Les entreprises ont depuis longtemps eu recours à des tiers pour leur confier certaines tâches qu’elles pourraient, en théorie, effectuer elles-mêmes. Ceci peut se justifier notamment lorsque le tiers sous-traitant est mieux adapté pour remplir certaines tâches qu’il connaît particulièrement ou qu’il maîtrise techniquement, et bien entendu pour des questions de coût. Le législateur français a rapidement isolé ce phénomène et a édicté des textes généraux [1] . Sous l’angle sectoriel, des attentes spécifiques se sont alors développées, et notamment dans le secteur bancaire [2] , par le règlement CRBF n° 97-02 puis l’arrêté [3] du 3 novembre 2014 issu actuellement [4] de la Directive CRD IV. L’externalisation [5] bancaire, financière et aussi dans d’autres secteurs [6] était ainsi délimitée, et déjà soumise à de strictes contraintes.
C’est dans ce cadre qu’a fait irruption la technologie du cloud [7] , à la main de peu d’acteurs [8] , non sans que la réglementation ne s’adapte en retour au regard des risques [9] identifiés. Ainsi, partant des principes généraux sur l’externalisation du CEBS en 2006 [10] , l’autorité bancaire européenne a publié en mars 2018 des Recommandations [11] relatives à l’externalisation vers le cloud et enfin des Orientations [12] relatives à l’externalisation en 2019. Des évolutions sont aussi à noter dans les autres [13] secteurs, dans le sillage du plan d’action Fintech [14] de la Commission de 2018. On doit faire le même constat en dehors [15] de l’Union.
Les services de cloud utilisés par les établissements de crédit sont désormais intégrés au cadre général prévu par l’EBA en termes d’externalisation [16] bancaire, et soumis à des obligations non négligeables (I.). Il n’en reste pas moins vrai que le cloud a ses spécificités qui soulèvent des difficultés d’articulation avec les textes applicables. Dans cette optique, les modèles de clauses standard discutés actuellement au niveau de la Commission européenne et le nouveau paradigme proposé par le projet de règlement DORA [17] fournissent des pistes qui semblent fécondes (II.).
I. Le cloud dans le cadre général de l’externalisation
L’externalisation dans le secteur bancaire fait appel aux ressources informatiques externes depuis plus de 50 ans. Autant dire que les questions concrètes et de fond qui en découlent ne sont pas totalement nouvelles [18] et glissent de plus en plus vers des questions de surveillance internationale des activités. Pourtant, la technologie du cloud semble constituer une rupture. On peut penser qu’elle sera d’ailleurs plus importante que celle de l’internet à la fin des années 1990, notamment du fait de la délocalisation totale des traitements et du stockage des données. Le risque de dépendances vis-à-vis de ces nouveaux fournisseurs est scruté dans les enceintes internationales [19] . L’évolution réglementaire s’est ainsi déployée en miroir de ces progrès techniques. Il faut toutefois noter une évolution nette sur la décennie 2010 et en particulier depuis 2017 et les Recommandations de l’EBA en la matière (1.). Paradoxalement, alors que la première approche – en réaction – avait été très spécifique au cloud, approche reprise par l’ESMA et l’EIOPA en 2020, le nouveau régime applicable aux externalisations bancaires depuis 2019 se veut général, ce qui a nécessité de conserver, certes très à la marge, quelques dispositions spécifiques au cloud (2.).
1. Les évolutions sectorielles à plusieurs vitesses
Les premières guidelines du CEBS de 2006 étaient générales. Rappelons qu’elles formaient un ensemble de 12 règles rédigées sous forme de principes et qui n’abordaient pas le cloud. Ceci peut se comprendre puisque, bien que la technologie existât, cette dernière n’était pas encore répandue comme de nos jours.
Entre-temps le CEBS avait laissé place à l’EBA qui, face au déploiement de cette technologie, avait publié des Recommandations spécifiques au cloud début 2018. Celles-ci recherchaient sans surprise à s’assurer d’une bonne continuité d’activité des externalisations migrées sur le cloud et bien entendu d’une bonne sécurité. Elles contenaient notamment déjà une obligation de droit d’audit sur le fournisseur, fondée sur les risques, et l’obligation de tenir un registre. Toutefois, ces infrastructures qui ont la caractéristique d’être opérées sur diverses machines au niveau mondial posent des questions exacerbées de sécurité et de droit international, dont le Cloud Act est un exemple.
