Arrêté du 25 février 2021 modifiant l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution

NOR : ECOT2100526A
ELI : https://www.legifrance.gouv.fr/eli/arrete/2021/2/25/ECOT2100526A/jo/texte
JORF n°0056 du 6 mars 2021
Texte n° 16

Version initiale


Publics concernés : les entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution.
Objet : contrôle interne.
Entrée en vigueur : à l'exception de de l'article 241-2 qui entrera en vigueur le lendemain de sa publication au Journal officiel de la République française, l'ensemble des dispositions entrent en vigueur le 28 juin 2021 .
Notice : le présent arrêté vise à mettre à jour l'arrêté du 3 novembre 2014 en matière de contrôle interne afin de prendre en compte certaines dispositions ayant été adoptées tant au niveau international qu'au niveau européen et de s'adapter à certaines pratiques de place. Il clarifie notamment les différents niveaux de contrôle qui peuvent exister et précise les obligations qui doivent être respectés tant en matière d'agrégation des données que de gestion du risque informatique. Le respect des dispositions relatives à la gestion du risque informatique est sans préjudice des autres dispositions de cet arrêté et doit se faire en cohérence avec l'organisation globale du contrôle interne prescrite dans cet arrêté.
Références : les dispositions du présent arrêté peuvent être consultées sur le site Légifrance (https://www.legifrance.gouv.fr).


Le ministre de l'économie, des finances et de la relance,
Vu la directive (UE) 2019/878 du Parlement européen et du Conseil du 20 mai 2019 modifiant la directive 2013/36/UE en ce qui concerne les entités exemptées, les compagnies financières holding, les compagnies financières holding mixtes, la rémunération, les mesures et pouvoirs de surveillance et les mesures de conservation des fonds propres ;
Vu le règlement délégué (UE) n° 604/2014 de la Commission européenne du 4 mars 2014 complétant la directive 2013/36/UE du Parlement européen et du Conseil par des normes techniques de réglementation en ce qui concerne les critères qualitatifs et quantitatifs appropriés permettant de recenser les catégories de personnel dont les activités professionnelles ont une incidence significative sur le profil de risque d'un établissement ;
Vu le code monétaire et financier, notamment ses articles L. 511-70, L. 533-29, L. 611-1 à L. 611-3 ;
Vu l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution ;
Vu l'avis du comité consultatif de la législation et de la réglementation financières en date du 21 janvier 2021,
Arrête :


  • Les dispositions du titre Ier de l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution sont ainsi modifiées :
    1° A l'article 3 :
    a) Le a est remplacé par un alinéa ainsi rédigé :
    « a) Une organisation claire des rôles et responsabilités conformément au titre II ; » ;
    b) Le b est remplacé par un alinéa ainsi rédigé :
    « b) Une organisation comptable conformément au titre III » ;
    c) A la fin du c sont ajoutés les mots : « conformément au titre IV » ;
    d) A la fin du d sont ajoutés les mots : « conformément au titre V » ;
    e) A la fin du e sont ajoutés les mots : « à l'attention des dirigeants effectifs, de l'organe de surveillance et de l'Autorité de contrôle prudentiel et de résolution conformément au titre VI ; » ;
    f) Le f est remplacé par un alinéa ainsi rédigé :
    « f) Une organisation de la gestion du risque informatique conformément au titre VI bis. »
    2° A l'article 10 :
    a) Le ak est remplacé par un alinéa ainsi rédigé :
    « ak) Incident opérationnel ou de sécurité : un évènement ou une série d'événements imprévus qui dégrade ou peut dégrader le bon fonctionnement ou la sécurité du système d'information. » ;
    b) Après le ak, les alinéas suivants sont insérés :
    « al) Appétit pour le risque : le niveau global et les types de risque qu'un établissement est prêt à accepter pour réaliser ses objectifs stratégiques qui peuvent être détaillés dans un plan d'activité, en adéquation avec son niveau de fonds propres, ses capacités de contrôle et de gestion des risques, et les contraintes prudentielles et réglementaires auxquelles il est soumis ;
    « am) Etablissement important : un établissement de crédit reconnu comme important conformément à l'article 6 du Règlement (UE) n° 1024/2013 ;
    « an) agrégation des données sur les risques : la définition, la collecte et le traitement des données sur les risques permettant aux établissements de mesurer leurs résultats au regard de leur appétit pour le risque.
    « ao) Les normes de gestion sont les normes de gestion telles que mentionnées à l'article L. 611-1 du code monétaire et financier.
    « ap) Actif informatique : matériel informatique et de télécommunication ou logiciel utilisé par une entreprise assujettie.
    « aq) Système d'information : ensemble des actifs informatiques et des données, ainsi que des moyens humains permettant le traitement de l'information d'une entreprise assujettie.
    « ar) Service informatique : service fourni au moyen d'actifs informatiques à des utilisateurs internes ou externes. Un service informatique comprend notamment la saisie, le traitement, l'échange, le stockage ou la destruction de données aux fins de réaliser, soutenir ou suivre des activités.
    « as) Risque informatique : risque de perte résultant d'une inadéquation ou d'une défaillance affectant l'organisation, le fonctionnement, le changement ou la sécurité du système d'information. Le risque informatique est un risque opérationnel.
    « at) Sécurité du système d'information : protection de la confidentialité, l'intégrité et la disponibilité des données et des actifs informatiques, notamment pour en garantir l'authenticité, l'imputabilité, la responsabilité et la fiabilité. »


  • Les dispositions du titre II de l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution sont ainsi modifiées :
    1° Le titre du titre II est remplacé par le titre ainsi rédigé : « Organisation et objectif du contrôle interne » ;
    2° A l'article 11 :
    a) Au premier alinéa, les mots : « système de contrôle des opérations et des procédures internes » sont remplacés par les mots : « contrôle interne » ;
    b) Le b est remplacé par un alinéa ainsi rédigé :
    « b) Vérifier que les procédures de décisions, de prises de risques, quelle que soit leur nature, et les normes de gestion fixées, notamment sous forme de limites par les dirigeants effectifs dans le cadre des politiques et orientations de l'organe de surveillance et définies conformément à l'appétit pour le risque, sont strictement respectées ; » ;
    c) Au c, les mots : « l'information comptable et financière » sont remplacés par les mots : « l'information comptable, financière et relative aux normes de gestion » ;
    e) Le e est remplacé par un alinéa ainsi rédigé :
    « e) Vérifier la qualité des processus concourant à la sécurité et au bon fonctionnement du système d'information et à la continuité d'activité ; » ;
    3° L'article 12 est remplacé par un article ainsi rédigé :


    « Art. 12.-Les entreprises assujetties disposent, selon des modalités adaptées à leur taille, à la nature et à la complexité de leurs activités, de trois niveaux de contrôle distincts :
    « a) Le premier niveau de contrôle est assuré par des agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées.
    « b) Le deuxième niveau de contrôle est assuré par des agents au niveau des services centraux et locaux, exclusivement dédiés à la gestion des risques y compris le risque de non-conformité. Dans le cadre de cette mission, ces agents vérifient notamment que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues. Ce deuxième niveau de contrôle est assuré par la fonction de vérification de la conformité et la fonction de gestion des risques mentionnés respectivement au chapitre II et IV du présent titre ou par une ou plusieurs unités indépendantes dédiées au deuxième niveau de contrôle.
    « c) Le troisième niveau de contrôle est assuré par la fonction d'audit interne composée d'agents au niveau central et, le cas échéant, local distincts de ceux réalisant les contrôles de premier et deuxième niveau.
    « Les deux premiers niveaux de contrôle assurent le contrôle permanent de la conformité, de la sécurité et de la validation des opérations réalisées et du respect des autres diligences liées aux missions de la fonction de gestion des risques.
    « Le troisième niveau de contrôle assure, au moyen d'enquêtes, le contrôle périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect des procédures, de l'efficacité et du caractère approprié des dispositifs mentionnés au a et b. » ;


    4° L'article 13 est abrogé ;
    5° A l'article 14 :
    a) Au premier alinéa, les mots : « l'article 13 » sont remplacés par les mots : « l'article 12 » ;
    b) Après le premier alinéa, un alinéa ainsi rédigé est inséré :
    « Les agents exerçant des contrôles de deuxième niveau sont indépendants des unités qu'ils contrôlent. » ;
    c) Au deuxième alinéa, après le mot : « unités » sont insérés les mots : « et de ces agents » ;
    6° L'article 16 est remplacé par un article ainsi rédigé :


    « Art. 16.-Les entreprises assujetties désignent les responsables pour les fonctions de contrôle permanent de deuxième niveau prévu au b de l'article 12.
    « Les responsables des fonctions de contrôle permanent de deuxième niveau, lorsqu'ils ne sont pas dirigeants effectifs, n'effectuent aucune opération commerciale, financière ou comptable.
    « Les entreprises assujetties désignent un dirigeant effectif responsable de la cohérence et de l'efficacité dudit contrôle. » ;


