Tag Archive for: PSF de support

Article 41 : « de nouvelles possibilités aux acteurs financiers », IT Nation

Découvrez l’article Article 41 : « de nouvelles possibilités aux acteurs financiers », publié par IT Nation le 8 février 2018. 

Le projet de loi 7024, qui assouplit le secret professionnel fixé par l’article 41 de la loi du 5 avril 1993 relative au secteur financier dans le cadre d’un outsourcing, a été adopté ce mardi à la Chambre des députés. Ce changement législatif a fait couler beaucoup d’encre, depuis de nombreux mois. Entre les craintes de voir partir de nombreuses activités IT vers l’étranger et la possibilité de faciliter l’établissement de nouveaux acteurs financiers au Luxembourg, le débat fut animé.

Les opportunités pour les institutions financières luxembourgeoises liées à ces changements réglementaires (Article 41, Circulaire Cloud de la CSSF…) seront largement débattues lors de l’événement « Digital Borders », proposé par DXC Technologies fin mars. Vincent Wellens, associé du cabinet d’avocat NautaDutilh, responsable du département propriété intellectuelle ( PI), technologies de l’information et de la communication (TIC), y évoquera les enjeux juridiques liés à ces transformations réglementaires.

Maître Wellens, dans quelle mesure la loi adoptée ce mardi transforme-t-elle le cadre dans lequel peuvent être traitées les données des clients des institutions financières luxembourgeoises ?

Tout d’abord, la nouvelle loi élargit les possibilités d’externalisation, sans accord du client, au Luxembourg, au-delà des PSF de Support et établissements de crédits, aux autres acteurs sous supervision de la CSSF ou du Commissariat aux Assurances. Ensuite, elle permet aussi l’externalisation vers d’autres acteurs non-réglementés par la CSSF (y compris vers des acteurs à l’étranger), moyennant un accord du client de l’institution financière. La démarche du gouvernement vient s’inscrire dans des pratiques qui existaient déjà. Il était déjà communément accepté que des clients d’une institution financière puissent renoncer à l’obligation de secret professionnel de l’institution. Cette pratique fut confirmée par la CSSF dans ses circulaires relatives à l’outsourcing. Ainsi, le traitement des données de ces clients, par exemple, pouvait être externaliser au sein d’un même groupe, à condition notamment que l’outsourcing se fasse dans l’intérêt du client, que celui-ci y avait consenti et que l’institution puisse le justifier. Cette pratique ne trouvait toutefois pas d’ancrage dans la loi. Il y avait donc un flou juridique autour de ces aspects qui est aujourd’hui levé par la nouvelle loi. Celle-ci prévoit maintenant explicitement qu’un outsourcing basé sur l’accord du client constitue une exception au secret bancaire. 

La question du consentement à obtenir était au cœur des discussions autour de ce projet de loi. Qu’en est-il, aujourd’hui, maintenant que la loi a été adoptée ?

En effet, dans le débat, les PSF de Support demandaient à ce que l’accord à obtenir soit formel et explicite, comme la CSSF le requérait jusqu’à présent. Le Conseil d’Etat et la CNPD, invités à émettre un avis sur le projet de loi, penchaient également plus vers un consentement actif à obtenir, en phase avec celui à obtenir dans le cadre du Règlement Général  sur la Protection des Données Personnelles (RGPD). Le lobby des banques, pour sa part, souhaitait profiter d’un accord implicite. Au final, le législateur a choisi de ne pas préciser la nature de l’accord à obtenir. Il laisse de cette manière le soin aux tribunaux de trancher selon les cas. N’oublions que cette législation relève de la juridiction pénale. Chacun doit donc se poser les bonnes questions, et elles sont nombreuses, avant de procéder à une externalisation. Là où il n’y pas de doute, toutefois, c’est sur la nécessité  d’informer le client préalablement sur la nature de l’outsourcing, le type de renseignements transmis et le lieu d’établissement du prestataire de services. On peut aussi se demander si le lieu d’établissement du prestataire correspond au siège social de celui-ci ou aussi aux lieux où les données sont effectivement hébergées. Quelles informations doivent être communiquées dans ce dernier cas de figure ?

Ce consentement est-il facile à obtenir ?

Tout dépend, au final, de la forme du consentement. Le flou est encore présent, je vous l’accorde. Il n’est pas clairement précisé si l’accord doit être explicite ou s’il peut également être implicite. Mais il y a d’autres points problématiques. La question du statut des données des anciens clients, que les institutions sont tenues de conserver, est délicate. En effet, il ne sera pas toujours facile d’obtenir un accord auprès de ces clients. Il faut pouvoir gérer ces aspects. A défaut de ne pouvoir obtenir de consentement de tous les clients, l’une des pistes envisagées réside dans le maintien d’une infrastructure et des systèmes dédiés pour les données des clients existants au Luxembourg, et de profiter des nouvelles opportunités d’outsourcing pour les activités futures.

Au final, quels sont les nouvelles opportunités, pour les institutions bancaires au Luxembourg, avec ce nouveau cadre réglementaire ?