Ce premier mouvement d’appréhension spécifique du cloud n’est pas encore tout à fait tari, puisque l’EIOPA en février 2020 a publié des recommandations et surtout l’ESMA qui a publié un texte lui aussi spécifique au cloud en décembre 2020. Finalement sous l’angle sectoriel, l’appréhension réglementaire se fait à plusieurs vitesses, selon des modalités dont on aurait préféré qu’elles soient harmonisées, en particulier dans l’esprit [20] des textes de niveau 1.
2. L’encadrement actuel du cloud pour les établissements de crédit
L’encadrement actuel du recours au cloud pour les établissements de crédit siège dans les Orientations sur l’externalisation de l’EBA du 25 février 2019, sous réserve, en application du droit européen, d’une notice de conformité des autorités nationales compétentes. Ceci pose déjà une difficulté entre le rayon d’action de la BCE, sur les établissements systémiques donc, et celui des autorités nationales, limitées aux établissements plus petits, alors même que la BCE et son bras armé la joint supervisory team, doivent en principe aussi une déférence au droit national. Quoi qu’il en soit, ce texte propose un cadre général. En cela il se rapproche des principes du CEBS de 2006, mais tente de faire une synthèse des contraintes qui étaient imposées spécifiquement dans les Recommandations de 2017.
Ainsi les activités faisant appel au cloud sont désormais clairement insérées dans le cadre des Orientations et, sous la réserve de quelques survivances spécifiques, doivent suivre le cadre général qui se révèle très strict. Mais si les Recommandations de 2017 faisaient 13 pages, les Orientations de 2019 en font 43, signe d’un alourdissement des contraintes. Cela est particulièrement vrai pour les prestations dites critiques ou importantes dont relèvent généralement les services de cloud utilisés par les établissements de crédit pour leurs activités.
Ainsi les paragraphes d’application propres au cloud dans les Orientations sont rares et semblent des rappels de bon sens, à savoir les articles 16, 17, 54 (h), 82, 83 et 97. Il s’agit en substance des modalités de droit transitoire au regard des Recommandations de 2017, ces dernières étant abrogées par les Orientations de 2019. On trouve par ailleurs l’obligation de documenter le type de cloud utilisé et les modalités de stockage géographique des données. Ceci aboutit, à l’article 83, à une obligation de la mise en place d’approche en risque concernant le cloud sous l’angle de la sécurité et des lieux où sont stockées les données. Enfin l’article 97 rappelle que les personnes en charge de l’audit dans la banque, personnel interne ou lui-même externalisé, doivent avoir les compétences et les connaissances appropriées et pertinentes. Le personnel propre de la banque, qui examine les certifications ou les audits effectués par un tiers, doit enfin logiquement être soumis aux mêmes contraintes. Parmi les autres dispositions désormais incluses dans le régime général, un droit d’audit existait déjà sous l’empire des Recommandations, mais tout le cadre général strict s’ajoute, comme par exemple les nouvelles contraintes sur le risque de concentration et la documentation.
D’autre part on remarquera que l’EBA fait toujours [21] bien la distinction dans les Orientations entre les services de cloud public, privé, communautaire et hybride. Elle n’a toutefois pas souhaité en tirer totalement les conséquences juridiques. En particulier, les cloud publics sont en principe soumis aux mêmes obligations que les cloud privés, alors que le risque encouru n’est pas comparable. Seule l’application du principe de proportionnalité sous l’angle du risque permet, mais à l’initiative de l’établissement assujetti et donc sous sa responsabilité, de trouver un équilibre adapté dans le traitement du contrôle interne de ces modalités d’externalisation.
Comme on peut le constater, ce ne sont pas les survivances des contraintes spécifiques au cloud qui sont les plus difficiles à mettre en place. C’est bien l’insertion du recours au cloud dans un cadre plus général et strict, ne tenant pas totalement compte de ses particularités, qui pose le véritable problème. Les difficultés s’accumulent alors, aussi bien sous les angles concrets que juridiques.
Enfin dans le cadre du droit international, on notera que dans l’Union, il existe un filtrage de l’application des Orientations qui sont par exemple soumises aux notices de conformités des autorités compétentes. L’EBA n’a en effet pas, en la matière, de pouvoir direct de supervision. Mais avec les pays tiers, un système complexe prévoit l’existence de MoU à l’horizon du 31 décembre 2021 entre autorités de l’Union et autorités étrangères, pour une bonne supervision internationale des externalisations critiques. Ces MoU sont bien souvent inexistants ou insuffisants ce qui complexifie encore la situation. Il a toutefois pu être envisagé que le Royaume-Uni puisse tirer un avantage de ce nouveau cadre général [22] dans le sillage du Brexit. Toutefois le cloud est ici encore spécifique, puisqu’à l’image de la gestion collective, les fournisseurs de cloud sont déjà bien implantés en Irlande.
