la continuité d’activité des prestations de service ... · 5/5/2010 · la continuité des...

La continuité d’activité des Prestations de Service Essentielles Externalisées

Avec la contribution de

La continuité d’activité des PSEE Forum des compétences

Groupe de travail Plan de Continuité d’Activité /36

Liste des membres du groupe de travail

Claude BESNIER Crédit Agricole SA

Bertrand DUQUENNOY Crédit Mutuel Arkéa

Corinne DUPART Aviva France

Blaise GENTHON Groupama Banque

Jean-Jacques GENTRIC IEDOM - IEOM

Wilfrid GHIDALIA Forum des Compétences

Philippe JUNIER BIA

Yves LEVAVASSEUR Banque de France

Emmanuel PATHE BNP Paribas

Florence ROBINET-NEMEC BNP Paribas

Marc ROUSSEAU Bred - Banque Populaire

Forum des Compétences – 2011

Propriété intellectuelle du Forum des Compétences

Tous droits de reproduction, d’adaptation et de traduction réservés.

Dépôt légal chez LOGITAS janvier 2012



1. Notion de PSEE et PSE ............................................................... 4

2. Revue des PSE ............................................................................ 6

2.1. Recensement des prestations de services externalisées ................................................... 6

2.2. Analyse de risques .............................................................................................................. 7

2.3. Classification des prestations ............................................................................................. 8

2.4. Expression de besoins en matière de continuité .............................................................. 10

3. Intégration des PCA des contractants ........................................ 13

3.1. Gestion de crise et communication externe ...................................................................... 15

3.2. Intégration des dispositifs de continuité des contractants ................................................ 16

3.3. Conduite des tests PCA des contractants ........................................................................ 18

4. Dispositions contractuelles des PSE .......................................... 19

4.1. Établissement d’un contrat ................................................................................................ 19

4.2. Clauses juridiques bénéficiant à l a continuité d’activité ................................................... 20

4.3. Conformité réglementaire ................................................................................................. 21

4.4. Intégration de la continuité d’activité au contrat................................................................ 22

4.5. Cas de la sous-traitance ................................................................................................... 23

4.6. Continuité d’activité opérée par déport de l’activité .......................................................... 24

4.7. Continuité d’activité à travers une prestation de secours ................................................. 24

4.8. Limites du cadre contractuel ............................................................................................. 25

5. Contrôle des dispositifs de continuité d’activité des PSE ............ 26

5.1. Politique de contrôle de la continuité des PSE ................................................................. 26

5.2. Points de contrôle ............................................................................................................. 26

5.3. Outils de contrôle et de suivi ............................................................................................. 27

6. Annexes - Fiches pratiques ........................................................ 29

6.1. Extraits du Code Monétaire et Financier .......................................................................... 29

6.2. Extraits du CRBF 97-02 .................................................................................................... 30

6.3. Liste indicative de PSEE de la Fédération Bancaire Française ....................................... 30

6.4. Secteurs d’activités d'importance vitale ............................................................................ 32

6.5. Exemple de grille d’impact ................................................................................................ 33

6.6. Exemple de classification des PSE .................................................................................. 35

6.7. Exemple de questionnaire de classification des PSE ....................................................... 36

Règles typographiques

Conseil

Point d’attention

Référence à une fiche annexe



1. Notion de PSEE et PSE

Le sigle « PSEE » désigne une Prestation de Service Essentielle Externalisée.

Cette désignation dérive de la formulation « prestations de services ou autres tâches opérationnelles essentielles ou importantes » introduite par le Comité de la Réglementation Bancaire et Financière (CRBF) dans son Règlement n°97-02 du 21 février 1997.

Définition d’une PSEE au sens du CRBF n°97-02

Le CRBF n°97-02 (version révisée du 5/05/2010 - TITRE I. Principes et Définitions) définit, dans son article 4-r, les prestations de service essentielles externalisées comme suit :

1er

tiret : Les activités elles-mêmes soumises au CRBF 97-02 ; opérations de banques, les services de paiement et les services d’investissement (tels que définis

au code monétaire et financier )

2ème

tiret : Les activités connexes aux opérations de banques, services de paiement et services d’investissement, qui ne sont pour autant pas soumises au CRBF 97-02

3ème

tiret : Les prestations de service participant directement à l'exécution des opérations ou des services mentionnés ci-dessus

4ème

tiret : Les autres activités qui pourraient avoir un impact significatif sur les activités mentionnées ci-dessus

Cette définition invite les entreprises assujetties à construire, selon leur modèle d’appréciation des impacts, la liste des prestations de service qu’elles estiment relevant de PSEE.

Une liste indicative des PSEE a été formalisée par la Fédération Bancaire Française.

Le CRBF 97-02 exclu des services essentiels :

Les prestations de service portant sur des activités non couvertes par l’agrément ou l’habilitation de l’entreprise

L’achat de prestations standard, y compris des services fournissant des informations de marché ou des flux de données sur les prix

Règlement Général de l’Autorité des Marchés Financiers (AMF)

L’Autorité des Marchés Financiers (AMF) introduit, dans l’article 313-56 de son Règlement (LIVRE III. PRESTATAIRES, Chapitre III. Règles d’Organisation), l’obligation de mise en œuvre d’un plan de continuité d’activité pour les prestataires de services d’investissement.

Le Règlement AMF pose également dans ses articles 313-72 à 313-75 (sous-section 5. Externalisation) la définition de « tâches ou fonctions opérationnelles essentielles ou importantes pour la fourniture d'un service ou l'exercice d'activités » et l’obligation d’assurer leur continuité.



Notions retenues par le Forum des Compétences

Dans son étude, le Forum des compétences a retenu les notions suivantes :

Prestation de service essentielle externalisée (PSEE) clairement identifiable au sens de la réglementation (en référence notamment aux codes monétaires et financiers)

Prestation de service externalisée (PSE) désignant toute prestation que l’entreprise souhaite gérer dans le cadre de sa continuité d’activité. Par cette définition, toutes les PSEE sont de fait des PSE.

Dans la suite du document, sauf mention contraire, toutes les prestations évoquées sont des « PSE ».

Cas particulier des prestations délivrées par les institutions, les opérateurs publics, communautaires ou privés

La continuité des prestations délivrées par des acteurs majeurs ou exclusifs de leur secteur fait l’objet le plus souvent d’une réflexion globale :

Institutions publiques ou privées contributives au système financier (Banque Centrale Européenne, Banque de France, Bourse de Paris, …), opérateur « communautaire » d’échanges financiers (SWIFT)

Le groupe Robustesse piloté par la Banque de France travaille, en collaboration avec les principaux acteurs concernés, sur la continuité de la place financière parisienne, notamment en cas de chocs extrêmes. La continuité des prestations de ces institutions s’inscrit dans une réflexion commune, qui tient compte des plans de continuité d’activité de chacun des contributeurs.

Opérateurs de service public ou de concessions (production et distribution d’énergie, services de télécommunication, services postaux et de courrier, distribution d’eau potable, transports, administration civile, services d’ordre public et de sécurité, etc.

Le souscripteur pourra tenir compte, dans la priorisation de traitement de la continuité de ses PSE, à la fois des enjeux liés à leur défaillance éventuelle mais également de la typologie des prestataires les délivrant. Ce point sera davantage précisé au chapitre « 5. Contrôle des dispositifs de continuité

d’activité des PSE ».

On notera que la plupart de ces institutions ou opérateurs sont concernés, en France, par le décret n°2006-212 (du 23/02/2006) relatif à la Sécurité des Activités d'Importance Vitale ou SAIV. Sur la douzaine de secteurs identifiés, plus de 200 Opérateurs d’Importance Vitale ou OIV ont été

recensés. Leur liste est classifiée « Confidentiel Défense ».

Ces OIV sont assujettis à la Directive Nationale de Sécurité ou DNS de leur secteur, décrivant

notamment les scénarios de risques propres à chacun de leur secteur et les objectifs de sécurité et de

continuité à atteindre. Ces directives sont également classifiées « Confidentiel Défense ».



2. Revue des PSE Le présent chapitre pose les principes méthodologiques pour établir la cartographie des PSE d’une entreprise et dresser les exigences de continuité relatives à ces prestations. Ces principes s’articulent autour de quatre étapes :

Recensement des prestations de services externalisées (PSE)

Analyse de risques

Classification

Expression de besoins de continuité sur les PSE

2.1. Recensement des prestations de services externalisées

L’identification d’une PSE et du niveau de continuité associé doit constituer, à terme, une action systématique de toute souscription de service. Elle pourra judicieusement s’opérer aux étapes d’expression de besoins (cahier des charges), de consultation, de négociation puis de contractualisation d’une prestation.

La prise en compte de la dimension PSE s’inscrira idéalement au sein du processus achat :

Mise en place d’un questionnement à l’attention du métier, en phase d’expression de

besoins

Mise en place d’un questionnement du prestataire, en phase de consultation

Élaboration de clauses particulières à intégrer en phase de contractualisation

Ces éléments portés par la Fonction Achat nécessitent, pour autant, l’implication des métiers.

Pour les prestations déjà souscrites, plusieurs approches sont envisageables, éventuellement de manière complémentaire :

Une action de recensement global. Cette action est potentiellement lourde, puisqu’elle réclame la revue de l’intégralité des contrats et conventions établies.

Une revue à l’occasion du renouvellement d’un contrat ou d’une convention. En fonction de la durée et de la date de signature de chaque contrat, cette revue risque d’être longue. Du reste, les contrats tacitement reconduits risquent d’échapper à cette revue.

Une action de recensement des prestations essentielles dans le cadre de la démarche de collecte des besoins de continuité (Business Impact Analysis, BIA) animée par le Responsable de la Continuité d’Activité (RPCA). Cette approche est recommandée

La cartographie des PSE doit faire l’objet d’un suivi régulier – en particulier s’il s’agit de PSEE. Ce suivi est généralement opéré par la fonction de management des risques opérationnels ou par la fonction conformité.



2.2. Analyse de risques

Le recours à toute prestation de service mérite qu’une analyse de risques préalable soit établie de manière à ce que la souscription de la prestation soit effectuée en « pleine connaissance de cause ».

