction ne peuvent tre dlgus. Sont rserves les directives gnrales et les dcisions relatives la surveillance du groupe, lorsque l'entreprise fait partie d'un groupe exerant une activit dans le domaine financier et soumis une surveillance sur une base consolide approprie (art. 7 al. 4 OB). De mme, les dcisions relatives l'acceptation et la rupture de relations d'affaires ne peuvent tre dlgues. Des activits peuvent tre dlgues soit une socit du mme groupe soit une entit indpendante sur les plans juridique et conomique. Dans les deux hypothses, le dlgataire peut aussi bien tre une banque ou un ngociant en valeurs mobilires qu'une socit active dans un domaine non financier. 13

14

15

16

17

4/10

Les conditions rgissant la pratique de l'outsourcing, nonces ci-dessous, s'appliquent quels que soient l'origine du dlgataire et son statut juridique et conomique.

18

V. A.

Conditions Principe 1 : Dtermination du domaine d'activits sujet la dlgation


19 20

Le domaine d'activits sujet la dlgation doit tre dfini. Les exigences remplir par le dlgataire sont fixes et documentes en rfrence aux buts poursuivis dans le cadre du transfert d'activits. Il doit tre possible de mesurer ou d'valuer la prestation du dlgataire l'aide de critres qualitatifs et quantitatifs prdfinis.

B.

Principe 2 : Choix, instruction et contrle du dlgataire


21 21a

L'entreprise doit choisir, instruire et contrler le dlgataire avec diligence. Avec laccord crit de lentreprise, le dlgataire peut engager des sous-traitants, condition que les principes de la prsente circulaire soient respects. Les critres et les facteurs guidant le choix du dlgataire et la collaboration avec celui-ci doivent tre dtermins avant qu'une relation contractuelle soit noue. Le choix du dlgataire se fera aprs examen de ses capacits professionnelles ainsi que de ses ressources humaines et financires. Le dlgataire doit prsenter toutes garanties d'une activit d'outsourcing sre et durable Les comptences respectives de l'entreprise et de son dlgataire doivent tre dtermines et dlimites avec prcision. Les interfaces, les comptences et les questions relatives aux responsabilits font l'objet d'une rglementation contractuelle. Le systme de contrle interne de l'entreprise doit s'tendre au domaine d'activits transfr. L'entreprise dsigne en son sein une personne charge de la surveillance et du contrle du dlgataire. Les activits de celui-ci sont surveiller et valuer de faon suivie, de sorte que les ventuelles mesures ncessaires puissent tre prises immdiatement. L'entreprise se rserve par contrat le droit d'oprer les inspections, de donner les instructions et d'effectuer les contrles que ncessite l'outsourcing.

22

23

24

25

C.

Principe 3 : Responsabilit
26

L'entreprise continue d'assumer, l'gard de la FINMA, la responsabilit relative au domaine d'activits externalis. L'entreprise demeure responsable, l'gard de la FINMA, galement pour les domaines d'activits transfrs, comme si elle les exploitait elle-mme.

27

5/10

D.

Principe 4 : Scurit
28

L'entreprise et le dlgataire dterminent les exigences respecter en matire de scurit et laborent un dispositif de scurit. L'entreprise et le dlgataire dfinissent les exigences que le dlgataire doit remplir en matire de scurit. Ces exigences doivent figurer dans le contrat et leur observation est surveiller. L'entreprise et le dlgataire laborent un dispositif de scurit prvoyant la supplance du dlgataire en cas d'empchement de sa part pour un quelconque motif. La conduite rgulire des activits doit tre assure en permanence. Lors de llaboration et de lapplication du dispositif de scurit, lentreprise doit observer les mmes rgles de diligence que celles quelle devrait respecter dfaut dexternalisation. Le dispositif de scurit doit tenir compte de tous les cas durgence prvisibles. Les donnes concernant les clients doivent tre protges contre tout traitement non autoris par des mesures organisationnelles et techniques appropries. L'entreprise et le dlgataire assurent la confidentialit, la disponibilit et l'exactitude des donnes, afin de garantir de manire approprie la protection des donnes. Ils protgent en particulier les systmes contre la destruction accidentelle ou non autorise, la perte accidentelle, les erreurs techniques, la falsification, le vol ou l'utilisation illicite, ainsi que la modification, la copie, l'accs ou tout autre traitement non autoris. Les mesures techniques et organisationnelles tiennent compte des critres suivants : but du traitement de donnes, nature et tendue du traitement de donnes, valuation des risques potentiels pour les clients concerns et dveloppement technique.