II. Les spécificités du cloud plaidant pour un encadrement direct
L’externalisation dans le cloud n’est pas une externalisation comme les autres. Les grands fournisseurs généralistes disponibles n’étant pas européens, il s’agit d’une externalisation qui doit nécessairement, à l’heure actuelle, faire appel à des fournisseurs dont le siège se situe dans un pays tiers, États-Unis ou Chine en particulier. Ceci peut donc fournir des rattachements à des lois étrangères. C’est d’ailleurs ce qu’avait bien vu l’EBA dans ses Orientations, ainsi que la Commission, qui sont très attentives au risque de concentration à l’étranger.
Pourtant, depuis les Orientations sur l’externalisation de 2019, les spécificités du cloud sont diluées dans un régime réglementaire et de surveillance désormais très général. Ceci a une conséquence immédiate : l’externalisation dans le cloud fait apparaître de nombreuses contraintes concrètes et soulève des difficultés d’articulation avec les exigences réglementaires (1.). Les autorités européennes et la Commission sont conscientes de ce problème. Alors que des questions de souveraineté se font de plus en plus prégnantes dans l’Union Européenne, des pistes émergent dont on peut souhaiter qu’elles permettent d’encadrer efficacement l’externalisation dans le cloud. Elles passent par l’élaboration de modèles de clauses standard et, on peut le souhaiter, évoluer vers une supervision directe des fournisseurs (2.).
1. Des difficultés d’articulation avec les contraintes réglementaires
Les difficultés issues des Orientations sont de deux ordres. Le premier est purement juridique et porte sur la volonté des fournisseurs de cloud d’accepter l’inclusion des clauses réglementaires obligatoires dans la documentation, en particulier celles concernant les prestations dites critiques ou importantes. Le second est concret et porte sur la possibilité, pour des établissements qui ne sont pas des sociétés informatiques à pouvoir exercer un véritable contrôle sur ces fournisseurs. Dans ce dernier cas, les établissements de crédit ne peuvent pas se transformer en spécialistes de la technologie, ils ne le font d’ailleurs pas pour la fourniture de télécommunications. Cela n’est pas facilité par l’existence de fournisseurs étrangers et de nombreux sous-traitants, notamment pour les éditeurs de logiciels fournis en SaaS. Il faut donc trouver une solution qui soit à l’intersection des contraintes devant peser sur les fournisseurs de cloud et des connaissances que peuvent raisonnablement acquérir les établissements de crédit.
1.1. Les difficultés juridiques
Les attentes des Orientations EBA sont très ambitieuses notamment pour les prestations critiques ou importantes. Les contrats devront être conformes à compter du 31 décembre 2021 au plus tard, ce qui laisse un délai de droit transitoire somme toute limité. Les clauses les plus problématiques [23] sont celles portant sur le droit d’audit [24] , la réversibilité ou la transférabilité [25] , et la surveillance et les obligations à imposer aux sous-traitants [26] , y compris de rang n. La négociation de ces clauses est particulièrement difficile et longue, surtout lorsque le fournisseur a un véritable pouvoir de négociation vis-à-vis des banques, ce qui est manifestement le cas des grands fournisseurs de cloud. On notera toutefois qu’un des grands fournisseurs US de cloud a élaboré une annexe adaptée aux services financiers qui est proche des attentes des Orientations de l’EBA, preuve que les attentes des superviseurs européens commencent à être prises en compte ab initio.
Il faut aussi remarquer que, même si les clauses obligatoires sont bien incluses dans les contrats de fourniture, il reste le problème de l’application du droit sous l’angle international, c’est-à-dire le risque d’application extraterritoriale du droit US, comme le très intrusif Cloud Act [27] , ou encore les contraintes extraterritoriales indirectes liées au droit de l’Union, comme la nécessité de signature d’un MoU avec le pays tiers portant sur la supervision internationale des externalisations critiques. Ces dernières difficultés dépassent la compétence des banques qui restent de simples acteurs privés et nécessiteront un dialogue international à bon niveau qui doit par ailleurs rester favorable à l’innovation.