Le Forum des Compétences attire l’attention sur deux typologies de risques, dans le contexte des PSE :

Les risques liés à l’acte d’externalisation

Les risques relatifs à la continuité de la prestation

Risques liés à l’acte d’externalisation

Il s’agit des risques traditionnels qui découlent de tout acte d’externalisation, généralement analysés dans les phases amont du processus de souscription :

Risques inhérents à la maîtrise de l’expertise du prestataire (et de sa potentielle « dilution » pour le donneur d’ordre)

Risques relatifs au prestataire (de part sa surface, sa notoriété, sa pérennité,…)

Risques inhérents à la situation géographique voire géopolitique de la prestation

Le Forum des Compétences suggère un regroupement en quatre familles :

Risques d’ordre stratégique, notamment lorsque le prestataire opère depuis des pays présentant potentiellement des risques réglementaires ou souverains.

Risques d’ordre métiers :

la perte d'expertise technique ou de compétences internes entrainant deux corollaires : difficulté à ré-internaliser la prestation, difficulté pour juger des compétences du prestataire et/ou des solutions de continuité du prestataire

la mauvaise qualification du prestataire et des exigences de sécurité

la perte de contrôle ou d'indicateurs de suivi défaillants ou inadaptés

les risques techniques, liés à la délivrance opérationnelle du service par le prestataire, à la création d’une dépendance technique, ou les risques d’adjacences des systèmes

Risques d’ordre juridique, englobant l’ensemble des risques attachés au contrat liant le client à son prestataire

Risques d’ordre commercial, lorsque l’externalisation créée une dépendance commerciale au prestataire. À titre d’exemple, peut être cité le risque induit par la position dominante de certains fournisseurs (monopole, oligopole, effets dominos), et le risque de solvabilité

Comme mentionné à l’article 37-2 du CRBF n°97-02 (idem à l’article 313-75 du règlement de l’AMF), l'acte d'externalisation n’affranchit pas le donneur d’ordre au respect des obligations qui lui incombent sur les activités sous-traitées. Le donneur d’ordre doit, de fait, conserver l’expertise nécessaire pour contrôler les prestations, contrôler effectivement ces prestations et gérer les risques associés à l’externalisation.



Risques relatifs à la continuité de la prestation

Pour rendre sa prestation, le fournisseur s’appuie sur des locaux, des ressources humaines, un système d’information (SI), des moyens de production, et peut solliciter éventuellement une sous-traitance.

Chacune de ces ressources est assujettie à des risques endogènes et exogènes. Toutefois, quels que soient ces risques, l’attente du donneur d’ordre portera en priorité et a minima sur la couverture des quatre scénarios traditionnels :

Perte et/ou inaccessibilité des locaux

Perte et/ou indisponibilité du SI

Absence majeur de collaborateurs

Indisponibilité de sous-traitants essentiels à la conduite de la prestation

On notera que les scénarios dits de « choc extrêmes » proposés par le Groupe Robustesse

peuvent également être retenus selon l’importance de la PSE.

Enfin, l’analyse de risques visera à d’identifier la pertinence, pour le donneur d’ordre d’adresser les situations de sinistres simultanés du prestataire et de lui-même. Un éclairage est apporté sur ce sujet au chapitre 3.

2.3. Classification des prestations

La classification des PSE a pour finalité l’optimisation des efforts à déployer par le donneur d’ordre pour s’assurer de la continuité des prestations qu’il souscrit. Ils sont naturellement corrélés aux enjeux que le donneur d’ordre leur prête. Cette classification vise notamment à adapter les dispositifs de contrôle à mettre en place sur la continuité des PSE.

La classification des PSE pourra être établie au travers de plusieurs facteurs. Le Forum des Compétences estime que deux facteurs sont prépondérants :

Facteur 1 : « caractère réglementé » ou non de la prestation

Il s’agit de distinguer parmi l’ensemble des PSE celles qui relèvent de l’obligation réglementaire du CRBF ou de l’AMF : ce sont les PSEE.

Pour celles-ci, le donneur d’ordre à l’obligation de s’assurer voire, le cas échéant, d’assurer lui-même la continuité de la prestation face à des événements majeurs.

Parmi la liste PSEE du donneur d’ordre peuvent figurer des prestations elles-mêmes assujetties à la réglementation (CRBF, AMF). Leur prestataire assujetti doit disposer d’un PCA et l’autorité de régulation dont il dépend est en mesure de le contrôler. Cette situation est facilitatrice pour la mise en place de contrôle par le donneur d’ordre.

Pour les PSE non réglementées, le Forum des Compétences recommande d’exploiter le facteur « criticité » de la prestation détaillé ci-après.

Facteur 2 : « criticité » de la prestation

La « criticité » vise à apprécier l’importance de la prestation pour le donneur d’ordre. Cette criticité est directement corrélée au niveau d’impact qu’aurait (dans le temps) l’interruption de la prestation sur le donneur d’ordre. Plus cet impact est fort, plus la PSE devient critique.

Le Forum des Compétences recommande d’appliquer la démarche d’analyse d’impact généralement définie par la fonction management des risques opérationnels au sein de l’entreprise.



Cette démarche repose le plus souvent sur une grille d’impact exprimée selon deux

axes :

Un axe critères d’impact

À titre d’illustration, les critères généralement employés sont : impact financier, impact client (éventuellement subdivisé selon la nature des clients : personnes morales ou physiques), impact juridique et/ou réglementaire, impact d’image, etc.

Un axe échelle d’appréciation de ces critères sur 3, 4, ou 5 niveaux

À titre d’illustration, l’impact peut être valorisé sur une échelle à 5 niveaux : faible, notable, significatif, grave, vital.

Pour « objectiver » l’estimation de l’impact de l’interruption d’une PSE, le Forum des Compétences recommande que les niveaux de l’échelle d’appréciation soient explicités quantitativement ou qualitativement pour chaque critère d’impact.

D’autres facteurs complémentaires peuvent également être exploités pour la classification des PSE. Ces critères de second niveau caractérisent davantage le prestataire que la prestation. Ils permettent néanmoins d’anticiper les freins ou, au contraire, les leviers qui faciliteront ou non l’application d’une politique de contrôle de la continuité de la prestation.

Le Forum des Compétences propose les trois facteurs complémentaires suivants :

Prestataire « de place », c.a.d. délivrant une prestation à la majorité ou la totalité des acteurs concernées de la place financière.

Le donneur d’ordre cherchera à mettre en place un plan de contrôle de la continuité de la prestation, tout en sachant qu’il s’expose possiblement à une possible réticence du prestataire. Dans l’hypothèse où le prestataire garantit la continuité de sa prestation et délivre des éléments tangibles témoignant de sa continuité, il reste néanmoins pertinent de prévoir des modalités de contrôle.

Dans un souci d’efficacité du contrôle et, dans une certaine mesure, de rétablissement du rapport de force, le Forum des Compétences évoque la possibilité de mutualiser les efforts de contrôle entre les différents souscripteurs de la PSE. Cette mutualisation

est également simplificatrice pour le fournisseur, puisqu’elle réduit le nombre de sollicitations pour le contrôle de sa prestation.

La Fédération Bancaire Française propose, dans le document « Externalisation : contrôle des activités externalisées des prestataires communs » (09/2009), des référentiels pour le contrôle commun de prestataires, pour différente activités.

Les donneurs d’ordre qui mutualisent leurs efforts de contrôle veilleront à ce que ces contrôles mutualisés s’établissent de manière contradictoire et dans le respect du droit des affaires, notamment du principe de libre concurrence.

On notera qu’il est difficile d’estimer a priori – si notamment la situation l’y contraignait – quelle priorisation le prestataire dit « de place » établirait dans le traitement de ses clients affectés par l’interruption de sa prestation. Chaque donneur d’ordre pourra apprécier cette potentialité dans le cadre de sa stratégie de continuité.

Dimension de la prestation

Plusieurs modes d’évaluation de la dimension de la prestation sont envisageables.

Le Forum des Compétences recommande d’apprécier cette dimension en regard du chiffre d’affaires de la prestation sur le chiffre d’affaire global du prestataire, (informations généralement communiquées dans le cadre d’une consultation).

Plus la PSE souscrite sera significative pour le prestataire (en termes de volume, de chiffre d’affaire, de durée, etc.) et plus le donneur d’ordre disposera de levier pour négocier l’application d’une politique de contrôle.



Le caractère cœur de métier de la PSE pour le prestataire, peut être utilisé comme un

facteur de qualification de la dimension de la prestation. L’éloignement de la PSE du cœur du métier du prestataire fait peser un risque sur la qualité de la continuité de la prestation en cas d’événement majeur, voire même en fonctionnement nominal.

Taille du prestataire en regard de celle du donneur d’ordre

La dimension relative du prestataire vis-à-vis de celle du donneur d’ordre est de nature à constituer un rapport de force dans le cadre de la négociation, à l’avantage d’une des parties.

Le prestataire de la PSE peut avoir un portefeuille clients particulièrement déséquilibré, en faveur d’un donneur d’ordre en particulier. Cette situation de dépendance vis-à-vis d’un donneur d’ordre met en évidence la potentialité d’un risque sur la continuité de la PSE en cas de défaillance, même temporaire, du donneur d’ordre.

Ces critères pourront être intégrés dans le cadre d’une grille et d’un questionnaire

de classification.

2.4. Expression de besoins en matière de continuité

L’expression de besoins de continuité des PSE est l’élément par lequel le donneur d’ordre formalise son exigence de continuité sur les prestations souscrites, face à des événements majeurs.

Cette expression doit s’inscrire dans le cadre des exigences de qualité de service que devra honorer le prestataire pour sa prestation et constitue le point de référence à partir duquel la politique de contrôle pourra être définie, conjointement entre les parties.

L’expression de besoins de continuité des PSE constitue traditionnellement un des volets de la démarche « Bilan d’Impact sur Activité » ou BIA (Business Impact Analysis).

Le Forum des Compétences recommande que cette expression comporte, a minima, les quatre types de besoins suivants :

Scénarios à couvrir

Ces scénarios découlent, a minima, des autre scénarios traditionnels :

Perte et/ou inaccessibilité des locaux

Perte et/ou indisponibilité du SI

Absence majeure de collaborateurs

Indisponibilité de sous-traitants essentiels à la conduite de la prestation

Ces scénarios pourront être enrichis de :

L’analyse de risques réalisée par le donneur d’ordre et évoquée plus haut.

