Circulaire CSSF 21/777
- Sous-traitance à des prestataires de services en CLOUD
- Mise en œuvre des orientations de l’Autorité Européenne des Marchés Financiers (ESMA) relatives à la sous-traitance à des prestataires de services en CLOUD, par la modification du champ d’application de la Circulaire CSSF 17/654 telle que modifiée
Objectif de la Circulaire CSSF 21/777
L'objectif de la Circulaire CSSF 21/777 est de se conformer aux orientations de l'ESMA relatives à la sous-traitance à des prestataires de services en CLOUD (référence ESMA 50-164-4285) et de les appliquer.
La CSSF a déjà intégré des orientations équivalentes à celles de l'ESMA via la Circulaire CSSF 17/654 telle que modifiée.
Par conséquent, seul le champ d'application de la Circulaire CSSF 17/654 telle que modifiée a été élargi afin d'inclure toutes les entités visées par les orientations de l'ESMA.
Nouveau champ d'application de la Circulaire CSSF 17/654 telle que modifiée
- PSF de support
- PSF spécialisés
- Gestionnaires de fonds d'investissement
- Entreprises d'investissement
- Établissements de paiement
- Établissements de crédit
- Établissements de monnaie électronique
- Dépositaires Centraux de Titres (DCT)
- Organismes de placement collectif en valeurs mobilières (OPCVM)
- Prestataires de communication de données (PSCD)
En pratique
Rien ne change en matière de sous-traitance à des prestataires de services en CLOUD pour les entités qui étaient déjà soumises à la Circulaire CSSF 17/654 telle que modifiée.
Les nouvelles entités visées par la Circulaire CSSF 17/654 telle que modifiée doivent :
- Pour le 31 juillet 2021 : Appliquer la Circulaire CSSF 17/654 telle que modifiée à tous les accords de sous-traitance de services CLOUD conclus, renouvelés ou modifiés à partir de cette date.
- Pour le 31 décembre 2022 : Réviser et modifier les accords existants de sous-traitance de services CLOUD afin d'assurer la prise en considération de la Circulaire CSSF 17/654 telle que modifiée.
Les entités qui n'ont pas achevé la révision des accords de sous-traitance de services CLOUD relatifs à des fonctions importantes ou critiques pour le 31 décembre 2022 doivent en informer leur autorité compétente en indiquant les mesures prévues pour conclure la révision ou la stratégie de retrait.
Les orientations de l'ESMA
Les orientations de l'ESMA relatives à la sous traitance à des prestataires de services en CLOUD visent à aider les entreprises et les autorités compétentes à identifier, traiter et assurer le suivi des risques et des défis découlant des accords de sous-traitance de services en CLOUD, depuis la décision de sous-traiter jusqu’à la mise en place de stratégies de retrait, en passant par la sélection d’un prestataire de services en nuage et le suivi des activités sous-traitées.
L'ESMA décrit les orientations suivantes :
- 1. Gouvernance, supervision et documentation;
- 2. Analyse préalable à la sous-traitance et procédure de vigilance;
- 3. Éléments contractuels clés;
- 4. Sécurité de l’information;
- 5. Stratégies de retrait;
- 6. Droits d’accès et d’audit;
- 7. Sous-sous-traitance;
- 8. Notification écrite aux autorités compétentes;
- 9. Surveillance des accords de sous-traitance de services en nuage.
Liens utiles
Découvrez nos autres publications :
News
RC Report of RAIFs
The AED has launched a campaign to invite the RC of all RAIFs to communicate their 31/12/2023 summary report before 31/05/2024. The AED has also specified, on its website, the minimal content of this report.
12 mars 2024
Circulaire CSSF
CSSF Circular 24/854
CSSF Circular 24/854 provides guidelines for the collective investment sector on the AML/CFT Summary Report of the RC (“SRRC”). It introduces a template of SRRC that must be used by the RC.
11 mars 2024
News
Insights from the CSSF 2024 AML/CTF conference (Specialised PFS)
The 2024 AML/CFT Conference for Specialised PFS offered deep insights into the challenges and best practices in anti-money laundering and counter-terrorist financing.
9 février 2024