1.2. Les difficultés opérationnelles
Il est difficile, lors du recours au cloud, de connaître les sous-traitants de son fournisseur de rang 1. De même, de nombreux fournisseurs de rang 1, peu familiers avec les réglementations bancaires, ne connaissent pas en détail tous leurs sous-traitants. Ils ne sont pas en mesure de garantir que les obligations réglementaires obligatoires ont bien été souscrites par le sous-traitant de rang n. Ce dernier peut précisément être un fournisseur de cloud. C’est typiquement le cas pour les éditeurs de logiciels spécialisés fournis en mode SaaS.
Il est aussi concrètement difficile pour les banques d’auditer les fournisseurs de cloud. Rappelons que l’EBA attend de l’établissement, à l’article 87 des Orientations qui concerne l’externalisation de fonctions critiques ou importantes, d’une part « un accès complet à tous les locaux professionnels pertinents (p. ex., sièges sociaux et centres opérationnels), y compris à l’ensemble des appareils, systèmes, réseaux, informations et données pertinents utilisés pour assurer la fonction externalisée, notamment les informations financières connexes, le personnel et les auditeurs externes du prestataire de services (les « droits d’accès et d’information » ) » et d’autre part « des droits inconditionnels en matière d’inspection et d’audit du dispositif d’externalisation (« droits d’audit » ), afin de leur permettre de contrôler le dispositif d’externalisation et de s’assurer du respect de toutes les exigences réglementaires et contractuelles applicables. »
La particularité du cloud ne facilite pas ce type d’audit, on peut par exemple penser aux centres de calculs immergés en mer, pourtant intéressants sous l’angle de la responsabilité sociale et environnementale des entreprises clientes. La confidentialité due aux autres clients du fournisseur peut aussi parfois limiter les investigations des auditeurs.
Les banques doivent donc pouvoir compter sur les certifications fournies par les auditeurs spécialisés, sans craindre d’éventuelles sanctions des superviseurs, que ce soit pour l’audit du fournisseur de rang 1 ou du dispositif au rang n. Les Orientations le prévoient et il sera utile que la pratique administrative applique largement ces dispositions.
Enfin, se pose de manière intense la question de la concentration des acteurs. Si la concentration peut être choisie par les bénéficiaires, pour des questions d’efficacité ou de risque lorsqu’un fournisseur est particulièrement performant dans son secteur, elle peut aussi être subie. La concentration subie, issue de l’absence de concurrence suffisante entre acteurs en trop faible nombre doit évidemment être évitée dans la mesure du possible. Elle révèle en creux les limites de la souveraineté des États membres ou de l’Union en matière de technologie cloud. Le choix offert aux banques est alors clairement insuffisant. Rappelons que le risque de concentration était évoqué dans les principes CEBS de 2006 à l’adresse des autorités [28] , mais avait disparu sous une forme expresse dans les Recommandations de 2017. Il fait un retour appuyé [29] dans les Orientations de 2019. On doit d’ailleurs admettre qu’il est justifié pour les autorités européennes d’avoir une cartographie relativement exacte de la concentration des fournisseurs de cloud qui opèrent dans l’Union.
Les difficultés juridiques et concrètes sont donc bien connues et les instances de l’Union sont en passe de proposer des solutions.
2. Les pistes permettant un meilleur respect du droit et de la souveraineté de l’Union
Les pistes se trouvent, elles aussi, à l’intersection de deux plans, l’un opérationnel et l’autre juridique, l’un et l’autre s’influençant.
2.1. La piste opérationnelle : le développement de fournisseurs cloud dans l’Union
Sur le plan opérationnel, la solution consiste à rendre disponibles aux établissements de crédit exerçant dans l’Union des fournisseurs eux-mêmes européens. L’Union a pris un grand retard en la matière et la Commission s’est elle-même émue des problèmes de souveraineté qui en découlent. Actuellement, les seuls fournisseurs qui sont en mesure de proposer toute la palette des services cloud de manière native sont soit américains, soit chinois. Certaines discussions avec les instances européennes avaient un temps porté sur une solution par label qui consistait donc à « labéliser » les fournisseurs de cloud peu risqués à la lumière de leurs engagements en termes de garantie d’application des principes du droit de l’Union.
