Autorité financière (AMF) et autorité prudentielle (ACPR) France

  • Article

À propos de l’AMF et de l’ACPR

L’autorité financière (autorité des marchés financiers, AMF) et l’autorité prudentielle (autorité de contrôle prudentiel et de résolution, ACPR) sont les principaux régulateurs financiers en France. En sa qualité de régulateur de marché boursier, l’AMF est responsable de la surveillance des marchés financiers et des entreprises d’investissement. L’ACPR, autorité d’administration indépendante, sous la banque centrale, la Banque de France, supervise les secteurs de la banque et des assurances.

L’AMF et l’ACPR agissent de concert avec l’Autorité bancaire européenne (ABE), « une autorité indépendante de l’UE, qui s’efforce de garantir une réglementation et une surveillance prudentielles efficaces et cohérentes dans le secteur bancaire européen ». À cette fin, l'ABE a défini une approche globale de l'utilisation du cloud computing par les institutions financières de l'UE, Recommandations sur l'externalisation vers des fournisseurs de services Cloud.

Les institutions financières en France doivent être conscientes de plusieurs exigences et recommandations concernant le transfert des fonctions opérationnelles dans le cloud :

  • Le règlement général de l’AMF (français et anglais) définit les règles et procédures pour appliquer la législation financière. En particulier, l’article 313-75 énonce les conditions qui doivent être prises en compte dans les contrats conclus par les institutions financières avec les fournisseurs de services Cloud.
  • L’ACPR a publié les risques associés au cloud computing (français et anglais), ce qui encourage les organisations sous surveillance de l’ACPR à prendre des mesures appropriées pour gérer les risques lorsqu’elles externalisent des fonctions professionnelles dans le cloud. De plus, l’article 239 dans l’ordre de l’ACPR du 3 novembre 2014 sur le contrôle interne des sociétés (français) sous supervision de l’ACPR spécifie également les termes obligatoires à inclure dans les contrats avec des fournisseurs de services cloud.
  • Dans certains cas, les institutions réglementées doivent informer l’AMF et l’ACPR sur les dispositions relatives à l’externalisation matérielles, notamment si elles peuvent avoir un impact considérable sur leurs opérations commerciales.
  • Dans son rôle d’autorité de protection des données pour la France, la CNIL (Commission nationale de l’Informatique et des libertés) a émis de nombreuses instructions en matière de cloud computing, notamment des recommandations pour les entreprises qui envisagent d’utiliser les services de cloud computing (français et anglais).

Microsoft, l’AMF et l’ACPR

Pour guider les institutions financières en France qui envisagent d'externaliser des fonctions professionnelles dans le cloud, Microsoft a publié un guide intitulé Naviguer vers le cloud : liste de contrôle de la conformité pour les institutions financières en France. En examinant et en remplissant la liste de contrôle, les organisations financières peuvent adopter les services cloud d’entreprise Microsoft avec l’assurance qu’elles se conforment aux exigences réglementaires applicables.

Lorsque les institutions financières en France externalisent les activités de l’entreprise dans le cloud, elles doivent se conformer aux exigences de l’autorité financière (AMF) et de l’autorité prudentielle (ACPR) de la France dans le cadre de la politique générale de l’Autorité bancaire européenne (ABE). En particulier, elles doivent être sensibilisées à l’article 313-75 du règlement général de l’AMF et aux instructions de l’ACPR sur les risques liés au cloud computing et à ses conditions obligatoires pour les contrats avec des fournisseurs de services cloud.

La liste de contrôle Microsoft permet aux entreprises financières françaises d’effectuer des évaluations de la diligence raisonnable des services cloud entreprises Microsoft et inclut ce qui suit :

  • Vue d’ensemble du paysage réglementaire dans le contexte.
  • Liste de contrôle qui signale les problèmes qui doivent être résolus et met en correspondance Microsoft Azure, Microsoft Dynamics 365 et les services Microsoft 365 par rapport aux obligations réglementaires. La liste de contrôle peut être utilisée comme outil pour mesurer la conformité par rapport à un cadre réglementaire et fournir une structure interne pour documenter la conformité, et aider les clients à effectuer leurs propres évaluations des risques des services Cloud entreprise Microsoft.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

Modalités de mise en œuvre

Questions fréquentes (FAQ)

L’approbation réglementaire est-elle nécessaire ?

La publication de l’ABE[Recommendations on outsourcing to cloud services providers](https://eba.europa.eu/sites/default/documents/files/documents/10180/1848359/c1005743-567e-40fc-a995-d05fb93df5d1/Draft%20Recommendation%20on%20outsourcing%20to%20Cloud%20Service%20%20%28EBA-CP-2017-06%29.pdf /5fa5cdde-3219-4e95-946d-0c0d05494362), décrit une approche globale de l’externalisation matérielle par les institutions financières de l’UE. De plus, dans certains cas, les établissements financiers doivent informer l’AMF ou l’ACPR de leurs dispositions relatives à l’externalisation, comme décrit dans les pages 8 et 9 de la liste de contrôle. Bien qu’il soit peu probable que ces circonstances s’appliquent à l’utilisation des services cloud Microsoft, les services financiers doivent vérifier leur applicabilité en examinant la liste de contrôle.

Existe-t-il des conditions impératives devant être incluses dans le contrat avec le fournisseur de services Cloud ?

Oui. L’article 239 de l’ordre de l’ACPR du 3 novembre 2014 et l’article 313-75 du règlement général de l’AMF énoncent les conditions qui doivent être prises en compte dans les contrats conclus par les institutions financières avec les fournisseurs de services cloud. La partie 2 de la liste de contrôle Microsoft (page 62) les mappe aux sections des documents contractuels Microsoft où elles sont traitées.

Ressources