La politique d’externalisation est devenue l’un des sujets de conformité les plus scrutés par les régulateurs européens et nationaux. Pour les établissements bancaires, il ne s’agit plus seulement d’une décision de gestion opérationnelle : elle engage la conformité réglementaire, la gouvernance des risques tiers et la résilience opérationnelle de l’ensemble de l’institution.
Concilier performance économique, sécurité des systèmes d’information et respect des normes européennes – EBA, DORA, RGPD, NIS2 – tout en répondant aux attentes de l’ACPR et de la BCE : tel est le défi stratégique auquel font face aujourd’hui les directions générales et les fonctions conformité des établissements bancaires français.
Ce qu’il faut retenir : Une politique d’externalisation non conforme expose l’établissement à des sanctions réglementaires, à des risques opérationnels majeurs et à une perte de maîtrise de ses fonctions critiques. Les contrôles de l’ACPR sur ce sujet se sont intensifiés depuis 2023.
Les établissements bancaires recourent massivement à des prestataires tiers pour des fonctions aussi diverses que l’informatique, la gestion des données, le back-office, la cybersécurité ou encore la conformité. Cette dépendance croissante aux tiers crée des vulnérabilités opérationnelles, réglementaires et de sécurité que les régulateurs européens entendent désormais encadrer strictement.
Depuis la publication des lignes directrices EBA sur l’externalisation (2019) et l’entrée en application du règlement DORA (2025), les attentes des superviseurs ont considérablement évolué. L’ACPR et la BCE examinent désormais avec une attention particulière la qualité des registres d’externalisation, la robustesse des contrats avec les prestataires critiques et l’effectivité des plans de réversibilité.
Les établissements qui n’ont pas encore mis à niveau leur dispositif s’exposent à des recommandations contraignantes, des mesures de surveillance renforcée, voire des sanctions administratives.
La politique d’externalisation des établissements bancaires s’inscrit dans un corpus réglementaire dense et en évolution constante, dont les exigences se renforcent mutuellement.
Les lignes directrices EBA sur l’externalisation constituent le socle de référence. Elles définissent les exigences de gouvernance applicables aux établissements de crédit : tenue obligatoire d’un registre des externalisations, évaluation de la criticité des prestations selon la grille PCI/FCI (Prestation Critique ou Importante / Fonction Critique ou Importante), formalisation des clauses contractuelles obligatoires et notification aux autorités compétentes pour les externalisations de fonctions critiques.
Le règlement DORA (Digital Operational Resilience Act), pleinement applicable depuis janvier 2025, renforce la résilience opérationnelle numérique des institutions financières. Il impose des exigences contractuelles renforcées, des tests de résilience réguliers et une supervision accrue des prestataires tiers de services TIC critiques – avec des obligations de reporting et d’audit inédites.
Le Règlement général sur la protection des données (RGPD) impose une maîtrise rigoureuse de la chaîne de sous-traitance pour tout traitement de données personnelles externalisé. Les établissements bancaires doivent s’assurer de la conformité RGPD de leurs prestataires et formaliser cette exigence dans leurs contrats.
La directive NIS2, transposée en droit français, élargit le périmètre des obligations de cybersécurité à de nouveaux acteurs et secteurs, avec des implications directes sur la gestion des prestataires numériques des établissements bancaires et la sécurité de leur chaîne d’approvisionnement numérique.
La mise en place d’un Comité Externalisation dédié – réunissant les fonctions Conformité, Risques, Informatique, Achats et Métiers – constitue le socle d’une gouvernance efficace et traçable. Cette instance assure la coordination des décisions relatives aux externalisations et en garantit la supervision dans la durée.
Ses missions couvrent la validation des nouvelles externalisations avant engagement contractuel, le suivi régulier des indicateurs clés de performance et de risque, ainsi que le pilotage des plans d’action correctifs en cas de défaillance prestataire. L’existence, la composition et l’effectivité de ce comité font partie des premiers éléments vérifiés lors d’un contrôle de l’ACPR.
Chaque prestation externalisée doit faire l’objet d’une évaluation de criticité structurée, fondée sur la grille PCI/FCI, complétée d’une due diligence approfondie couvrant quatre dimensions essentielles : financière, opérationnelle, sécurité des systèmes d’information et conformité RGPD.
Les résultats de ces évaluations alimentent le registre des externalisations – outil central de supervision réglementaire dont la tenue rigoureuse, exhaustive et actualisée est une obligation explicite au titre des lignes directrices EBA. Ce registre doit pouvoir être présenté aux superviseurs à tout moment.
Les contrats conclus avec les prestataires doivent intégrer l’ensemble des clauses exigées par les régulateurs européens. Cela comprend les indicateurs contractuels de performance et de risque (SLA/KPI/KRI), les droits d’audit étendus au profit de l’établissement et des superviseurs, les garanties de sécurité et de confidentialité, les dispositifs de continuité d’activité ainsi que le plan de réversibilité (exit plan) – testé régulièrement et documenté conformément aux attentes de l’EBA et de DORA.
Les missions de diagnostic menées par Wilson Conseil révèlent plusieurs lacunes récurrentes dans les dispositifs d’externalisation des établissements bancaires.
Un registre des externalisations incomplet ou non actualisé constitue la lacune la plus fréquemment relevée lors des contrôles de l’ACPR. La tenue de ce registre est pourtant une obligation réglementaire explicite, dont la qualité conditionne la crédibilité de l’ensemble du dispositif.
Une évaluation de criticité insuffisamment documentée expose l’établissement à une incapacité à justifier le niveau de diligence appliqué à chaque prestataire – notamment pour les fonctions critiques ou importantes au sens de l’EBA.
Des contrats ne comportant pas les clauses réglementaires obligatoires – droits d’audit, plans de continuité, clauses de réversibilité – constituent un risque réglementaire direct, en particulier dans le cadre des contrôles DORA.
L’absence de plan de sortie (exit plan) testé pour les prestataires critiques représente un risque de concentration majeur, susceptible d’être sanctionné par les superviseurs.
Wilson Conseil accompagne les établissements bancaires et les institutions financières dans la conception, la mise à jour et la mise en conformité de leur politique d’externalisation. Nos consultants spécialisés disposent d’une connaissance approfondie des attentes de l’ACPR, de la BCE et des autorités européennes de supervision, acquise au contact direct des établissements assujettis.
Nos missions couvrent l’ensemble du périmètre de conformité externalisation : audit complet du dispositif existant et identification des écarts réglementaires au regard des lignes directrices EBA et de DORA, évaluation des prestataires selon les grilles de criticité PCI/FCI, mise à jour et fiabilisation du registre des externalisations, renégociation et sécurisation des clauses contractuelles, élaboration et test des plans de réversibilité, ainsi que formation des équipes Conformité, Risques et Achats aux évolutions du cadre réglementaire.
Votre politique d’externalisation est-elle à la hauteur des attentes des régulateurs ? Contactez nos experts Wilson Conseil pour un premier échange.