Sanctionnée par la CSSF pour avoir fait des économies sur son personnel, son contrôle interne et ses sous-traitants, l’opérateur informatique DXC Technology a mis en cause l’autorité du régulateur financier. La procédure judiciaire a levé le voile sur le fonctionnement des contrôles sur place.

Ironie de l’histoire: DXC Technology Luxembourg (DXC) saisit fin 2018 le tribunal administratif pour que son nom n’apparaisse pas dans la décision que la Commission de surveillance du secteur financier (CSSF) s’apprête à rendre publique. L’opérateur de systèmes informatiques pour le secteur financier a été au cœur d’un contrôle sur place qui ne s’est pas bien passé. Le régulateur du secteur financier a épinglé la firme, qui dispose d’une licence de professionnel du secteur financier (PSF), entend sanctionner sévèrement les nombreuses défaillances au regard de la législation.

Après presque deux ans de procédure devant la juridiction administrative, l’effet exactement inverse se produit: le dossier DXC fait l’objet d’un étalage public de son dossier. La CSSF a communiqué in extenso le résultat de l’inspection qu’elle a menée entre le 6 février et le 16 mars 2018. Le tribunal a relayé le document dans son jugement qui est tombé le 29 septembre dernier.

Amende réduite de moitié

La décision est inédite à plus d’un titre. Toute l’anatomie d’un contrôle sur place et les sanctions qui ont suivi y sont détaillées. Le régulateur s’explique dans la procédure sur l’adéquation de ses sanctions par rapport aux défaillances identifiées et justifie son intention de les rendre publiques.

La CSSF ne communique ses décisions administratives – anonymisées ou non, selon les cas – que lorsque les délais de recours sont écoulés. Ce qui explique parfois le décalage de quelques mois entre le moment où la sanction est prononcée et la date de publication sur le site Internet du gendarme du secteur financier.

Ainsi, lorsque la BIL s’est vu infliger le 16 mars 2020 une amende de 4,6 millions d’euros pour manquements à la législation anti-blanchiment, il a fallu attendre le 10 août pour que la CSSF publie un communiqué de presse. Le régulateur s’était assuré au préalable que sa sanction ne soit pas contestée devant les juridictions administratives.

L’amende administrée à DXC est d’une bien moindre envergure que celle de la doyenne des banques de la place: 125.000 euros, alors qu’elle aurait pu atteindre le double comme le prévoit la règlementation financière.

«Déficiences structurelles»

Issue de la fusion entre CSC Computer et une division de Hewlett-Packard, la DXC en a toutefois contesté le bienfondé en introduisant un recours devant le tribunal administratif. La procédure visait  deux objectifs: d’abord faire annuler la sanction ou à tout le moins en réduire le montant jugé disproportionné par rapport aux reproches allégués, ensuite éviter qu’elle fasse l’objet de publicité et nuise aux affaires du PSF.

Un risque opérationnel, telle une cyberattaque pourrait avoir des conséquences dramatiques sur la stabilité financière européenne, ce qui démontre à suffisance la gravité des enjeux»Tribunal administratif, 29 septembre

L’inspection, à l’hiver 2017/2018, par des agents de la CSSF fit l’effet d’un cataclysme pour l’opérateur de systèmes informatiques qui emploie près de 120 personnes au Luxembourg et affiche un chiffre d’affaires de 70,6 millions d’euros (2019), avec un client principal, le groupe bancaire Caceis. Lors du contrôle, neuf non-conformités et déficiences ont été identifiées en matière de gouvernance interne, de contrôle des sous-traitants et d’audit interne.

Les défaillances concernaient surtout des économies de coût et de personnel, notamment dans le contrôle interne, le management et les activités d’audit. En 2013 et en 2017, le régulateur avait déjà identifié des manquements et «déficiences structurelles» dans les fonctions d’audit, mais s’était alors contenté d’envoyer des lettres au PSF, sans que des correctifs interviennent.

43 employés hors contrôle

Le rapport de juillet 2018 signale que des activités informatiques avaient été outsourcées un peu partout en Europe sans que la CSSF en soit informée comme le prévoit pourtant la règlementation bancaire. Le backup et son monitoring avaient été délocalisés en Italie. Des fonctions IT étaient prestées par des fournisseurs en Espagne, en France et en République tchèque. Les services d’audit interne avaient également été externalisés chez EY à Londres d’abord, puis aux Etats-Unis et à nouveau à Londres chez PWC. Tout est rentré dans l’ordre depuis lors, les prestations d’audit étant désormais réalisées à Luxembourg.

La CSSF avait considéré que le PSF ne maitrisait pas le contrôle de ses sous-traitants, dont certains n’avaient pas de licence de PSF et ne donnaient pas de garantie de confidentialité dans le traitement très sensible des données clients.

Illustrant l’efficacité de la sanction administrative, sa publication permet d’asseoir la crédibilité de l’action de l’autorité administrative»Jugement

La CSSF indique, dans son rapport, avoir identifié 43 employés externes en défaut d’avoir signé un accord de confidentialité (Non-disclosure Agreement), les soumettant au secret bancaire et à des poursuites judiciaires en cas de violation de leurs obligations.

Bien que les «infractions» décelées n’avaient pas fait de victimes, le régulateur les avait jugées potentiellement graves. D’abord, parce que la banque Caceis, client assurant 80% du chiffre d’affaires du PSF, est un établissement de première importance avec, à l’époque des faits, 2656 milliards d’euros d’encours conservés, 1765 milliards d’euros sous administration et 1106 milliards d’euros sous dépôt. «Un risque opérationnel, telle une cyberattaque pourrait avoir des conséquences dramatiques sur la stabilité financière européenne, ce qui démontre à suffisance la gravité des enjeux», lit-on dans le jugement.

Au secours des consommateurs

Lors de la remise du rapport de la CSSF en juillet 2018, DXC avait remédié à une seule déficience sur les neuf points à corriger. Ce n’est d’ailleurs qu’en janvier 2019 que la société se mettra en conformité avec la règlementation financière.

Les juges administratifs n’ont rien trouvé à redire contre la sanction de 125.000 euros infligée par le régulateur. «Le montant de l’amende, dont le calcul est retraçable dans une matrice de calcul qui reprend en détail les postes infractionnels et leur quantification, n’est manifestement pas excessif», indiquent-ils.

Les magistrats estiment également que la publication de la sanction ne perturbera pas gravement les marchés, pas plus qu’elle ne causera de préjudice disproportionné à l’opérateur. «Illustrant l’efficacité de la sanction administrative, sa publication permet d’asseoir la crédibilité de l’action de l’autorité administrative, dès lors qu’elle a pour objectif de conforter les destinataires de la norme dans la capacité de l’Etat d’en assurer le respect, ces derniers étant, en l’espèce, les consommateurs financiers», assurent encore les juges.