Circulaire de la banque centrale de Tunisie n° 2022-09 du 25 octobre 2022.
JORT numéro 2022-119
Disponible en
FR
AR
Circulaire de la banque centrale de Tunisie n° 2022-09 du 25 octobre 2022
Objet : Fixation des procédures de demande d’agrément pour l’exercice d’activité de renseignement de crédit, des documents et données devant être fournis.
Le Gouverneur de la Banque Centrale de Tunisie,
Vu la organique n° 2004-63 du 27 juillet 2004, portant sur la protection des données à caractère personnel,
Vu la n° 2016-35 du 25 avril 2016, portant fixation du statut de la Banque Centrale de Tunisie,
Vu la n° 2016-48 du 11 juillet 2016, relative aux banques et aux établissements financiers,
Vu le décret- n° 2022-2 du 4 janvier 2022, portant de l’activité du renseignement de crédit et notamment ses articles 6, 7, 8 et 22,
Vu le décret n° 2007-3004 du 27 novembre 2007, fixant les conditions et les procédures de déclaration et d’autorisation pour le traitement des données à caractère personnel,
Vu l'avis de l’Instance nationale de protection des données à caractère personnel n° 22/03-333 en date du 15 août 2022,
Vu l'avis du comité de contrôle de la conformité n° 2022-09 en date du 14 octobre 2022,
Décide :
Article premier : La présente circulaire fixe les procédures, documents et données requis pour l’octroi de l’agrément pour l’exercice de l’activité de renseignement de crédit.
Article 2 : La demande d’agrément doit comporter les documents et données prévus à l’annexe jointe à la présente circulaire.
Article 3 : La demande d'agrément ainsi que les documents et données prévus par la présente circulaire doivent être déposés au bureau d’ordre du siège de la Banque Centrale de Tunisie.
Article 4 : La présente circulaire entre en vigueur à partir de la date de sa publication.
Le Gouverneur
Marouane EL ABASSI
Annexe à la circulaire de la Banque Centrale de Tunisie
n° 2022-09 du 25 octobre 2022
Documents et données requis pour l’étude d’une demande d’agrément pour l’exercice d’activité de renseignement de crédit.
1. Documents requis :
- Une demande au nom du Gouverneur de la Banque Centrale de Tunisie.
- Une copie du récépissé de dépôt de la déclaration auprès de l’Instance nationale de protection des données à caractère personnel, ou le cas échéant une copie de la décision de l’Instance attestant qu'elle ne s'oppose pas à l'exercice de l’activité.
- Un document attestant l’approbation du système d'information de la société par l'Agence Nationale de Sécurité Informatique.
- Formulaire n° 1 : « Présentation du requérant » signé par le requérant.
- Formulaire n° 2 : « Déclaration sur l'honneur » signé par le requérant par laquelle il atteste de l’exactitude des documents et données fournis dans la demande d’agrément.
- Formulaire n°3 : « Identité des actionnaires » une brève présentation des actionnaires précisant notamment leurs activités et les participations qu’ils détiennent.
- Formulaire n° 4 « Lettre d'engagement des actionnaires » pour la participation dans le capital de la société à créer, dûment signé par les actionnaires.
- Formulaire n° 5 « Déclaration sur l'honneur » du président du conseil d’administration, de l’administrateur, du directeur général, du directeur général adjoint, du président, du membre du directoire, du président ou d'un membre du conseil de surveillance de la société de renseignement de crédit, ou de quiconque s’engageant en son nom.".
2. Structure d’actionnariat dans le capital de la société de renseignement de crédit :
- Une liste exhaustive des actionnaires personnes physiques et morales détenant des participations directes ou indirectes dans le capital de la société à agréer pour l’exercice d'activité de renseignement de crédit, notamment l'actionnaire de référence et les actionnaires détenant au moins 10% du capital. Est considéré actionnaire de référence, tout actionnaire ou pacte d'actionnaires, en vertu d’une convention expresse ou tacite au sens de la législation relative aux marchés financiers, qui détient directement ou indirectement la majorité des droits de vote dans une société de renseignement de crédit ou lui permettant de la contrôler.
