Les entreprises assujetties s'assurent que toute prestation qui concourt de façon substantielle à la décision engageant l'entreprise vis-à-vis de sa clientèle à conclure une opération mentionnée aux trois premiers tirets du r de l'article 10 n'est externalisée qu'auprès de personnes agréées ou habilitées selon les normes de leur pays à exercer de telles activités.

Les entreprises assujetties informent l'Autorité de contrôle prudentiel et de résolution en cas de conclusion d'un contrat d'externalisation portant sur des prestations de services ou d'autres tâches opérationnelles essentielles ou importantes ou lorsqu'une activité externalisée est devenue une prestation de service ou une tâche opérationnelle essentielle ou importante en lui adressant, une fois par an, une extraction du registre mentionné à l'article 238.

Les établissements de paiement, les prestataires de services d'information sur les comptes et les établissements de monnaie électronique qui entendent externaliser des fonctions opérationnelles de services de paiement ou d'émission et de gestion de monnaie électronique en informent préalablement l'Autorité de contrôle prudentiel et de résolution.

Les entreprises assujetties qui recourent à des agents, dans les conditions du I de l'article L. 523-1 du code monétaire et financier, ou à des personnes en vue de distribuer, pour leur compte, de la monnaie électronique dans les conditions posées aux articles L. 525-8 et suivants du code monétaire et financier, s'assurent du respect des dispositions des articles 234 à 239, à l'exception du a et du c de l'article 239.

Les entreprises assujetties :
a) S'assurent que leur système de contrôle au sens de l'article 11 inclut leurs activités externalisées ;
b) Se dotent de dispositifs de contrôle, au sens de l'article 12, de leurs activités externalisées.

Lorsque l'entreprise assujettie recourt à un prestataire externe, auquel sont appliquées les dispositions du a de l'article 6, les dispositions prévues à l'article 234 sont intégrées dans le dispositif de contrôle interne sur base consolidée.
Ce dispositif peut prendre en compte la mesure dans laquelle l'entreprise assujettie contrôle le prestataire de services ou peut exercer une influence sur ses actions.

Lorsque l'entreprise assujettie recourt à un prestataire également assujetti au présent arrêté, son dispositif prend en compte les mesures effectivement prises, le cas échéant de concert, par les deux entreprises assujetties pour se conformer aux dispositions du présent arrêté et lui permettre de s'assurer ainsi du respect de ses propres obligations sur le fondement de ces mesures.

Les entreprises assujetties qui externalisent des prestations de services ou d'autres tâches opérationnelles essentielles ou importantes, au sens du q et du r de l'article 10, demeurent pleinement responsables du respect de toutes les obligations qui leur incombent.
Elles se conforment en particulier aux conditions suivantes :
a) L'externalisation n'entraîne aucune délégation de la responsabilité des dirigeants effectifs ;
b) Les relations de l'entreprise assujettie avec ses clients et ses obligations envers ceux-ci n'en sont pas modifiées ;
c) Les conditions que l'entreprise assujettie est tenue de remplir pour obtenir puis conserver son agrément ne sont pas altérées ;
d) Aucune des autres conditions auxquelles l'agrément de l'entreprise assujettie a été subordonné n'est supprimée ou modifiée ;
e) L'entreprise assujettie, qui conserve l'expertise nécessaire pour contrôler effectivement les prestations ou les tâches externalisées et gérer les risques associés à l'externalisation, contrôle ces prestations ou ces tâches et gère ces risques.

L'externalisation d'activité :

a) Donne lieu à une évaluation du risque encouru préalablement à la signature du contrat ;

b) Donne lieu à un contrat écrit entre le prestataire externe et l'entreprise assujettie ;

c) S'inscrit dans le cadre d'une politique formalisée de contrôle des prestataires externes définie par l'entreprise assujettie. Des mesures appropriées sont prises s'il apparaît que le prestataire de services risque de ne pas s'acquitter de ses tâches de manière efficace ou conforme aux obligations législatives ou réglementaires ;

d) Peut, si nécessaire, être interrompue sans que cela nuise à la continuité ou à la qualité des prestations de services aux clients.

Les entreprises assujetties tiennent et mettent à jour un registre des dispositifs d'externalisation en vigueur en distinguant les dispositifs d'externalisation portant sur des prestations de services ou des tâches opérationnelles essentielles ou importantes et les dispositifs d'externalisation d'autres activités.

Les entreprises assujetties s'assurent, dans leurs relations avec leurs prestataires externes, que ces derniers :
a) S'engagent sur un niveau de qualité répondant à un fonctionnement normal du service et, en cas d'incident, conduisant à recourir aux mécanismes de secours mentionnés au c ;
b) Assurent la protection des informations confidentielles ayant trait à l'entreprise assujettie et à ses clients ;
c) Mettent en œuvre des mécanismes de secours en cas de difficulté grave affectant la continuité du service. A défaut, les entreprises assujetties s'assurent que leur plan d'urgence et de poursuite d'activité tient compte de l'impossibilité pour le prestataire externe d'assurer sa prestation ;
d) Ne peuvent imposer une modification substantielle de la prestation qu'ils assurent sans l'accord préalable de l'entreprise assujettie ;
e) Se conforment aux procédures définies par l'entreprise assujettie concernant l'organisation et la mise en œuvre du contrôle des services qu'ils fournissent ;
f) Leur permettent, chaque fois que cela est nécessaire, l'accès, le cas échéant, sur place, à toute information sur les services mis à leur disposition, dans le respect des réglementations relatives à la communication d'informations ;
g) Les informent de tout événement susceptible d'avoir un impact sensible sur leur capacité à exercer les tâches externalisées de manière efficace et conforme à la législation en vigueur et aux exigences réglementaires ;
h) Acceptent que l'Autorité de contrôle prudentiel et de résolution ou toute autre autorité étrangère équivalente au sens des articles L. 632-7, L. 632-12 et L. 632-13 du code monétaire et financier ait accès aux informations sur les activités externalisées nécessaires à l'exercice de sa mission, y compris sur place.

Lorsqu'une entreprise assujettie, prestataire de services d'investissement, a recours, pour l'exercice de ses activités externalisées portant sur la gestion de portefeuille fournie à des clients non professionnels, à un prestataire externe situé dans un Etat non membre de l'Union européenne ou non partie à l'accord sur l'Espace économique européen, elle veille à ce que les conditions suivantes soient remplies :

- le prestataire de services est agréé ou enregistré dans son pays d'origine aux fins d'exercer le service de gestion de portefeuille pour le compte de tiers et fait l'objet d'une surveillance prudentielle ;
- un accord de coopération approprié entre l'Autorité de contrôle prudentiel et de résolution ou l'Autorité des marchés financiers et l'autorité compétente du prestataire de services existe.

Si l'une ou les deux conditions mentionnées aux deuxième et troisième alinéas ne sont pas remplies, le prestataire de services d'investissement ne peut externaliser le service de gestion de portefeuille en le confiant à un prestataire de services situé dans un Etat non partie à l'accord sur l'Espace économique européen qu'après avoir notifié le contrat d'externalisation à l'Autorité de contrôle prudentiel et de résolution. A défaut d'observations de la part de l'Autorité dans un délai de deux mois à compter de la notification, l'externalisation envisagée par le prestataire de services d'investissement peut être mise en œuvre.