L’analyse de risques détaillée, réalisée éventuellement par le prestataire, supposé maîtriser le processus, la localisation et les ressources nécessaires à la conduite de sa prestation.

Ces scénarios doivent être qualifiés par leur ampleur géographique et temporelle.

À noter que le donneur d’ordre pourra interroger son prestataire sur la couverture des chocs extrêmes, qualifiés par les Autorités de Place. Attention cependant à garder lucidité et pragmatisme face à ces situations particulières qui relèvent généralement de

la « force majeure » (dans l’usage contractuel habituel).



Délai de reprise de la prestation

Ce délai précise la durée au bout de laquelle la prestation interrompue doit avoir été restaurée par le prestataire. Ce délai est une métrique temporelle, décomptée entre deux instants :

L’instant de l’interruption de la prestation, à partir duquel la prestation n’est effectivement plus rendue

L’instant de sa reprise fonctionnelle, éventuellement en mode dégradé, à partir duquel le donneur d’ordre dispose d’une prestation satisfaisante

La définition de ce délai de reprise peut varier selon les prestataires. Pour certains types de prestations, le délai de reprise pourra être décompté à partir de la prise de décision effective d’activation du dispositif de continuité.

Dans ce cas, il conviendra de fixer préalablement les délais de diagnostic de la situation et de prise de décision pour piloter le délai global de reprise de la prestation.

Plusieurs appellations désignent cette métrique

DIMA (Délai d’Interruption Maximal Admissible)

DMIA (Délai Maximal d’Interruption Acceptable)

DMIT (Délais Maximal d’Indisponibilité Tolérable)

RTO (Recovery Time Objective)

GTR (Garanti de Temps de Rétablissement)…

Perte de données

Cette notion, exprime la perte maximale d’informations que tolère le donneur d’ordre, décomptée à partir d’un instant de référence, généralement l’instant de l’interruption.

Cette notion est particulièrement employée dans le cadre de traitement informatique, dès lors que de l’information est conservée ou traitée par le prestataire.

Cette notion pose la problématique de cohérence des données restaurées et plus

généralement du traitement informatique du prestataire, par rapport au contexte du système d’information du donneur d’ordre. En effet restaurer un état précédent du traitement chez le prestataire peut réclamer au donneur d’ordre de revenir au même état précédent sur son système d’information.

Plusieurs appellations désignent cette notion :

PDMA (Perte de Données Maximale Admissible)

PDMT (Perte de données Maximale Tolérable)

RPO (Recovery Point Objective)…

Niveau de dégradation acceptable ou de performance à maintenir

Cette notion traduit le niveau de dégradation ou de performance de la prestation (acceptable pour le donneur d’ordre) durant une période déterminée et consécutive au délai de reprise.

Les critères d’appréciation de la performance nominale et de sa dégradation doivent

être convenus avec le prestataire. Ils peuvent s’exprimer de manière variée selon la nature de la prestation souscrite : volumétrie de traitement, périmètre à maintenir, cible de populations à prioriser, processus alternatifs dégradés garantis,…



L’expression de ces besoins doit rejoindre le cadre contractuel de la prestation. Ce cadre doit par ailleurs autoriser la révision de l’expression de besoins par le donneur d’ordre et assurer au prestataire la possibilité d’adapter son dispositif en fonction des évolutions réclamées.



3. Intégration des PCA des contractants

Toute souscription d’une prestation de service réclame une coopération des co-contractants pour sa mise en œuvre.

Dans le même esprit, la mise en place de Plans de Continuité d’Activité autour de la PSE souscrite nécessite une coopération active des contractants. Ainsi, le donneur d’ordre et le(s) prestataire(s) sont collectivement intéressés par :

Une relation régulière et de qualité, autour de la prestation rendue et de son secours

Cette relation est notamment établie au travers de comités de pilotage de la

prestation, dans lesquels sont suivis les indicateurs contractuels de qualité de service.

Le donneur d’ordre veillera à ce que des acteurs en charge de la continuité d’activité soient nommément désignés par chacune des parties.

Le donneur d’ordre pourra convier ces acteurs de la continuité d’activité aux comités de pilotage de la prestation ou organiser des réunions spécifiques en tant que de besoin. Pour les PSE considérées critiques, une fréquence au moins annuelle est fortement recommandée.

La mise en place de modalités pratiques de gestion de crise, dans l’hypothèse de l’interruption de la prestation

L’imbrication de leurs PCA pour garantir le maintien de la prestation, selon que le sinistre affecte le donneur d’ordre, son prestataire ou simultanément l’ensemble des contractants

La définition, la planification des tests des PCA et la mesure de leurs incidences sur la délivrance de la prestation

Le Forum des Compétences invite le donneur d’ordre à formuler une expression de besoins

explicite sur le niveau de service (volume, qualité et durée de ce niveau) à maintenir sur la PSE en situation de sinistre, qui constitue un critère dimensionnant pour le secours.

Dans les paragraphes qui suivent sont proposés les points d’attention à observer pour une meilleure intégration des PCA, des dispositifs de gestion de crise et de tests.

Ces points d’attention s’articulent autour de trois situations particulières :

CAS N°1) Le sinistre affecte la prestation côté donneur d’ordre

Dans ce cas, le donneur d’ordre pourra examiner en quoi son passage en PCA pourrait affecter la délivrance de la prestation par son prestataire.

CAS N°2) Le sinistre affecte la prestation côté prestataire

La continuité de la prestation pourra être assurée selon l’un des modes suivants :

CAS N°2A) Le secours de la prestation est opéré par le prestataire directement affecté par le sinistre (à travers un PCA contractuellement mis en œuvre par le prestataire)



CAS N°2B) Le secours de la prestation est assuré par déport de l’activité sur un ou plusieurs autres prestataires contribuant, en temps normal, à la délivrance de la prestation. Ce mode suppose que le donneur d’ordre répartisse habituellement l’activité entre au moins deux prestataires.

De manière à faciliter le déport de l’activité entre prestataires, le donneur d’ordre veillera à standardiser au maximum les interfaces et le formalisme des échanges autour de la prestation.

Le fait de s’appuyer pour la prestation sur plusieurs acteurs, en temps normal, délivre, par construction, une assurance sur la capacité à réaliser de chacun. Pour autant, cette approche ne garantit pas que le(s) prestataire(s) secondaire(s) est/seront en mesure d’absorber la charge du prestataire sinistré, le jour du sinistre. Le donneur d’ordre cherchera à atténuer ce risque au travers de :

Tests spécifiques « de volumétrie », idéalement à des périodes différentes

La délivrance par le ou les prestataires d’un suivi régulier de leur capacité disponible et/ou capacité maximale

CAS N°2C) Le secours de la prestation est opéré par un prestataire tiers n’intervenant qu’en situation de sinistre (le basculement sur le prestataire prévoit de manière contractuelle au moins un délai d’activation et une montée en charge)

La sollicitation exclusive du prestataire en situation de sinistre laisse néanmoins peser un doute sur sa « réelle » capacité à faire le jour du sinistre. Le donneur d’ordre cherchera à atténuer ce risque au travers de :

Tests réguliers (idéalement menés en impromptu, si le prestataire l’y autorise)

Intégration systématique du prestataire de secours dans les évolutions survenant sur la prestation nominale et son secours (interfaces, modalités d’échanges, interlocuteurs, volumes, etc.)

Obligation du prestataire à signaler auprès du donneur d’ordre toute évolution survenant sur son périmètre afin que celui-ci puisse juger de leurs impacts sur son secours.

CAS N°2D) Le secours de la prestation est assuré par le donneur d’ordre par ré-internalisation.

La prestation faisant l’objet d’une externalisation, ce cas de figure réclame que le donneur d’ordre maintienne le savoir-faire requis et garantisse sa capacité à mobiliser les ressources nécessaires à une telle reprise, éventuellement en mode dégradé.

CAS N°3) Le sinistre affecte simultanément l’ensemble des parties

Dans une telle situation où les acteurs sont potentiellement tous en PCA, le donneur d’ordre doit examiner que l’ensemble des interactions perdurent pour tenir ses obligations. La revue de ces interactions constitue une étape de l’intégration des PCA des contractants.

Le Forum des Compétences recommande que le donneur d’ordre et le prestataire établissent ensemble la liste des sinistres les impactant de façon simultanée au travers d’une analyse de risques (cf. §2.2). À titre d’illustration, les situations ci-après peuvent contribuer à l’émergence d’un risque :

Proximité « géographique » des contractants pouvant induire les mêmes dépendances (bassins d’emploi, fournisseurs d’énergie ou de fluides, opérateurs télécoms, prestataires, …)

Dépendances techniques ou informatiques des contractants (SI imbriqués)



3.1. Gestion de crise et communication externe

La gestion de crise PCA a déjà fait l’objet d’une publication par le Forum des Compétences (cf. « Gestion de crise », juin 2009). Le présent chapitre se focalise ici sur l’incidence de l’externalisation d’une activité sur le dispositif de gestion de crise et de communication externe, lors d’une défaillance d’une PSE.

Toute situation de crise en lien avec la PSE doit faire l’objet d’un dialogue entre le donneur d’ordre et son prestataire, afin que la partie sinistrée informe régulièrement et factuellement les autres contractants. Ce dialogue, qui sort du cadre habituel des échanges entre le donneur d’ordre et son prestataire, doit être prévu contractuellement afin de :

Fixer l’obligation d’information réciproque des parties en cas d’un incident affectant la prestation, idéalement selon une procédure d’escalade convenue entre les parties

Identifier les interfaces entre les parties concernées (n° de téléphone, adresse email, fax, noms des interlocuteurs, etc.) qui assureront, le cas échéant, de manière permanente (éventuellement au travers d’astreintes) :

La réception des alertes et des remontées d’information de la partie sinistrée

Les échanges réguliers afin de coordonner le secours de la prestation

Fixer les rôles et responsabilités de chaque partie, notamment celle de la prise de décision de déclenchement du PCA (qui revient habituellement au donneur d’ordre).

