Agefi Luxembourg - avril 2025

Avril 2025 47 AGEFI Luxembourg Informatique financière Par Sitraka FORLER, Senior Data Scientist - Consultant inDigital Transformation&NLP D epuis plusieurs décennies, la prospérité duLuxembourg repose sur unmodèle écono- mique fondé sur la finance, les services et une forte attractivité fiscale.Mais face à desmutations profondes, vieillis- sement de la population, stag- nationde la productivité et pressions réglementaires accrues, la question se pose : comment maintenir une croissance écono- mique soutenue ? L'intelligence artificielle (IA) appa- raîtcommeunlevierincontournable pour préserver la compétitivité et la sou- veraineté économique duGrand-Duché. Le Luxembourg se distingue par une productivité parmi les plus élevées d'Europe, avec un PIB par heure travailléede 102,3 euros, soit 68%au-dessusde la moyenne européenne. Mais cette performance repose en grande partie sur une main-d'œuvre hau- tement qualifiée et une ouverture à la mobilité inter- nationale.Or,ladynamiquedémographiquedupays montre ses limites : un taux de natalité de seulement 1,38 enfant par femme (bien en-dessous du seuil de renouvellement de 2,1), une dépendance croissante auxtravailleursfrontaliersquireprésententdésormais 47%del'emploinational,etunepressionsurlesinfra- structures urbaines avec des prix immobiliers ayant augmenté de 91%depuis 2010. Dans ce contexte, l'IA représente une solution stra- tégique, non seulement pour automatiser certaines tâches et accroître l'efficacitédes services,mais aussi pour développer de nouveaux sec- teurs d'activités et créer des emplois à forte valeur ajoutée. Le principal atout de l'IA réside dans sa capa- citéàdoperlaproductivité.Desétudesrécentes menées par le STATEC estiment qu'une adop- tion accrue de l'IA pourrait augmenter le PIB luxembourgeoisde1,7à2,3pointsdepour- centagepar and'ici 2030, enoptimi- sant la gestion des ressources financières, en améliorant la précision des analyses de risquesetenréduisantlescoûts opérationnels des entreprises de 15 à 25%. Pour les secteurs financiers et juridiques,quiconstituentlecœur de l'économie luxembourgeoise avec 26% du PIB national et plus de 65.000 emplois, l'intégration demodèles d'IAdans la lutte contre la fraude et la conformité réglementaire pourrait également représenter un avantage concur- rentiel majeur. Ceci nécessite unemaîtrise technique, humaine et réglementaire complète. Cependant, la transformation numérique du Luxembourg ne peut réussir sans un effort soutenu en matière d'investissements et de formation. De la part du secteur Public et Privé. Contrairement aux États-Unis ou à laChine, qui bénéficient d'un écosys- tème technologique intégré et d'une capacité d'inno- vationmassiveavecdes investissements respectifs en IA de 47 milliards et 14,5 milliards d'euros en 2023, l'Europe et, par extension, le Luxembourg, accusent un retard dans le développement de l'IA avec seule- ment8,1milliardsd'eurosd'investissementspourl'en- semblede l'UE. LeLuxembourgaalloué295millions d'euros à sa stratégie nationale d'IA sur la période 2023-2027. Bien que significatif pour un pays de cette taille (0,38% du PIB), cet effort reste insuffisant face aux géants technologiques. La création d'un cadre incitatif, associant entreprises, universitésetpouvoirspublics,estindispensablepour garantir la maîtrise des technologies stratégiques et unpartage des efforts. Enfin,laquestiondelasouveraineténumériques'im- pose comme un enjeu stratégique majeur pour le Luxembourg.Aujourd'hui,leGrand-Duchédemeure fortement tributaire des infrastructures cloud et des solutionsd'intelligenceartificielledéveloppéespardes acteurs américains, qui contrôlent plus de 72% du marchémondialducloudcomputing,cequiposeun doublerisque:d'unepart,uneexpositionauxtensions géopolitiques qui pourraient restreindre l'accès à ces technologies en cas de conflit d'intérêts; d'autre part, unevulnérabilité faceaux réglementations extraterri- toriales,àl'imageduCloudAct,quipermetauxauto- rités américaines d'accéder à certaines données stockées sur leurs infrastructures. Cette tendance à la suprématie du droit Américain est exacerbée par le deuxièmemandat deDonaldTrump. En effet, dépendre de solutions étrangères signifie aussi une captation de la valeur créée et une perte de maîtrise sur des technologies déterminantes pour la compétitivité à long terme. Ceci fragilise notre auto- nomie stratégique et réduit notre capacité à innover demanièresouveraine.Faceàcettesituation,ildevient impératif pour le Luxembourg de bâtir une capacité technologique souveraine. Cet effort doit s'appuyer sur deux axes clés : d'une part, ledéveloppement d'infrastructures cloudeuro- péennes, comme en témoignent les initiatives Clarence etDeep, qui visent àdéployerdes solutions de stockage et de calcul hautement sécurisées, avec un investissement prévude 120millionsd'euros sur 5 ans, conformes aux exigences de protection des données et aux standards réglementaires européens ; d'autre part, un soutien accru aux start-ups spécia- lisées en intelligence artificielle et en cybersécurité, afinde favoriser l'émergence d'un écosystème tech- nologique national robuste et innovant. Àce jour, le Luxembourg compte 55 startups dans le domaine de l'IA qui ont généré 115 millions d'euros de reve- nus en 2024. L'intelligenceartificiellenesauraitêtreperçuecomme une simpleopportunité technologique : elle constitue un enjeude survie économique. Dans unmonde où les équilibres globaux sont redé- finis par la maîtrise de la donnée et des algorithmes, leLuxembourgnepeutsepermettrederesterunsim- ple consommateur de solutions étrangères. L'adoptionrapideetstratégiquedel'IA,coupléeàune vision industrielle ambitieuse, pourrait lui permettre de capitaliser sur son rôle de laboratoire d'innovation européen. En investissant massivement dans la for- mationdes talents, avec l'objectifde former 5.000 spé- cialistes en IAd'ici 2030, l'attraction de chercheurs de pointe et l'implémentation de cadres réglementaires propices à l'expérimentation, le pays peut non seule- ment renforcer sa compétitivité,mais aussi s'imposer commeunacteurincontournabledansl'économiede demain. Et ainsi être un catalyseur de la coopération Européenne entre Paris, Brussels et Berlin. Le Luxembourg a toujours su transformer sa taille réduite en un avantage compétitif, en développant des secteurs à forte valeur ajoutée. L'intelligence arti- ficielle doit s'inscrire dans cette tradition : enmettant enplaceune stratégie claire et ambitieuse, combinant souveraineténumérique et excellence technologique, avecunobjectifd'investissementde0,8%duPIBdans l'IA d'ici 2027, le Grand-Duché pourrait devenir un pionnier européende l'IAsouveraine. Il ne s'agit plus simplement d'un choix,mais d'une nécessité. Le potentiel et la nécessité de l'IApour sauver le Luxembourg et sa croissance économique By VincentWELLENS,Avocat à la Cour & Ottavio COVOLO, Avocat à la Cour, NautaDutilh Avocats Luxembourg S.à r.l. O n 9 April 2025, the CSSF has published amend- ments to several circulars to bring them in line with the Digital Operational Resilience Act (“DORA”) just ahead of the first deadlines of reporting by in-scope entities. The CSSF first announced changes to CSSFCircular20/750,whichsetsoutrules concerningentities’ICTsecuritymanage- ment.Thiscircularappliedtoallcreditin- stitutions, professionals of the financial sector (“ PFS ”) aswell as payment and e- money institutions (“ PSPs ”and“ EMIs ”) and - content-wise -wasmainly a formal adoption of the EBA Guidelines on ICT and security risk management EBA/GL/2019/04. The EBA amended such guidelines on 11 February 2025 re- movingall but section3.8 regardingpay- ment and e-money institutions to avoid unnecessary overlaps withDORA. As a reminder, theseEBAguidelines, ap- plicable without prejudice to the other EBAguidelinesonoutsourcing, required financialentitiestoadoptarisk-basedap- proach to ICT riskmanagement,with re- quirements which remain general compared to the specific provisions of DORA. For instance, paragraph 9 of the EBA guidelines set out a general moni- toring requirement for thirdparties (tobe read with the broader monitoring re- quirementsof ICTrisksof the institution) but does not go as far as the like require- ments under DORA. The CSSF implemented this amendment to the EBA through changes to Circular 20/750, whichwillmean: - for credit institutions and DORA in- scope entities , only the requirements underDORAshouldbe followed. - for PSPs and EMIs , the CSSF has de- cidedtomovingthePSPandEMI-relevant provisionsregardingtheirICTassessment into a standalone Circular 25/880. PSPs and EMIs should therefore update their internalICTpolicyreferencestothe20/750 circularwith this newone. - for other entities falling outside the scope of DORA - such as support PSFs – the circular CSSF 20/750 will continue to apply as usual. Theothermaindevelopmentwas theup- date toCSSFCircular 22/806onoutsourc- ing arrangements, transposing the 2019 EBAGuidelines on outsourcing arrange- ments EBA/GL/2019/02 along with gold- plating language extending the scope of the obligations therein on a few points (and also extending the personal scope to other actors that are not concerned by the EBAguidelines). UnliketheEBAGuidelinesonICTandse- curity riskmanagement, the EBAGuide- lines on outsourcing arrangements have yet to be updated to be aligned with DORA, leading to in-scope entities per- forming gap analysis regarding the two overlapping sets of requirements, with sometimes at first sight minor but critical differences. Forinstance,CSSFCircular22/806requires a list of obligatory points to be integrated in outsourcing agreements, whether the outsourcing is critical or not (even when the 2019 EBA outsourcing guidelines made such a distinction). In comparison, DORA works on the basis of a list of clauses for all ICT agreements and one only limited to critical ICT services. Fur- ther, there are slight differences in word- ing that can make a major difference in contract negotiations. For example, paragraph 101(a) of CSSF Circular 22/806 required a right of termi- nation by the in-scope entity in case of a “ breach of applicable law, regulations or con- tractual provisions “, whereas article 28.7.a of DORA refers instead to a “ significant breach by the ICT third-party service provider of applicable laws, regulations or contractual terms ”,whichisawordingmoreinfavour of the ICT service provider. To mitigate such differences, albeit with- outanyfinalisedupdateyetfromtheEBA, the CSSF has proceeded to the following updates: -for non-DORAentities (includingman- agement companies of SIFs, SICARs, lim- ited partnerships or SOPARFIs which do notqualifyasAIFs),theamendedtheCir- cular 22/806 will continue to be fully ap- plicabletoalloutsourcings,includingboth business process (outside the scope of DORA) and ICT outsourcing. The provi- sionsspecifictocloudinfrastructure-based ICToutsourcing also remain inplace. However, paragraph 143 regarding the principal requirement to have an EU MemberStatelawaslawapplicabletothe agreementwith the cloudcomputingser- vice provider has been repealed, with the CSSF citing the absence of such require- ment under DORA and the interest in aligningthisrequirementbetweenDORA and non-DORA entities as the reason for such removal. - for DORAentities , the amendedCSSF Circular 22/806 sections relating to busi- ness process outsourcing will remain applicable (including the notification of critical and important functions regard- ing such processing). ICT outsourcings will exclusively be subject to a new Circular 25/882 incor- porating the requirements to keep daily backup of accounting positions, prior notificationof critical and important ICT functions outsourcing (under the same timelines as under Circular 22/806), and some of the cloud computingprovisions of Circular 22/806. The new circular no- tably clarifies that when the so-called cloud “ resource operation ” is carried by a serviceprovider inLuxembourg, itmust in principle be authorised by the CSSF in accordance with Article 29-3 of the 1991 Law on the Financial Sector (a so- called IT Support Financial Sector Pro- fessional) to provide such service. (1) The CSSF Circular 25/882 also provides a confirmation that the register of con- tractual arrangements under DORA shall be submitted annually between 28 February and 31 March of the next year (with 2025 having an exceptional dead- line between 1 April 2025 and 15 April 2025 in line with the CSSF January 2025 press release on thematter). 1)Or, ifnot,theserviceprovidermustbeotherwiseallowed tocarryoutthoseservices,i.e.itisacreditinstitution,oritis anentityfallingunderthescopeofArticle1-1(2)(c)LFSthat is part of the group to which the Financial Entity belongs andwhichexclusivelydealswithgrouptransactions. CSSF aligns outsourcing rules with DORA framework