    7° L'article 17 est remplacé par un article ainsi rédigé :


    « Art. 17.-Les entreprises assujetties désignent également un responsable de la fonction d'audit interne mentionnée à l'article 12.
    « Les entreprises assujetties définissent des procédures internes encadrant la désignation et la révocation du responsable mentionné à l'alinéa précédent.
    « Les entreprises assujetties désignent un dirigeant effectif en charge de la cohérence et de l'efficacité du contrôle périodique assuré par la fonction d'audit interne.
    « Les agents composant la fonction d'audit interne exercent leurs missions de manière indépendante à l'égard de l'ensemble des entités et services qu'ils contrôlent. » ;


    8° A l'article 19, les mots : « les fonctions prévues à l'article 13 peuvent être confiées » sont remplacés par les mots : « le contrôle permanent prévu à l'article 12 peut être confié » ;
    9° A l'article 21, les mots : « aux articles 13 et 17 » sont remplacés par les mots : « à l'article 12 » ;
    10° Le premier alinéa de l'article 25 est remplacé par un alinéa ainsi rédigé :
    « Les moyens affectés à la fonction d'audit interne mentionnée à l'article 12 sont suffisants pour mener un cycle complet d'investigations de l'ensemble des activités sur un nombre d'exercices aussi limité que possible qui ne saurait excéder cinq ans. La fréquence et les priorités des cycles d'audit sont proportionnées aux risques identifiés au sein des entreprises assujetties. » ;
    11° Au b de l'article 26, les mots : « du contrôle périodique » sont remplacés par les mots : « de la fonction d'audit interne » ;
    12° A l'article 27, les mots : « dispositifs mentionnés à l'article 17 » sont remplacés par les mots : « dispositions du dernier alinéa de l'article 12 relatives à l'audit interne » ;
    13° Le titre du chapitre II est remplacé par un titre ainsi rédigé : « Contrôle du risque de non-conformité par la fonction de vérification de la conformité » ;
    14° A l'article 28, un alinéa ainsi rédigé est inséré :
    « Les entreprises assujetties définissent des procédures internes encadrant la désignation et la révocation du responsable mentionné à l'alinéa précédent. » ;
    15° A l'article 29, les mots : « du contrôle » sont remplacés par les mots : « de la fonction de vérification » ;
    16° L'article 30 est remplacé par un article ainsi rédigé :


    « Art. 30.-Lorsqu'il n'est pas dirigeant effectif, le responsable de la fonction de vérification de la conformité est directement rattaché au dirigeant effectif mentionné à l'article 16 à qui il rend compte de l'exercice de sa mission. » ;


    17° A l'article 31, les mots : « du contrôle » sont remplacés par les mots : « de la fonction de vérification » ;
    18° L'article 32 est remplacé par un article ainsi rédigé :


    « Art. 32.-Si au regard de la taille, de la nature et de la complexité des activités de l'entreprise assujettie, la distinction entre le responsable mentionné à l'article 28 et le responsable de la fonction de gestion des risques mentionné à l'article 74 ne se justifie pas, ce dernier est chargé également de veiller à la cohérence et à l'efficacité du contrôle du risque de non-conformité. A cette fin, il assure la coordination de tous les dispositifs qui concourent à l'exercice, d'une part de la fonction de vérification de la conformité et d'autre part de la fonction de gestion des risques. »


    19° Le premier tiret de l'article 35 est remplacé par un alinéa ainsi rédigé :


    «-lorsqu'elles décident de réaliser des opérations relatives à des nouveaux produits ou des changements significatifs listés au premier alinéa de l'article 221, le responsable de la vérification de la conformité, ou une personne dûment habilitée par ce dernier, donne un avis écrit et systématique préalablement à l'exécution de ces opérations ; » ;


    20° A l'article 37, après les mots : « au responsable de la » sont insérés les mots : « fonction de vérification de la » ;
    21° A l'article 38, un alinéa ainsi rédigé est ajouté :
    « Ces procédures permettent de recenser, évaluer, gérer et atténuer ou éviter les conflits d'intérêts avérés et potentiels au niveau de l'établissement, ainsi que les conflits avérés et potentiels entre les intérêts de l'établissement et les intérêts privés du personnel qui pourraient avoir une incidence défavorable sur l'exercice de leurs attributions et responsabilités. » ;
    22° A l'article 42, après les mots : « responsable de la » sont insérés les mots : « fonction de vérification de la » ;
    23° A l'article 76, les mots : « aux dirigeants effectifs » sont remplacés par les mots : « au dirigeant effectif mentionné à l'article 16 » ;
    24° A l'article 78, les mots : « responsable du contrôle permanent » sont remplacés par « dirigeant effectif mentionné à l'article 16 ».


