Le règlement n° 97-02 du Comité de la réglementation bancaire et financière susvisé est modifié comme suit :
I. - Aux articles 1er, troisième tiret, 4, a, 12, 30-1, 31-1, 40, g, et 43, la référence à l'article L. 442-2 du code monétaire et financier est remplacée par la référence à l'article L. 440-2 du même code.
II. - Au n de l'article 4, les mots : « prestations de services essentielles » sont remplacés par les mots : « prestations de services ou d'autres tâches opérationnelles essentielles ou importantes ».
III. - Le q et le r de l'article 4 sont remplacés par les dispositions suivantes :
« q) Activités externalisées : les activités pour lesquelles l'entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisation de prestations de services ou d'autres tâches opérationnelles essentielles ou importantes par sous-traitance au sens de la loi n° 75-1334 du 31 décembre 1975, par démarchage au sens des articles L. 341-1 et L. 341-4 du code monétaire et financier susvisé, par le recours aux agents liés tels que définis aux articles L. 545-1 et suivants du même code ou par toute autre forme ;
« r) Prestation de services ou autres tâches opérationnelles essentielles ou importantes :
« - les opérations de banque au sens de l'article L. 311-1 du code monétaire et financier susvisé et les services d'investissement au sens de l'article L. 321-1 du même code, pour lesquels l'entreprise assujettie a été agréée ;
« - les opérations connexes mentionnées aux paragraphes 1, 2 et 3 de l'article L. 311-2 et aux paragraphes 1, 2, 5 et 6 de l'article L. 321-2 du code monétaire et financier susvisé ;
« - les prestations participant directement à l'exécution des opérations ou des services mentionnés aux deux premiers tirets ci-dessus ;
« - ou toute prestation de services lorsqu'une anomalie ou une défaillance dans son exercice est susceptible de nuire sérieusement à la capacité de l'entreprise assujettie de se conformer en permanence aux conditions et obligations de son agrément et à celles relatives à l'exercice de son activité, à ses performances financières ou à la continuité de ses services et activités.
« Sans préjudice de l'appréciation de toute autre tâche, les tâches suivantes ne sont pas considérées comme des prestations de services et d'autres tâches opérationnelles essentielles ou importantes au sens de cet article :
« - la fourniture à l'entreprise assujettie de services de conseil et d'autres services ne faisant pas partie des activités couvertes par son agrément ou par son habilitation, y compris la fourniture de conseils juridiques, la formation de son personnel, les services de facturation et la sécurité des locaux et du personnel de l'entreprise ;
« - l'achat de prestations standard, y compris des services fournissant des informations de marché ou des flux de données sur les prix. »
IV. - L'article 11-1 est remplacé par les dispositions suivantes :
« Art. 11-1. - Les entreprises assujetties prévoient des procédures spécifiques d'examen de la conformité, notamment :
« - des procédures d'approbation préalable systématique, incluant un avis écrit du responsable en charge de la conformité ou d'une personne dûment habilitée par ce dernier à cet effet, pour les produits nouveaux ou pour les transformations significatives opérées sur les produits préexistants, pour cette entreprise ou pour le marché ;
« - ou, pour la fourniture de services d'investissement, tout dispositif de nature à conseiller et assister les personnes concernées chargées des services d'investissement afin qu'elles se conforment à leurs obligations au titre du présent chapitre.
