Nos anciens articles (juillet 2013) : l’ACPR et le Cloud computing
Pour l’Autorité de contrôle prudentiel et de résolution (ACPR), prestations dans le Cloud = Externalisation de prestations de services essentielles (PSEE) ?
L’Autorité de Contrôle Prudentiel a publié en juillet 2013 son analyse sur le périmètre, l’usage et les risques du Cloud computing pour les entreprises des secteurs de la banque et de l’assurance. Cette analyse se nourrit des réponses des quatorze entreprises du secteur de l’assurance et douze du secteur de la banque qui ont répondu à un questionnaire ad hoc que l’ACP leur a envoyé début 2013, apporte des réponses attendues, mais aussi son lot de surprises…
Dans cette analyse, l’Autorité de Contrôle Prudentiel rappelle les points d’attention concernant le Cloud, qui sont notamment :
- le fait de prévoir un encadrement contractuel impératif ;
- l’utilisation du chiffrement lors du transport et du stockage des données en l’absence d’anonymisation ;
- l’obligation de contrôler du prestataire en prévoyant notamment de se doter contractuellement d’une capacité d’audit par l’établissement ou via l’ACPR ;
- la nécessité de prévoir la continuité de la prestation assurée en formalisant cet engagement dans les contrats de service ;
- la nécessaire réversibilité de la prestation qui doit être prise en compte dès la souscription du service ;
- ou encore le fait de prévoir une organisation et une gouvernance des systèmes d’information adaptées à l’utilisation du Cloud computing.
Le rapport indique surtout dans sa page 13 qu’
« en matière d’externalisation de prestations essentielles ou d’autres tâches importantes, il n’est pas évident que des fonctions considérées comme « support » ne soient pas en pratique à considérer comme essentielles ou importantes, eu égard à la place qu’elles prennent dans la réalisation de certains services et pour la continuité de l’activité (ressources informatiques notamment) ».
Dans le cadre de cette étude, l’ACPR reprend donc pour l’essentiel une analyse plutôt classique et convenue des points d’attention impératifs concernant le Cloud (partagée par la CNIL, la doctrine, etc.), mais en l’agrémentant d’un ajout fondamental. Par le biais de la formulation sibylline de la page 13, l’ACPR se réserver en effet toute la latitude nécessaire pour être en mesure de considérer demain, à l’occasion d’un de ses contrôles prestation habituellement considérée comme non essentielle et de type « support » pour devenir une Prestation de service essentielle externalisée presque du seul fait de son passage dans le Cloud !
La conséquence ? L’application des règles strictes du règlement CRBF 97/02.
En pratique, afin d’éviter tout risque de requalification ultérieure, une approche prudente devrait consister à considérer tout recours aux solutions de Cloud comme requalifiant de facto les prestations opérées en PSEE…
Une contrainte qui peut toutefois se transformer en avantage pour les établissements financiers lorsqu’il s’agit de négocier et d’imposer aux grands acteurs du Cloud l’inclusion de fortes garanties contractuelles dans les contrats (notamment en matière d’audits) !
Le document d’analyse des risques associés au Cloud computing publié par l’ACPR en juillet 2013 peut être téléchargé ici.
Me François Coupez
Avocat à la Cour, Fondateur
Chargé d’enseignements (Paris II Panthéon-Assas, Paris Dauphine-PSL)
Certifié :
– Spécialiste en Droit des nouvelles technologies (CNB)
– DPO (CNIL – AFNOR, APAVE)
– ISO 27001 Lead implementer – niveau avancé (LSTI)
Crédits photo : Adobe Stock