La Dutch Authority for the Financial Markets (Autorité néerlandaise pour les marchés financiers, AFM) et la Central Bank of the Netherlands (Banque centrale des Pays-Bas, DNB)

À propos de l’AFM et de la DNB

Les principaux organismes financiers aux Pays-Bas sont les l’Autorité néerlandaise pour les marchés financiers (Autoriteit Financiële Markten, AFM) et la Banque centrale des Pays-Bas (De Nederlandsche Bank, DNB). L’AFM, dont le rôle est comparable à celui de la SEC dans le États-Unis, est l’autorité de contrôle indépendante des marchés de l’épargne, des prêts, de l’investissement et de l’assurance. La DNB, au sein du Système européen de banques centrales, détermine et met en œuvre la politique monétaire et exerce une surveillance prudentielle des organisations financières aux Pays-Bas.

Ces deux institutions agissent de concert avec l’Autorité bancaire européenne (ABE), « une autorité indépendante de l’UE qui s’efforce de garantir une réglementation et une surveillance prudentielles efficaces et cohérentes dans le secteur bancaire européen ». À cette fin, l'ABE a défini une approche globale de l'utilisation du cloud computing par les institutions financières de l'UE, Recommandations sur l'externalisation auprès de fournisseurs de services Cloud.

En règle générale, les lois et les instructions prennent en charge le point de vue que les services de cloud computing impliquant des services tiers sont éligibles sous forme de sous-traitance, tandis que les établissements financiers aux Pays-Bas doivent répondre aux risques associés avant de déplacer les entreprises activités dans le Cloud. Cela inclut ce qui suit :

• La loi sur la supervision financière (FSA) (néerlandais), adoptée par le législateur néerlandais en 2018, fixe des conditions permettant aux institutions financières de contrôler les risques associés à l’externalisation et de veiller à ce qu’elle n’entrave pas le contrôle réglementaire.
• La Circulaire Cloud Computing, émise par la DNB, exige qu’avant que les institutions néerlandaises supervisées s’engagent dans le cloud computing, elles doivent informer la DNB de leurs dispositions d’externalisation potentielles pour s’assurer que les processus opérationnels et les risques sont sous contrôle.

À l’aide d’un modèle fourni par la DNB, ils doivent soumettre une analyse de risque obligatoire, comprenant notamment :

• Une évaluation du respect de la législation actuelle, d’une compréhension mutuelle entre les parties en ce qui concerne les services offerts, la stabilité et de la fiabilité du fournisseur de services, le lieu où les services doivent être fournis ainsi que l’importance et le niveau de dépendance envers les services externalisés.
• Attirer l’attention sur la résolution des problèmes liés à l’intégrité, la confidentialité et la disponibilité des données.

Le règlement délégué de la Commission (UE 2017/565) décrit parfaitement la configuration requise pour un accord d’externalisation entre entreprises d’investissement et prestataires de service cloud.

Microsoft, l’AFM et la DNB

Pour guider les institutions financières néerlandaises qui envisagent d'externaliser des fonctions commerciales vers le cloud, Microsoft a publié une Liste de contrôle sur la conformité pour les institutions financières hollandaises. En examinant et en remplissant la liste de contrôle, les organisations financières peuvent adopter les services cloud d’entreprise Microsoft avec l’assurance qu’elles se conforment aux exigences réglementaires applicables.

Lorsque les organisations financières néerlandaises extériorisent des fonctions commerciales vers le cloud, elles doivent se conformer aux règles et directives de l’Autorité néerlandaise pour les marchés financiers (AFM) et de la Banque centrale des Pays-Bas (DNB) dans le cadre large de la politique de l’Autorité bancaire européenne (EBA).

La liste de contrôle Microsoft permet aux entreprises financières des Pays-Bas d’effectuer des évaluations de la diligence des services cloud entreprise de Microsoft et inclut ce qui suit :

• Vue d’ensemble du paysage réglementaire pour le contexte.
• Liste de contrôle qui signale les problèmes qui doivent être résolus et met en correspondance Microsoft Azure, Microsoft Dynamics 365 et les services Microsoft 365 par rapport aux obligations réglementaires. La liste de contrôle peut être utilisée comme outil pour mesurer la conformité par rapport à un cadre réglementaire et fournir une structure interne pour documenter la conformité, et aider les clients à effectuer leurs propres évaluations des risques des services Cloud entreprise Microsoft.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

• Azure
• Dynamics 365
• Microsoft 365

Modalités de mise en œuvre

• Liste de contrôle de conformité : Pays-Bas : les entreprises financières peuvent obtenir de l'aide pour évaluer les risques liés aux services cloud entreprise de Microsoft.
• Cas d'utilisation financière : utiliser des présentation de cas, des didacticiels et d'autres ressources pour créer des solutions Azure pour services financiers.

Foire aux questions

L’approbation réglementaire est-elle nécessaire ?

Non. Cependant, la Circulaire cloud computing indique que la DNB anticipe l’envoi, par les institutions néerlandaises supervisées, d’une analyse de risques concernant les dispositions de l’externalisation avant de s’engager dans le cloud computing.

Existe-t-il des mentions obligatoires devant être incluses dans le contrat avec le fournisseur de services Cloud ?

Oui. Les dispositions et les dispositifs à prendre en compte dans le cadre des contrats cloud dépendent du type d’établissement financier. Conditions requises telles que celles décrites dans l’article. 31 du règlement délégué de la Commission (UE) 2017/565 sont exposées dans la partie 2 de la liste de contrôle.

Ressources

• Programme de mise en conformité destiné au secteur des services financiers Microsoft
• Services commerciaux cloud computing et services financiers Microsoft
• Conformité des services financiers dans Azure
• Conformité sur le site Microsoft Trust Center