Article 41 : « des nouvelles possibilités pour les acteurs financiers »

Le projet de loi 7024, qui assouplit le secret professionnel fixé par l’article 41 de la loi du 5 avril 1993 relative au secteur financier dans le cas d'un outsourcing, a été adopté ce mardi à la Chambre des députés. Ce changement législatif a fait couler beaucoup d’encre, depuis de nombreux mois. Entre les craintes de voir partir de nombreuses activités IT vers l’étranger et la possibilité de faciliter l’établissement de nouveaux acteurs financiers au Luxembourg, le débat fut animé.

Vincent Wellens, Partner – NautaDutilh

Les opportunités pour les institutions financières luxembourgeoises liées à ces changements réglementaires (Article 41, Circulaire Cloud de la CSSF…) seront largement débattues lors de l’événement « Digital Borders », proposé par DXC Technology fin mars. Vincent Wellens, associé du cabinet d’avocat NautaDutilh, responsable du département propriété intellectuelle (PI), technologies de l’information et de la communication (TIC), y évoquera les enjeux juridiques liés à ces transformations réglementaires.

Maître Wellens, dans quelle mesure la loi adoptée ce mardi transforme-t-elle le cadre dans lequel peuvent être traitées les données des clients des institutions financières luxembourgeoises ?

Tout d’abord, la nouvelle loi élargit les possibilités d’externalisation, sans accord du client, au Luxembourg, au-delà des PSF de Support et établissements de crédits, aux autres acteurs sous supervision de la CSSF ou du Commissariat aux Assurances. Ensuite, elle permet aussi l’externalisation vers d’autres acteurs non-réglementés par la CSSF (y compris vers des acteurs à l’étranger), moyennant un accord du client de l’institution financière. La démarche du gouvernement vient s’inscrire dans des pratiques qui existaient déjà. En effet, il était déjà communément accepté que moyennant l’accord des clients d’une institution financière peuvent renoncer au secret bancaire. La pratique fut confirmée et sous certaines conditions définies par la CSSF dans ses circulaires relatives à l’outsourcing. On assistait déjà à des dérogations en matière de traitement des données. Cette pratique ne trouvait toutefois pas d’ancrage dans la loi. Il y avait donc un flou juridique autour de ces aspects qui est aujourd’hui levé par la nouvelle loi. Celle-ci prévoit maintenant explicitement qu’un outsourcing basé sur l’accord du client constitue une exception au secret bancaire.

La question du consentement à obtenir était au cœur des discussions autour de ce projet de loi. Qu’en est-il, aujourd’hui, maintenant que la loi a été adoptée ?

En effet, dans le débat, les PSF de Support demandaient à ce que l’accord à obtenir soit formel et explicite, comme la CSSF le requérait jusqu’à présent. Le Conseil d’Etat et la CNPD, invités à émettre un avis sur le projet de loi, penchaient également plus vers un consentement actif à obtenir, en phase avec celui à obtenir dans le cadre du Règlement Général  sur la Protection des Données Personnelles (RGPD). Le lobby des banques, pour sa part, souhaitait profiter d’un accord implicite. Au final, le législateur a choisi de ne pas préciser la nature de l’accord à obtenir. Il laisse de cette manière le soin aux tribunaux de trancher selon les cas. N’oublions que cette législation relève de la juridiction pénale. Chacun doit donc se poser les bonnes questions, et elles sont nombreuses, avant de procéder à une externalisation. Là où il n’y pas de doute, toutefois, c’est sur la nécessité  d’informer le client préalablement sur la nature de l’outsourcing, le type de renseignements transmis et le lieu d’établissement du prestataire de services. On peut aussi se demander si le lieu d’établissement du prestataire correspond au siège social de celui-ci ou aussi aux lieux où les données sont effectivement hébergées. Quelles informations doivent être communiquées dans ce dernier cas de figure ?

Ce consentement est-il facile à obtenir ?

Tout dépend, au final, de la forme du consentement. Le flou est encore présent, je vous l’accorde. Il n’est pas clairement précisé si l’accord doit être explicite ou s’il peut également être implicite. Mais il y a d’autres points problématiques. La question du statut des données des anciens clients, que les institutions sont tenues de conserver, est délicate. En effet, il ne sera pas toujours facile d’obtenir un accord auprès de ces clients. Il faut pouvoir gérer ces aspects. A défaut de ne pouvoir obtenir de consentement de tous les clients, l’une des pistes envisagées réside dans le maintien d’une infrastructure et des systèmes dédiés pour les données des clients existants au Luxembourg, et de profiter des nouvelles opportunités d’outsourcing pour les activités futures.

Au final, quels sont les nouvelles opportunités, pour les institutions bancaires au Luxembourg, avec ce nouveau cadre réglementaire ?

L’évolution de la réglementation en matière d’externalisation tient à l’adoption de ce texte de loi relative au secret professionnel, mais aussi à l’établissement de nouvelles circulaires par le CSSF visant à encadrer l’externalisation des services et le recours à des services cloud. Il faut bien avoir conscience que les circulaires et le texte de loi sont indépendants. Autrement dit, la circulaire cloud n’exempte pas les acteurs de l’obligation de respecter les obligations définies au niveau de la nouvelle loi

Plus généralement, les acteurs qui parviendront à obtenir l’accord du client bénéficieront d’une plus grande flexibilité, en ayant la possibilité de plus facilement consolider leur IT à l’échelle du groupe par exemple, en profitant de services plus accessibles. Il y a tout un nouveau champ de possibilités qui s’ouvre à eux.

L’autre enjeu réside dans l’accueil au Luxembourg de nouveaux acteurs…

Il y a deux volets derrière ce changement législatif. Le premier, déjà évoqué, est de pouvoir offrir plus de flexibilité à diverses institutions financières déjà établies au Luxembourg, sans quoi il devenait de moins en moins intéressant pour d’y maintenir leurs activités. Tout du moins, c’est le message qu’elles faisaient passer. L’autre volet a trait à la possibilité d’accueillir au Luxembourg de acteurs de la FinTech ou d’autres acteurs étrangers dans le domaine de la finance qui désirent accéder au marché unique, dans un contexte de Brexit par exemple, sans avoir à déplacer leur infrastructure ou leur back-office avec eux.

Peut-on s’attendre à des mouvements dans les mois à venir ?

Très certainement. Nous devrions effectivement voir la migration de services vers des prestataires IT étrangers. Des acteurs vont aussi pouvoir profiter de solutions auxquelles ils n’avaient pas accès jusqu’alors. Actuellement, en tant que conseillers juridiques, nous accompagnons des groupes technologiques comme des institutions financières face à ces nouveaux enjeux. Il y a de réelles nouvelles opportunités, pour les clients comme pour les acteurs IT. Rappelons que si la CSSF a facilité l’accès au cloud et, de manière générale à l’outsourcing, elle continue à accorder un rôle important aux PSF de support dans ce contexte. Ces acteurs particuliers ont un rôle clé à jouer dans la transformation des groupes financiers au Luxembourg, dans la mise en place de plateformes IT hétérogènes, répondant à aux nouveaux enjeux réglementaires.