29

29a

30

31

32

Ces mesures font l'objet d'un rexamen priodique. Lors de traitements automatiss de donnes concernant des clients, le dlgataire prend les mesures techniques et organisationnelles propres assurer notamment le contrle de l'accs aux locaux utiliss, des supports de donnes, de leur transport, de leur communication, de leur enregistrement, de leur utilisation, de leur introduction dans le systme et de l'accs direct ces donnes (cf. art. 7 LPD et art. 89 de l'ordonnance du 14 juin 1993 relative la loi fdrale sur la protection des donnes, OLPD ; RS 235.11).

33

E.

Principe 5 : Secret des affaires et secret professionnel, protection des donnes


34

Un dlgataire suisse doit tre assujetti au secret des affaires de l'entreprise et, dans la mesure o des donnes concernant des clients lui sont connues, au secret professionnel ou au secret bancaire de l'entreprise qui lui a dlgu des activits. Le dlgataire doit sobliger expressment garantir la confidentialit requise. En cas dexternalisation ltranger, il doit tre garanti par des moyens techniques et organisationnels appropris que le secret bancaire et la protection des donnes seront respects con-

35
6/10

formment au droit suisse. Dans l'hypothse o le dlgataire offre ses services plusieurs entreprises, il s'assure, l'gard de son personnel, ainsi que par des mesures techniques et organisationnelles, que la confidentialit des donnes est garantie non seulement l'gard des tiers, mais galement l'endroit des diffrentes entreprises qui lui ont transfr des activits. 36

F.

Principe 6 : Information des clients


37 38

Les clients doivent tre informs du transfert de donnes les concernant. Les clients doivent tre informs de lexternalisation avant que les donnes les concernant ne soient transmises un dlgataire. Linformation peut tre effectue sous une forme gnrale, p. ex. en figurant dans des conditions gnrales, des rglements de dpt, des extraits de comptes, des brochures dinformation, ou sous la forme dun courrier. Linformation doit contenir des indications dtailles au sujet des activits faisant lobjet de lexternalisation. Les clients doivent recevoir, par courrier spcial, une information dtaille et tre mis au fait des mesures de scurit prises, avant le transfert l'tranger de donnes les concernant (cf. principe 8). Dans cette hypothse, la facult de mettre un terme sans prjudice aux relations contractuelles dans un dlai appropri doit leur tre offerte. Le devoir particulier dinformation tombe lorsque les donnes devant tre transmises ltranger en raison dune externalisation ne permettent pas de dduire lidentit du client.

39

G.

Principe 7 : Audit et surveillance


40

L'entreprise mandante, ses organes de rvision interne et sa socit daudit externe, de mme que la FINMA, doivent avoir, en tout temps et sans qu'il leur soit oppos d'obstacles, accs au domaine d'activits transfr. Ils doivent tre en mesure d'examiner intgralement ce domaine. Des comptences en matire d'examen peuvent tre dlgues l'organe de rvision externe du dlgataire pour autant que celui-ci dispose des comptences matrielles ncessaires. La dlgation de lexamen lorgane de rvision externe peut tre effectue sans autorisation de la FINMA. Les organes de rvision interne et la socit daudit externe de l'entreprise doivent tre en position d'examiner si le dlgataire observe les dispositions de la loi sur les banques et de la loi sur les bourses et le commerce des valeurs mobilires. Le contrat doit rserver ces organes un droit de regard et d'examen intgral et permanent, de sorte qu'ils puissent accomplir leurs tches sans entraves. Les droits de regard et d'examen doivent tre exercs dans le respect du Cm 36. Les organes de rvision interne et la socit daudit externe de l'entreprise doivent disposer d'un accs tous les documents, bases de donnes et systmes utiliss par le dlgataire, pour autant qu'ils concernent le domaine d'activits transfr Ils peuvent notamment s'en rfrer l'activit des organes de rvision du dlgataire, lorsque celui-ci est organis selon le droit suisse et qu'il remplit les conditions des Cm 10 et 11 de la circulaire. Ces organes coordonnent leurs activits daudit avec celles de la socit de rvision du dlgataire.

41

42

43

44

45
7/10

L'outsourcing ne doit pas porter atteinte l'activit de rgulation et de surveillance exerce par la FINMA, en particulier lorsque le dlgataire se situe l'tranger ou qu'une socit du groupe, domicilie l'tranger, transfre galement des activits. Un dlgataire qui ne serait pas assujetti la surveillance de la FINMA doit s'engager par contrat envers l'entreprise fournir la FINMA tous les renseignements et documents relatifs au domaine d'activits transfr dont la FINMA a besoin pour remplir ses tches de surveillance. Lorsque les tches d'examen sont dlgues l'organe de rvision du dlgataire, son rapport doit, sur demande, tre mis disposition de la FINMA et des organes de rvision internes et de la socit daudit externe de l'entreprise qui externalise des activits.

