Par Jérôme Sutour, avocat associé, CMS Francis Lefebvre Avocats

Tout d’abord, il faut noter que le Projet a vocation à régir l’ensemble des acteurs dans le champ de compétence de l’ESMA : qu’il s’agisse des sociétés de gestion de FIA ou d’OPCVM, des prestataires de services d’investissement, des agences de notation ou des dépositaires centraux (les «Entités»), tous ont vocation à se conformer aux principes qui seront dégagés de cette consultation.

Le Projet s’articule autour de neuf grands thèmes (audit, gouvernance, contractualisation, etc.) couvrant l’ensemble de la démarche devant être mise en œuvre en cas de recours aux fournisseurs de services dans le cloud (les «Prestataires»). 

1. Assouplissement relatif des conditions d’audit et de contrôle

Si les propositions du Projet sont généralement conformes à l’environnement connu des Entités en matière d’externalisation, celles relatives au contrôle présentent un grand intérêt par leur pragmatisme. En effet, l’ESMA reconnaissant la difficulté pour les Entités de contrôler ces Prestataires dont les services sont par nature dématérialisés, le régulateur propose de reconnaître divers modes alternatifs d’audit afin de contrer l’argument des Prestataires sur le risque que font courir les contrôles sur leur environnement informatique tels que :

– l’établissement de rapport par le Prestataire au bénéfice de l’Entité portant sur la réalisation de tests déterminés par cette dernière ;

– l’utilisation de certificats ou rapports d’audit de prestataires tiers missionnés par le Prestataire ;

– la réalisation d’audits communs par plusieurs Entités sur le Prestataire.

Etant entendu que l’Entité reste toujours responsable des activités qu’elle externalise et qu’à ce titre, la conduite d’audits et le bénéfice d’une certification par un tiers restent conditionnés par l’évaluation de ce tiers et la faculté d’imposer contractuellement l’extension du champ des contrôles et vérifications par ce tiers.