Les dispositions du titre IV de l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution sont ainsi modifiées :
1° Le titre du chapitre Ier est remplacé par un titre ainsi rédigé : « Dispositions relatives aux systèmes de mesure des risques et procédures » ;
2° Avant l'article 94, les mots : « Section 1 : Systèmes de mesure des risques et procédures » sont supprimés ;
3° Au troisième tiret du d de l'article 102, le mot : « continuité » est remplacé par le mot : « poursuite » ;
4° Avant l'article 104, les mots : « Section 2 : Les comités spécialisés sont supprimés » ;
5° L'article 104 est remplacé par un article ainsi rédigé :
« Art. 104.-Les établissements importants définissent des politiques, le cas échéant à l'échelle du groupe, régissant la gestion, la qualité et l'agrégation des données sur les risques. Dans ce cadre, ils mettent en place des procédures qui prévoient notamment les éléments suivants :
« a) La mise en place de mesures visant à assurer l'exactitude, l'intégrité et l'exhaustivité des données sur les risques ;
« b) La mise en place d'une structure de données uniforme ou homogène, le cas échéant à l'échelle du groupe, pour identifier sans équivoque les données sur les risques ;
« c) Les données agrégées sur les risques sont disponibles en temps utile ;
« d) Les capacités d'agrégation des données sont suffisamment adaptables pour répondre à des demandes ponctuelles.
« Les établissements importants définissent les responsabilités pour toutes les étapes du processus d'agrégation des données sur les risques et les contrôles liés aux processus mis en place. Ils définissent également les rôles et les responsabilités relatifs à la propriété et à la qualité des données.
« Les autres établissements assujettis qui ne sont pas des établissements importants sont soumis aux dispositions du présent article selon des modalités adaptées à leur taille, à la nature et à la complexité de leur activité. » ;
6° L'article 105 est abrogé ;
7° A l'article 145, les mots : « au premier tiret de l'article 13 » sont remplacés par les mots : « au b de l'article 12 » ;
8° A l'article 214, le mot : « processus » est remplacé par le mot : « procédures » ;
9° L'article 215 est remplacé par un article ainsi rédigé :
« Art. 215.-Les entreprises assujetties établissent un dispositif de gestion de la continuité d'activité validé par l'organe de surveillance et mis en œuvre par les dirigeants effectifs, qui vise à assurer leur capacité à maintenir leurs services, notamment informatiques, de manière continue et à limiter leurs pertes en cas de perturbation grave, et qui comprend :
« a) Une procédure d'analyse quantitative et qualitative des impacts de perturbations graves sur leurs activités, tenant compte des liens de dépendance existant entre les différents éléments mis en œuvre pour chaque activité, notamment les actifs informatiques et les données ;
« b) Un plan d'urgence et de poursuite de l'activité fondé sur l'analyse des impacts, qui indique les actions et moyens à mettre en œuvre pour faire face aux différents scénarios de perturbation des activités et les mesures requises pour le rétablissement des activités essentielles ou importantes ;
« c) Un plan de reprise d'activité qui comporte des mesures d'urgence destinées à maintenir les activités essentielles ou importantes.
« Les entreprises assujetties testent périodiquement leur dispositif de gestion de la continuité d'activité, notamment leurs services informatiques, et s'assurent que leur organisation et la disponibilité de leurs ressources humaines, immobilières, techniques et financières font l'objet d'une appréciation régulière au regard des risques liés à la continuité de l'activité. »