Articles en relation
Où en est-on de l’encadrement réglementaire des banques européennes en matière de cloud ?
L’Autorité bancaire européenne (EBA) et l’Autorité européenne des marchés financiers (AEMF) ont publié, en 2019-2020, des lignes directrices destinées à être reprises par le projet de règlement européen sur la résilience opérationnelle et numérique du secteur financier (DORA), publié par la Commission européenne en septembre 2020.
Schématiquement, le premier volet de ce projet de règlement prévoit des obligations à la charge des entités réglementées concernées en matière de maîtrise des risques liés à leurs dispositifs de aux technologies de l’information et de la communication (TIC).
Le deuxième volet, plus novateur, soumet les prestataires de services de TIC considérés comme critiques à une obligation de s’établir dans l’Union et à une surveillance directe par les trois autorités de supervision européenne coordonnées par l’une d’elles désignée comme superviseur principal. Pour l’heure, le projet de règlement est en cours de discussion. En décembre dernier, le Parlement européen en a substantiellement modifié le texte en première lecture. Son adoption définitive devrait intervenir au cours de l’année 2022.
Quelle était la situation de départ au niveau européen ?
En l’absence de règles contraignantes spécifiques, la réglementation au niveau national et européen est lacunaire et hétérogène. Le risque sur les prestataires de cloud a été avant tout appréhendé sous l’angle de l’externalisation. En matière bancaire, ce sont des règles nationales, plus ou moins contraignantes, qui régissent l’externalisation. Ce n’est que très récemment que les autorités européennes ont tenté d’harmoniser ces règles grâce à des lignes directrices ; en matière bancaire, l’EBA a toutefois mis à jour les lignes directrices émises en 2006 par son prédécesseur, le Committee of European Banking Supervisors (CEBS), qui n’avaient pas de valeur normative). Mais les autorités de certains États membres n’ont pas souhaité y adhérer pleinement, comme par exemple, la Banque d’Espagne qui a indiqué qu’elle ne se conformerait que partiellement à ces lignes directrices, en raison de leur incompatibilité avec la réglementation espagnole concernant la réception des dépôts et les services de paiement, ou encore le régulateur polonais qui ne les appliquera pas aux services de cloud.
À quelle réglementation une banque européenne possédant des activités aux États-Unis, comme c’est le cas de Santander, devra-t-elle se conformer ?
À l’heure actuelle, les autorités américaines ont le dernier mot. Ces derniers temps, on a beaucoup parlé du CLOUD Act (Clarifying Lawful Overseas Use of Data Act), dont l’objectif est de permettre aux autorités américaines d’obtenir de la part de tout prestataire de services informatiques ou de communication électronique la communication des informations dont ils sont détenteurs. Du fait de la nationalité des GAFAM, l’efficacité de ce texte ne fait aucun doute. Toutefois, ses conditions d’application sont très encadrées. En revanche, d’autres textes plus anciens, comme le FISA, sont bien plus intrusifs. Or, DORA n’a pas pour objectif de restreindre l’accès des autorités de pays tiers à l’information détenue par un fournisseur de services TIC soumis à ce règlement. D’ailleurs, DORA n’impose pas que les données détenues par les prestataires soient stockées dans l’Union. n
Propos recueillis par Stéphanie Salti.