En réponse à ces premières réflexions, un projet européen de « marketplace cloud » trans-sectorielle semble se dessiner dans lequel les fournisseurs devraient s’engager à respecter toutes les règles européennes applicables (et donc pouvoir s’extraire d’éventuels conflits de droit international, comme celui provoqué par le Cloud Act). Un exemple typique est le projet [30] GAIA-X, soutenu par les ministres de l’Économie français et allemand.
L’existence de ces « marketplace cloud » trans-sectorielles serait une aide importante pour les établissements de crédit opérant dans l‘Union, mais pas seulement. Les autres industries, comme l’aéronautique, l’automobile ou encore le secteur de la santé, en profiteraient considérablement, notamment pour la gestion des objets connectés.
2.2. La piste juridique : les modèles de clauses standard puis la supervision directe
Sur le plan juridique, plusieurs angles sont possibles [31] selon que les établissements de crédit forment une courroie de transmission des attentes réglementaires vers des fournisseurs non régulés ou, au contraire, que la réglementation, voire la supervision, s’appliquent directement aux fournisseurs.
Dans le paradigme actuel, où l’établissement de crédit est l’intermédiaire des contraintes qui doivent donc se retrouver dans la documentation contractuelle avec les fournisseurs, la Commission a bien appréhendé les difficultés remontées par la profession depuis les premières discussions, début 2018, sur le régime général d’externalisation qui se dessinait. Ceci doit être approuvé. Dans le sillage du plan Fintech de 2018, les modèles de clauses standard [32] en discussion avec la Commission fournissent une première réponse mais restent issus du paradigme actuel. Ces modèles de clauses standard, qui pourraient par exemple être endossés par une opinion de l’EBA et de la BCE permettraient d’éviter de longues négociations.
Dans un nouveau paradigme, où l’établissement de crédit ne serait plus l’intermédiaire des contraintes réglementaires, mais une entité s’adressant à des fournisseurs eux-mêmes surveillés réglementairement [33] , d’importants avantages pourraient être trouvés. En effet, les fournisseurs de cloud sont ou deviennent des entités portant elles-mêmes un risque systémique et cela, nous l’avons déjà souligné, pas uniquement dans le secteur bancaire, mais encore industriel, technologique ou de la santé.
Cette perspective féconde germe dans le projet de règlement DORA [34] qui est certes pour l’instant limité au secteur financier. En effet le projet DORA « instaurera un cadre de surveillance [35] pour les fournisseurs de TIC, tels que les prestataires de services d’informatique en nuage. »
Si le paradigme d’une réglementation et d’une supervision directe des fournisseurs de cloud devait prospérer, des choix de cohérence se poseraient. Le recours à des règlements pourrait rendre inutile la technique des Orientations. Cette évolution pourrait limiter la souplesse actuelle dans l’application des Orientations par les États membres. Ce serait finalement le prix à payer pour une meilleure protection du marché [36] des nouvelles technologies dans l’Union.
Quelle pourrait alors être la stratégie des établissements de crédit à ce stade ? Ils doivent bien sûr mettre en place une gouvernance adaptée tenant compte des contraintes de droit international et de surveillance technique du cloud. Ils doivent aussi s’assurer de la bonne rédaction des contrats avec leurs fournisseurs et se préparer aux négociations nécessaires pour les accords d’externalisation non conformes aux Orientations. Le suivi de ces externalisations fait ensuite partie du dispositif de contrôle interne dans lequel la fonction risque ou conformité joue le rôle le plus important. Enfin, ils pourront déjà ouvrir une réflexion sur l’éventuelle évolution de paradigme que nous évoquions et de la façon dont ils pourront plus facilement assurer leur contrôle interne grâce à cette supervision directe des fournisseurs de cloud. Ceci fournirait une piste d’amélioration de leur situation dans un secteur bancaire très concurrentiel.
Conclusion
Trois phases se dessinent finalement. Dans un temps court, les établissements de crédit devront réussir à négocier les clauses réglementaires obligatoires issues des Orientations EBA du 25 février 2019 avec leurs fournisseurs cloud. La date du 31 décembre 2021 laisse un délai court en termes de conformité et l’articulation en droit international avec les pays tiers crée un risque, en l’absence de signature de MoU entre les autorités compétentes dans l’Union et les autorités étrangères.
À moyen terme ensuite, il serait utile que les instances européennes mettent en place une régulation et une supervision plus directe de ces fournisseurs. Cette mutation de paradigme apparaît déjà [37] dans le projet de règlement DORA et devrait être encouragée, y compris dans une optique trans-sectorielle.