Dans le CAS N°2A) cette décision pourra être déléguée au prestataire nominal.

Convenir, en amont, des conditions d’activation et des délais de mise en œuvre des étapes clefs (activation d’une cellule de crise, activation du PCA, reprise de la prestation en mode dégradé, reprise de la prestation en régime nominal, etc.).

Le déclenchement d’un PCA lié à une PSE peut perturber significativement les activités des parties (baisse ou augmentation subite d’activité selon l’acteur observé) et avoir une incidence sur leurs clients respectifs. Or, les intérêts des parties concernées peuvent diverger le jour du sinistre. Il convient donc de clarifier en amont, tant que faire se peut, les conditions d’activation du PCA. Le donneur d’ordre pourra également chercher à cerner les effets « collatéraux » du passage en PCA avec ses prestataires.

Confirmer que la communication externe vis-à-vis des médias, est menée de manière coordonnée entre le donneur d’ordre et le prestataire, sinon placée sous le pilotage du donneur d’ordre, responsable de l’activité sous-traitée.

La communication externe – fonction régalienne des Directions Générales – est délicate à encadrer contractuellement car elle constitue un outil essentiel de maîtrise de leur image de marque. Le Forum des Compétences recommande de fixer au moins le principe d’une coordination des organes de communication des contractants.

En outre, le Forum recommande que le donneur d’ordre intègre sa Direction de la Communication au sein du dispositif de gestion de crise et dans le cadre des tests PCA et des tests de gestion de crise (cf. publication « Tests et gestion de crise »).

Pour les cas de chocs extrêmes, traités au niveau de la Place par le groupe Robustesse, la communication est traitée comme une « communication globale » coordonnée entre les acteurs de la Place, sous l’impulsion de La Banque de France.

Le Forum recommande que le dialogue entre le donneur d’ordre et son prestataire s’établisse à deux niveaux : au niveau décisionnel pour partager et assurer la cohérence des décisions, au niveau opérationnel pour piloter et synchroniser les opérations.



Afin de traiter les CAS N°3) de sinistres simultanés d’un ou plusieurs prestataires et du donneur d’ordre, les dispositifs de gestion de crise mis en place par les prestataires et le donneur d’ordre, ainsi que leurs interfaces, doivent faire l’objet de tests conjoints.

3.2. Intégration des dispositifs de continuité des contractants

Le passage en PCA d’une des parties réclame que l’autre partie non affectée adapte son fonctionnement aux modalités du secours prévues. Ces adaptations sont à examiner lors de la définition et la mise en œuvre du PCA puis à vérifier dans le cadre de tests. Elles varient en fonction des cas de figure et de la stratégie de secours de la PSE.

CAS N°1) Le sinistre affecte la prestation côté donneur d’ordre

Le donneur d’ordre doit examiner en quoi l’activation de son PCA et son passage en secours pourraient affecter la délivrance de la prestation par son prestataire et perturber son propre usage de la prestation. Ces éléments seront étudiés avec le prestataire afin qu’il examine sa capacité opérationnelle à adapter sa PSE.

Le donneur d’ordre pourra s’interroger sur les principales questions suivantes :

Suis-je en mesure de continuer à « alimenter » le prestataire ? Au même rythme ?

Est-ce que je dispose toujours des mêmes modes d’échanges ?

Faut-il prévoir des modes d’échanges spécifiques en cas de sinistre ?

Suis-je en mesure de « consommer » sa prestation ? Au même rythme ?

Faut-il lui demander d’adapter son rythme ou de « stocker » sa production ?

Dois-je rediriger les flux ailleurs (nouveaux sites de production) ?

CAS N°2A) Le secours de la prestation est opéré par le prestataire directement affecté par le sinistre

Dans le cas le plus favorable, le prestataire assure le maintien de la PSE de manière transparente pour le donneur d’ordre. Ce dernier est informé du passage en secours, mais cela est sans impact sur sa « consommation » de la PSE.

Dans les autres cas, le prestataire et le donneur d’ordre devront mener une gestion de crise et un passage en fonctionnement sur le secours coordonnés :

Donneur d’ordre Prestataire

Informer les métiers utilisateurs de la prestation du passage en mode secours de la PSE

Activer les modalités de fonctionnement en mode secours (mode dégradé)

Conduire le PCA de la prestation

Se coordonner avec le donneur d’ordre pour exploiter les modes de fonctionnement de secours

Mettre en relation les acteurs techniques en charge des « interfaces » de la PSE afin de conduire les adaptations nécessaires

Mettre en relation les acteurs techniques en charge des « interfaces » de la PSE afin de conduire les adaptations nécessaires

Communiquer sur la situation auprès les clients finaux de la prestation

Informer le donneur d’ordre de l’avancement des travaux et des délais prévisionnels (activation, fonctionnement en secours, retour à la normale)



CAS N°2B) Le secours de la prestation est assuré par déport de l’activité sur un autre prestataire contribuant, en temps normal, à la délivrance de la prestation ou CAS N°2C) n’intervenant qu’en cas de sinistre

Pour ces deux cas de figure, le donneur d’ordre est le coordinateur de la mise en œuvre du PCA.

Prestataire défaillant Donneur d’ordre Prestataire de secours

Alerter son client de l’incident conformément au processus d’escalade

Informer régulièrement son client de de la situation

Faire le point de la situation du traitement des flux d’avant l’incident avec le donneur d’ordre

Informer les métiers utilisateurs de la prestation de la situation

Coordonner le déport de la prestation sur le ou les prestataires secondaires

Activer les modalités de fonctionnement en mode secours

Faire un point de situation d’avant l’incident : énumérer les flux précédemment transmis au prestataire défaillant qui n’ont pas pu être traités avant l’incident

Informer le client de la capacité à reprendre tout ou partie de la charge du prestataire défaillant

Activer le dispositif de secours dans le CASN°2/C)

Mettre en relation les acteurs techniques en charge des « interfaces » de la PSE

Rediriger les flux à destination du prestataire défaillant vers le ou les autres prestataires

Transmettre (sur consignes des métiers utilisateurs internes) les flux précédemment transmis au prestataire défaillant qui n’ont pas pu être traités avant l’incident

Mettre en relation les acteurs techniques en charge des « interfaces » de la PSE

Conduire si nécessaire les adaptations nécessaires pour intégrer les nouveaux flux

Traiter les flux que le prestataire défaillant n’a pas pu traiter

Informer le client de la capacité à reprendre effectivement le traitement de la prestation initiale

Communiquer sur la situation auprès les clients finaux de la prestation

Coordonner le basculement inverse de la prestation

Informer le donneur d’ordre de la capacité à maintenir ou accroître la charge d’activité

Le CAS N°2C) présente un risque que doit apprécier le donneur d’ordre avant sa souscription et pour lequel il doit envisager, le cas échéant, de renforcer les tests selon la complexité et le volume de la prestation. En effet, le jour du sinistre, le prestataire tiers pourrait se trouver dans

l’incapacité à délivrer totalement la prestation soit du fait de son plan de charge (volume trop important) soit de la technicité de la prestation (savoir-faire et moyens à réunir trop lourds). Le test régulier du secours de la prestation est de nature à réduire ce risque.

CAS N°2D) Le secours de la prestation est assuré par le donneur d’ordre par ré-internalisation

Le donneur d’ordre opère intégralement le secours de la prestation. Dans ce cas, l’imbrication du PCA porte sur la gestion de crise coordonnée puis sur la reprise de l’activité nominale par le prestataire, s’il en a la capacité.

CAS N°3) Le sinistre affecte simultanément l’ensemble des parties

L’intégration des PCA en cas d’activation du PCA du donneur d’ordre et du PCA d’un ou plusieurs des prestataires est à traiter de façon spécifique. Dans les situations de chocs extrêmes, le niveau de service à atteindre pourra être réexaminé à la lumière de l’incidence du sinistre sur les clients finaux de la prestation.



La mise en place de solutions pour répondre à cette typologie de sinistre présente un degré de complexité supplémentaire. Les PCA des contractants doivent être testés de façon simultanée.

3.3. Conduite des tests PCA des contractants

La conduite de tests PCA a pour objet de vérifier le caractère opérationnel du secours mis en œuvre ou, à défaut, à disposer d’éléments à caractère probant de son fonctionnement. Ce sujet a fait l’objet d’une publication du Forum des Compétences « Test et gestion de crise ».

La conduite de tests PCA vise un objectif complémentaire : vérifier la bonne intégration du PCA d’un des contractants dans le cadre du fonctionnement spécifique prévu par les contractant en situation de sinistre.

Dans le cadre de leur mobilisation conjointe, les contractants conviendront ensemble des modalités de test (protocole) et de restitution du test (bilan et enseignements), du calendrier, des acteurs à solliciter et des ressources à réserver.

Le Forum des Compétences recommande au donneur d’ordre

d’adopter contractuellement le principe d’une participation aux tests PCA de ses

sous-traitants, même si le dispositif prévoit un maintien de la PSE de manière transparente pour le donneur d’ordre

d’exercer dans un premier temps ce principe pour les prestataires les plus sensibles

À défaut d’une participation active, le donneur d’ordre pourra réclamer :

le plan de tests incluant la typologie et le calendrier des tests

les comptes-rendus de tests

les plans d’amélioration afférents

Un prestataire rendant la même PSE à plusieurs donneurs d’ordre (cas des prestataires de place) pourra souhaiter impliquer plusieurs de ses donneurs d’ordre afin d’optimiser son plan de tests et mutualiser les résultats du test. Le donneur d’ordre cherchera, de son côté, à apprécier :

la reproductibilité et la représentativité de ces résultats

la capacité du prestataire à délivrer la prestation à l’ensemble de ces clients.

Dans le CAS N°3), sinistre affectant simultanément l’ensemble des parties, des tests simultanés du PCA du donneur d’ordre et du PCA du ou des prestataires de la PSE sont à considérer.



4. Dispositions contractuelles des PSE Le présent chapitre a pour objet d’éclairer le lecteur sur les principaux points d’attention à porter lors de l’élaboration du cadre contractuel d’une prestation de service essentielle (PSE).