  • Les dispositions du titre III de l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution sont ainsi modifiées :
    1° Le titre du titre III est remplacé par un titre ainsi rédigé : « L'organisation comptable » ;
    2° Aux a et b de l'article 87, les mots : « Un contrôle périodique est exercé » sont remplacés par les mots : « Des contrôles permanents et périodiques sont exercés » ;
    3° Les articles 88,89 et 90 sont abrogés.


  • Les dispositions du titre IV de l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution sont ainsi modifiées :
    1° Le titre du chapitre Ier est remplacé par un titre ainsi rédigé : « Dispositions relatives aux systèmes de mesure des risques et procédures » ;
    2° Avant l'article 94, les mots : « Section 1 : Systèmes de mesure des risques et procédures » sont supprimés ;
    3° Au troisième tiret du d de l'article 102, le mot : « continuité » est remplacé par le mot : « poursuite » ;
    4° Avant l'article 104, les mots : « Section 2 : Les comités spécialisés sont supprimés » ;
    5° L'article 104 est remplacé par un article ainsi rédigé :


    « Art. 104.-Les établissements importants définissent des politiques, le cas échéant à l'échelle du groupe, régissant la gestion, la qualité et l'agrégation des données sur les risques. Dans ce cadre, ils mettent en place des procédures qui prévoient notamment les éléments suivants :
    « a) La mise en place de mesures visant à assurer l'exactitude, l'intégrité et l'exhaustivité des données sur les risques ;
    « b) La mise en place d'une structure de données uniforme ou homogène, le cas échéant à l'échelle du groupe, pour identifier sans équivoque les données sur les risques ;
    « c) Les données agrégées sur les risques sont disponibles en temps utile ;
    « d) Les capacités d'agrégation des données sont suffisamment adaptables pour répondre à des demandes ponctuelles.
    « Les établissements importants définissent les responsabilités pour toutes les étapes du processus d'agrégation des données sur les risques et les contrôles liés aux processus mis en place. Ils définissent également les rôles et les responsabilités relatifs à la propriété et à la qualité des données.
    « Les autres établissements assujettis qui ne sont pas des établissements importants sont soumis aux dispositions du présent article selon des modalités adaptées à leur taille, à la nature et à la complexité de leur activité. » ;


    6° L'article 105 est abrogé ;
    7° A l'article 145, les mots : « au premier tiret de l'article 13 » sont remplacés par les mots : « au b de l'article 12 » ;
    8° A l'article 214, le mot : « processus » est remplacé par le mot : « procédures » ;
    9° L'article 215 est remplacé par un article ainsi rédigé :


    « Art. 215.-Les entreprises assujetties établissent un dispositif de gestion de la continuité d'activité validé par l'organe de surveillance et mis en œuvre par les dirigeants effectifs, qui vise à assurer leur capacité à maintenir leurs services, notamment informatiques, de manière continue et à limiter leurs pertes en cas de perturbation grave, et qui comprend :
    « a) Une procédure d'analyse quantitative et qualitative des impacts de perturbations graves sur leurs activités, tenant compte des liens de dépendance existant entre les différents éléments mis en œuvre pour chaque activité, notamment les actifs informatiques et les données ;
    « b) Un plan d'urgence et de poursuite de l'activité fondé sur l'analyse des impacts, qui indique les actions et moyens à mettre en œuvre pour faire face aux différents scénarios de perturbation des activités et les mesures requises pour le rétablissement des activités essentielles ou importantes ;
    « c) Un plan de reprise d'activité qui comporte des mesures d'urgence destinées à maintenir les activités essentielles ou importantes.
    « Les entreprises assujetties testent périodiquement leur dispositif de gestion de la continuité d'activité, notamment leurs services informatiques, et s'assurent que leur organisation et la disponibilité de leurs ressources humaines, immobilières, techniques et financières font l'objet d'une appréciation régulière au regard des risques liés à la continuité de l'activité. »


