ITS on register of information

Certains actes juridiques sectoriels de l’Union en matière de services financiers contiennent des exigences en matière d’externalisation. Ces exigences ont été précisées dans des lignes directrices publiées par les AES. En vertu de ces lignes directrices, certaines entités financières sont censées enregistrer des informations spécifiques sur leurs accords d’externalisation, dans certains cas également sous la forme de registres, dans le cadre de leur gestion des risques liés à l’externalisation. Ces dernières années, plusieurs autorités nationales compétentes et la BCE ont collecté des informations figurant dans ces registres dans le cadre de leur surveillance du respect des exigences en matière d’externalisation par les entités financières. Sur la base des enseignements tirés des différents exercices de collecte de données des registres d’externalisation réalisés ces dernières années par les AES et les autorités compétentes, les modèles types devraient être conçus d’une manière neutre sur le plan technologique avec des tableaux ouverts, comportant un nombre prédéfini de colonnes et un nombre indéfini de lignes. En outre, les modèles types devraient être reliés entre eux au moyen de différentes clés spécifiques formant une structure relationnelle entre ces modèles.

Pour recevoir des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; d’un prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, y compris de prestataires de services TIC intra-groupe: une entreprise qui fait partie d’un groupe financier et qui fournit principalement des services TIC à des entités financières du même groupe ou à des entités financières appartenant au même système de protection institutionnel, y compris à leurs entreprises mères, filiales et succursales ou à d’autres entités détenues ou contrôlées par la même entité;, les entités financières concluent un contrat écrit avec le prestataire tiers de services TIC: une entreprise qui fournit des services TIC;. Dans le cas de groupes: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;, les prestataires de services TIC intra-groupe: une entreprise qui fait partie d’un groupe financier et qui fournit principalement des services TIC à des entités financières du même groupe ou à des entités financières appartenant au même système de protection institutionnel, y compris à leurs entreprises mères, filiales et succursales ou à d’autres entités détenues ou contrôlées par la même entité; peuvent conclure un contrat avec des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; extérieurs au groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; pour fournir des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; à une ou plusieurs entités financières du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;. Afin de saisir l’ensemble de la chaîne d’approvisionnement des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, les entités financières qui tiennent le registre d’informations devraient communiquer à la fois des informations sur l’accord contractuel conclu avec leur prestataire de services TIC intra-groupe: une entreprise qui fait partie d’un groupe financier et qui fournit principalement des services TIC à des entités financières du même groupe ou à des entités financières appartenant au même système de protection institutionnel, y compris à leurs entreprises mères, filiales et succursales ou à d’autres entités détenues ou contrôlées par la même entité; et des informations sur l’accord stipulé par le prestataire de services TIC intra-groupe: une entreprise qui fait partie d’un groupe financier et qui fournit principalement des services TIC à des entités financières du même groupe ou à des entités financières appartenant au même système de protection institutionnel, y compris à leurs entreprises mères, filiales et succursales ou à d’autres entités détenues ou contrôlées par la même entité; et les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; extérieurs au groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; en tant que sous-traitants. Par conséquent, le registre d’informations devrait inclure un modèle spécifique permettant de rapprocher les contrats intra-groupe et les contrats conclus avec des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; extérieurs au groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;.

La fourniture de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; à des entités financières peut s’appuyer sur des chaînes de sous-traitance potentiellement longues ou complexes, qui devraient être surveillées par les entités financières. Les entités financières devraient évaluer les risques associés, y compris les risques de concentration liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; en ce qui concerne des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; qui soutiennent une fonction critique ou importante: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, ou des parties significatives de celle-ci, en tenant compte d’une approche fondée sur les risques et du principe de proportionnalité. Pour permettre cette évaluation, les entités financières ne devraient être tenues d’enregistrer dans le registre d’informations que les sous-traitants qui sous-tendent de fait les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, ou des parties significatives de celles-ci, y compris tous les sous-traitants fournissant des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; dont la perturbation compromettrait la sécurité ou la continuité de la fourniture des services. Au moment d’identifier ces sous-traitants, les entités financières devraient tenir compte des aspects liés à la continuité des activités et des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; et à la sécurité des TIC.