Il n’a pas vocation à délivrer de clauses formelles « prêtes à l’emploi », dont l’élaboration réclame nécessairement la compétence des services juridiques du donneur d’ordre. La Fédération Bancaire Française mettant en commun les ressources et analyses des principaux Établissements de crédit, a permis la rédaction de clauses minimales dont il est possible de s’inspirer, mais un contrat est – au même titre que la prestation qu’il encadre – un acte résultant d’une négociation entre les parties. De fait, il est délicat d’émettre des clauses types applicables en toutes circonstances.

L’exigence de continuité d’activité d’une prestation est de nature à modifier le modèle de coût et la tarification proposée par le prestataire. Cependant, ce surcoût ne fait pas nécessairement l’objet d’une ligne spécifique dans les conditions financières du contrat, notamment lorsque le prestataire associe « naturellement » sa prestation et son secours.

4.1. Établissement d’un contrat

La première des recommandations porte sur la nécessité de l’établissement d’un contrat écrit entre les parties prenantes, ce que le CRBF 97-02 impose pour les PSEE (art. 37-2-2. a).

Ce contrat comprend, a minima, une description détaillée de la prestation délivrée, le périmètre d’applicabilité de la prestation et les engagements de niveau et de qualité de services de la prestation. #Déplacé dans les paragraphes 4.2 et 4.3 « Il est essentiel d’y associer une clause d’auditabilité et une clause de réversibilité. »

Pour des raisons économiques, il est possible que le prestataire cherche lui-même à sous-traiter tout ou partie de la prestation à un prestataire tiers.

Dans cette hypothèse, le donneur d’ordre demeure toujours directement responsable des obligations issues du CRBF 97-02 (contrat, politique formalisée, etc.), quelle que soit la longueur de la chaine de sous-traitance.

Dans le cas d’une PSEE, il est de la responsabilité du donneur d’ordre de demander à son prestataire de déclarer l’ensemble de la chaine de sous-traitance. En tout état de cause, il est essentiel que le donneur d’ordre connaisse l’ensemble des acteurs impliqués, ainsi que notamment le niveau d’intervention et la compétence de chacun.

Cette exigence doit être spécifiée dans le cadre d’une clause de sous-traitance spécifique (cf. § 4.5).

Selon les cas de figure, le contrat pourra comporter des éléments complémentaires ou spécifiques à la situation rencontrée. Dans la suite du chapitre les focus particuliers aux cas suivants (évoqués au chapitre 3) :

CAS N°2A) Le secours de la prestation est opéré par le prestataire directement affecté par le sinistre.



Le secours est une partie essentielle du contrat au même titre que la prestation nominale. Le prestataire doit être tenu sur le secours par le même niveau d’engagement défini pour la prestation nominale.

Le contrat devra mentionner :

La nécessité d’assurer la continuité de la prestation face à des scénarios d’impacts identifiés et convenus

La description détaillée du secours de la prestation et les engagements associés (interlocuteurs en temps normal, en temps de crise, le niveau de qualité de service rendu, la documentation, les tests, etc.).

CAS N°2B) Le secours de la prestation est assuré par déport de l’activité sur un ou plusieurs autres prestataires contribuant, en temps normal, à la délivrance de la prestation.

Ce cas peut se décliner contractuellement selon deux approches :

2B.I) Le donneur d’ordre établit un contrat indépendamment avec chacun des prestataires. Dans ce cas, les possibilités d’intégration de la dimension continuité d’activité au contrat sont relativement limitées ; le donneur d’ordre étant l’artisan principal du secours de la prestation avec ses autres prestataires.

2B.II) Le ou les autres prestataires sont sous-traitants du prestataire nominal. Ce dernier peut alors être engagé contractuellement à l’obligation du maintien de la prestation, en gérant la relation avec ses autres sous-traitants.

CAS N°2C) Le secours de la prestation est opéré par un prestataire tiers n’intervenant qu’en cas de sinistre.

Le secours (vu du donneur d’ordre) constitue la prestation nominale du contrat passé entre le donneur d’ordre et le prestataire.

Dans le cadre d’une prestation PSE, et quelle que soit la nature du cas pris en considération, le prestataire devra s’engager a minima à tout mettre en œuvre pour reprendre son activité et éviter, ainsi, une interruption qui pourrait causer un préjudice à son client quelle que soit son obligation de moyens ou de résultats.

4.2. Clauses juridiques bénéficiant à l a continuité d’activité

En premier lieu, plusieurs clauses « traditionnelles » des contrats de service contribuent à la continuité de la prestation et/ou bénéficient à l’encadrement contractuel du maintien de la continuité. Il s’agit principalement des clauses ci-après :

Clause d’Évolution

La clause d’évolution prévoit les modalités d’évolution du contrat, portant sur la description de la prestation et/ou sur les engagements de niveau de service qui lui sont associés. Dans les cas où le prestataire porte la prestation et son secours (CAS N°2A, CAS N°2B.II) ou seulement le secours (CAS N°2C), cette clause facilite la prise en compte des évolutions des besoins de continuité.

Clause d’Auditabilité

La clause d’auditabilité permet au donneur d’ordre, après en avoir avisé le prestataire, de procéder à un audit par ses auditeurs internes ou par un cabinet externe (cf. §4.3 ci-après pour l’audit par les régulateurs tels que l’ACP).



Lorsque le secours de la prestation constitue une prestation couverte par le contrat (CAS N°2A, CAS N°2B.II et CAS N°2C), la clause d’auditabilité s’applique au Plan de Continuité d’Activité (PCA) de la prestation.

Dans le cas où la clause d’auditabilité précise les périmètres concernés, le PCA doit être explicitement cité.

Dans le cadre d’une PSEE, une clause d’auditabilité est essentielle.

Clauses de Réversibilité

Le prestataire assure la réversibilité de l’externalisation des prestations délivrées afin de permettre au donneur d’ordre de reprendre sans difficulté, ou de faire reprendre par un tiers désigné par lui, la fourniture des prestations et, ce dans les meilleures conditions.

La clause de réversibilité est un procédé contractuel par lequel sont réclamées la production et le maintien de la documentation des « modus operandi » de la prestation. Lorsque le secours est une prestation du contrat, la clause de réversibilité s’applique également au PCA.

Dans le cadre d’une PSEE, une clause de réversibilité est essentielle.

Pénalités

Le système de pénalités est une incitation au maintien ou à l’amélioration de la qualité des prestations délivrées. Indépendamment des dommages subis, une procédure de pénalités est appliquée en cas de non-respect, imputable au prestataire, des niveaux de service.

Dans le cas où le secours est une prestation du contrat, le système de pénalité s’applique aux niveaux de service associés au secours.

Les bases d’application des pénalités et les modalités de calculs associées sont généralement décrites en annexe financière du contrat.

On notera également que les clauses de responsabilité et de confidentialité contribuent, de

manière plus indirecte, à la continuité d’activité puisqu’elles engagent le prestataire sur la prestation de secours.

4.3. Conformité réglementaire

Dans le cadre des prestations PSEE au « sens réglementaire », le contrat doit mentionner les clauses nécessaires à sa conformité au CRBF 97-02, et portant sur :

Acceptation d’un contrôle du prestataire par l’autorité de régulation

Caractère auditable de la prestation et de son secours

Obligation de reporting

Mise en place d’un plan de continuité d’activité le cas échéant, c'est-à-dire lorsque le prestataire assure la continuité de sa prestation, par ses propres moyens ou par une sous-traitance

Le cas échéant, ces obligations règlementaires portent sur l’intégralité de la chaine des sous-traitants. Chaque contrat entre les sous-traitants devra mentionner ces obligations.



4.4. Intégration de la continuité d’activité au contrat

Dans les CAS N°2A, CAS N°2B.II, le contrat porte sur la délivrance d’une prestation nominale et de son secours soit par ses propres moyens soit au travers d’une sous-traitance. Étant nécessaire au maintien de la prestation, le secours constitue une prestation à part entière.

Dans ces cas, il est recommandé d’intégrer la continuité d’activité de la prestation dans les chapitres afférents de la description de la prestation nominale :

1. La continuité d’activité est décrite dans le chapitre du contrat portant sur la nature des services rendus

2. Les niveaux de service associés au secours de la prestation sont décrits dans le chapitre portant sur les engagements de niveau de service

On notera que les engagements de niveau de service portant sur le secours de la prestation ne peuvent être plus exigeants que les niveaux de service demandés pour la prestation nominale. Le Forum des Compétences recommande que les niveaux de sécurité et de conformité à respecter (y compris en situation de sinistres) soient précisés contractuellement.

3. Lorsque la continuité est assurée au travers d’une sous-traitance, cette dernière doit être encadrée au travers d’une clause particulière. Elle n’enlève en rien la responsabilité du prestataire mais délivre au donneur d’ordre la faculté d’accepter ou non les propositions de sous-traitance et possiblement d’interagir avec le ou les sous-traitants

4. L’ensemble des clauses juridiques du contrat doivent s’appliquer à la continuité de la prestation, dès lors que celle-ci constitue une part essentielle du contrat.

Le cas de force majeure est une clause implicite de tout contrat, reconnue en droit. Sa formulation explicite est recommandée notamment dans le cadre de prestations pour lesquelles un secours est délivré par le prestataire ou sa sous-traitance. La définition contractuelle d’une telle hypothèse est souvent rédigée par le prestataire afin d’accepter en tant que tels des évènements qui ne sont pas des forces majeures au sens de la jurisprudence (grève par exemple). Le donneur d’ordre se doit donc d’être très attentif à cette rédaction, compte tenu des impacts très forts de telles extensions.

Dans le CAS N°2C, le secours est la prestation rendue et constitue l’objet principal du contrat, elle est de faite décrite contractuellement comme toute prestation.

La description de la continuité d’activité de la prestation pourra s’inspirer des thématiques proposées dans le tableau ci-contre.

Selon les pratiques du donneur d’ordre, ces informations seront réclamées dès le cahier des charges, collectées dans l’offre technique ou intégrées dans le cadre contractuel (corps ou annexe du contrat).