À plus long terme, une marketplace européenne et trans-sectorielle bien établie pour les fournisseurs cloud est très attendue. Elle devrait comporter des contraintes strictes d’alignements avec les principes du droit de l’Union. Par ailleurs, les orientations ou recommandations des ESAs seraient alors éventuellement abrogées, puisque leur champ d’application serait absorbé par de nouveaux règlements. Ce dernier point n’est pas anodin, puisque la latitude laissée aux superviseurs nationaux dont, notamment en France, l’ACPR pour l’application de l’arrêté du 3 novembre 2014, ne serait alors plus de mise. La vision à long terme ne saurait aussi se concevoir sans une stratégie européenne en termes de concurrence [38] . Celle-ci pourrait fournir, sous un autre angle, une solution à la concentration et à la localisation actuelle des fournisseurs de cloud.
[1]. Loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance précise à son art. premier : « la sous-traitance est l’opération par laquelle un entrepreneur confie par un sous-traité, et sous sa responsabilité, à une autre personne appelée sous-traitant l’exécution de tout ou partie du contrat d’entreprise ou d’une partie du marché public conclu avec le maître de l’ouvrage ».
[2]. Sur les obligations insérées dans le règlement 97-02 applicable à partir du 1er janvier 2006, voir : Thierry Samin, « Les nouvelles obligations pesant sur les établissements de crédit et les entreprises d’investissement », Banque & Droit n° 101, mai-juin 2005.
[3]. L’art. 10 r) de l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution précise ainsi : « Activités externalisées : les activités pour lesquelles l’entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisation de prestations de services ou d’autres tâches opérationnelles essentielles ou importantes par sous-traitance au sens de la loi n° 75-1334 du 31 décembre 1975 susvisée, par démarchage au sens des articles L. 341-1 et L. 341-4 du code monétaire et financier, par le recours à des personnes en vue de distribuer de la monnaie électronique pour le compte de l’entreprise assujettie au sens des articles L. 525-8 et suivants du même code, par le recours aux agents liés définis aux articles L. 545-1 et suivants du même code, par le recours aux agents définis aux articles L. 523-1 et suivants du même code ou par toute autre forme ».
[4]. Précisons que la DGT met actuellement à jour l’arrêté du 3 novembre 2014 pour s’aligner avec les nouveaux textes concernant la LAB-FT, la sécurité informatique ou l’externalisation. Pour l’externalisation, les modifications concernent la présence du registre et l’information des autorités compétentes, elles porteront sur les articles 232 et 238 de l’arrêté.
[5]. Sur le concept d’externalisation, voir : « Outsourcing in Financial Services », Joint Forum (BCBS, IAIS and IOSCO), 2005 : « a regulated entity’s use of a third party (either an affiliated entity within a corporate group or an entity that is external to the corporate group) to perform activities on a continuing basis that would normally be undertaken by the regulated entity, now or in the future ».
[6]. Règlement Général AMF, art. 318-58 et s. et art. 321-93 et s. ; Code des assurances, art. L. 354-3 et R. 354-7 ainsi que les instructions ACPR 2019-I-06 et 2020-I-09.
[7]. À haut niveau, pour une description des « cloud-based services », voir : Basel Committee on Banking Supervision,Sound Practices : Implications of fintech developments for banks and bank supervisors , janvier 2018 : page 31 et page 41 pour une définition : « cloud computing refers to the use of an online network (“cloud”) of hosting processors to increase the scale and flexibility of computing capacity. This model enables convenient on-demand network access to a shared pool of configurable computing resources (eg networks, servers, storage facilities, applications and services) that can be rapidly released with minimal management effort or service provider interaction. »
[8]. Les « GAFAMI » (Google, Apple, Facebook, Microsoft, IBM) auxquels il faut ajouter Alibaba qui fait partie des « BATX » (Baidu, Alibaba, Tencent, Xiaomi).
[9]. Voir pour la France : ACPR, « Les risques associés au cloud computing », Analyses et synthèses n° 16, juillet 2013.
[10]. CEBS, Guidelines on Outsourcing, 14 décembre 2006.
[11]. Recommandations sur l’externalisation vers des fournisseurs de services en nuage, EBA/REC/2017/03, du 20 décembre 2017 et publiée le 28 mars 2018.
[12]. Orientations relatives à l’externalisation, EBA/GL/2019/02, 25 février 2019.
