RGPD, EBA et externalisation

Le pertinent cabinet d’avocats Lexing Alain Bensoussan Avocats a émis ses recommandations pour rationaliser les procédures et couts relatifs aux exigences de l’Autorité bancaire européenne (EBA) et à celles du RGPD. En effet, l’EBA a rendu public le 25 février 2019 les conclusions de sa consultation lancée en juin 2018 sur les lignes directrices encadrant l’externalisation notamment dans le cadre de la gestion des opérations de sous-traitance au sens du RGPD.

Selon l’EBA, les établissements de crédit et de paiement doivent tenir à jour un registre des externalisations et documenter l’ensemble des accords d’externalisation avec notamment :

1) la date de début, la date du prochain renouvellement de contrat, la date de fin et/ou la période de préavis ;

2) une brève description de la fonction externalisée incluant les données et le cas échéant s’il s’agit de données à caractère personnel ;

3) le nom du prestataire et le ou les pays dans lesquels le service est réalisé ;

4) si l’externalisation porte sur une fonction critique ou importante (dans cette hypothèse des informations additionnelles doivent être conservées) ;

5) s’il s’agit d’un prestataire de Cloud, etc.

Or, si le RGPD n’impose pas de tenir un registre des sous-traitants, le respect de l’article 28 du RGPD suppose la mise en en place d’un programme de gestion des sous-traitants. Dans la mesure où les établissements doivent collecter au titre du RGPD des informations similaires à celles mentionnées par l’EBA, il serait rationnel de de regrouper l’ensemble de ces informations dans un même fichier.

L’EBA recommande par ailleurs de procéder à une évaluation du prestataire avant de procéder à cette externalisation. Si l’externalisation comporte des données personnelles, l’établissement doit s’assurer que le prestataire prend des mesures techniques et organisationnelles appropriées pour les protéger. L’article 28 précise également que l’établissement doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.

L’EBA fixe la liste des mentions devant figurer dans l’accord d’externalisation telles que des éléments relatifs à la sécurité des données, à la sous-traitance de la prestation, au droit d’audit de l’établissement à l’initiative de l’opération, etc., ce qui n’est pas sans rappeler les exigences de l’article 28 du RGPD.

A l’instar du RGPD, les lignes directrices de l’EBA sur l’externalisation applicables à compter du 30 septembre 2019 imposent donc la mise en place d’une véritable politique d’externalisation et la désignation d’une fonction en charge de ces opérations. Compte tenu des similitudes entre l’EBA et le RGPD pour la gestion des sous-traitants, il est donc recommandé de regrouper et rationnaliser les procédures.

https://www.alain-bensoussan.com/avocats/recommandations-de-lautorite-bancaire-europeenne-sur-lexternalisation-et-rgpd/2019/03/14/

https://eba.europa.eu/-/eba-publishes-revised-guidelines-on-outsourcing-arrangements