Un registre d’informations devrait être tenu et mis à jour par les entités financières, y compris lorsqu’une entité financière externalise toutes ses activités vers une autre entité, étant donné que la tenue du registre d’informations contribue à la résilience opérationnelle de l’entité financière. Par conséquent, lorsqu’une entité agit pour le compte d’une entité financière pour l’ensemble des activités de l’entité financière (y compris les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;), les prestataires tiers directs de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; de cette entité devraient être enregistrés dans les modèles correspondants du registre d’informations de l’entité financière. Dans ce cas, l’entité est enregistrée seulement qu’en tant qu’entité tenant le registre d’informations.

Afin de permettre la transparence et la comparabilité des accords contractuels et le suivi permanent de ces accords, le registre d’informations devrait se concentrer sur les liens opérationnels entre les entités financières et les prestataires tiers de services TIC: une entreprise qui fournit des services TIC;. À cette fin, le registre d’informations devrait utiliser quatre clés, qui, entre autres, relient entre elles les données pertinentes des différents modèles du registre d’informations: i) le numéro de référence de l’accord contractuel conclu entre l’entité financière qui signe cet accord et le prestataire tiers direct de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, ii) un identifiant approprié des entités financières et des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, iii) l’identifiant de fonction et iv) le type de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;.

Afin de documenter de manière appropriée les accords contractuels conclus entre les entités financières et les prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, comme l’exige le règlement (UE) 2022/2554, il est entendu que les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; doivent fournir un numéro d’identification permettant leur identification de manière exacte et constante par les entités financières et par les AES, le forum de supervision et les autorités compétentes lorsqu’ils exercent leurs pouvoirs de surveillance, y compris pour la désignation de prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; au titre de l’article 31 dudit règlement. En ce qui concerne les personnes morales, le LEI et l’EUID sont des identifiants internationaux et européens reconnus qui garantissent l’identification constante, unique et solide des entreprises. Par conséquent, l’un de ces deux identifiants devrait être utilisé pour identifier les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; établis dans l’Union aux fins de l’application dudit règlement et devrait être considéré comme une information commune à tous les accords contractuels, tandis que les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; établis dans des pays tiers devraient être identifiés uniquement par leur LEI. Les modèles utilisés pour le registre des informations sur les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; devraient exiger des informations sur l’un de ces deux identifiants pour les prestataires de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui sont des personnes morales, tout en permettant aux personnes physiques agissant en qualité de prestataires de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; d’utiliser d’autres codes d’identification.

Chaque entité financière, y compris les entités financières du même groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;, a sa propre taxonomie interne des fonctions selon son modèle d’entreprise et ses organisations internes spécifiques. Afin de permettre un suivi clair établissant une distinction entre les fonctions des entités financières et celles des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, les entités financières devraient elles-mêmes désigner les fonctions pertinentes en utilisant l’identifiant de fonction au niveau individuel et au niveau du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;.

En vue d’assurer l’opérabilité du registre d’informations au niveau de l’entité et aux niveaux sous-consolidé et consolidé pour toutes les entités financières faisant partie du même groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;, les entités financières devraient veiller à l’exactitude et à la cohérence de toutes les données figurant dans ce registre. En particulier, pour permettre cette opérabilité, il est nécessaire d’assurer la cohérence dans la consolidation des identifiants, à savoir les numéros de référence d’accord contractuel, l’identifiant de fonction, le LEI des entités financières et les identifiants des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;.

Afin de garantir la cohérence et l’harmonisation ainsi que d’éviter un retraitement fastidieux des données à des fins de notification, la structure des modèles et les exigences relatives aux éléments de données devraient tenir compte des perspectives en matière de gestion des données et de communication d’informations. Pour assurer la pleine comparabilité des informations déclarées dans le registre d’informations avec les informations fournies dans d’autres rapports réglementaires ou statistiques, les entités financières devraient respecter les principes de qualité des données lors de la tenue et de la mise à jour de ce registre.

Le présent règlement se fonde sur le projet de normes techniques d’exécution soumis à la Commission par les AES.

Les AES ont procédé à une série de consultations publiques sur les projets de normes techniques d’exécution sur lesquels repose le présent règlement, analysé les coûts et les avantages potentiels liés à ces projets, et invité les groupes: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties concernées des AES, conformément à l’article 37 des règlements (UE) n^o 1093/2010(²)Règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., (UE) n^o 1094/2010(³)Règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission (JO L 331 du 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). et (UE) n^o 1095/2010(⁴)Règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). du Parlement européen et du Conseil, respectivement, à donner leur avis.

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(⁵)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).,