COM(2020) 595 final  du 24/09/2020

Contrôle de subsidiarité (article 88-6 de la Constitution)


La proposition de règlement COM(2020) 595 fait partie du paquet de mesures sur la finance numérique présenté par la Commission en septembre 2020, qui vise à adapter les règles applicables aux acteurs financiers pour stimuler la transition numérique de la finance européenne, tout en atténuant les risques pour les investisseurs et la stabilité financière.

Conçue comme la lex specialis, pour le secteur de la finance, de la directive sur la cybersécurité proposée par le texte COM(2020) 823, elle a pour but de créer des conditions satisfaisantes de résilience opérationnelle des acteurs de services financiers de l'Union sur le plan numérique. Elle établit ainsi, en tenant compte des spécificités du secteur, du cadre et des structures de supervision et de régulation européennes existant, des règles spécifiques1(*), en matière de :

- gestion des risques (obligation d'identification des risques, d'adoption de mesures de protection, de prévention et de détection, de mise en place de politique de continuité des activités et de plans de rétablissement après sinistre) :

- signalement des incidents (notification harmonisée aux autorités compétentes ; mise en oeuvre de processus de suivi et d'enregistrement ; notification aux utilisateurs lorsque l'incident est susceptible d'affecter leurs intérêts financiers) ;

- tests de résilience opérationnelle numérique ;

- accords de partage d'informations ;

- risques liés aux tiers prestataires de services informatiques (règles pour le suivi par les entités financières des risques découlant des tiers prestataires de services informatiques ; habilitation des autorités européennes de supervision (AES) à désigner, sur la base de critères énumérés dans la proposition de règlement (art. 28), les tiers prestataires considérés comme critiques, soumis à des règles spécifiques en matière de prévention et gestion des risques cyber, sous la supervision de l'une des AES).

Les autres dispositions de la nouvelle directive horizontale sur la cybersécurité continueraient de s'appliquer aux acteurs du secteur financier, par exemple la participation des AES aux groupes de coopération et d'échanges d'information prévus par la directive, et l'inclusion du secteur financier dans les stratégies nationales de cybersécurité.

La gestion du risque informatique est quasiment absente du cadre de mesures visant à remédier aux risques opérationnels dans le secteur financier mis en place après la crise financière de 2008. De ce fait, les États membres ont mis en place leurs propres réglementations nationales, par exemple en matière de tests de résilience opérationnelle numérique ou de pratiques de surveillance, ce qui aboutit à une fragmentation des obligations auxquelles sont soumis les services financiers dans les différents États membres.

Le degré élevé d'interconnexion des services financiers, l'importante activité transfrontière des entités financières, ainsi que leur dépendance à des prestataires de services informatiques tiers fréquemment établis dans d'autres États justifient la mise en place d'un cadre commun au niveau de l'Union, fondé - comme les autres textes du paquet sur la finance numérique précédemment examinés, et comme la proposition de nouvelle directive sur la cybersécurité (COM(2020) 823) - sur l'article 114 du traité sur le fonctionnement de l'Union européenne (TFUE) qui confère aux institutions européennes toute compétence pour arrêter les mesures relatives au rapprochement des dispositions législatives des États membres qui ont pour objet l'établissement et le fonctionnement du marché intérieur : il s'agit de garantir le bon fonctionnement du marché unique des services financiers, dont les règles de fonctionnement sont du reste déjà largement harmonisées au niveau européen. Le recours à un texte spécifique, qui prendrait la forme d'un règlement - et non d'une directive, comme pour la lex generalis - garantirait en outre, pour un secteur particulièrement internationalisé, une application plus harmonisée au sein de l'Union, ainsi qu'une entrée en vigueur potentiellement plus rapide.

Cette proposition ne semble donc pas porter atteinte au principe de subsidiarité, et le groupe de travail sur la subsidiarité a estimé qu'il n'était pas nécessaire d'intervenir plus avant au titre de l'article 88-6 de la Constitution.


* 1 COM(2020) 823, considérant 13.


Examen dans le cadre de l'article 88-4 de la Constitution

Texte déposé au Sénat le 18/12/2020


Marché intérieur, économie, finances, fiscalité

Proposition de règlement du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n 1060/2009, (UE) n 648/2012, (UE) n 600/2014 et (UE) n 909/2014

COM (2020) 595 final - Texte E15409

(Procédure écrite du 17 février 2021)

Compte tenu de sa nature purement technique, la commission a décidé de ne pas intervenir sur ce texte.