L’évolution de la réglementation en matière d’externalisation tient à l’adoption de ce texte de loi relative au secret professionnel, mais aussi à l’établissement de nouvelles circulaires par le CSSF visant à encadrer l’externalisation des services et le recours à des services cloud. Il faut bien avoir conscience que les circulaires et le texte de loi sont indépendants. Autrement dit, la circulaire cloud n’exempte pas les acteurs de l’obligation de respecter les obligations définies au niveau de la nouvelle loi

Plus généralement, les acteurs qui parviendront à obtenir l’accord du client bénéficieront d’une plus grande flexibilité, en ayant la possibilité de plus facilement consolider leur IT à l’échelle du groupe par exemple, en profitant de services plus accessibles. Il y a tout un nouveau champ de possibilités qui s’ouvre à eux.

L’autre enjeu réside dans l’accueil au Luxembourg de nouveaux acteurs…

Il y a deux volets derrière ce changement législatif. Le premier, déjà évoqué, est de pouvoir offrir plus de flexibilité à diverses institutions financières déjà établies au Luxembourg, sans quoi il devenait de moins en moins intéressant pour d’y maintenir leurs activités. Tout du moins, c’est le message qu’elles faisaient passer. L’autre volet a trait à la possibilité d’accueillir au Luxembourg de acteurs de la FinTech ou d’autres acteurs étrangers dans le domaine de la finance qui désirent accéder au marché unique, dans un contexte de Brexit par exemple, sans avoir à déplacer leur infrastructure ou leur back-office avec eux.

Peut-on s’attendre à des mouvements dans les mois à venir ?

Très certainement. Nous devrions effectivement voir la migration de services vers des prestataires IT étrangers. Des acteurs vont aussi pouvoir profiter de solutions auxquelles ils n’avaient pas accès jusqu’alors. Actuellement, en tant que conseillers juridiques, nous accompagnons des groupes technologiques comme des institutions financières face à ces nouveaux enjeux. Il y a de réelles nouvelles opportunités, pour les clients comme pour les acteurs IT. Rappelons que si la CSSF a facilité l’accès au cloud et, de manière générale à l’outsourcing, elle continue à accorder un rôle important aux PSF de support dans ce contexte. Ces acteurs particuliers ont un rôle clé à jouer dans la transformation des groupes financiers au Luxembourg, dans la mise en place de plateformes IT hétérogènes, répondant à aux nouveaux enjeux réglementaires. En effet, des institutions financières qui ont un recours à un PSF de support continueront à bénéficier d’un traitement réglementaire plus favorable .

Copyright@IT Nation

Labgroup – first Provider of Digitisation and Conservation Services to the Financial Sector

We are proud to inform you that Lab Luxembourg S.A. (Labgroup) officially received on the 27th April 2017 the ministerial authorisation to exercise the activities as a Provider of Digitisation and Conservation Services to the Financial Sector. (view PDF)

Reminders

Labgroup is a Support PFS – a subcontractor of operational functions on behalf of other financial professionals – since 2004 under the amended law of the 5th April 1993 on the financial sector:

  • Article 29-1. Client communication agents
  • Article 29-3. Primary IT systems operators of the financial sector
  • Article 29-4. Secondary IT systems and communication networks operators of the financial sector

After obtaining the PSDC-DC status (Provider of Digitisation and Conservation Services), first February 2017, Labgroup is again the first company in Luxembourg acquiring the authorisation:

  • Article 29-5. Dematerialisation service providers
  • Article 29-6. Conservation service providers

Thanks to Labgroup, companies of the sector can now benefit from a presumption of conformity of their electronic copies of paper documents.


Labgroup – premier Prestataire de Services de Dématérialisation et de Conservation du Secteur Financier

Nous sommes fiers de vous informer que la société Lab Luxembourg S.A. (Labgroup) a officiellement reçu en date du 27 avril 2017 l’autorisation ministérielle d’exercer les activités de Prestataire de Services de Dématérialisation et de Conservation du Secteur Financier (voir PDF).

Rappels

Labgroup est un PSF de support – c’est-à-dire un sous-traitant de fonctions opérationnelles pour compte de professionnels financiers proprement dits depuis 2004, au titre de la loi modifiée du 05 avril 1993 relative au secteur financier :

  • Article 29-1. Les agents de communication à la clientèle – ACC
  • Article 29-3. Les opérateurs de systèmes informatiques primaires du secteur financier – OSIP
  • Article 29-4. Les opérateurs de systèmes informatiques secondaires et de réseaux de communication du secteur financier – OSIS

Suite à l’obtention du statut de PSDC-DC (Prestataire de Services de Dématérialisation et de Conservation) le 1er février 2017, Labgroup est de nouveau la première société au Luxembourg à obtenir l’autorisation :

  • Article 29-5 . Les prestataires de services de dématérialisation du secteur financier
  • Article 29-6. Les prestataires de services de conservation du secteur financier.

Grâce à Labgroup, les entreprises du secteur peuvent désormais bénéficier de la présomption de conformité des copies électroniques de documents.