FAQ > Etablissements assujettis > Externalisation par les banques imprimer

Externalisation par les banques

Circulaire 2008/7 "Outsourcing - banques"

(Dernière modification: 18 septembre 2013)

1. Selon quels critères examine-t-on l’applicabilité de la circulaire 2008/7 ?

Il y externalisation (outsourcing) au sens de la circulaire lorsqu’une entreprise en charge une autre (le délégataire) d’assurer pour elle de manière indépendante et durable une prestation de services. Il faut en outre qu’il s’agisse de l’externalisation d’une prestation de services essentielle. Sont essentielles au sens de la circulaire les prestations de services qui ont un effet sur la détermination, la limitation et le contrôle des risques de la banque (voir chiffre marginal 2). Lors de l’examen des risques, il faut notamment prendre en considération les risques opérationnels et de réputation. La question de savoir si le domaine délégué relève d’une activité typique de banque ou de négociant en valeurs mobilières constitue par ailleurs un critère important. A noter que conformément à son chiffre marginal 1, la circulaire a entre autres pour but d’assurer la protection des données sensibles selon les exigences du secret bancaire et de la protection des données, dès lors qu’il y a délégation d’un domaine d’activité à un fournisseur de services. Ainsi, il y a en principe outsourcing au sens de la circulaire, lorsque le délégataire obtient un accès à des données sensibles (en particulier celles de clients) lors de l’externalisation.

2. Le recours à des auxiliaires entre-t-il dans le champ d’application de la circulaire ?

Le critère d’indépendance permet de distinguer clairement entre recours à des auxiliaires et outsourcing auprès d’un délégataire indépendant.

3. L’aménagement d’un local séparé des bureaux, équipé d’ordinateurs personnels, de serveurs et autres équipements pour parer à un incident grave, constitue-t-il une externalisation au sens de la circulaire ?

Non, car aucun domaine d’activité n’est délégué à une autre entreprise. Les règles de la circulaire ne s’appliquent donc pas.

4. Un groupe actif sur le plan international prévoit de centraliser entièrement le traitement de données et de gérer de l’étranger les extraits de compte et les attestations de transaction pour les clients de sa filiale bancaire en Suisse. Cela est-il admissible?

L’externalisation à l’étranger du traitement de donnés concernant des clients constitue un outsourcing selon la circulaire, dont il faut dès lors observer les principes. Il résulte des chiffres marginaux 6 à 8 qu’en cas d’externalisation au sein d’un groupe, la circulaire est partiellement applicable. Par contre, les chiffres marginaux 37 à 39, selon lesquels les clients doivent être informés de l’externalisation, s’appliquent sans restriction.

5. L’entreprise X envisage de conserver ses données comptables auprès de la société mère à l’étranger.

L’externalisation du stockage des données comptables auprès de la société mère constitue un outsourcing selon le chiffre 3 de l’annexe (Stockage des données). La circulaire n’est que partiellement applicable au regard du chiffre marginal 8.

6. L’externalisation de l’impression et de l’envoi de formulaires de paiement constitue-t-elle un outsourcing au sens de la circulaire ?

Oui, l’externalisation de ce domaine entre dans le champ du chiffre 6 de l’annexe.

7. Une banque envisage d’accepter des objets de valeur pour ses clients et de les mettre en dépôt chez un tiers. Cela constitue-t-il un outsourcing au sens de la circulaire ?

Il y a outsourcing au sens de la circulaire, lorsqu’une entreprise charge un délégataire d’assurer, de manière indépendante et durable, une prestation de services essentielle à l’activité de l’entreprise. Au sens de la circulaire sont notamment essentiels les services qui ont un effet sur les risques liés à l’image ainsi que les risques juridiques. Ceux-ci comprennent également le service, fourni typiquement par les banques, de location de safes et de compartiments de coffre-fort. Les principes de la circulaire sont donc applicables à l’externalisation de l’acceptation en dépôt d’objets de valeur, car il s’agit de limiter ce type de risques dans le cadre de la mise en œuvre de normes de sécurité.

8. Qu’entend-on au chiffre marginal 4a par "sociétés du groupe qui ont une obligation de consolidation" ?

L’ensemble des entreprises consolidées d’un groupe (c’est-à-dire autant la maison mère que les sociétés sœur) doivent respecter la circulaire, à moins qu’elles ne soient soumises à un régime de sur-veillance qui ait sa propre réglementation en matière d’outsourcing. Cela vaut aussi au regard du chiffre marginal 5 pour des sociétés de groupe étrangères soumises à consolidation.

9. Qu’entend-on par "organisation centrale" au sens du chiffre marginal 8 ?

On peut donner comme exemples de structures de groupe les banques régionales RBA et les banques Raiffeisen.

