Nous avons récemment eu l'occasion d'échanger avec Hervé Decker, Outsourcing Officer chez Thot-IT Solutions, à propos des missions de l'entreprise ainsi que des dernières règlementations de la CSSF. 

1 - Pouvez-vous nous expliquer en quoi consiste la mission de Thot-IT et comment vous aidez vos clients à être conformes aux exigences des autorités compétentes en matière d'externalisation ?

HD : "La mission principale de THOT IT Solutions est d'accompagner et de supporter les institutions financières supervisées par la Commission de Surveillance du Secteur Financier (CSSF). Notre start-up veille à l'établissement et à l'exécution de dossiers de régulation liés à l'externalisation de services. L’objectif est de rendre les dossiers conformes avec les 298 exigences de la Circulaire 22/806 émise par l'Autorité Compétente (CSSF).

Afin d'aider au mieux nos clients, nous avons développé un processus d'outsourcing robuste et efficace, déjà mis en œuvre chez plusieurs de nos clients. Ce processus nous permet d'assurer à nos clients un suivi rationnel de nos tâches et la pleine conformité à toutes les exigences de la Circulaire 22/806."

2 - La CSSF a publié la Circulaire 22/806 en avril 2022. Quel est l'impact de cette circulaire sur les entreprises et comment Thot-IT les accompagne-t-elle dans l'adaptation de leur cadre d'externalisation ?

HD : "La Circulaire 22/806 a été publiée en avril 2022 et a pris effet le 1er juillet 2022. Les établissements financiers sous surveillance de la CSSF avaient jusqu'au 31 décembre 2022 pour se conformer. En cas de non-respect des exigences de la circulaire relatives à une sous-traitance critique, il était primordial d'en informer l'Autorité Compétente. C'est pourquoi nous avons été contactés par bon nombre de nos clients afin de procéder à une analyse approfondie de leur cadre réglementaire de sous-traitance.

À cet effet, nous analysons l’ensemble de leur cadre de travail comprenant la politique de sous-traitance, le processus usité ainsi que le registre des sous-traitants. Nous analysons également les différents outils développés en interne chez nos clients et discutons de la mise à niveau de ces mêmes outils. À la suite de cette étude approfondie, nous sommes en mesure d'établir un plan de remédiation. Plan de remédiation qui porte à la fois sur l'Outsourcing Framework (politique, processus et registre), mais aussi sur tous les dossiers critiques existants ou nouveaux à exécuter avec toujours le même objectif : être conforme avec la Circulaire 22/806."

3 - Vous mentionnez que votre entreprise a développé des outils internes pour aider les clients à classer leurs initiatives d'externalisation. Pouvez-vous nous donner un aperçu de ces outils et expliquer comment ils permettent aux clients de prendre les meilleures décisions en termes de conformité réglementaire ?

HD : "Le processus que nous avons défini est composé de 4 phases majeures. 

La phase 1, appelée “Outsourcing Classification”, permet de définir avec certitude s’il s’agit d’une sous-traitance au sens de la définition de l’Autorité Compétente, de déterminer sa criticité et enfin d’identifier le type de sous-traitance : métier (BPO), Pure IT (ITN) ou Cloud Computing (ITC). Pour cela nous avons développé un ensemble de plusieurs templates.

La phase 2, appelée “Provider Readiness”, nous permet de faire une « due diligence » (évaluation) approfondie du fournisseur du service. Durant cette phase, nous collectons un grand nombre de preuves telles que les contrats, les rapports d’audit, les certificats, les BCP et stratégies, mais nous établissons également un plan de sortie détaillé à partir d'un outil que nous avons développé chez Thot IT.

La phase 3 met l’accent sur toutes les “risks assessments” que l’entité régulée doit effectuer (Sécurité, Protection des données, Risque de Concentration, Conflit d'intérêts, Risque Financier, etc.)

La phase 4, appelée “Regulatory File Validation”, permet de calculer le pourcentage d’adhérence au processus, et permet surtout de calculer le pourcentage d’adhérence à la Circulaire 22/806 à partir d’un outil sophistiqué qui reprend l’ensemble des exigences de la Circulaire. Chaque exigence est par conséquent analysée. Un statut est associé à chaque exigence (Covered, Partially covered ou Not Covered) avec des justifications et un plan d’action. De cette manière, le client peut prendre la meilleure décision afin d’être conforme."

4 - Les non-conformités peuvent entraîner des sanctions financières et nuire à la réputation d'une entreprise. Comment Thot-IT travaille-t-elle avec les clients pour préparer le dossier de notification CSSF afin d'éviter ces conséquences négatives lors de l'externalisation de fonctions critiques ou importantes ?

HD : "Pour préparer au mieux chaque dossier qui doit être notifié à la CSSF, nous avons mis en place un certain nombre de mesures :

1. Des sessions d’Outsourcing Awareness de 2 heures à l’ensemble des employées de l’entité régulée ;

2. Des workshops d’initiation du dossier avec tous les acteurs (Demandeur, Experts techniques, Experts Métiers, Département légal, Responsable de la conformité, Responsable Sécurité, etc.) ;

3. La mise à disposition d’un plan détaillé de l’exécution du dossier dans la plateforme de gestion de travail MONDAY.COM, mis à jour quotidiennement ;

4. Un espace de travail dédié et protégé dans SharePoint Online pour travailler de façon collaborative sur un certain nombre de délivrables (Analyse criticité, Plan de sortie, Adhérence Circulaire, CSSF Notification, etc.)."