L’EBA (European Banking Authority) a publié en février 2019 son opinion sur l’externalisation de certains services afin d’intégrer certaines nouvelles prestations comme le cloud ou de nouvelles réglementations.

Pour rappel, l’EIOPA (European Insurance and Occupational Pensions Authority) avait émis en septembre 2015 des guidelines sur la gouvernance et l’externalisation de services.

Chacune de ces autorités a certes émis leur opinion sur des bases juridiques différentes, il n’en reste pas moins que de nombreux principes similaires régissent ces deux documents centraux que doivent absolument connaitre tout prestataire, start-up, consultant ou autre sous-traitant de banque et assurance.

Retour sur quelques aspects communs au droit bancaire, droit des assurances et RGPD.

  • La tenue d’un registre des sous-traitants

Tant l’EBA, que l’EIOPA mais aussi le RGPD imposent que les sous-traitants soient consignés, avec certaines informations, dans un registre spécifique. Attention, ce registre doit être tenu en plus du registre RGPD, il ne le remplace pas.

Dans le domaine spécifique bancaire ou de l’assurance, ce registre doit comprendre plus d’informations que le registre spécifique du RGPD, dont par exemple, les dates du contrat, la qualification juridique des fonctions externalisés ou la nature précise du prestataire. Quand il s’agit de sous-traitance de fonctions clé (assurance) ou services essentiels (banque), ces informations sont communiquées à l’autorité compétente.

Il est donc important pour les sous-traitants de connaitre leur positionnement juridique précis de ce qu’ils sont et ce qu’ils proposent afin de pouvoir échanger efficacement avec leurs clients banque ou assurance.

  • La nécessaire documentation contractuelle

La relation contractuelle portant sur l’externalisation de prestations dans le domaine bancaire ou des assurances doit être précise et spécifique. Les Conditions Générales peuvent être éventuellement un support, mais certainement pas un document suffisant.

Les droits applicables (droit bancaire ou des assurances + RGPD notamment) imposent de nombreuses mentions et informations obligatoires, qui sont vérifiées par chaque autorité compétente.

De plus, le contrat doit comprendre des procédures permettant la mise en œuvre effective (et non théorique) des droits et obligations de chaque cocontractant et notamment la politique d’externalisation / sous-traitance du client.

En toutes hypothèses, il est très important de comprendre qu’il n’existe pas de contrat type dans ces relations contractuelles, que le sous-traitant n’a pas à accepter toutes les demandes du client et qu’une négociation doit absolument avoir lieu. Il est effectivement trop fréquent que la banque / assurance impose un principe / une clause sous prétexte que « c’est obligatoire » alors que ça ne l’est absolument pas….

  • L’évaluation des sous-traitants

Ce point est central et doit être pris en compte très sérieusement tant par les clients (banque / assurance) que par les sous-traitants (prestataires, fournisseurs, consultants, etc…).

Pour rappel, le RGPD impose que les responsables de traitement puissent être en mesure de réaliser des audits, y compris par des « inspections » (audits sur place) afin de valider le respect du texte. Mais, tant le CMF que le code des assurance (et les textes qui en découlent) imposent que les banques et assurances réalisent des audits. Les sous-traitants, y compris les « petites » start-up, doivent comprendre que, sur le terrain du droit bancaire ou droit des assurances, il est effectivement réaliste que leur client mène un audit chez eux ou de leurs services. Ces audits sont nécessaires, impératifs et exigés des autorités de contrôle et sont donc, en pratique, réellement menés par les banques / assurances.

Il est donc impératif que cette thématique soit discutée lors de la négociation du contrat et que les sous-traitants, y compris les plus petits, prennent leurs dispositions pour que l’audit ne porte que sur les données dudit client et que la confidentialité des autres clients soit assurée.