Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2017R0571_EN.6. Ouvrir le PDF.
Article 5 – Conflits d’intérêt ⬅️ | ➡️ Article 7 – Mécanismes de continuité des activités et de sauvegarde
Article 6 - Exigences organisationnelles en matière d’externalisation
1.
Lorsqu’un prestataire de services de communication de données confie des activités à des tiers pour qu’ils les exercent pour son compte, y compris des entreprises avec lesquelles il a des liens étroits, il veille à ce que le prestataire de service tiers ait l’aptitude et la capacité d’exercer ces activités de manière fiable et professionnelle.
2.
Un prestataire de services de communication de données précise quelles activités seront externalisées, ainsi que les ressources humaines et techniques nécessaires à l’exercice de chacune de ces activités.
3.
Un prestataire de services de communication de données qui externalise des activités veille à ce que cette externalisation ne diminue pas son aptitude à exercer ou son pouvoir d’exercer des fonctions de direction générale ou d’organe de direction.
4.
Un prestataire de services de communication de données conserve la responsabilité de toutes les activités externalisées et adopte des mesures organisationnelles garantissant: a) qu’il évalue si le prestataire de services tiers exerce les activités externalisées de manière efficace et conforme aux dispositions législatives et aux exigences réglementaires applicables et remédie de manière adéquate aux défaillances constatées; b) l’identification des risques relatifs aux activités externalisées et un suivi périodique adéquat; c) des procédures de contrôle adéquates des activités externalisées, incluant une surveillance effective des activités et de leurs risques au sein du prestataire de services de communication de données; d) une continuité suffisante des activités externalisées. Aux fins du point d), le prestataire de services de communication de données obtient des informations sur les mécanismes de continuité des activités du prestataire de services tiers, en évalue la qualité et, au besoin, en demande l’amélioration.
5.
Un prestataire de services de communication de données veille à ce que le prestataire de services tiers coopère avec l’autorité compétente du prestataire de services de communication de données en ce qui concerne les activités externalisées.
6.
Lorsqu’un prestataire de services de communication de données externalise des fonctions critiques, il communique à l’autorité compétente de son État membre d’origine: a) l’identité du prestataire de services tiers; b) les mesures et politiques organisationnelles régissant l’externalisation et les risques qu’elle pose définies au paragraphe 4; c) des rapports internes ou externes sur les activités externalisées.
Aux fins du premier alinéa du paragraphe 6, une fonction est considérée comme critique lorsqu’une anomalie ou une défaillance dans son exercice est susceptible de nuire sérieusement à la capacité du prestataire de services de communication de données de se conformer en permanence aux conditions et aux obligations de son agrément ou à ses autres obligations au titre de la directive 2014/65/UE.