46

47

H.

Principe 8 : Transfert l'tranger


48

Un transfert l'tranger n'est admis qu' la condition supplmentaire de l'apport d'une preuve que les possibilits d'examen sont garanties par l'Etat vers lequel s'effectue le transfert. En vue d'un transfert l'tranger, l'entreprise doit tre en mesure de dmontrer qu'elle-mme, tout comme sa socit daudit externe et la FINMA, seront en mesure d'exercer leurs prrogatives d'examen sans que des obstacles juridiques s'y opposent. Ces preuves peuvent notamment tre apportes par le biais d'avis de droit ou d'attestations tablies par les autorits de surveillance comptentes. La socit daudit externe examine ces preuves avant le transfert.

49

50

I.

Principe 9 : Contrat
51 52

Un contrat en la forme crite doit tre conclu entre l'entreprise et le dlgataire. Tout outsourcing doit reposer sur un contrat prenant au moins en compte l'ensemble des conditions nonces dans la prsente circulaire. L'entreprise doit dfinir une procdure interne d'autorisation pour les projets d'outsourcing, ainsi que les comptences pour la conclusion de contrats en la matire.

53

VI. Compte rendu des socits daudit


Les socits d'audit vrifient le respect des conditions de la circulaire selon les dispositions de la circ.-FINMA 08/41 Questions en matire daudit et consignent le rsultat de leurs mesures d'audit dans le rapport d'audit. 54

VII. Exceptions
Dans des cas particuliers, la FINMA peut imposer d'autres obligations une entreprise et/ou la dispenser totalement ou partiellement d'observer les dispositions de cette circulaire. 55

8/10

Annexe
Exemples doutsourcing

La table suivante contient des exemples pratiques d'externalisations soumises la circulaire et d'autres qui ne le sont pas. L'numration n'est pas exhaustive. Explication des symboles utiliss dans la table ci-dessous: o Outsourcing au sens de la prsente ordonnance : oui Outsourcing au sens de la prsente ordonnance : non

I.
o

Commerce et administration de papiers-valeurs


Totalit de ladministration des papiers-valeurs un seul dlgataire Participation des systmes de livraison des titres 3

II.
o o o o

Trafic des paiements et des billets


Excution de l'ensemble du trafic des paiements par un seul dlgataire ou une seule banque correspondante Participation des systmes de paiement Relations avec les banques correspondantes Livraisons physiques de la monnaie et transports des valeurs Entretien des distributeurs de billets 4

III.
o o o o o

Systmes de technologie de l'information et entretien


Stockage de donnes Exploitation et entretien de banques de donnes Exploitation de systmes de technologie de linformation Elaboration d'un projet de technologie de linformation, afin de lintgrer une fois termin au fonctionnement de la banque Mandat pour le dveloppement de logiciels Acquisition de licences de logiciels Support de logiciels Maintenance des appareils techniques, des systmes (technologies de linformation, etc.) et des logiciels 5

IV. Gestion des risques


Fonctions de compliance Service interne de lutte contre le blanchiment dargent Fonctions particulires dans le domaine de la surveillance des risques de crdits, ainsi que de lanalyse des crdits Surveillance des limites commerciales et de crdits
9/10

Annexe
Exemples doutsourcing

V.

Administration des donnes de base et comptabilit


Reporting financier Etablissement et mise jour des adresses de clients ou de profils clients (exception faite des activits occasionnelles) 7

VI. Fonctions back-/mid-office


Impression et envoi de documents bancaires (exception faite des activits occasionnelles) 8

VII. Ressources humaines


o o o Dcompte des salaires, de la rmunration et des bonus des collaborateurs Occupation de forces de travail temporaires Prestations de services pour les collaborateurs envoys l'tranger (expatris) 9

VIII. Logistique
o o o o Services de cantine et de restauration Prestations gnrales de service et de soutien, comme par exemple le service de nettoyage, la prvention des accidents, la protection contre lincendie, etc. Mesures concernant la scurit technique et physique des immeubles de la banque Administration, entretien et vente des immeubles de la banque 10

IX. Divers
o o o Oprations de cartes de crdit Encaissements Conseil juridique et fiscal 11

10/10