  • Les dispositions du titre V de l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution sont ainsi modifiées :
    1° L'article 218 est abrogé;
    2° L'article 221 est remplacé par un article ainsi rédigé :


    « Art. 221.-Les entreprises assujetties définissent des politiques d'approbation des nouveaux produits et changements significatifs recouvrant :
    « a) Les nouveaux produits et services ;
    « b) Les changements significatifs, pour cette entreprise ou pour le marché, à un produit, service ou processus existant et leurs systèmes associés ;
    « c) Les opérations de croissance interne et externe ;
    « d) Les transactions exceptionnelles.
    « Les entreprises assujetties mettent en place des systèmes et procédures assurant une analyse à la fois en amont et prospective des risques encourus lorsqu'elles décident de réaliser des opérations relatives à des nouveaux produits ou des changements significatifs listées au premier alinéa.
    « La fonction de gestion des risques produit, le cas échéant, une évaluation des risques selon des scénarios appropriés au regard de la significativité des risques induits par ces opérations. » ;


    3° A l'article 224, les mots : « Les limites globales de risques » sont remplacés par les mots :
    « L'appétit pour le risque ainsi que les limites globales de risques qui en résultent » ;
    4° A l'article 225, les mots : « les limites globales mentionnées » sont remplacés par les mots : « les limites globales et l'appétit pour le risque mentionnés » ;
    5° Au début de l'article 232, un alinéa ainsi rédigé est inséré :
    « Les entreprises assujetties informent l'Autorité de contrôle prudentiel et de résolution en cas de conclusion d'un contrat d'externalisation portant sur des prestations de services ou d'autres tâches opérationnelles essentielles ou importantes ou lorsqu'une activité externalisée est devenue une prestation de service ou une tâche opérationnelle essentielle ou importante en lui adressant, une fois par an, une extraction du registre mentionné à l'article 238. » ;
    6° A l'article 238 :
    a) Avant le a, un alinéa ainsi rédigé est inséré :
    « a) Donne lieu à une évaluation du risque encouru préalablement à la signature du contrat ; » ;
    b) Le a devient b, le b devient c et le c devient d ;
    c) Un alinéa ainsi rédigé est ajouté :
    « Les entreprises assujetties tiennent et mettent à jour un registre des dispositifs d'externalisation en vigueur en distinguant les dispositifs d'externalisation portant sur des prestations de services ou des tâches opérationnelles essentielles ou importantes et les dispositifs d'externalisation d'autres activités ».


  • Les dispositions du titre VI de l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution sont ainsi modifiées :
    1° Le titre du titre VI est remplacé par un titre ainsi rédigé : « Système de documentation et d'information à l'attention des dirigeants effectifs, de l'organe de surveillance et de l'Autorité de contrôle prudentiel et de résolution. » ;
    2° Après l'article 241, deux articles ainsi rédigés sont insérés :


    « Art. 241-1.-Pour l'application de l'article L. 511-89 du code monétaire et financier, les entreprises assujetties dont le total de bilan social ou consolidé est supérieur à 5 milliards d'euros constituent un comité des risques, un comité des nominations et un comité des rémunérations.
    « Les entreprises assujetties autres que celles mentionnées aux articles L. 511-89 et L. 533-31 du code monétaire et financier, qui se dotent volontairement d'un comité spécialisé mentionné à l'article L. 511-89 du même code, respectent les dispositions relatives au comité spécialisé concerné.


    « Art. 241-2.-Pour l'application des articles R. 511-26 et R. 533-22 du code monétaire et financier, les entreprises assujetties transmettent à l'Autorité de contrôle prudentiel et de résolution au moins une fois par an et au plus tard le 30 juin, les informations mentionnées aux articles L. 511-98 et L. 511-99 du code monétaire et financier.
    « Tout changement relatif à l'objectif et à la politique des entreprises assujetties mentionnés au même article est communiqué dans les meilleurs délais à l'Autorité de contrôle prudentiel et de résolution. » ;