10. L’entreprise X a fourni jusqu’ici ses services exclusivement aux banques qui sont ses actionnaires. Cette entreprise pouvait ainsi prétendre à une application partielle de la circulaire. Depuis peu, l’entreprise X offre également ses prestations à quelques tiers. Le chiffre marginal 9 est-il encore applicable ?

Le chiffre marginal 9 n’est plus applicable dès lors que le domaine d’activité de l’entreprise X ne consiste plus à fournir des services exclusivement au groupe formé par les banques qui sont ses actionnaires. En d’autres termes, la circulaire est dans ce cas applicable sans restriction.

11. Qu’entend-on par ressources financières au sens du chiffre marginal 22 ?

Le délégataire doit avoir les moyens financiers nécessaires pour exécuter son mandat conformément à la circulaire. La question de la fortune sur laquelle il répond peut jouer un rôle sur ce point. On peut en particulier renvoyer au chiffre marginal 23, selon lequel les compétences respectives de l’entreprise et de son délégataire doivent être déterminées et délimitées avec précision.

12. Quelle est la nature des relations entre la banque et le sous-traitant ?

L’entreprise qui a externalisé n’est pas partie au contrat entre le délégataire et le sous-traitant. Plus exactement, deux contrats sont conclus : un contrat entre l’entreprise qui externalise et le délégataire, ainsi qu’un contrat entre le délégataire et le sous-traitant. La banque doit donner son accord à la conclusion du contrat, mais elle ne devient pas pour autant partie à ce contrat. Selon le chiffre marginal 23, les interfaces, les compétences et les questions relatives aux responsabilités doivent faire l’objet d’une réglementation contractuelle. Cela vaut également pour la relation entre le délégataire et le sous-traitant.

13. Quelles informations doivent figurer dans les conditions générales ? Le nom du délégataire doit-il être mentionné expressément ?

Mentionner simplement dans les conditions générales la possibilité de procéder à un outsourcing ne suffit pas. Les intermédiaires financiers doivent désigner les domaines d’activité dans lesquels ils envisagent une solution d’outsourcing, dans la mesure où ces domaines sont en relation avec les services fournis aux clients. Il n’est pas exigé de donner des informations sur le délégataire (par exemple le nom de la société).

14. Une clause des conditions générales du type "sont réservées des externalisations telles que…" est-elle suffisante ?

Une liste exemplative de services délégués est suffisante, à condition que les services mentionnés soient représentatifs et comprennent les prestations de services essentielles qui ont fait l’objet d’une externalisation.

15. En cas de traitement à l’étranger de données anonymisées, faut-il indiquer expressément aux clients de la banque dans les conditions générales que le traitement des données est effectué à l’étranger, ou suffit-il de mentionner que ce traitement a été délégué à un tiers ?

Selon le devoir général d’information tel qu’il est précisé au chiffre marginal 38, il est important que les informations contiennent des indications précises sur les domaines délégués. Il n’est pas nécessaire que les clients soient informés expressément dans les conditions générales que le traitement de données est effectué à l’étranger, à condition qu’aucune donnée ne puisse être découverte sur les clients du fait de l’externalisation.

16. Une banque qui délègue un domaine précis à une entreprise suisse peut-elle faire abstraction de l’obligation générale d’information résultant du chiffre marginal 38, s’il est établi que les données ne permettent pas de découvrir l’identité des clients ?

Le chiffre marginal 38 ne prévoit pas un tel assouplissement. L’obligation générale d’informer s’applique dans tout les cas.

17. L’organe de révision de l’entreprise qui externalise peut-il coordonner son contrôle avec celui de l’organe de révision externe du délégataire ?

Cela est admissible tant que les conditions des chiffres marginaux 40 à 47 sont respectées.

18. Un certain nombre de banques ont conclu un contrat d’outsourcing avec l’entreprise X. Cette dernière délègue elle-même une partie du mandat à l’entreprise Y. La conclusion d’un contrat entre X et Y est-elle suffisante ou chacune des banques doit-elle conclure un contrat séparé avec l’entreprise Y ?

Un contrat passé entre les entreprises X et Y est suffisant (voir aussi à ce sujet la question 13).

19. Existe-t-il une certification FINMA pour prestataires de services (par ex. des centres de calcul)?

Non. La FINMA ne certifie ni ne surveille ni les prestataires de services (entreprises de services, centres de calcul, particuliers ou sociétés, etc.) ni leurs prestations ou produits (solutions informa-tiques, salles de serveurs, processus, etc.). Les prestataires ne sont donc pas autorisés à mentionner une soi-disant "certification FINMA" ou une conformité aux normes de la FINMA pour assurer leur promotion.

Enfin, ni les assujettis ni les prestataires de services ne sont autorisés à utiliser le logo FINMA.

20. A qui puis-je m’adresser pour d’autres questions ?

banks@finma.ch ou tél. +41 (0)31 327 91 00