Le rapport du HCJP sur le cloud bancaire : état des lieux et propositions

Le Haut Comité juridique de la Place financière de Paris (HCJP) vient de mettre en ligne son rapport sur le « Cloud bancaire ».

L'usage grandissant de la technologie de l'informatique en nuage (cloud) et sa généralisation au sein des métiers bancaires soulève d'indéniables enjeux liés à :

- la forte concentration des prestataires de services technologiques ;
- la question de la souveraineté numérique ; et
- au risque de non-conformité à la réglementation financière.

Après une revue de ces enjeux, le rapport fait le constat que la réglementation qui encadre le secteur bancaire est inadaptée et doit évoluer. L'appréhension du phénomène d'externalisation des services liés aux activités bancairesvers le Cloudpar la réglementation, au niveau européen (notamment, lignes directrices du Comité Européen des Superviseurs Bancaires (CESB), recommandations de l'Autorité Bancaire Européenne (ABE) précisant les orientations du CESB) et national s'est révélée lacunaire et hétérogène.

Au sein du « paquet » de mesures sur la finance numérique lancé par la Commission européenne, le projet de Règlement européen DORA ("Digital Operational Resilience Act") enclenche cette dynamique d'évolution. Ce projet prévoit des exigences harmonisées afin d'accroître et de sauvegarder la résilience opérationnelle des établissements et professionnels réglementés de la banque, des marchés financiers, de l'assurance notamment. Il a notamment pour objet de répondre aux enjeux relatifs à l'exposition et à la dépendance croissante des professionnels réglementés à l'égard des Prestataires TIC (incluant les Prestataires de Cloud), à l'absence d'un cadre harmonisé pour la maîtrise des risques associés aux TIC et à l'insuffisance du cadre réglementaire actuel concernant l'externalisation au regard du déséquilibre constaté dans la relation entre ces prestataires et les entités financières. Ce projet de règlement européen d'application directe dans les États membres s'articule autour de deux piliers :

- les obligations applicables aux entités financières traitant avec les Prestataires TIC, à mettre en œuvre sur la base d'un principe de proportionnalité et dans une perspective de maîtrise des risques liés aux TIC ; et
- la surveillance des Prestataires TIC établis au sein de l'UE qui sont considérés comme « critiques » par les autorités européennes de supervision, sur la base de critères définis.

Le rapport met en lumière les principaux apports de ce projet et formule certaines propositions d'amélioration concernant les thèmes suivants :

- supervision des Prestataires TIC critiques : conditions tenant au rattachement géographique au territoire de l'Union des prestataires critiques, à la détermination de leur caractère critique, et sanctions des manquements des Prestataires TIC critiques ;
- aménagement de l'interdiction pour les entités financières de faire appel à des Prestataires TIC critiques qui ne sont pas établis dans l'UE, notamment en termes d'application de la loi dans le temps et de l'évolution du caractère critique du Prestataire TIC ;
- exclusion des Prestataires TIC Intragroupes du champ d'application ratione personae de la surveillance des AES et de celui de l'interdiction de recourir à des Prestataires TIC Pays Tiers critiques, à certaines conditions ; et
- renforcement des obligations des Prestataires TIC en matière contractuelle.