ITS on register of information

Certains actes juridiques sectoriels de l’Union en matière de services financiers contiennent des exigences en matière d’externalisation. Ces exigences ont été précisées dans des lignes directrices publiées par les AES. En vertu de ces lignes directrices, certaines entités financières sont censées enregistrer des informations spécifiques sur leurs accords d’externalisation, dans certains cas également sous la forme de registres, dans le cadre de leur gestion des risques liés à l’externalisation. Ces dernières années, plusieurs autorités nationales compétentes et la BCE ont collecté des informations figurant dans ces registres dans le cadre de leur surveillance du respect des exigences en matière d’externalisation par les entités financières. Sur la base des enseignements tirés des différents exercices de collecte de données des registres d’externalisation réalisés ces dernières années par les AES et les autorités compétentes, les modèles types devraient être conçus d’une manière neutre sur le plan technologique avec des tableaux ouverts, comportant un nombre prédéfini de colonnes et un nombre indéfini de lignes. En outre, les modèles types devraient être reliés entre eux au moyen de différentes clés spécifiques formant une structure relationnelle entre ces modèles.

Pour recevoir des services TIC d’un prestataire tiers de services TIC, y compris de prestataires de services TIC intra-groupe, les entités financières concluent un contrat écrit avec le prestataire tiers de services TIC. Dans le cas de groupes, les prestataires de services TIC intra-groupe peuvent conclure un contrat avec des prestataires tiers de services TIC extérieurs au groupe pour fournir des services TIC à une ou plusieurs entités financières du groupe. Afin de saisir l’ensemble de la chaîne d’approvisionnement des services TIC, les entités financières qui tiennent le registre d’informations devraient communiquer à la fois des informations sur l’accord contractuel conclu avec leur prestataire de services TIC intra-groupe et des informations sur l’accord stipulé par le prestataire de services TIC intra-groupe et les prestataires tiers de services TIC extérieurs au groupe en tant que sous-traitants. Par conséquent, le registre d’informations devrait inclure un modèle spécifique permettant de rapprocher les contrats intra-groupe et les contrats conclus avec des prestataires tiers de services TIC extérieurs au groupe.

La fourniture de services TIC à des entités financières peut s’appuyer sur des chaînes de sous-traitance potentiellement longues ou complexes, qui devraient être surveillées par les entités financières. Les entités financières devraient évaluer les risques associés, y compris les risques de concentration liés aux prestataires tiers de services TIC en ce qui concerne des prestataires tiers de services TIC qui soutiennent une fonction critique ou importante, ou des parties significatives de celle-ci, en tenant compte d’une approche fondée sur les risques et du principe de proportionnalité. Pour permettre cette évaluation, les entités financières ne devraient être tenues d’enregistrer dans le registre d’informations que les sous-traitants qui sous-tendent de fait les services TIC qui soutiennent des fonctions critiques ou importantes, ou des parties significatives de celles-ci, y compris tous les sous-traitants fournissant des services TIC dont la perturbation compromettrait la sécurité ou la continuité de la fourniture des services. Au moment d’identifier ces sous-traitants, les entités financières devraient tenir compte des aspects liés à la continuité des activités et des services TIC et à la sécurité des TIC.

Un registre d’informations devrait être tenu et mis à jour par les entités financières, y compris lorsqu’une entité financière externalise toutes ses activités vers une autre entité, étant donné que la tenue du registre d’informations contribue à la résilience opérationnelle de l’entité financière. Par conséquent, lorsqu’une entité agit pour le compte d’une entité financière pour l’ensemble des activités de l’entité financière (y compris les services TIC), les prestataires tiers directs de services TIC de cette entité devraient être enregistrés dans les modèles correspondants du registre d’informations de l’entité financière. Dans ce cas, l’entité est enregistrée seulement qu’en tant qu’entité tenant le registre d’informations.

