Les établissements assujettis qui externalisent une prestation de services à leur activité doivent conserver l’entière maîtrise de ladite activité. Ils doivent en particulier respecter les dispositions suivantes :
(i) l’externalisation d’activité doit :
– donner lieu à un contrat écrit entre le prestataire externe et l’établissement assujetti ;
– s’inscrire dans le cadre d’une politique formalisée, de contrôle des prestataires externes, définie par l’établissement assujetti.
(ii) les établissements assujettis doivent s’assurer, dans leurs relations avec leurs prestataires externes, que ces derniers :
– s’engagent sur un niveau de qualité répondant à un fonctionnement normal du service et, en cas d’incident, conduisant à recourir à des mécanismes de secours ;
– mettent en œuvre des mécanismes de secours en cas de difficulté grave affectant la continuité du service ou que leur propre plan de continuité tient compte de l’impossibilité pour le prestataire externe d’assurer sa prestation ;
– ne peuvent imposer une modification substantielle de la prestation qu’ils assurent sans l’accord préalable de l’établissement assujetti ;
– se conforment aux procédures définies par l’établissement assujetti concernant l’organisation et la mise en œuvre du contrôle des services qu’ils fournissent;
– leur permettent, chaque fois que cela est nécessaire, l’accès, le cas échéant sur place, à toute information sur les services mis à leur disposition, dans le respect des réglementations relatives à la communication d’informations;
– leur rendent compte de façon régulière de la manière dont est exercée l’activité externalisée ainsi que de leur situation financière.
(iii) toutes les données de l’établissement assujetti doivent être disponibles sur le territoire de l’Etat de son siège principal dans la CEMAC, nonobstant toutes les autres dispositions prises par l’établissement dans le cadre de ses plans de,secours et de continuité d’activité. A cet effet, doivent être conservés et accessibles en permanence sur le territoire de l’Etat du siège social de l’établissement dans la CEMAC :
– les serveurs informatiques contenant l’ensemble des données de l’établissement ;
– l’ensemble des dossiers physiques relatifs au personnel, au patrimoine, aux opérations bancaires et connexes ainsi qu’à toutes les autres transactions réalisées par l’établissement assujetti ;
– toutes les procédures, archives et documents divers
