Fonctions essentielles externalisées : comprendre les seuils de matérialité définis par l’EBA et l’EIOPA
1. Introduction : Enjeu de gouvernance et de conformité dès la qualification
La qualification d’une fonction comme essentielle ou importante constitue l’un des pivots de toute stratégie d’externalisation réglementée. Cette qualification détermine l’intensité des exigences applicables, qu’il s’agisse de clauses contractuelles, de plans de continuité, ou encore de contrôles renforcés.
Les autorités européennes – EBA pour les banques et EIOPA pour les assureurs – ont précisé les critères de matérialité à retenir pour cette évaluation.
Les entités soumises à l’ACPR, mais également les prestataires concernés par l’externalisation, doivent aujourd’hui s’approprier ces références pour assurer leur conformité.
2. L'origine réglementaire des seuils de matérialité (EBA, EIOPA, ACPR)
Les exigences découlent directement des lignes directrices suivantes :
🔹 EIOPA-BoS-20/002 – Guidelines on outsourcing to cloud service providers
🔹 Recommandations complémentaires de l’ACPR, en particulier dans les documents relatifs à la gouvernance des prestataires externes et à la supervision des fonctions externalisées.
Ces textes s’inscrivent dans le prolongement des exigences prudentielles, en particulier les articles L.511-32 et suivants du Code monétaire et financier pour les établissements bancaires, et les textes relatifs au contrôle interne dans le Code des assurances.
3. Définition des fonctions “essentielles ou importantes” (PSEE/PIC)
La notion de fonction essentielle ou importante (souvent désignée en France comme PSEE – prestations de services externalisées essentielles) repose sur une appréciation fondée sur l’impact de la fonction sur :
la continuité des activités critiques
le respect des obligations réglementaires
la maîtrise des risques
la stabilité financière ou opérationnelle de l’entité
Une fonction est dite essentielle ou importante lorsqu’en cas de défaillance du prestataire ou de dysfonctionnement :
l’entité serait incapable de remplir ses obligations réglementaires, ou
subirait une perturbation significative de ses activités, de ses finances ou de sa réputation.
4. Critères de matérialité à appliquer avant externalisation
Selon l’EBA et l’EIOPA, les critères à analyser avant toute décision d’externalisation sont les suivants :
✅ Lien avec les fonctions stratégiques ou obligations réglementaires de l’entité
✅ Impact potentiel sur la confidentialité, l’intégrité ou la disponibilité des données
✅ Conséquences d’une défaillance du prestataire sur la continuité d’activité
✅ Possibilité ou non de remplacer rapidement le prestataire
✅ Volume d’activité concerné, sa durée, sa fréquence
✅ Degré de dépendance à l’égard du prestataire
💡 Il est attendu que cette analyse soit documentée, revue annuellement, et formalisée dans la cartographie des fonctions externalisées.
5. Conséquences pratiques d’une qualification en fonction critique
La qualification d’une fonction comme essentielle ou importante entraîne :
🔒 Obligation d’un contrat écrit conforme, incluant des clauses spécifiques sur :
le droit d’audit,
la réversibilité,
la localisation des données,
les sous-traitants en cascade
📈 Renforcement du pilotage par l’entité donneuse d’ordre (contrôles périodiques, indicateurs, reporting)
📁 Tenue à jour d’un registre d’externalisation, mentionnant le niveau de criticité
🛡️ Formalisation d’un plan de sortie opérationnel et testé
👥 Information obligatoire de l’ACPR (dans certains cas, avant externalisation ou lors de modifications majeures)
6. Recommandations pour les entités soumises à l’ACPR
Formaliser une grille d’analyse de matérialité, intégrée à votre processus de gestion des tiers
Documenter chaque qualification, en incluant une justification claire dans le registre des externalisations
Appliquer les critères EBA/EIOPA même pour les petits contrats, si la fonction est sensible (ex. : conformité externalisée, archivage client, informatique critique)
Vérifier les contrats en vigueur pour s’assurer de la présence des clauses obligatoires
Mettre en place un plan de surveillance annuel des fonctions externalisées
7. Conclusion : renforcer la gouvernance dès la qualification
Comprendre et appliquer les seuils de matérialité définis par les autorités européennes est aujourd’hui indispensable.
C’est en amont – lors de la qualification de la fonction externalisée – que se joue la conformité du dispositif.
Toute erreur ou négligence à cette étape peut entraîner des sanctions, des ruptures de continuité, ou un défaut de maîtrise du prestataire.
👉 Pour sécuriser votre dispositif, formalisez vos analyses, standardisez vos pratiques, et alignez votre gouvernance sur les exigences EBA/EIOPA.
Ces articles PEUVENT AUSSI VOUS INTÉRESSER
Externaliser la conformité : gain d’agilité, sécurité réglementaire, performance opérationnelle
De plus en plus d’entreprises externalisent leur fonction conformité. Cette décision stratégique permet d’allier sécurité réglementaire, flexibilité opérationnelle et maîtrise (...)
EN LIRE PLUSFonctions essentielles externalisées : comprendre les seuils de matérialité définis par l’EBA et l’EIOPA
La qualification d'une fonction comme “essentielle ou importante” conditionne l’ensemble du dispositif d’externalisation : procédures, clauses contractuelles, plan de sortie, (...)
EN LIRE PLUS
Fonctions externalisées et courtiers en assurance : les nouvelles exigences de l’ACPR
L’externalisation des fonctions clés (conformité, contrôle interne, informatique) est au cœur de la surveillance de l’ACPR. Les courtiers sont désormais (...)
EN LIRE PLUS