[13]. EIOPA, Orientations relatives à la sous-traitance à des prestataires de services en nuage, EIOPA-BoS-20-002, 6 février 2020 ; ESMA, Guidelines on outsourcing to cloud service providers, ESMA 50-157-2403, 18 décembre 2020.
[14]. European Commission FinTech Action plan, COM(2018) 109 final.
[15]. Pour la Suisse : Circulaire FINMA 2018/3 « Outsourcing – banques et assureurs » ; Association suisse des banquiers, Guide “cloud” - Recommandations pour sécuriser le cloud banking, juin 2020.
Pour le Royaume-Uni : FCA, FG 16/5, Guidance for firms outsourcing to the ‘cloud’ and other third-party IT services. Ce texte est remplacé par les Orientations de l’EBA depuis septembre 2019 sur le périmètre de cette dernière et reste applicable par ailleurs. Voir aussi la consultation de la PRA, Outsourcing and third party risk management, CP30/19, décembre 2019.
Pour les États Unis, voir notamment : State of New York Department of Financial Services, Title 23 NYCRR Part 500 et les différentes règles de « retention of books and records » et pour la définition : National Institute of Standards and Technology, The NIST Definition of cloud Computing, Special Publication 800-145, septembre 2011.
Pour Singapour : Monetary Authority of Singapore, Guidelines on Outsourcing, Last revised on 5 October 2018.
Pour l’Australie : APRA, Information Paper, Outsourcing including cloud computing services, 24 septembre 2018.
[16]. Pour une présentation générale, voir : Maylis de Marolles, « Quid des nouvelles Orientations de l’Autorité bancaire européenne (ABE) en matière d’externalisation pour les établissements de crédit français, depuis ce 30 septembre 2019 : une révolution ou une simple évolution ? », Banque & Droit n° 189, janv. -févr. 2020.
[17]. Comm. UE, communiqué, 24 sept. 2020, Ensemble de mesures sur la finance numérique : la Commission propose une nouvelle approche ambitieuse pour encourager l’innovation responsable, au bénéfice des consommateurs et des entreprises ; Proposal for a Regulation of the European Parliament and of the Council on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2 014 and (EU) No 909/2014, COM/2 020/595 final, 24/09/2020.
[18]. « L’externalisation des activités bancaires en France et en Europe », Bulletin de la Commission bancaire n° 31, nov. 2004, page 29.
[19]. Cette préoccupation est générale, voir notamment : FSB, Third-party dependencies in cloud services, Considerations on financial stability implications, 9 décembre 2019, ainsi que la consultation Regulatory and Supervisory Issues Relating to Outsourcing and Third-Party Relationships (9 novembre 2020) ; BCBS, Sound Practices : implications of fintech developments for banks and bank supervisors, janvier 2018 ; IOSCO, Outsourcing Principles for Market Intermediaries (2005), Outsourcing Principles for Markets (2009), ainsi que la consultation : Principles on Outsourcing Consultation Report (mai 2020).
[20]. En particulier entre les directives Solvabilité II d’une part, MIF II et CRD V d’autre part.
[21]. Les Orientations définissent le service de cloud comme des « services fournis au moyen de l’informatique en nuage, à savoir un modèle permettant d’accéder partout, aisément et à la demande, par le réseau, à des ressources informatiques configurables mutualisées (réseaux, serveurs, stockage, applications et services par exemple) qui peuvent être rapidement mobilisées et libérées avec un minimum d’effort ou d’intervention d’un prestataire de services. » Le cloud public est une « infrastructure en nuage accessible au grand public en vue d’une utilisation ouverte » ; le cloud privé est une « infrastructure en nuage accessible à un seul établissement ou établissement de paiement en vue d’une utilisation exclusive » ; le cloud communautaire est une « infrastructure en nuage accessible à une communauté d’établissements ou d’établissements de paiement précise, y compris à plusieurs établissements d’un même groupe, en vue d’une utilisation exclusive » ; le cloudhybride est une « infrastructure en nuage composée d’au moins deux infrastructures en nuage distinctes ».
[22]. Pour une analyse sous l’angle du Brexit, voir : Olivier Bernardi, Catherine Feunteun, « L’externalisation bancaire européenne sera-t-elle un cheval de Troie britannique ? », RISF n° 3-2019, page 119.
[23]. Par exemple voir : Orientations EBA, art 75 (p) : la contractualisation devant inclure « le droit inconditionnel des établissements, des établissements de paiement et des autorités compétentes d’inspecter et d’auditer le prestataire de services en ce qui concerne, en particulier, la fonction critique ou importante externalisée , comme indiqué à l a section 13.3 » et l’art. 87.
