Home / Publications / Lignes directrices de l’ESMA sur le cloud outso...

Lignes directrices de l’ESMA sur le cloud outsouring

Des orientations très terre à terre !

13/07/2020

L’ESMA consulte depuis le 3 juin 2020 sur son Projet de lignes directrices sur l'externalisation vers des fournisseurs de services dans le Cloud (le « Projet »)1. En effet, partant du constat de l’extraordinaire augmentation du recours à ce type de services, le Régulateur européen a souhaité consulter les acteurs réglementés sur les grands principes à respecter en cas de mise en œuvre d’une telle organisation.

Tout d’abord, il faut noter que le Projet a vocation à régir l’ensemble des acteurs dans le champ de compétence de l’ESMA : qu’il s’agisse des sociétés de gestion de FIA ou d’OPCVM, des prestataires de services d’investissement, agences de notation ou dépositaires centraux (les « Entités »), tous ont vocation à se conformer aux principes qui seront dégagés de cette consultation.

Le Projet s’articule autour de neuf grands thèmes (audit, gouvernance, contractualisation, etc.) couvrant l’ensemble de la démarche devant être mise en œuvre en cas de recours aux fournisseurs de services dans le Cloud (les « Prestataires »).

Assouplissement relatif des conditions d’audit et de contrôle

Si les propositions du Projet sont généralement conformes à l’environnement connu des Entités en matière d’externalisation, celles relatives au contrôle présentent un grand intérêt par leur pragmatisme. En effet, l’ESMA reconnaissant la difficulté pour les Entités de contrôler ces Prestataires dont les services sont par nature dématérialisés, le régulateur propose de reconnaître divers modes alternatifs d’audit afin de contrer l’argument des Prestataires sur le risque que font courir les contrôles sur leur environnement informatique tels que :

  • l’établissement de rapport par le Prestataire au bénéfice de l’Entité portant sur la réalisation de tests déterminés par cette dernière ;
  • l’utilisation de certificats ou rapports d’audit de prestataires tiers missionnés par le Prestataire ;
  • la réalisation d’audits communs par plusieurs Entités sur le Prestataire.

Etant entendu que l’Entité reste toujours responsable des activités qu’elle externalise et qu’à ce titre, la conduite d’audits et le bénéfice d’une certification par un tiers restent conditionnés par l’évaluation de ce tiers et la faculté d’imposer contractuellement l’extension du champ des contrôles et vérifications par ce tiers.

Renforcement du cadre de mise en œuvre des contrôles par les Entités

Si l’ESMA envisage un assouplissement du volet des contrôles, le Projet renforce significativement les obligations à la charge des Entités, que cela soit par exemple :

  • au niveau de la mise en œuvre en exigeant l’établissement de procédures détaillées sur le recours à ce type de prestataires, en particulier s’agissant des informations qui leurs sont transmises ;
  • au niveau du cadre contractuel en prévoyant l’obligation de localiser l’ensemble des datas centers où sont stockées les données ; ou encore
  • au niveau de l’architecture informatique avec des contraintes de cryptage sur les données, de contrôle des accès réseaux ou de redondance et de ségrégation entre les bases de données.

S’il est probable que ces propositions feront l’objet d’adaptations à l’issue de la période de consultation expirant le 1er septembre 2020, il n’en reste pas moins probable que beaucoup d’entre elles seront adoptées. Les Entités peuvent donc se satisfaire de ce que l’ESMA ait tenu compte de la difficulté de procéder aux contrôles sur pièces et places de ce types de prestataires. Il n’en reste pas moins que les Entités auraient intérêt, dès à présent, à conduire un état des lieux de ce type d’externalisation afin de pouvoir rapidement se conformer à ces lignes directrices lorsqu’elles auront été adoptées.

Article paru dans Option Finance le 29 juin 2020 


1.Draft Guidelines on Outsourcing to Cloud Service Providers - ESMA50-164-3342


En savoir plus sur notre cabinet d’avocats :

Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Son enracinement local, son positionnement unique et son expertise reconnue lui permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.

cabinet avocats CMS en France

A propos de notre cabinet d'avocats

expertise banque & finance

Expertise : Banque & finance

nous contacter 330x220

Nous contacter

Auteurs

Portrait deJérôme Sutour
Jérôme Sutour
Associé
Paris