Beta

Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 36 Exercice des pouvoirs du superviseur principal en dehors de l’Union

    1. Lorsque les objectifs en matière de supervision ne peuvent être atteints en interagissant avec la filiale: une entreprise filiale au sens de l’article 2, point 10), et de l’article 22 de la directive 2013/34/UE; créée aux fins de l’article 31, paragraphe 12, ou en exerçant des activités de supervision dans des locaux situés dans l’Union, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; peut exercer les pouvoirs visés dans les dispositions suivantes dans tout local situé dans un pays tiers qui est détenu, ou utilisé de quelque manière que ce soit, aux fins de la fourniture de services à des entités financières de l’Union par un prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, dans le cadre de ses activités, de ses fonctions ou de ses services, y compris tout bureau administratif, commercial ou opérationnel, tout local, terrain, bâtiment ou autre bien immobilier:

      1. à l’article 35, paragraphe 1, point a); et

      2. à l’article 35, paragraphe 1, point b), conformément à l’article 38, paragraphe 2, points a), b) et d), et à l’article 39, paragraphe 1, et à l’article 39, paragraphe 2, point a).

    2. Les pouvoirs visés au premier alinéa peuvent être exercés pour autant que l’ensemble des conditions suivantes soient remplies:

      1. le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; juge qu’il est nécessaire de réaliser une inspection dans un pays tiers pour pouvoir s’acquitter pleinement et efficacement des tâches qui lui incombent en vertu du présent règlement;

      2. l’inspection dans un pays tiers est directement liée à la fourniture de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; à des entités financières dans l’Union;

      3. le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; concerné consent à la réalisation d’une inspection dans un pays tiers; et

      4. l’autorité compétente du pays tiers concerné a été officiellement informée par le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; et n’a soulevé aucune objection à cet égard.

    1. Sans préjudice des compétences respectives des institutions de l’Union et des États membres, aux fins du paragraphe 1, l’ABE, l’AEMF ou l’AEAPP conclut des accords de coopération administrative avec l’autorité compétente du pays tiers afin de permettre le bon déroulement des inspections menées dans le pays tiers concerné par le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; et son équipe désignée pour sa mission dans ce pays tiers. Ces accords de coopération ne créent pas d’obligations juridiques à l’égard de l’Union et de ses États membres et n’empêchent pas les États membres et leurs autorités compétentes de conclure des accords bilatéraux ou multilatéraux avec ces pays tiers et leurs autorités concernées.

    2. Ces accords de coopération précisent au moins les éléments suivants:

      1. les procédures de coordination des activités de supervision menées au titre du présent règlement et tout contrôle analogue du risque lié aux prestataires tiers de services TIC: un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation; dans le secteur financier exercé par l’autorité compétente du pays tiers concerné, y compris les modalités de transmission de l’accord de cette dernière visant à permettre au superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; et à son équipe désignée de mener les enquêtes générales et les inspections sur place visées au paragraphe 1, premier alinéa, sur le territoire relevant de sa juridiction;

      2. le mécanisme de transmission de toute information pertinente entre l’ABE, l’AEMF ou l’AEAPP et l’autorité concernée du pays tiers concerné, en particulier en ce qui concerne les informations qui peuvent être demandées par le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; en vertu de l’article 37;

      3. les mécanismes de notification rapide, par l’autorité compétente du pays tiers concerné, à l’ABE, à l’AEMF ou à l’AEAPP des cas où un prestataire tiers de services TIC établi dans un pays tiers: un prestataire tiers de services TIC qui est une personne morale établie dans un pays tiers et qui a conclu un accord contractuel avec une entité financière pour la fourniture de services TIC; et désigné comme critique conformément à l’article 31, paragraphe 1, point a), est réputé avoir enfreint les exigences auxquelles il est tenu d’adhérer en vertu du droit applicable du pays tiers concerné lorsqu’il fournit des services à des établissements financiers dans ce pays tiers, ainsi que les voies de recours et les sanctions appliquées;

      4. la transmission régulière d’informations actualisées sur l’évolution de la réglementation ou de la supervision en matière de suivi du risque lié aux prestataires tiers de services TIC: un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation; des établissements financiers dans le pays tiers concerné;

      5. les modalités permettant, si nécessaire, la participation d’un représentant de l’autorité compétente du pays tiers aux inspections menées par le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; et l’équipe désignée.

    1. Lorsque le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; n’est pas en mesure de mener les activités de supervision, en dehors de l’Union, visées aux paragraphes 1 et 2, il:

      1. exerce les pouvoirs qui lui sont conférés en vertu de l’article 35 sur la base de tous les faits et documents dont il dispose;

      2. documente et explique toute conséquence résultant de son incapacité à mener les activités de supervision envisagées visées au présent article.

    2. Les conséquences potentielles visées au point b) du présent paragraphe sont prises en considération dans les recommandations formulées par le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; conformément à l’article 35, paragraphe 1, point d).

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod