Au-delà des rappels fréquents par les autorités de supervision concernant la robustesse des dispositifs d’externalisation des acteurs du secteur financier, la possibilité elle-même d’externaliser certaines prestations vers des prestataires de services en nuage a connu des développements récents à la croisée de plusieurs secteurs et soulève de nouvelles exigences et sanctions.
Une thématique d’actualité cross-sectorielle
En premier lieu, les orientations de l’Autorité bancaire européenne (EBA) relatives à l’externalisation du 25 février 2019 (EBA/GL/2019/02) ont remplacé, à compter du 30 septembre 2019 ses recommandations précédentes portant plus spécifiquement sur l’externalisation vers des fournisseurs de services en nuage (EBA/REC/2017/03) .
Ensuite, par un avis publié le 27 juillet 2020, l’Autorité de contrôle prudentiel et de résolution (ACPR) a déclaré se conformer aux orientations de l’Autorité européenne des assurances et des pensions professionnelles (EIOPA) sur l’externalisation vers des prestataires de services en nuage (EIOPA-BoS-20-002). Ces orientations visent les entreprises d’assurance et de réassurance.
Enfin, le 6 juillet 2021, l’Autorité des marchés financiers (AMF) a déclaré se conformer aux orientations de l’Autorité européenne des marchés financiers (ESMA) concernant la sous-traitance à des prestataires de services en nuage (ESMA50-164-4285 FR).
Le champ d’application de l’orientation ESMA est large et il vise : les sociétés de gestion, les dépositaires de fonds d’investissement, les organismes de placement collectif en valeurs mobilières (OPCVM), les sociétés d’investissement, les entreprises d’investissement et les établissements de crédit qui fournissent des services d’investissement, les contreparties centrales, les référentiels centraux, les dépositaires centraux de titres et les agences de notation.
Il faut également relever que les orientations de l’EBA du 25 février 2019 (EBA/GL/2019/02), sur l’externalisation en général, comprennent également, à la marge, certaines dispositions spécifiques en lien avec l’externalisation vers des prestataires de services en nuage. L’indication du modèle de services et de déploiement en nuage, la nature spécifique des données conservées et des lieux dans les registres des dispositifs d’externalisation, la définition d’exigences de sécurité des données et des systèmes dans le cadre des dispositifs d’externalisation, sont des exemples.
Des exigences similaires de formalisation contractuelle sectorielle
Dans ce contexte, insistons sur le fait que l’un des aspects qui participent à construire la robustesse des dispositifs d’externalisation de prestations vers des prestataires de services en nuage repose sur la documentation contractuelle qui structure les rapports entre les parties.
A ce titre, les niveaux d’exigences décrits par l’Autorité européenne des marchés financiers (ESMA) et l’Autorité européenne des assurances et des pensions professionnelles (EIOPA) dans leurs orientations respectives demeurent très proches, même si les deux orientations précitées ne sont pas structurées de manière identique et comprennent des différences relativement mineures.
Les points suivants méritent une attention particulière dans le cadre des négociations contractuelles, en prenant en considération la typologie des fonctions externalisées :
- les lieux où les données seront stockées et traitées, les conditions à remplir y compris l’obligation d’informer l’entreprise si le prestataire de services en nuage envisage de modifier les lieux
- les niveaux de services convenus avec des objectifs de performance quantitatifs et qualitatifs afin de permettre à l’entreprise un suivi en temps utile et, le cas échéant, de mettre en place des mesures correctives appropriées
- les obligations d’information du prestataire de services en nuage envers l’entreprise. Exemple : l’établissement de rapports pertinents pour la fonction sécurité et les fonctions clés de l’entreprise.
- la gestion de la sécurité de l’information et en particulier la protection des données personnelles, confidentielles ou autrement sensibles. A cet égard, il faudra également penser au traitement contractuel des flux transfrontaliers de données personnelles en tenant compte de leur localisation, de leur accessibilité et des risques associés[1].
Un délai de mise en conformité aux nouvelles exigences contractuelles
Les orientations de l’EIOPA précitées sont entrées en vigueur le 1er janvier 2021 et celles de l’ESMA le 31 juillet 2021. L’ensemble des accords de sous-traitance de services de nuages qui sont conçus, renouvelés ou modifiés à compter de ces dates sont soumis aux nouvelles dispositions.
Les acteurs concernés sont donc tenus de réviser et de modifier les accords existants de sous-traitance de services en nuage en vue d’assurer la prise en compte desdites orientations d’ici à une date fixée tant par les orientations EIOPA qu’ESMA au 31 décembre 2022 au plus tard. Si cette exigence de révision des accords de sous-traitance de services en nuage liée à des fonctions importantes ou critiques n’est pas accomplie au 31 décembre 2022, les entreprises seront invitées à en informer leur autorité compétente (ACPR ou AMF) en précisant la nature des mesures prévues pour régulariser la révision ou mettre en place une éventuelle stratégie de retrait.
Des sanctions en cas de manquement
Conformément aux dispositions des articles L.612-1 et L.612-39 du Code monétaire et financier, l’établissement qui ne respecte pas les règles relatives aux modalités d’exercice de ses activités encourt une sanction disciplinaire de la part de l’ACPR. Cette sanction sera fixée selon la gravité du manquement constaté (L.621-39 code monétaire et financier). Quant aux sanctions susceptibles d’être prononcées par l’AMF elles sont, quant à elles, prévues à l’article L.621-15 du Code monétaire et financier.
La réception de ces nouvelles exigences va dépendre de la réaction des fournisseurs de services en nuage. Ces derniers, permettront-ils à leurs clients opérant dans les secteurs concernés de se conformer à ces nouvelles règles en acceptant facilement d’amender leurs contrats ? Il ne fait aucun doute qu’il y a là, également, un enjeu de marché pour les fournisseurs.
[1] Voir notamment sur ce point les recommandations du CEPD du 10 novembre 2020