Thématiques Éléments à produire par le prestataire

Plan de Continuité d’Activité de la prestation

Procédures du Plan de Continuité d’Activité Terminologie employée Scenario d’impacts adressés Risques couverts et risques résiduels Périmètre de la prestation secouru Principes et typologie du secours mis en place Fonctionnement en mode dégradé …

Suivi de la prestation de secours « au quotidien »

Interlocuteur nommément désigné et suppléant assurant la gestion de la continuité d’activité de la prestation Identification des comités traitant de la continuité d’activité de la prestation …

Organisation de crise Principes d’organisation de crise Interlocuteurs, points de contacts, coordonnées Processus d’alerte et de déclenchement Plages de fonctionnement Modalités d’activation du secours, du retour à la normale …

Besoins de continuité et niveaux de services du secours

A minima DIMA et PDMA (le cas échéant) de la prestation Détails ses délais d’activation du PCA, délais de reprise de la prestation, taux d’indisponibilité global acceptable Montée en charge du secours Exigence sur le nombre et la qualité des tests PCA Durée du fonctionnement en mode dégradé …

Contrôles et tests Reporting sur le PCA Indicateurs de suivi Acceptation des contrôles

Plan de tests précisant la fréquence, le périmètre et le protocole des tests Contributions/participations du donneur d’ordre aux tests PCA …

En fonction de la prestation et/ou du prestataire, tous les documents cités ci-dessus ne pourront être adressables avant la contractualisation et/ou le commencement de la prestation (problématique de confidentialité, nécessaire collaboration pour la définition du secours, etc.). Le cas échéant, le donneur d’ordre pourra identifier dans le contrat les documents qu’il souhaite récupérer après la contractualisation et/ou le commencement de la prestation.

La durée du fonctionnement en mode dégradé est un critère important à identifier au moment de la contractualisation. En effet, le fonctionnement en mode dégradé est souvent acceptable et accepté, pendant une durée limitée dans le temps.

4.5. Cas de la sous-traitance

La sous-traitance du secours (CAS N°2B.II) de la prestation peut être proposée par le prestataire ou même souhaitée par le donneur d’ordre. Dans ce contexte, il est nécessaire d’adjoindre au contrat une clause de sous-traitance pour l’encadrer.

Sur un plan juridique, les sous-traitants du prestataire sont choisis par le prestataire et travaillent sous la responsabilité du prestataire. Cependant des restrictions, obligeant le prestataire à demander l’acceptation du donneur d’ordre pour le choix d’un sous-traitant, peuvent être inclues dans la clause de sous-traitance. En outre le donneur d’ordre peut réclamer l’identification des interlocuteurs en charge du secours ainsi que leur participation aux instances de suivi de la prestation et de son secours.



En tout état de cause, la sous-traitance du secours de la prestation ne diminue pas les engagements de niveau de service portant sur le prestataire.

De même, la continuité des activités essentielles et externalisées d’un donneur d’ordre reste sous la responsabilité de ce dernier y compris en cas de sous-traitances multiples.

4.6. Continuité d’activité opérée par déport de l’activité

Dans le CAS N°2B.I) le donneur d’ordre réparti la prestation souscrite entre au moins deux prestataires en période nominale. Le secours est assuré par le déport de l’activité du prestataire défaillant sur le ou les autres prestataires.

Dans ce contexte, le donneur d’ordre devra convenir avec chacun de ces prestataires de :

La capacité nominale attendue de la prestation

L’augmentation de charge acceptée et garantie par le prestataire avec, le cas échéant, une montée en charge convenue

Le délai d’activation et la durée maximale de fonctionnement en surcapacité (CAS N°2B, secours de la prestation par déport sur un autre prestataire)

Les conditions d’activation de ce fonctionnement en surcapacité

Cette augmentation de charge se traduit assez naturellement chez le prestataire par une mobilisation de ressources supplémentaires pour absorber le potentiel surplus d’activité (fonctionnement sur des plages horaires élargies, activation et/ou réquisition de moyens de production complémentaires, etc.) ; soit le jour du sinistre, soit dès la mise en place de la prestation afin d’honorer l’engagement de surcapacité.

Le donneur d’ordre pourra chercher à séparer les coûts récurrents liés à la garantie de surcapacité du prestataire, des coûts à l’usage liés à l’augmentation de charge, en temps de crise ou lors de tests.

4.7. Continuité d’activité à travers une prestation de secours

Dans le CAS N°2C) la prestation souscrite constitue le secours d’une prestation nominale. Son activation n’est donc sollicitée qu’en situation de sinistre affectant le premier prestataire ou dans le cadre de tests.

Le donneur d’ordre veillera à ce que le contrat mentionne les points suivants :

Les conditions et les modalités d’activation de la prestation

Les délais contractuels d’activation et la montée en charge de la prestation

La durée maximale de recours à la prestation

La caractérisation des ressources délivrées, en particulier si elles sont dédiées au donneur d’ordre pendant toute la durée du contrat ou si elles sont mutualisées avec d’autres clients du prestataire

Dans ce dernier cas, la description de l’aléa résultant de la mutualisation (qui fait peser un risque au donneur d’ordre de ne pas obtenir la prestation attendue)

Les conditions et les modalités de tests de la prestation

L’obligation de moyens associée à l’ensemble de la prestation



Dans un objectif d’efficience commerciale, les prestataires (notamment les spécialistes du secours informatique ou du secours de position de travail) ont défini plusieurs modèles de souscription de leurs offres. Ces modèles prévoient la délivrance de la prestation à travers des ressources soit dédiées, soit mutualisées.

Modèle de délivrance de prestation de secours Description

Prestation à ressources dédiées Le secours est garanti par l’immobilisation de ressources réservées au donneur d’ordre.

Prestation à ressources mutualisées avec un taux de mutualisation garanti

Le secours repose sur des ressources mutualisées avec d’autres clients du prestataire.

Le taux de mutualisation fixe le ratio du nombre de ressources affectées dans le pire cas au donneur d’ordre. Il traduit également le nombre maximum de clients partageant les mêmes ressources mutualisées.

Prestation à ressources mutualisées dont la fourniture s’opère selon la règle du « premier arrivé, premier servi »

Le secours repose sur des ressources mutualisées avec d’autres clients du prestataire.

L’obtention des ressources repose sur le principe du « premier arrivé, premier servi » lorsque plusieurs clients sollicitent en même temps la prestation.

Dans le meilleur cas, le prestataire délivre une vision du nombre de clients partageant les mêmes ressources sur un rayon géographique autour du site du donneur d’ordre.

Dans tous les cas, le prestataire doit veiller au bon fonctionnement des ressources allouées durant la vie du contrat. Il doit également informer avec préavis le donneur d’ordre des éventuelles évolutions survenant sur les ressources nécessaires à la délivrance de la prestation.

4.8. Limites du cadre contractuel

La mise en place du cadre contractuel est nécessaire mais non suffisante pour garantir la continuité d’activité de la PSE.

À titre d’illustration, le mécanisme de pénalités s’inscrit généralement dans des limites proportionnées aux montants associés à la prestation. Or le coût induit par l’interruption de la prestation pour le donneur d’ordre peut être très sensiblement différent du coût de la prestation elle-même (lorsque les enjeux financiers sont incomparables, lorsque l’image du donneur d’ordre est affectée, etc.).

En outre, la clause de force majeure, si la définition d’un tel événement a été strictement limitée, vient protéger les co-contractants face à des situations extrêmes en exonérant les parties de leur responsabilité contractuelle (événements graves « imprévisibles », « irrésistibles » et « extérieurs » aux parties).

Ces éléments mettent en évidence les limites du cadre contractuel et plaident pour une relation régulière des parties dans le suivi, le contrôle et le test des plans de continuité d’activités.



5. Contrôle des dispositifs de continuité d’activité des PSE

5.1. Politique de contrôle de la continuité des PSE

La politique de contrôle de la continuité des PSE résulte de l’obligation du donneur d’ordre à vérifier que les dispositifs de continuité prévus par ses prestataires sont opérationnels. Cette vérification doit s’opérer, de manière régulière, proportionnée et adaptée aux réels enjeux posés par les PSE du donneur d’ordre, afin que la politique de contrôle soit pertinente et exploitable.

Dans cet objectif, la politique de contrôle de la continuité des PSE doit :

Être en accord avec la classification des prestations, de manière à ce que les contrôles soient proportionnés à la criticité retenue par leur donneur d’ordre des prestations.

Prendre en compte les facteurs complémentaires dits « de second niveau » afin d’adapter les contrôles aux caractéristiques des PSE et de leurs prestataires.

La politique de contrôle de la continuité d’activité des PSE ne doit pas être vue comme une politique à part mais comme intégrée à la politique de contrôle générale du donneur d’ordre. À ce titre, elle est placée sous la responsabilité des fonctions de contrôle habituelles de l’entreprise (fonctions risques opérationnels, conformité, contrôle permanent, …).

La politique de contrôle de la continuité d’activité des PSE s’articule autour d’un plan de contrôle pour chaque PSE, précisant les points de contrôle à suivre, les outils de contrôle

à exercer et la fréquence des contrôles à opérer , d’une organisation et de ressources à affecter pour conduire la politique.

5.2. Points de contrôle

Les points de contrôle désignent les éléments sur lesquels portent les contrôles. Ils répondent à la question du « quoi contrôler ? ».

Le Forum des Compétences propose de considérer, a minima, les trois familles de points de contrôle suivant :

Gouvernance et Stratégie

Modèle de gouvernance, organisation de la filière continuité, implication du management, communication autour du secours, etc.

Démarche et méthodologie pour l’élaboration et la révision de la stratégie de continuité, analyse de risques, risques adressés, analyse d’impacts, besoin de continuité et couverture des besoins, etc.

Dispositifs de continuité et de gestion de crise

Solutions et principes de reprise, ressources affectées, processus et procédures de maintien en conditions opérationnelles

Permanence et organisation de crise, moyens et contacts de crise, procédures d’alerte et de déclenchement, indication des relais et « informations pratiques » au déclenchement du secours, etc.



Tests

Plan de test (fréquence et périmètre), résultats de tests, plans d’amélioration, acteurs impliqués dans les tests, etc.

5.3. Outils de contrôle et de suivi

Les outils de contrôle et de suivi constituent le moyen de mesure et d’exercice du contrôle. Ils répondent à la question du « comment contrôler ? ».

