Près d’un an après sa consultation sur ce sujet[1] (le « Projet »), l’ESMA vient de publier le 10 mai dernier ses lignes directrices sur l’externalisation auprès de fournisseurs de services dans le Cloud[2] (les « Lignes Directrices ») applicables aux principales entités entrant dans le champ de compétence de l’ESMA, qu’il s’agisse des sociétés de gestion de FIA ou de UCITS, des prestataires de services d’investissement, agences de notation ou dépositaires centraux (les « Entités »).
Pour rappel, ces nouvelles règles, tout comme le Projet, s’articulent autour de neuf grands thèmes visant à encadrer tant le choix que le suivi par les Entités de leurs fournisseurs de services dans le Cloud (« FSC »). Si ces Lignes Directrices pourraient paraître identiques à celles présentées dans le Projet[3], une lecture attentive permet au contraire de conclure que le régulateur européen a souhaité tant préciser qu’étendre les principes qu’il avait dégagé.
Tout d’abord, le champ des Lignes Directrices précise désormais clairement que tant les FSC que les prestataires qui ne sont pas des FSC mais qui s’appuient eux-mêmes, à l’occasion de la fourniture de leurs services aux Entités, à des FSC, sont bien dans le périmètre de ces Lignes Directrices. A cet égard, l’analyse de risque du recours à ce type de prestataire et de leur suivi doit couvrir non seulement les risques pour l’activité même de l’Entité dans la durée de la relation mais également ceux éventuellement encourus par le système financier, l’ESMA précisant que l’Entité doit bien envisager si lesdits services évoluent vers des prestations essentielles externalisées au sens réglementaire (« PSEE »).
Au-delà, les Lignes Directrices renforcent les obligations préventives de sécurité en particulier, dans la perspective de plan de reprise ou de continuité. Ainsi, si l’obligation de s’assurer du contrôle des points d’accès à l’occasion de la fourniture de ces services n’est plus une obligation de résultat à la charge des Entités, l’ESMA suggère de renforcer les schémas de protection, par exemple en s’assurant que les plans de continuité prévoient un stockage offline. Pareillement, en matière de PSEE, l’ESMA recommande, s’agissant de l’obligation de suivi des certificateurs tiers, que les Entités cherchent à ne pas se reposer seulement sur leur rapport. Cette évolution pourrait ainsi s’interpréter comme une présomption simple de négligence si l’Entité n’adopte pas de manière régulière une politique d’analyse propre de ses FSC.
Ce renforcement transparaît également en matière de sous-délégation puisque les entités doivent désormais conduire, avant d’accepter ou refuser le recours par leur FSC à un tiers, à une analyse du risque lié à la mise en œuvre d’un tel schéma. Cette nouvelle obligation à la charge des Entités doit être mise en parallèle avec celle, figurant désormais aux Lignes Directrices, consistant à informer expressément leur autorité de tutelle en cas de recours à des FSC (une obligation conforme au régime actuel français).
Ainsi, si les Lignes Directrices ne s’écartent pas sensiblement du Projet, les différences traduisent une volonté du régulateur européen que les Entités adoptent une approche plus systématique que celle apparaissant dans le Projet de leur recours aux FSC : la flexibilité laissée aux acteurs dans le recours aux FSC a donc pour pendant l’obligation pour ces derniers de strictement encadrer leurs accords avec les FSC selon les orientations données par les Lignes Directrices, et de mettre en place un régime de contrôle et de suivi pendant toute la durée de la relation (identification du besoin et des contraintes, choix du FSC, contractualisation conforme aux Lignes Directrices et suivi). Sur ce dernier point, et en particulier concernant l’obligation d’analyser le risque lié à la localisation des FSC, il reste à espérer que les autorités de tutelle au niveau des Etats membres laisseront aux Entités qui ne les ont pas déjà traduites dans leurs accords avec leurs prestataires et dans leur procédure sur ce sujet, le temps nécessaire à la mise en œuvre de ces nouvelles règles.
1 Draft Guidelines on Outsourcing to Cloud Service Providers - ESMA50-164-3342
2 Guidelines on outsourcing to cloud service providers - 10/05/2021| ESMA50-164-4285
3 Voir Option Finance du 29 juin 2020
Article paru dans Option Finance le 31/05/2021
En savoir plus sur notre cabinet d'avocats :
Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Notre enracinement local, notre positionnement unique et notre expertise reconnue nous permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.
%20(2).jpg?v=3)
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.