Par Jérôme Sutour, avocat associé, CMS Francis Lefebvre Avocats

Pour rappel, ces nouvelles règles, tout comme le projet, s’articulent autour de neuf grands thèmes visant à encadrer tant le choix que le suivi par les entités de leurs fournisseurs de services dans le cloud (« FSC »). Si ces lignes directrices pourraient paraître identiques à celles présentées dans le projet (3), une lecture attentive permet au contraire de conclure que le régulateur européen a souhaité tant préciser qu’étendre les principes qu’il avait dégagés.

Tout d’abord, le champ des lignes directrices précise désormais clairement que tant les FSC que les prestataires qui ne sont pas des FSC mais qui s’appuient eux-mêmes, à l’occasion de la fourniture de leurs services aux entités, à des FSC, sont bien dans le périmètre de ces lignes directrices. A cet égard, l’analyse de risque du recours à ce type de prestataire et de leur suivi doit couvrir non seulement les risques pour l’activité même de l’entité dans la durée de la relation mais également ceux éventuellement encourus par le système financier, l’ESMA précisant que l’entité doit bien envisager si lesdits services évoluent vers des prestations essentielles externalisées au sens réglementaire (« PSEE »).

Au-delà, les lignes directrices renforcent les obligations préventives de sécurité en particulier, dans la perspective de plan de reprise ou de continuité. Ainsi, si l’obligation de s’assurer du contrôle des points d’accès à l’occasion de la fourniture de ces services n’est plus une obligation de résultat à la charge...