On entend par externalisation tout appel à des tiers pour l’exercice d’activités ou de processus propres au prestataire de services liés aux monnaies virtuelles. Elle peut porter tant sur des services à la clientèle que sur des fonctions opérationnelles (délégation d’une partie des activités commerciales, …) ou administratives (comptabilité, …) et fonctions spécialisées (IT, gestion des données, compliance, sécurité, …).
Dans les cas où la sous-traitance porte sur des activités propres au prestataire de services liés aux monnaies virtuelles, la FSMA recommande que le prestataire organise cette sous-traitance dans le respect des principes de saine gestion mentionnés ci-dessous :
- La sous-traitance fait l’objet d’une politique spécifique et approuvée par l’organe légal d’administration, et qui tient compte des principes de saine gestion, ainsi que d’une convention écrite qui tiendra compte des principes de gestion exposés ci-après. La convention déterminera avec précision les responsabilités de chacune des parties ;
- La sous-traitance ne peut diminuer en aucune façon la responsabilité du prestataire de services liés aux monnaies virtuelles tant envers les clients qu’à l’égard des autorités de contrôle. La sous-traitance est exercée sous la seule et entière responsabilité du prestataire de services liés aux monnaies virtuelles. Ce dernier veillera à adopter des mesures qui lui permettent d’exercer un contrôle permanent des activités sous-traitées ;
- Le prestataire de services liés aux monnaies virtuelles veille également à disposer de l’expérience, de la connaissance et des moyens nécessaires pour assurer, après la sous-traitance, le suivi du bon fonctionnement et de la qualité des services sous-traités et pour pouvoir y apporter, au besoin, les ajustements qui s’imposent ;
- Le prestataire de services liés aux monnaies virtuelles veille à adopter des règles de reporting adaptées à la nature des activités sous-traitées et aux risques qui y sont liés. Le prestataire de services liés aux monnaies virtuelles prévoira à cet effet des moyens de communication clairs, assortis d’une obligation pour le sous-traitant de signaler tout problème important ayant un impact sur les activités sous-traitées ;
- Le prestataire de services liés aux monnaies virtuelles veille à communiquer au sous-traitant une description détaillée des activités sous-traitées, des effets attendus de la sous-traitance et les conditions de celle-ci ;
- Le prestataire de services liés aux monnaies virtuelles veille à sélectionner des sous-traitants avec vigilance et prudence. Il veille à ne travailler qu’avec des sous-traitants capables d’assurer la prestation de manière suffisante afin de couvrir de manière appropriée les risques opérationnels et de rembourser les éventuels dommages. Le prestataire de services liés aux monnaies virtuelles veille à prendre également les précautions qui s’imposent afin d‘être à même de transférer les services sous-traités à un autre sous-traitant ou de les reprendre en gestion propre, chaque fois que la continuité ou la qualité de la prestation de service risque d’être compromise ;
- Le prestataire de services liés aux monnaies virtuelles veille à ce que le sous-traitant dispose à tout moment d’un dispositif de protection nécessaire pour préserver de manière efficace la confidentialité et l’intégrité des données de ses clients. La manière dont les plus importants risques de sécurité, de confidentialité et de réputation seront couverts par le sous-traitant, les mécanismes de contrôle à cet égard et les éventuelles clauses en matière d’amendes pour non-respect figureront dans la convention de sous-traitance. Lorsqu’il est mis fin à la sous-traitance, le prestataire de services liés aux monnaies virtuelles veille à ce que toutes les données soient extraites et effacées ou détruites auprès du sous-traitant ;
- Le prestataire de services liés aux monnaies virtuelles veille à ce que la FSMA, en vue de l’exercice de sa mission de contrôle, ait accès à tout moment aux activités sous-traitées et puisse exercer son contrôle sur ces activités.