- Une copie du pacte d’actionnaires, le cas échéant.
- Une copie de la pièce d'identité en cours de validité, un curriculum vitae mis à jour et un extrait du casier judiciaire délivré depuis moins de trois mois à compter de la date de dépôt de la demande d'agrément, pour les actionnaires personnes physiques de la société de renseignement de crédit.
- Les états financiers individuels et le cas échéant, les états financiers consolidés des trois derniers exercices, certifiés par un commissaire aux comptes, pour les actionnaires personnes morales détenant 10% ou plus du capital de la société à créer.
3. Présentation la société de renseignement de crédit : (stratégie et plan d'action)
- Une lettre d’intention signée par le requérant indiquant les motifs de la demande d’agrément.
- La stratégie de développement de la société de renseignement de crédit à créer, le modèle d’affaires cible et les objectifs stratégiques avec une description des domaines d’activité et de la clientèle cible.
- L’étude de marché et de l’environnement économique et financier de la société de renseignement de crédit à créer et son positionnement cible sur le marché et les diverses lignes de métiers.
- La politique commerciale reflétant les orientations stratégiques : services, clientèle cible, domaines d’activité et politique tarifaire.
- Une note sur la nature et l’étendue des risques auxquels la société de renseignement de crédit sera exposée (risques de réputation, risques juridiques, risques technologiques, risques opérationnels, risques cybernétiques…).
- La politique de financement de la société de renseignement de crédit : les principales sources et conditions de financement en termes de coût et de maturité.
- Une note décrivant le pilotage opérationnel et la feuille de route de la société de renseignement de crédit.
- Le modèle-type des conventions à conclure avec les fournisseurs d’informations pour l’obtention d’informations sur le crédit dans le cadre de la fourniture des services.
- Le modèle-type du de crédit à adopter par la société de renseignement de crédit.
4. Programme d’activité :
- Plan d'affaires sur 5 ans.
- Les principales hypothèses retenues pour l’élaboration du business plan et les prévisions financières sous forme d'indicateurs d'activité et de rentabilité sur une période de 5 ans.
- Les données financières prévisionnelles sur une période de 5 ans ainsi que le détail des principaux postes basés au moins sur 3 scénarios (optimiste, neutre et pessimiste).
5. Ressources humaines et système d'information :
- Un tableau détaillé indiquant l'évolution prévue des ressources humaines et leur composition sur une période de 5 ans.
- Un détaillé sur les moyens techniques et le système d'information.
- Description de la gouvernance du système d'information et de la sécurité informatique, notamment, en ce qui concerne la protection des données à caractère personnel.
- Description des procédures et des outils garantissant la sécurité informatique et notamment :
• Les outils d’accès aux données et aux systèmes,
• La sécurité des réseaux,
• Les pistes d'audit,
• La sauvegarde,
• L’hébergement des données (avec interdiction d’hébergement dans le cloud),
• L’archivage obligatoire pour une période de 5 ans.
6. Plan de continuité d'activité :
Un sur le plan de continuité d’activité qui comprend les informations suivantes :
- Une identification des activités essentielles et des objectifs de la reprise d'activité, y compris un calendrier comportant les étapes clés de la reprise temporaire et les données prioritaires.
- Les moyens mis en œuvre pour assurer la continuité en cas d'interruption du service, telle que les incidents dans les systèmes clés, la perte des données clés, l’impossibilité d’accéder aux locaux et la perte de personnes clés.
- Détermination la fréquence des tests du plan de continuité d'activité et de reprise d'activité après un sinistre ou une cyberattaque, et indiquer des mécanismes de des résultats de ces tests et de leur prise en compte.