Le Forum des Compétences propose plusieurs types d’outils, délivrés par ordre croissant de performance, que les donneurs d’ordre pourront appliquer sur les points de contrôle évoqués précédemment :

Analyse documentaire

L’analyse documentaire de la continuité d’activité du prestataire constitue le premier niveau de contrôle à opérer. Il témoigne, d’une certaine manière, du niveau de maturité du prestataire et de qualité des dispositifs de continuité prévus pour ses prestations.

Le donneur d’ordre pourra interroger le prestataire sur l’existence de documents type et examiner la qualité des informations délivrées et l’efficacité du processus de gestion documentaire associé.

Exemples de livrables à réclamer : politique de continuité d’activité, stratégie de continuité, organisation de la filière continuité, fiches de postes des acteurs de la filière continuité, plan de maintien en conditions opérationnelles, procédures d’alerte, d’escalade, de déclenchement, de gestion de crise, plan de tests, résultats des tests et plans d’amélioration afférents, ...

Revue des indicateurs de suivi

Le prestataire aura pu mettre en place dans le cadre de sa bonne gestion de son PCA des indicateurs de contrôle et de suivi. La revue de ces indicateurs, lorsqu’ils existent, permet d’apprécier la qualité et la fréquence des contrôles opérés par le prestataire et, dans une certaine mesure, de l’efficacité des dispositifs de continuité (caractère opérationnel du PCA).

Exemples d’indicateurs : Taux de couverture des besoins, date de dernière mise à jour de la stratégie, avancement de la mise en œuvre, avancement des tests, taux de réussite aux tests et exercice, date de dernier exercice, etc.

Audits

Les audits constituent un outil de contrôle performant, mais également lourd à mettre en œuvre (complexité, coût, délai). Ils visent à délivrer un niveau d’assurance sur la continuité de la PSE plus important que les outils précédemment évoqués, qui reposent essentiellement sur du déclaratif.

Les audits sont habituellement prévus dans le cadre d’une clause contractuelle, qui intègre la possibilité de recourir à des experts du donneur d’ordre ou de tiers.

Revue du plan de tests, des tests et des plans d’action afférents

Ce dernier type d’outil porte les tests et les plans d’actions et d’amélioration afférents. Ce type d’outil est le seul à délivrer, de manière probante, des garanties sur le caractère opérationnel du PCA.



Toutefois, ce caractère probant dépend fortement de la nature et de l’étendue des tests en termes de couverture des dispositifs de continuité. La revue portera donc sur :

Le plan de tests, afin de comprendre la nature (test sur table, test technique, test fonctionnel,…), la portée (conditions de réalisation : test du secours en parallèle de la production, en lieu et place de la production, …) et la mobilisation de ressources (moyens, personnels, locaux, …) prévus pour les tests.

Les résultats des tests, afin d’identifier le caractère opérationnel ou non des dispositifs de continuité exercés.

Les plans d’actions, afin de suivre la mise en œuvre des améliorations garantes à terme du fonctionnement des dispositifs de continuité.

Le donneur d’ordre pourra suggérer d’intégrer sa participation dans le cadre des tests significatifs, soit en tant qu’observateur soit en tant que contributeur pour la vérification de la prestation dans son fonctionnement en mode secours.

La mutualisation des tests avec d’autres donneurs d’ordre peut impliquer une sur-préparation du prestataire pour la conduite des tests, ce qui introduira un biais dans les résultats obtenus.

Sans permettre de contrôler la continuité d’activité des PSE, d’autres outils permettent de suivre l’évolution des PCA des PSE. Trois outils sont proposés :

Certifications

Les certifications garantissent la mise en place de bonnes pratiques en matière de management de la continuité, sans garantir pour autant l’efficience (efficacité au meilleur coût) opérationnelle des dispositifs sous-jacents. Elles constituent donc un premier niveau intéressant.

Exemples : ISO 22301 et BS 25999 (management de la continuité d’activité), ou ISO 9001 (management de la qualité)

Évaluation de la maturité et de la performance du PCA

Ces outils, souvent déclinés sous la forme de questionnaires, adressent les différentes thématiques du PCA. Ils délivrent, par leur jeu régulier, un suivi de la progression de l’état des lieux du PCA des PSE, certes de manière déclarative.

Points d’échange réguliers avec les correspondants continuité

Ces points d’échanges entre le donneur d’ordre et le prestataire permettent, en premier lieu, d’assurer une mise en relations des acteurs de la continuité des deux parties. Ils constituent le lieu de la revue des indicateurs de suivi de la continuité, des résultats des tests et de leurs plans d’amélioration et, le cas échéant, des évaluations de maturité.

Le Forum des Compétences recommande la tenue de ces points d’échange pour les PSE les plus critiques.



6. Annexes - Fiches pratiques

6.1. Extraits du Code Monétaire et Financier

Opérations de banque (article L311-1)

Réception de fonds publics ; Opérations de crédit ; Services bancaire de paiement

Services de paiement (sens II de l’article L314-1)

Opérations liées à un compte de paiement

Versement d’espèces ; Retrait d’espèce ; Gestion ; Prélèvements ; Opérations réalisées avec une carte de paiement ou un dispositif similaire ; Virements ; Ouverture d’un compte

Émission d’instruments de paiement et / ou acquisition d’ordres de paiement ; Services de transmission de fonds ; Exécution d’opérations de paiement

Services d’investissement (article L321-1)

Opérations pour le compte de tiers

Réception, transmission et exécution d’ordres ; Gestion de portefeuille ; Conseil en investissement ;

Prise ferme ; Placement garantie ou non garantie ;

Exploitation d'un système multilatéral de négociation

À noter : « Les services rendus à l'État et à la Banque de France, dans le cadre des politiques de gestion de la monnaie, des taux de change, de la dette publique et des réserves de l'État » sont exclus des services d’investissement tels que définis par le code monétaire et financier.

Opérations connexes des établissements de crédit (paragraphes 1, 2, 3 et 7 de l’article L311-2)

Opérations de change ; Opérations sur or, métaux précieux et pièces ;

Placement, souscription, achat, gestion, garde et vente de valeurs mobilières et de tout produit financier ;

Opérations connexes aux services de paiement (article L522-2)

Services de change ; Services de garde ;

Enregistrement et le traitement de données ;

Garantie de l’exécution d'opérations de paiement et octroi de crédits mentionnés […], à l'exception des opérations de découvert et d'escompte ;

Opérations connexes aux services d’investissement (paragraphes 1, 2, 5 et 6 de l’article L321-2)

Tenue de compte conservation d'instruments financiers pour le compte de tiers et les services accessoires ;

Octroi de crédits ou de prêts à un investisseur pour lui permettre d'effectuer une transaction qui porte sur un instrument financier et dans laquelle intervient l'entreprise qui octroie le crédit ou le prêt ;



6.2. Extraits du CRBF 97-02

Plan de Continuité d’Activité – CRBF 2004-02

« Plan de Continuité de l’Activité : ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise puis la reprise planifiée des activités ; »

Activité externalisée - Article 4 q) de l’arrêté du 2 juillet 2007 du CRBF 97-02

« Activités externalisées : les activités pour lesquelles l'entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisation de prestations de services ou d'autres tâches opérationnelles essentielles ou importantes par sous-traitance au sens de la loi no 75-1334 du 31 décembre 1975, par démarchage au sens des articles L. 341-1 et L. 341-4 du code monétaire et financier susvisé, « par le recours aux agents liés tels que définis aux articles L. 545-1 et suivants du même code, par le recours aux agents définis aux articles L. 523-1 et suivants du même code ou par toute autre forme ; »

Conditions applicables en matière d’externalisation

Article 37-1 de l’arrêté du 2 juillet 2007 du CRBF 97-02

« Les entreprises assujetties s’assurent que toute prestation qui concourt de façon substantielle à la décision engageant l’entreprise vis-à-vis de sa clientèle à conclure une opération mentionnée aux trois premiers tirets de l’article 4 r) n’est externalisée qu’auprès de personnes agréées ou habilitées selon les normes de leur pays à exercer de telles activités. »

Article 37-2 de l’arrêté du 2 juillet 2007 du CRBF 97-02

« Les entreprises assujetties qui externalisent une prestation de services essentielle à leur activité, au sens des articles 4 q) et 4 r), doivent conserver l’entière maîtrise de leur activité. Elles doivent en particulier respecter les dispositions suivantes. […]

Les entreprises assujetties s’assurent, dans leurs relations avec leurs prestataires externes, que ces derniers […] mettent en œuvre des mécanismes de secours en cas de difficulté grave affectant la continuité du service ou que leur propre plan de continuité tient compte de l’impossibilité pour le prestataire externe d’assurer sa prestation. »

6.3. Liste indicative de PSEE de la Fédération Bancaire Française

Cette liste a été publiée en septembre 2009 par la Fédération Bancaire Française dans le document « Externalisation : Contrôle des activités externalisées a des prestataires communs ».