    3° A l'article 243, le dernier alinéa est remplacé par un alinéa ainsi rédigé :
    « A cette fin le comité des risques communique, se coordonne et collabore efficacement avec le comité spécialisé mentionné à l'article L. 823-19 du code de commerce, lorsque les établissements disposent de tels comités. » ;
    4° L'article 246 est supprimé ;
    5° Le d de l'article 255 est remplacé par un alinéa ainsi rédigé :
    « d) Les procédures relatives à la sécurité, à la gestion des opérations et des changements des systèmes d'information ainsi qu'à la continuité d'activité ; » ;
    6° A l'article 259 :
    a) Au a, les mots : « en application de l'article 13 » sont remplacés par les mots : « en application du cinquième alinéa de l'article 12 » ;
    b) Au b, les mots : « en application de l'article 17 » sont remplacés par les mots : « en application du dernier alinéa de l'article 12 » ;
    7° A l'article 266, un alinéa ainsi rédigé est ajouté :
    « 6° les écarts de rémunération entre les femmes et les hommes. » ;
    8° Après l'article 270, il est inséré un titre VI bis ainsi rédigé :


    « Titre VI bis
    « Gestion du risque informatique


    « Art. 270-1.-Les entreprises assujetties établissent leur stratégie en matière informatique afin de répondre aux objectifs de leur stratégie d'affaires.
    « Les dirigeants effectifs et l'organe de surveillance s'assurent que les ressources allouées à la gestion des opérations informatiques, à la sécurité du système d'information ainsi qu'à la continuité d'activité sont suffisantes pour que l'entreprise assujettie remplisse ses missions.


    « Art. 270-2.-Les entreprises assujetties organisent la gestion de leur risque informatique de façon à :


    «-identifier le risque informatique auquel elles sont exposées pour l'ensemble de leurs actifs informatiques et de leurs données utilisés pour leurs différentes activités opérationnelles, de support ou de contrôle ;
    «-évaluer ce risque, au regard de leur appétit pour le risque, en tenant compte des menaces et des vulnérabilités connues ;
    «-adopter des mesures adéquates de réduction du risque informatique, y compris des contrôles ;
    «-surveiller l'efficacité de ces mesures et informer les dirigeants effectifs et l'organe de surveillance de leur bonne exécution.


    « Les entreprises assujetties s'assurent à cette fin que le contrôle interne de leur risque informatique est organisé conformément aux dispositions des articles 12 et 14 du présent arrêté.


    « Art. 270-3.-Les entreprises assujetties établissent par écrit une politique de sécurité du système d'information qui détermine les principes mis en œuvre pour protéger la confidentialité, l'intégrité et la disponibilité de leurs informations et des données de leurs clients, de leurs actifs et services informatiques. Cette politique est fondée sur une analyse des risques et approuvée par les dirigeants effectifs et l'organe de surveillance.
    « En application de leur politique de sécurité du système d'information, les entreprises assujetties formalisent et mettent en œuvre des mesures de sécurité physique et logique adaptées à la sensibilité des locaux, des actifs et services informatiques, ainsi que des données.
    « Les entreprises assujetties mettent également en œuvre un programme de sensibilisation et de formations régulières, soit au moins une fois par an, à la sécurité du système d'information au bénéfice de tous les personnels et des prestataires externes, et en particulier de leurs dirigeants effectifs.


    « Art. 270-4.-Les entreprises assujetties organisent leurs processus de gestion des opérations informatiques conformément à des procédures à jour et validées, dont l'objectif est de veiller à ce que les services informatiques répondent aux besoins de l'entreprise assujettie et de ses clients. Ces procédures couvrent notamment l'exploitation, la surveillance et le contrôle des systèmes et services informatiques. Elles sont complétées par un processus de détection et de gestion des incidents opérationnels ou de sécurité.


    « Art. 270-5.-Les entreprises assujetties disposent d'un cadre de conduite clair et efficace de leurs projets et programmes informatiques. Il est accompagné d'un processus de gestion de l'acquisition, du développement et de l'entretien des systèmes d'information, ainsi que par un processus de gestion des changements informatiques garantissant que les modifications apportées aux systèmes informatiques sont enregistrées, testées, évaluées, approuvées et implémentées de façon contrôlée. »


  • Les dispositions du titre VII de l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution sont ainsi modifiées :
    1° A l'article 273, les mots : « articles 104,105 » sont remplacés par les mots : « articles 241-1,241-2 » ;
    2° L'article 279 est abrogé.


  • Les dispositions du présent arrêté entrent en vigueur le 28 juin 2021.
    Par dérogation au précédent alinéa, l'article 241-2 créé par le point 1° de l'article 6 entre en vigueur le lendemain de la publication du présent arrêté au Journal officiel de la République française.


  • Le présent arrêté sera publié au Journal officiel de la République française.


Fait le 25 février 2021.


Bruno Le Maire

Extrait du Journal officiel électronique authentifié PDF - 288 Ko
Retourner en haut de la page