7. Dispositif de gouvernance et d'organisation :
- Le mode de gouvernance cible (direction générale et conseil d'administration ou directoire et conseil de surveillance),
- La composition du conseil d'administration ou du conseil de surveillance et des différents comités émanant de ces organes (notamment les comités d'audit, des risques et de la conformité),
- Les statuts ou le projet des statuts de la société de renseignement de crédit,
- Un dossier relatif aux membres du conseil d'administration, ou du conseil de surveillance, de la direction générale (directeur et le directeur général adjoint), ou des membres du directoire, comprenant leurs curriculums vitae signés, retraçant le cursus académique et professionnel et accompagnés d’un extrait du casier judiciaire délivrée depuis moins de trois mois à compter de la date du dépôt de la demande d’agrément,
- Un curriculum vitae ainsi qu’un extrait du casier judiciaire délivré depuis moins de trois mois à compter de la date de dépôt de la demande d’agrément pour les premiers responsables chargés des fonctions suivantes :
• Contrôle Interne et Conformité,
• Gestion des risques,
• Audit interne.
- L'organigramme cible de la société.
8. Contrôle interne et gestion des risques :
- Un décrivant le dispositif de contrôle interne mis en place par la société : rôle des structures de gouvernance, procédures, comptable et financière, système d'information, activité de contrôle.
- Un décrivant le dispositif mis en place pour l'identification, la gestion et la surveillance des risques (cadre organisationnel de la gestion des risques, identification des risques, analyse des risques, surveillance et revue de la gestion des risques, informations financières et comptables, etc.).
9. Système de protection des données et traitement des réclamations :
- Les procédures écrites prises permettant de prouver l’obtention du consentement préalable et exprès des personnes physiques concernées pour la communication de leurs données personnelles à la société conformément aux dispositions de la législation relative à la protection des données à caractère personnel et du consentement des personnes morales au traitement des données les concernant.
- Un sur les mesures à mettre en place en vue de garantir le droit des personnes de s'opposer au traitement des données et informations sur le crédit les concernant, leur droit à y accéder et d'en demander leur mise à jour ou leur destruction conformément à la législation relative à la protection des données à caractère personnel et à l’article 16 du décret- n° 2022-2 du 4 janvier 2022.
- Un sur les procédures à mettre en place pour le traitement des réclamations, comprenant une description des politiques et procédures de réception et de traitement des réclamations, ainsi que des moyens humaines et logistiques et de la structure responsable.
- Une description des procédures techniques devant être mises en place pour la destruction des données détenues par la société de renseignement de crédit, en cas de retrait de l’agrément ou à la demande des clients conformément à la législation relative à la protection des données à caractère personnel.
Objet : Fixation des procédures de demande d’agrément pour l’exercice d’activité de renseignement de crédit, des documents et données devant être fournis.
Le Gouverneur de la Banque Centrale de Tunisie,
Vu la organique n° 2004-63 du 27 juillet 2004, portant sur la protection des données à caractère personnel,
Vu la n° 2016-35 du 25 avril 2016, portant fixation du statut de la Banque Centrale de Tunisie,
Vu la n° 2016-48 du 11 juillet 2016, relative aux banques et aux établissements financiers,
Vu le décret- n° 2022-2 du 4 janvier 2022, portant de l’activité du renseignement de crédit et notamment ses articles 6, 7, 8 et 22,
Vu le décret n° 2007-3004 du 27 novembre 2007, fixant les conditions et les procédures de déclaration et d’autorisation pour le traitement des données à caractère personnel,
Vu l'avis de l’Instance nationale de protection des données à caractère personnel n° 22/03-333 en date du 15 août 2022,
Vu l'avis du comité de contrôle de la conformité n° 2022-09 en date du 14 octobre 2022,
Décide :
Article premier : La présente circulaire fixe les procédures, documents et données requis pour l’octroi de l’agrément pour l’exercice de l’activité de renseignement de crédit.
Article 2 : La demande d’agrément doit comporter les documents et données prévus à l’annexe jointe à la présente circulaire.
Article 3 : La demande d'agrément ainsi que les documents et données prévus par la présente circulaire doivent être déposés au bureau d’ordre du siège de la Banque Centrale de Tunisie.
Article 4 : La présente circulaire entre en vigueur à partir de la date de sa publication.
Le Gouverneur
Marouane EL ABASSI
Annexe à la circulaire de la Banque Centrale de Tunisie
n° 2022-09 du 25 octobre 2022
Documents et données requis pour l’étude d’une demande d’agrément pour l’exercice d’activité de renseignement de crédit.
1. Documents requis :
- Une demande au nom du Gouverneur de la Banque Centrale de Tunisie.