Cette liste est une interprétation du CRBF 97-02. Elle vise à identifie les catégories d’activités rentrant dans le périmètre règlementaire et qui peuvent faire l’objet d’une démarche commune de contrôle :

Cartes bancaires : fabrication/personnalisation, acheminement ;



Chéquiers : fabrication/personnalisation, acheminement ;

NB : la fabrication du support de paiement stricto sensu ne relève pas de la notion de prestation de service essentielle ;

Centre d'opposition sur moyens de paiement ;

Traitement des chèques ;

Transport de fonds : transport de fonds lourds, alternatifs, comptage d'espèces ;

Automates bancaires, DAB, GAB : alimentation et maintenance uniquement (logiciels d'automate) ;

Autres transports de valeurs (autres que de fonds) ;

Terminaux de paiement par carte (maintenance uniquement) ;

Gestion des devises : opérations de change ;

Gestion relation clients ; sont visés les « Call Centers » :

serveurs vocaux interactifs / support technique,

réalisation directe d'une opération de banque (qui nécessite le statut d'établissement de crédit) ;

Prestations de banque à distance ;

Prestations liées au Plan de Continuité d'Activité : centres de repli, sauvegarde informatique ;

Infogérance et exploitation informatique : seulement dans le cas où la prestation porte sur des infrastructures techniques qui seraient le support d'une prestation de service essentielle ;

Hébergeurs de systèmes informatiques : seulement dans le cas où les systèmes informatiques hébergés sont le support d’une prestation de services essentielle ;

TMA (tierce maintenance applicative) : seulement dans le cas où la prestation porte sur des applications supportant directement une activité essentielle (ex : logiciels et systèmes de traitement des valeurs, sauf progiciels) ;

Gestion de fonds (« asset management ») : gestion de portefeuille pour compte de tiers, placement, souscription, achat, gestion, garde et vente de valeurs mobilières et de tout produit financier (entrée en vigueur de la MIF en novembre 2007) ;

Conservation des titres : conservation et administration d'instruments financiers (l'activité des sous-conservateurs à l'étranger, dits « sub-custodians », doit être appréciée par chaque établissement) ;

Back-office (traitement administratif des opérations bancaires réalisées) ;

Stockage et archivage : si ces archives ont un caractère essentiel, contractuel et/ou obligatoire et que leur perte expose l'établissement à un risque financier ou d'image (enregistrements comptables, conversations de « salles des marchés », contrats clients...). Les archives ne seront exclues du périmètre que si on arrive à apporter la preuve qu'on n'archive pas des données essentielles ;

Éditique : les prestations d'éditique sont visées s'il s'agit d'édition de relevés clients. Par contre, les prestations de Routage Marketing sont exclues ;

Porte-monnaie électronique (système ou marque) ;

Émetteur de monnaie électronique ;

Plateformes « e-business » (services bancaires par internet) ;

Gestion de la caisse centrale ;

Conseil et assistance en matière de gestion de patrimoine (produits d'épargne bancaire et produits d'épargne financière) ;



Conseil et assistance en matière de gestion financière, ingénierie ;

Opérations de location simple de biens mobiliers et immobiliers dans le cadre du crédit-bail ;

Location de coffres forts ;

Traitement comptable pour compte propre et reportings réglementaires ;

Recouvrement de créances.

La Fédération Bancaire Française identifie d’autres établissements – n’entrant pas dans le périmètre règlementaires – comme éligibles à une procédure commune de contrôle :

Target 2 (ex CRI) : transfert de règlements entre établissements ;

Euroclear France : centralisation et gestion des règlements/livraisons pour les transactions portant sur les obligations et les actions en Europe ;

Euronext : gestion des marchés boursiers (admission et radiation des valeurs, organisation des cotations) ;

LCH Clearnet SA : compensation en France des instruments financiers admis (actions listées sur les marchés Euronext, instruments dérivés et options, titres d'états français et allemand) ;

BMS / SFPMEI : rechargement et traitement des transactions Monéo ;

Groupement des cartes bancaires : paiements domestiques ou internationaux par carte bancaire ;

Visa : paiements internationaux par carte bancaire Visa ;

Europay Mastercard : paiements internationaux par carte bancaire Mastercard ;

STET (ex SIT) : compensation automatisée des paiements scripturaux de petit montant entre banques françaises ;

ABE Clearing Company : règlements nets transfrontières de montant élevé (en €) ;

SWIFT : transmission de messages normalisés entre acteurs de la finance mondiale

6.4. Secteurs d’activités d'importance vitale

Secteurs d’activités d'importance vitale identifiés par le décret n° 2006-212 du 23 février 2006 relatif à la Sécurité des Activités d'Importance Vitale (SAIV) :

Les activités vitales pour l’état :

Activités civiles de l’État

Activités judiciaires

Activités militaires de l’État

Les activités vitales pour l’homme :

L’alimentation

La gestion de l’eau

La santé

Les activités vitales pour l’économie :

Les finances

L’énergie



Les transports

Les activités à caractère technologique :

Les communications électroniques

L’audiovisuel et l’information

L’espace et la recherche

L’industrie

6.5. Exemple de grille d’impact

Les niveaux, ou appréciations, forment une échelle permettant d’attribuer un poids à ce que l’on mesure (gravité des impacts).

Les montants financiers indiqués dans la grille ont été choisi arbitrairement. Ces montants, ainsi que les valeurs de chacun des critères sont à adapter au contexte du donneur d’ordre.



Fin

an

ciè

re

Pert

e fin

anciè

re o

u

bais

se d

u

cours

du t

itre

In

tern

e

/ s

ocia

lO

rg

an

isati

on

Crit

iqu

e

Sen

sib

le

Faib

le

In

exis

tan

t

Conséquences s

ocia

les

import

ante

s a

ffecta

nt

une p

art

sig

nific

ative

du p

ers

onnel

Litig

es p

onctu

els

avec

un s

ala

rié,

de p

ort

ée

lim

itée

Conto

urn

é

Décle

nchem

ent

de

mouvem

ent

socia

ux

blo

quants

Impacts

clients

et

média

tiques m

aje

urs

Ap

précia

tio

n

Sanction judic

iair

e d

e

l’entité

à im

pact

média

tique fort

Ju

rid

iqu

e

/rég

lem

en

tair

e

Sanction judic

air

e o

u

règle

menta

ire d

e

port

ée lim

itée e

t sans

conséquence p

our

l’activité d

e l’e

ntr

epri

se

Conto

urn

é

Sanction judic

iair

e a

u

plu

s h

aut

niv

eau d

e

responsabilité

Sanction judic

iair

e o

u

régle

menta

ire s

uite à

un litig

e m

ais

lim

itée

en t

erm

e d

e

conséquence p

our

l’activité d

e l’e

ntr

epri

se

Pré

judic

e /

conflit

import

ant

à /

avec u

n

ou p

lusie

urs

sala

riés

de l’e

ntr

epri

se

Str

até

giq

ue

25

0 M€

25

M€

2,5

M€

25

0 k€

Rem

ise e

n c

ause d

e

l’im

age d

e l’e

ntité

Co

mm

ercia

l

Diffu

sio

n o

u a

ccès

illicite à

des

info

rmations inte

rnes

Conto

urn

é

Rem

ise e

n c

ause d

es

inté

rêts

supérieurs

de

l’entité

. Pert

e d

’im

age

susceptible

d’e

ntr

aîn

er

dura

ble

ment

une p

ert

e

import

ante

de c

lientè

le

Litig

e c

om

merc

ial avec

un o

u p

lusie

urs

clients

im

port

ants

de

l’entr

epri

se

Rem

ise e

n c

ause d

e

pla

ns s

traté

giq

ues.

Mauvais

e d

écis

ions o

u

ori

enta

tions

str

até

giq

ues.

Nuis

ance

org

anis

ationnelle

nota

ble

Faib

le n

uis

ances,

inte

rnes a

u d

om

ain

e

consid

éré

, et

peu

gênante

s p

our

l’utilisate

ur

final

Conto

urn

é

Arr

êt

du p

rocessus

décis

ionnel de l’e

ntité

. N

uis

ance

org

anis

ationnelle

maje

ure

et

dura

ble

affecta

nt

des a

ctivités

vitale

s

Non a

ttein

te d

es

obje

ctifs

vis

és.

Nuis

ance

org

anis

ationnelle jugée

sig

nific

ative.

Non-

application d

es

règle

ments

inte

rnes



6.6. Exemple de classification des PSE

Caractère « règlementé ou non » de la prestation :

Sphère 1 : prestation liée à une opération de banque

Sphère 2 : prestation participant directement à l’exécution des opérations de banque et services d’investissement ou connexe

Sphère 3 : prestation ayant un effet significatif sur la maîtrise des risques

Échelle de référence pour l’évaluation de criticité d’un prestataire :

Niveau 4 : Stratégique

L’indisponibilité maximale admissible du fournisseur est de 2 heures, ou

L’indisponibilité du prestataire est susceptible de provoquer :

Des pertes financières inacceptables (> 250 M€)

Une nuisance catastrophique à l’image de marque

Incident opérationnel pouvant affecter plus de 50% des clients

Une nuisance organisationnelle jugée catastrophique sur l’ensemble de l’entreprise

Des sanctions judiciaires au plus haut niveau de responsabilité

Niveau 3 : Critique

L’indisponibilité maximale admissible du fournisseur est de 72 heures, ou


Des pertes financières importantes (entre 25 et 250 M€)

Une nuisance majeure et de longue durée à l’image de marque


Une nuisance organisationnelle jugée majeure sur l’ensemble de l’entreprise

Une infraction majeure à la législation

Niveau 2 : Sensible

L’indisponibilité maximale admissible du fournisseur est de 10 jours, ou


Des pertes financières importantes (entre 2,5 et 25 M€)

Une nuisance significative à l’image de marque


Une nuisance organisationnelle jugée significative par l’utilisateur

Un manque à la réglementation

Niveau 1 : Faible

Autres cas



6.7. Exemple de questionnaire de classification des PSE

A) La prestation est-elle externalisée ?

Si oui : Passer au point B

Si non : L’entité a-t-elle bien l’agrément pour exercer l’activité ?

Si non : la prestation n’est pas une PSE

Exemple : l’entité XXX ne peut exercer l’activité d’assurances donc la relation XXX / YYY est hors PSE

B) L’entité est-elle bien cliente de la prestation ?

Si oui : Passer au point C

Attention : dans les prestations intra groupe au niveau national, les entités sont parfois prestataires.

Exemple : XXX distribue ses produits via l’entité XXX. Dans ce cas XXX est client et aura à mettre en conformité le contrat.

C) La prestation est-elle essentielle ?

La prestation externalisée est-elle confiée de manière durable et à titre habituel ?

(Les achats ponctuels de services sont exclus des PSE)

La prestation externalisée est-elle liée à une opération de banque ?

Si oui : la prestation est une PSE sphère 1

La prestation externalisée participe-t-elle directement à l’exécution des opérations de banque et services d’investissement ou connexe ?

Si oui : la prestation est une PSE sphère 2

La prestation externalisée comporte-t-elle un effet significatif sur la maîtrise des risques ?

1er

point : La prestation présente-t-elle un risque exceptionnel avec un impact fort ?

2ème

point : L’interruption de la prestation aurait-elle un impact important ?

Si oui à l’un des deux points : la prestation est une PSE sphère 3

la continuité d’activité des prestations de service ... · 5/5/2010 · la continuité des...

Documents