Coopération transfrontalière renforcée pour la surveillance des tiers critiques financiers
Dans un contexte de interdépendances croissantes et de menaces numériques complexes, la coopération réglementaire internationale devient un pilier essentiel de la stabilité financière. C’est dans cette optique que la Financial Conduct Authority (FCA), la Banque d’Angleterre et la Prudential Regulatory Authority (PRA) britanniques ont signé un protocole d’accord (MoU) avec les autorités de surveillance européennes. Cet accord formalise un cadre de coordination inédit pour la supervision des fournisseurs de services tiers critiques (CTP) au Royaume-Uni et des fournisseurs tiers critiques de l’UE (CTPP) dans le champ de la régulation DORA (Digital Operational Resilience Act).
L’objectif central de ce MoU est de créer un pont institutionnel robuste pour le partage d’informations et la conduite d’actions de surveillance conjointes. Il couvre notamment la gestion des incidents majeurs, tels que les cyberattaques ou les pannes de courant généralisée, qui pourraient compromettre la résilience opérationnelle du secteur financier des deux côtés de la Manche. En alignant les approches réglementaires, ce protocole vise à prévenir les risques systémiques et à maintenir la confiance des marchés, tout en cherchant à réduire les charges administratives redondantes imposées aux entreprises concernées.
Contexte et mise en œuvre du régime britannique CTP
Le Royaume-Uni a modernisé son arsenal réglementaire avec l’introduction, en 2024, d’un régime spécifique pour les tiers critiques (Critical Third Parties – CTP). Ce cadre, entré en vigueur le 1er janvier 2025, est une réponse directe aux leçons tirées d’incidents passés et à la concentration des risques liés à la dépendance du secteur financier envers un nombre restreint de fournisseurs technologiques et d’infrastructures.
- Désignation par le Trésor britannique (HMT) : C’est le HM Treasury qui a la charge exclusive d’identifier et de désigner les entreprises entrant dans le périmètre CTP. Ce processus de désignation est en cours et les régulateurs (FCA et PRA) collaborent étroitement avec le HMT pour son application.
- Obligations-clés pour les CTP désignés : Les entreprises concernsées doivent mettre en place un programme de résilience opérationnelle complet. Cela inclut la réalisation régulière de tests de résilience (y compris des scénarios de stress avancés), la mise sous assurance (insurance) de leurs risques opérationnels, et l’obligation de signaler sans délai les incidents majeurs aux autorités compétentes.
- Responsabilité première des institutions financières : Il est crucial de noter que ce régime ne se substitue pas aux obligations existantes des banques, assurances et infrastructures de marché (IMF). Ces dernières restent pleinement responsables de la gestion des risques liés à leurs tiers, conformément aux règles d’externalisation et de gouvernance en vigueur. Le régime CTP agit comme un filet de sécurité réglementaire supplémentaire pour les services jugés véritablement critiques pour la stabilité du système.
- Compatibilité internationale : Le design du régime britannique CTP a été élaboré pour être compatible avec les standards internationaux, notamment ceux du Comité de Bâle et de l’UE, et spécifiquement avec le règlement DORA. L’accord de MoU signé avec l’UE matérialise cette compatibilité et évite le risque de duplication des contrôles pour les entreprises opérant dans les deux juridictions.
Ce protocole d’accord illustre un engagement fort en faveur de la coopération pragmatique post-Brexit dans le domaine de la supervision financière. En établissant des canaux de communication et de coordination clairs, il contribue à bâtir un écosystème réglementaire plus cohérent et résilient, bénéficiant in fine à la croissance économique et à l’intégrité des marchés. Pour les acteurs du secteur, il promet une certaine harmonisation des attentes, même si la complexité de naviguer entre deux régimes distincts reste un défi opérationnel à gérer.
Sources et références : Les informations de cet article s’appuient sur les communications officielles de la FCA, de la Banque d’Angleterre et du HM Treasury concernant le régime CTP, ainsi que sur le texte du règlement DORA (UE) 2022/2554 du Parlement européen et du Conseil. Le protocole d’accord (MoU) lui-même, bien que ses termes détaillés ne soient pas tous publics, a fait l’objet d’annonces conjointes des autorités concernées en 2024-2025