- Une copie du récépissé de dépôt de la déclaration auprès de l’Instance nationale de protection des données à caractère personnel, ou le cas échéant une copie de la décision de l’Instance attestant qu'elle ne s'oppose pas à l'exercice de l’activité.
- Un document attestant l’approbation du système d'information de la société par l'Agence Nationale de Sécurité Informatique.
- Formulaire n° 1 : « Présentation du requérant » signé par le requérant.
- Formulaire n° 2 : « Déclaration sur l'honneur » signé par le requérant par laquelle il atteste de l’exactitude des documents et données fournis dans la demande d’agrément.
- Formulaire n°3 : « Identité des actionnaires » une brève présentation des actionnaires précisant notamment leurs activités et les participations qu’ils détiennent.
- Formulaire n° 4 « Lettre d'engagement des actionnaires » pour la participation dans le capital de la société à créer, dûment signé par les actionnaires.
- Formulaire n° 5 « Déclaration sur l'honneur » du président du conseil d’administration, de l’administrateur, du directeur général, du directeur général adjoint, du président, du membre du directoire, du président ou d'un membre du conseil de surveillance de la société de renseignement de crédit, ou de quiconque s’engageant en son nom.".
2. Structure d’actionnariat dans le capital de la société de renseignement de crédit :
- Une liste exhaustive des actionnaires personnes physiques et morales détenant des participations directes ou indirectes dans le capital de la société à agréer pour l’exercice d'activité de renseignement de crédit, notamment l'actionnaire de référence et les actionnaires détenant au moins 10% du capital. Est considéré actionnaire de référence, tout actionnaire ou pacte d'actionnaires, en vertu d’une convention expresse ou tacite au sens de la législation relative aux marchés financiers, qui détient directement ou indirectement la majorité des droits de vote dans une société de renseignement de crédit ou lui permettant de la contrôler.
- Une copie du pacte d’actionnaires, le cas échéant.
- Une copie de la pièce d'identité en cours de validité, un curriculum vitae mis à jour et un extrait du casier judiciaire délivré depuis moins de trois mois à compter de la date de dépôt de la demande d'agrément, pour les actionnaires personnes physiques de la société de renseignement de crédit.
- Les états financiers individuels et le cas échéant, les états financiers consolidés des trois derniers exercices, certifiés par un commissaire aux comptes, pour les actionnaires personnes morales détenant 10% ou plus du capital de la société à créer.
3. Présentation la société de renseignement de crédit : (stratégie et plan d'action)
- Une lettre d’intention signée par le requérant indiquant les motifs de la demande d’agrément.
- La stratégie de développement de la société de renseignement de crédit à créer, le modèle d’affaires cible et les objectifs stratégiques avec une description des domaines d’activité et de la clientèle cible.
- L’étude de marché et de l’environnement économique et financier de la société de renseignement de crédit à créer et son positionnement cible sur le marché et les diverses lignes de métiers.
- La politique commerciale reflétant les orientations stratégiques : services, clientèle cible, domaines d’activité et politique tarifaire.
- Une note sur la nature et l’étendue des risques auxquels la société de renseignement de crédit sera exposée (risques de réputation, risques juridiques, risques technologiques, risques opérationnels, risques cybernétiques…).
- La politique de financement de la société de renseignement de crédit : les principales sources et conditions de financement en termes de coût et de maturité.
- Une note décrivant le pilotage opérationnel et la feuille de route de la société de renseignement de crédit.
- Le modèle-type des conventions à conclure avec les fournisseurs d’informations pour l’obtention d’informations sur le crédit dans le cadre de la fourniture des services.
- Le modèle-type du de crédit à adopter par la société de renseignement de crédit.
4. Programme d’activité :
- Plan d'affaires sur 5 ans.
- Les principales hypothèses retenues pour l’élaboration du business plan et les prévisions financières sous forme d'indicateurs d'activité et de rentabilité sur une période de 5 ans.
- Les données financières prévisionnelles sur une période de 5 ans ainsi que le détail des principaux postes basés au moins sur 3 scénarios (optimiste, neutre et pessimiste).