« Elles prévoient également des procédures de contrôle des opérations réalisées. »
V. - Après le b de l'article 14, il est inséré un c ainsi rédigé :
« c) En toutes circonstances sont préservées l'intégrité et la confidentialité des informations. »
VI. - Au dernier alinéa de l'article 37-1-1, est ajoutée la phrase suivante :
« Ce dispositif peut prendre en compte la mesure dans laquelle l'entreprise assujettie contrôle le prestataire de services ou peut exercer une influence sur ses actions. »
VII. - L'article 37-2 est remplacé par les dispositions suivantes :
« Art. 37-2. - Les entreprises assujetties qui externalisent des prestations de services ou d'autres tâches opérationnelles essentielles ou importantes, au sens des q et r de l'article 4, demeurent pleinement responsables du respect de toutes les obligations qui leur incombent et se conforment en particulier aux conditions suivantes :
« 1. a) L'externalisation n'entraîne aucune délégation de la responsabilité de l'organe exécutif ;
« b) Les relations de l'entreprise assujettie avec ses clients et ses obligations envers ceux-ci ne doivent pas en être modifiées ;
« c) Les conditions que l'entreprise assujettie est tenue de remplir pour recevoir puis conserver son agrément ne doivent pas être altérées ;
« d) Aucune des autres conditions auxquelles l'agrément de l'entreprise assujettie a été subordonné ne doit être supprimée ou modifiée ;
« e) L'entreprise assujettie, qui doit conserver l'expertise nécessaire pour contrôler effectivement les prestations ou les tâches externalisées et gérer les risques associés à l'externalisation, contrôle ces prestations ou ces tâches et gère ces risques.
« 2. L'externalisation d'activité doit :
« a) Donner lieu à un contrat écrit entre le prestataire externe et l'entreprise assujettie ;
« b) S'inscrire dans le cadre d'une politique formalisée de contrôle des prestataires externes définie par l'entreprise assujettie. Des mesures appropriées doivent être prises s'il apparaît que le prestataire de services risque de ne pas s'acquitter de ses tâches de manière efficace ou conforme aux obligations législatives ou réglementaires ;
« c) Pouvoir, si nécessaire, être interrompue sans que cela nuise à la continuité ou à la qualité des prestations de services aux clients.
« 3. Les entreprises assujetties s'assurent, dans leurs relations avec leurs prestataires externes, que ces derniers :
« a) S'engagent sur un niveau de qualité répondant à un fonctionnement normal du service et, en cas d'incident, conduisant à recourir aux mécanismes de secours mentionnés au point c ;
« b) Assurent la protection des informations confidentielles ayant trait à l'entreprise assujettie et à ses clients ;
« c) Mettent en oeuvre des mécanismes de secours en cas de difficulté grave affectant la continuité du service ou que leur propre plan de continuité tient compte de l'impossibilité pour le prestataire externe d'assurer sa prestation ;
« d) Ne peuvent imposer une modification substantielle de la prestation qu'ils assurent sans l'accord préalable de l'entreprise assujettie ;
« e) Se conforment aux procédures définies par l'entreprise assujettie concernant l'organisation et la mise en oeuvre du contrôle des services qu'ils fournissent ;
« f) Leur permettent, chaque fois que cela est nécessaire, l'accès, le cas échéant sur place, à toute information sur les services mis à leur disposition, dans le respect des réglementations relatives à la communication d'informations ;
« g) Leur rendent compte de façon régulière de la manière dont est exercée l'activité externalisée ainsi que leur situation financière ;
« h) Acceptent que la Commission bancaire ou toute autre autorité étrangère équivalente au sens des articles L. 632-7, L. 632-12 et L. 632-13 du code monétaire et financier susvisé ait accès aux informations sur les activités externalisées nécessaires à l'exercice de sa mission, y compris sur place. »
VIII. - Au c de l'article 39, les mots : « prestations de services essentielles » sont remplacés par les mots : « prestations de services ou autres tâches opérationnelles essentielles ou importantes ».
IX. - L'article 44 est remplacé par les dispositions suivantes :
« Art. 44. - Les rapports mentionnés aux articles 42 et 43 sont communiqués à l'organe délibérant et, le cas échéant, au comité d'audit et à l'organe central.
« La responsabilité de s'assurer que l'entreprise assujettie se conforme à ses obligations au titre du présent règlement incombe à l'organe exécutif et à l'organe délibérant.
« En particulier, l'organe exécutif et l'organe délibérant sont tenus d'évaluer et de contrôler périodiquement l'efficacité des politiques, des dispositifs et des procédures mis en place pour se conformer aux obligations au titre du présent règlement et de prendre les mesures appropriées pour remédier aux éventuelles défaillances. »