[24]. Art. 87 à 89 des Orientations.
[25]. Art. 31 et surtout 40 des Orientations
[26]. Art. 42, 55, 67, 75 et surtout 76 et s. des Orientations.
[27]. Clarifying Lawful Overseas Use of Data Act, signed March 23, 2018, 18 U.S.C. 2701 to 2713.
[28]. CEBS, Guidelines on Outsourcing, 2006 : Guideline 12.
[29]. Art. 66 (a), 103, 116 (d) et (e), 117 des Orientations.
[30]. Voir : https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html. Le projet GAIA-X est juridiquement constitué en association internationale sans but lucratif (AISBL) de droit belge. On notera qu’Atos, Orange, OVHcloud, Safran ou Scaleway font notamment partie des membres fondateurs.
[31]. Un groupe de travail du HCJP rendra prochainement un rapport sur le cloud en matière bancaire qui dressera un état des lieux et fera des propositions.
[32]. La teneur de ces modèles de clauses standards européennes serait alignée sur les attentes des Orientations. Elles seraient donc plus facilement négociables par les banques avec leurs fournisseurs. Ces modèles devraient être publiés courant 2021.
[33]. Pour une première réflexion, voir : Expert Group on Regulatory Obstacles to Financial Innovation (ROFIEG) : 30 recommendations on regulation, innovation and finance, Final Report to the European Commission, décembre 2019 : recommandation 5 page 15, évoquant la possibilité d’un régime d’agrément pour les fournisseurs de technologie aux entités régulées.
[34]. Comm. UE, communiqué, 24 septembre 2020 : « La proposition de loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, ou DORA) vise à faire en sorte que tous les participants au système financier mettent en place les garanties nécessaires pour atténuer les cyberattaques et les autres risques. La législation proposée : imposera à toutes les entreprises de veiller à pouvoir résister à tous les types de perturbations et de menaces liées à l’informatique ; instaurera un cadre de surveillance pour les fournisseurs de TIC, tels que les prestataires de services d’informatique en nuage. »
[35]. Projet de règlement DORA : l’art. 1 (d) prévoit des « rules on cooperation among competent authorities and rules on supervision and enforcement by competent authorities in relation to all matters covered by this Regulation », l’art. 43 (2) : « Competent authorities, EBA, ESMA or EIOPA and the ECB shall cooperate closely with each other and exchange information to carry out their duties pursuant to Articles 42 to 48. They shall closely coordinate their supervision in order to identify and remedy breaches of this Regulation, develop and promote best practices, facilitate collaboration, foster consistency of interpretation and provide cross-jurisdictional assessments in the event of any disagreements. »
Plus intéressant encore dans l’évaluation du projet on peut lire : « The Commission considered a number of policy options for developing a digital operational resilience framework :
“Do nothing” : rules on operational resilience would continue to be set by the current, diverging set of EU financial services provisions, partly by the NIS Directive, and by existing or future national regimes ;
Option 1 : strengthening capital buffers : additional capital buffers would be introduced to increase financial entities’ ability to absorb losses that could arise due to a lack of digital operational resilience ;
Option 2 : introducing a financial services digital operational resilience act : enabling a comprehensive framework at EU level with consistent rules addressing the digital operational resilience needs of all regulated financial entities and establishing an Oversight framework for critical ICT third-party providers ;
Option 3 : a financial services digital operational resilience act combined with centralised supervision of critical ICT third-party service providers : in addition to a digital operational resilience act (option 2), a new authority would be established to supervise the provision of services by ICT third party service providers .
The second option was retained, as it achieves most of the intended objectives in a manner that is effective, efficient and coherent with other Union policies. »
[36]. Dans cet esprit, voir aussi la publication par la Commission européenne le 15 décembre 2020 des projets de règlements Digital Services Act (DSA) et surtout Digital Markets Act (DMA) : Proposal for a Regulation of the European Parliament and of the Council on contestable and fair markets in the digital sector (Digital Markets Act), COM/2020/842 final.
[37]. Les discussions sur l’opportunité d’une supervision centralisée des fournisseurs par une nouvelle autorité européenne portent davantage sur les modalités de contrôle que sur la supervision elle-même qui serait désormais davantage directe.
[38]. Voir le projet Digital Markets Act, précité.
