Rapport d'activités CSSF 2021

PSF spécialisés et PSF de support

La CSSF a publié son rapport sur les activités et initiatives effectuées durant l’année 2021.

Elle reprend dans ce document les faiblesses identifiées lors de ses contrôles sur les PSF de support et PSF spécialisés, les textes réglementaires mis en place et les enjeux ciblés pour les années futures.

I - Gouvernance et fonctionnement de la CSSF

La CSSF vise à mettre au service du développement d’une finance durable ses systèmes informatiques à partir de la stratégie dénommée « Stratégie CSSF 4.0 ». Les acteurs financiers doivent intégrer dans leur modèle économique une démarche ESG afin de développer les talents et s’approprier la révolution digitale. Cette stratégie consiste à améliorer l’efficience informatique :

  • En digitalisant les échanges avec l’industrie : plus de standardisation, de rapidité, de transparence et de sécurité ;
  • En automatisant et robotisant les analyses sauf en cas de différences avec la norme ;
  • En agglomérant et analysant la donnée pour la restituer qualitativement aux partenaires.

 

La CSSF n’a pas l’intention de traiter l’innovation financière et la finance durable comme deux ensemble dépourvus de lien. Il faut prendre en considération les impacts et interdépendances des deux ensembles dans l’établissement et la mise en œuvre des règles les entourant. Les bénéfices et risques résultant de l’innovation financière doivent être analysés en considérant les objectifs poursuivis par la finance durable avec un dispositif solide de gouvernance interne pour soutenir un projet impliquant des actifs virtuels prenant en considération des critères de durabilité.

II - Surveillance des systèmes d’informations : résilience informatique

Le règlement européen a proposé le règlement « Digital Operational Resilience Act » (DORA) visant à développer un cadre réglementaire et de supervision unique pour la résilience numérique dans le secteur financier. Les mesures proposées portent sur la gouvernance des technologies de l’information et de la communication (TIC), la gestion des risques TIC, un processus harmonisé de notification des incidents TIC, des tests de résilience opérationnelle numérique (tests d’intrusion avancés, simulations de cyberattaques…), la gestion des risques liés aux prestataires tiers de services TIC et le partage d’informations. L’entrée en vigueur de ce texte est estimée à fin 2022.

Concernant les attentes et pratiques de la CSSF en matière de sous-traitance informatique, la CSSF a publié la circulaire CSSF 22/805 remplaçant l’obligation d’autorisation préalable par une notification préalable en cas de sous-traitance informatique matérielle. La CSSF a également finalisé la circulaire CSSF 22/806, entrée en vigueur le 30 juin 2022 portant sur l’externalisation regroupant les attentes de la CSSF concernant tous les types d’externalisation, y compris ceux informatiques.

III - Surveillance des PSF

III.1. Modifications réglementaires spécifiques aux PSF de support :

La loi du 21 juillet 2021 a supprimé le quatrième tiret de l’article 29-1, paragraphe 1er, de la loi du 5 avril 1993 relative au secteur financier sur l’activité « gestion de courrier ». La gestion de courrier donnant accès à des données confidentielles ne présente qu’un risque opérationnel et non matériel. De surcroît, l’article 41 de la loi du 5 avril 1993 détermine les modalités selon lesquelles il est possible de sous-traiter à des tiers des activités ayant trait à des données relevant du secret professionnel. Cet article suffit pour encadrer un traitement adéquat des données relevant du secret professionnel et la CSSF a donc jugé qu’il est plus nécessaire de prévoir une obligation d’agrément pour l’activité de gestion de courrier donnant accès à des données confidentielles.

La loi du 21 juillet 2021 a également porté sur la fusion des statuts d’opérateur de systèmes informatiques primaires (OSIP) et secondaires (OSIS) du fait que la différence entre les types de systèmes est obsolète. L’importance de certains systèmes secondaires, et de l’augmentation des risques opérationnels de nature informatique due à la complexité et à l’interconnexion croissantes des environnements et des systèmes informatiques primaires comme secondaires ne permettent plus de justifier l’existence de deux statuts. Un régime transitoire est prévu à l’égard des OSIP et OSIS agréés (articles 29-3 et 29-4 de la loi du 5 avril 1993) de sorte qu’ils bénéficient de plein droit au nouveau statut d’opérateur de systèmes informatiques et de réseaux de communication du secteur financier (OSIRC) introduit par le nouvel article 29-3 de la loi. De ce fait, une nouvelle exigence de capital a été mise en place passant de 50.000€ à 125.000€.

En 2021, la CSSF a souhaité mettre en place une méthode systématique de classification des PSF de support en fonction des risques qu’ils font courir aux professionnels du secteur financier afin de développer une approche par les risques cohérente, en complétant et confirmant le profil de risque de chaque PSF sur base de critères quantitatifs, de services offerts, du respect de la réglementation et d’autres critères relevant des activités des PSF. Cette classification sera revue chaque année en affinant davantage les critères.

La CSSF a également entamé un travail de refonte des circulaires CSSF 95/120, 96/126 et 98/143 en vue de mettre à jour et centraliser une future circulaire unique avec les attentes de la CSSF en matière de gouvernance. Ce travail continuera en 2022 en plus d’une révision du cadre des informations annuelles à fournir dans le contexte de la clôture de la circulaire CSSF 12/544.

III.2. Faiblesses constatées lors des contrôles « Corporate Governance »

Les faiblesses les plus importantes au niveau des conseils d’administration et de leurs comités spécialisés concernent des déficiences relatives à la définition et à la mise en œuvre des principes directeurs régissant la nomination, l’évaluation initiale et continue et la succession des membres de l’organe de surveillance.

Des lacunes sur le fonctionnement et les responsabilités attribuées à la direction autorisée et aux comités de gestion ont également été constatées, notamment autour de la formalisation et la communication des décisions de gestion ou du dispositif de gouvernance interne, ainsi que l’implémentation des recommandations émises.

Des faiblesses relatives à la définition, l’approbation et l’implémentation de la politique de rémunération ou des stratégies commerciales des entités inspectées ont également été relevées. En 2022, la CSSF a prévu d’évaluer les écarts salariaux entre les hommes et les femmes au sein des organes de direction des entités surveillées.

Il a également été constaté des lacunes sur la fonction de gestion des risques, au niveau de la définition et complétude des indicateurs du système de limites et d’appétence au risque. Dans le cadre de l’externalisation de certaines activités, groupe ou non, des déficiences ont été observées au niveau de la nature, de la formalisation et la supervision des activités externalisées.

III.3. Faiblesses constatées lors des contrôles « Risque Informatique »

Des lacunes ont été relevées concernant la sécurité informatique, notamment la gestion des systèmes d’informations obsolètes et leurs configurations afin de les protéger d’évènements malveillants, le contrôle des accès privilégiés, la gestion et remédiation des vulnérabilités critiques et la surveillance des évènements liés à la sécurité informatique.

D’autres lacunes observées concernent l’inventaire des actifs informatiques et la gestion des incidents informatiques, des non-conformités relatives à la PSD2, une faible/absence de couverture des risques informatiques, la continuité de l’activité dans son ensemble, des stratégies informatiques incomplètes ou incohérentes et le volet contractuel, ainsi que le suivi opérationnel de la sous-traitance informatique.

IV - Faiblesses et règlementations LBC/FT

IV.1. Faiblesses constatées

Une absence de contrôles visant à s’assurer de l’efficacité des outils de name matching utilisés par les professionnels a été constatée. Cette problématique aurait permis d’identifier certaines lacunes telles que des retards dans la mise à jour des listes officielles ou une « name matching ».

De plus, des faiblesses concernant les dispositifs mis en place permettant d’identifier la présence de clients parmi les articles de presse à caractère négatif, telles que OpenLux, FinCen Leaks ou encore Pandora Papers en 2021 ont été relevées.

Une absence de l’application de mesures de vigilance renforcées à des clients ou des intermédiaires présentant des facteurs de risque ont été relevés, des retards dans la revue périodique régulière des clients des manquements concernant l’obligation de déclaration à la CRF tout soupçon de BC/FT ont été relevés.

IV.2. Modifications du dispositif réglementaire LBC/FT

La Commission Européenne a publié le 20 juillet 2021 quatre propositions de réforme pour renforcer la LBC/F. Ces propositions concernent :

  • La création d’une nouvelle autorité européenne de LBC/FT (AMLA) avec des missions et pouvoirs spécifiques ;
  • Un projet de directive visant à transposer dans le droit national des règles relatives aux autorités nationales de surveillance et aux CRF ;
  • Un projet de règlement contenant des règles LBC/FT directement applicables au sein des états membres concernant la vigilance à l’égard de la clientèle et des bénéficiaires effectifs ;
  • Une révision du règlement UE 2015/847 sur les transferts de fonds afin d’étendre le champ d’application aux transferts de crypto-actifs.

 

En plus de ces propositions, l’EBA a publié son “Opinion on the risks of money laundering and terrorist financing affecting the European Union’s financial sector” analysant les risques liés aux monnaies virtuelles, aux services fournis par des FinTech, sur les faiblesses dans les systèmes et contrôles LBC/FT, aux crimes fiscaux, ou encore à la pandémie COVID-19…

Au niveau du cadre luxembourgeois, quelques adoptions mineures ont été apportées via la loi du 25 février 2021 modifiant la loi du 12 novembre 2004 relative à la LBC/FT, à la loi du 25 mars 2020 instituant un registre des comptes de paiement et bancaires identifiés par un numéro IBAN et à la loi du 10 juillet 2020 instituant un registre des trusts et fiducies.

La circulaire CSSF 21/782 ont été adoptés sur les orientations révisées par l’EBA des facteurs de risque BC/FT.

Découvrez nos autres publications :

News

Directive (UE) 2024/1640 (AMLD6)

La Directive (UE) 2024/1640 (AMLD6) réforme profondément les approches réglementaires, en se concentrant uniquement sur les responsabilités spécifiques des États membres, tandis que les obligations du secteur privé sont transférées au Règlement AMLR

En savoir plus
AMLR
News

Règlement (UE) 2024/1624 (AMLR)

Le Règlement (UE) 2024/1624, aussi connu sous le nom d’AMLR, ou de Règlement Unique, établit des exigences uniformes en matière de LBC/FT qui seront directement applicables dans tous les États membres.

En savoir plus
fr_FRFrench