Afin de permettre la transparence et la comparabilité des accords contractuels et le suivi permanent de ces accords, le registre d’informations devrait se concentrer sur les liens opérationnels entre les entités financières et les prestataires tiers de services TIC. À cette fin, le registre d’informations devrait utiliser quatre clés, qui, entre autres, relient entre elles les données pertinentes des différents modèles du registre d’informations: i) le numéro de référence de l’accord contractuel conclu entre l’entité financière qui signe cet accord et le prestataire tiers direct de services TIC, ii) un identifiant approprié des entités financières et des prestataires tiers de services TIC, iii) l’identifiant de fonction et iv) le type de services TIC.

Afin de documenter de manière appropriée les accords contractuels conclus entre les entités financières et les prestataires tiers de services TIC, comme l’exige le règlement (UE) 2022/2554, il est entendu que les prestataires tiers de services TIC doivent fournir un numéro d’identification permettant leur identification de manière exacte et constante par les entités financières et par les AES, le forum de supervision et les autorités compétentes lorsqu’ils exercent leurs pouvoirs de surveillance, y compris pour la désignation de prestataires tiers critiques de services TIC au titre de l’article 31 dudit règlement. En ce qui concerne les personnes morales, le LEI et l’EUID sont des identifiants internationaux et européens reconnus qui garantissent l’identification constante, unique et solide des entreprises. Par conséquent, l’un de ces deux identifiants devrait être utilisé pour identifier les prestataires tiers de services TIC établis dans l’Union aux fins de l’application dudit règlement et devrait être considéré comme une information commune à tous les accords contractuels, tandis que les prestataires tiers de services TIC établis dans des pays tiers devraient être identifiés uniquement par leur LEI. Les modèles utilisés pour le registre des informations sur les prestataires tiers de services TIC devraient exiger des informations sur l’un de ces deux identifiants pour les prestataires de services TIC qui sont des personnes morales, tout en permettant aux personnes physiques agissant en qualité de prestataires de services TIC d’utiliser d’autres codes d’identification.

Chaque entité financière, y compris les entités financières du même groupe, a sa propre taxonomie interne des fonctions selon son modèle d’entreprise et ses organisations internes spécifiques. Afin de permettre un suivi clair établissant une distinction entre les fonctions des entités financières et celles des services TIC, les entités financières devraient elles-mêmes désigner les fonctions pertinentes en utilisant l’identifiant de fonction au niveau individuel et au niveau du groupe.

En vue d’assurer l’opérabilité du registre d’informations au niveau de l’entité et aux niveaux sous-consolidé et consolidé pour toutes les entités financières faisant partie du même groupe, les entités financières devraient veiller à l’exactitude et à la cohérence de toutes les données figurant dans ce registre. En particulier, pour permettre cette opérabilité, il est nécessaire d’assurer la cohérence dans la consolidation des identifiants, à savoir les numéros de référence d’accord contractuel, l’identifiant de fonction, le LEI des entités financières et les identifiants des prestataires tiers de services TIC.

Afin de garantir la cohérence et l’harmonisation ainsi que d’éviter un retraitement fastidieux des données à des fins de notification, la structure des modèles et les exigences relatives aux éléments de données devraient tenir compte des perspectives en matière de gestion des données et de communication d’informations. Pour assurer la pleine comparabilité des informations déclarées dans le registre d’informations avec les informations fournies dans d’autres rapports réglementaires ou statistiques, les entités financières devraient respecter les principes de qualité des données lors de la tenue et de la mise à jour de ce registre.

Le présent règlement se fonde sur le projet de normes techniques d’exécution soumis à la Commission par les AES.

Les AES ont procédé à une série de consultations publiques sur les projets de normes techniques d’exécution sur lesquels repose le présent règlement, analysé les coûts et les avantages potentiels liés à ces projets, et invité les groupes des parties concernées des AES, conformément à l’article 37 des règlements (UE) n^o 1093/2010(²), (UE) n^o 1094/2010(³) et (UE) n^o 1095/2010(⁴) du Parlement européen et du Conseil, respectivement, à donner leur avis.

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(⁵),