5. Ressources humaines et système d'information :
- Un tableau détaillé indiquant l'évolution prévue des ressources humaines et leur composition sur une période de 5 ans.
- Un détaillé sur les moyens techniques et le système d'information.
- Description de la gouvernance du système d'information et de la sécurité informatique, notamment, en ce qui concerne la protection des données à caractère personnel.
- Description des procédures et des outils garantissant la sécurité informatique et notamment :
• Les outils d’accès aux données et aux systèmes,
• La sécurité des réseaux,
• Les pistes d'audit,
• La sauvegarde,
• L’hébergement des données (avec interdiction d’hébergement dans le cloud),
• L’archivage obligatoire pour une période de 5 ans.
6. Plan de continuité d'activité :
Un sur le plan de continuité d’activité qui comprend les informations suivantes :
- Une identification des activités essentielles et des objectifs de la reprise d'activité, y compris un calendrier comportant les étapes clés de la reprise temporaire et les données prioritaires.
- Les moyens mis en œuvre pour assurer la continuité en cas d'interruption du service, telle que les incidents dans les systèmes clés, la perte des données clés, l’impossibilité d’accéder aux locaux et la perte de personnes clés.
- Détermination la fréquence des tests du plan de continuité d'activité et de reprise d'activité après un sinistre ou une cyberattaque, et indiquer des mécanismes de des résultats de ces tests et de leur prise en compte.
7. Dispositif de gouvernance et d'organisation :
- Le mode de gouvernance cible (direction générale et conseil d'administration ou directoire et conseil de surveillance),
- La composition du conseil d'administration ou du conseil de surveillance et des différents comités émanant de ces organes (notamment les comités d'audit, des risques et de la conformité),
- Les statuts ou le projet des statuts de la société de renseignement de crédit,
- Un dossier relatif aux membres du conseil d'administration, ou du conseil de surveillance, de la direction générale (directeur et le directeur général adjoint), ou des membres du directoire, comprenant leurs curriculums vitae signés, retraçant le cursus académique et professionnel et accompagnés d’un extrait du casier judiciaire délivrée depuis moins de trois mois à compter de la date du dépôt de la demande d’agrément,
- Un curriculum vitae ainsi qu’un extrait du casier judiciaire délivré depuis moins de trois mois à compter de la date de dépôt de la demande d’agrément pour les premiers responsables chargés des fonctions suivantes :
• Contrôle Interne et Conformité,
• Gestion des risques,
• Audit interne.
- L'organigramme cible de la société.
8. Contrôle interne et gestion des risques :
- Un décrivant le dispositif de contrôle interne mis en place par la société : rôle des structures de gouvernance, procédures, comptable et financière, système d'information, activité de contrôle.
- Un décrivant le dispositif mis en place pour l'identification, la gestion et la surveillance des risques (cadre organisationnel de la gestion des risques, identification des risques, analyse des risques, surveillance et revue de la gestion des risques, informations financières et comptables, etc.).
9. Système de protection des données et traitement des réclamations :
- Les procédures écrites prises permettant de prouver l’obtention du consentement préalable et exprès des personnes physiques concernées pour la communication de leurs données personnelles à la société conformément aux dispositions de la législation relative à la protection des données à caractère personnel et du consentement des personnes morales au traitement des données les concernant.
- Un sur les mesures à mettre en place en vue de garantir le droit des personnes de s'opposer au traitement des données et informations sur le crédit les concernant, leur droit à y accéder et d'en demander leur mise à jour ou leur destruction conformément à la législation relative à la protection des données à caractère personnel et à l’article 16 du décret- n° 2022-2 du 4 janvier 2022.
- Un sur les procédures à mettre en place pour le traitement des réclamations, comprenant une description des politiques et procédures de réception et de traitement des réclamations, ainsi que des moyens humaines et logistiques et de la structure responsable.
- Une description des procédures techniques devant être mises en place pour la destruction des données détenues par la société de renseignement de crédit, en cas de retrait de l’agrément ou à la demande des clients conformément à la législation relative à la protection des données à caractère personnel.
Ces informations vous ont-elles été utiles ?
Ou explorer plus de contenus sur 9anoun:
