Cloud computing et fintech, recommandations des autorités de tutelle
Cloud computing et fintech : la sensibilité des données bancaires justifie que les autorités de tutelles s’y soient intéressées.
L’enjeu est d’abord celui de la sécurité et de la confidentialité des données bancaires, financières et assurantielles, cible privilégiée des pirates informatiques. Or, il n’existe pas de fintech sans cloud. C’est donc au plus haut niveau que la problématique a été envisagée.
L’Autorité de contrôle prudentiel et de résolution (ACPR) en juillet 2013 (1) a publié ses recommandations dans la foulée de celles de la Cnil en juin 2012 (2).
Beaucoup plus récemment, le 20 décembre 2017, l’Autorité bancaire européenne (ABE), après une large consultation, a émis son rapport final (3). Les recommandations qu’elle émet devant avoir un effet contraignant au 1er juillet 2018 pour les institutions qu’elle contrôle.
Cloud computing et fintech : recommandations de l’ACPR
L’ACPR retient trois principaux risques sur le cloud computing et fintech :
- la confidentialité des données ;
- la disponibilité des données, notamment en cas de réversibilité de sorte de se prémunir de ce qu’elle qualifie d’un « enfermement » ;
- pouvoir disposer de la preuve de la correcte exécution des prestations du prestataire de cloud et le contrôle de ce dernier.
Pour l’ACPR, ces risques s’encadrent d’abord et avant tout par un contrat adapté avec des engagements « impératifs ». Ce contrat doit notamment prévoir :
- la faculté pour le client mais aussi l’ACPR d’auditer les services fournis et contrôler les engagements souscrits ;
- prévoir des engagements de service avec une garantie de continuité d’exploitation ;
- les conditions de réversibilité des services ;
- des engagements au titre de la sécurité des systèmes et, en particulier, le chiffrement lors du transport et du stockage des données.
Cloud computing et fintech : recommandations de l’ABE
Toutes les recommandations de l’ACPR se retrouvent dans les travaux de l’ABE qui y ajoute :
- la transparence du prestataire de cloud sur la localisation des données ;
- la nécessité pour le prestataire de cloud computing et fintech de reporter les exigences contractuelles pesant sur lui vers ses propres sous-traitants en mode « back to back » (même chose pour les sous-traitants de rang ultérieur) ;
- des plan de reprise et continuité d’activité mais aussi de réversibilité en fin de contrat.
Les exigences de l’ACPR et de l’ABE ne diffèrent pas fondamentalement des exigences de l’article 28 du Règlement général sur la protection des données (RGPD) (4). A ce titre, il y a convergence des exigences et il ne serait pas inopportun, pour une fintech, de mettre la gestion de toutes ses données dans le cloud (et pas uniquement celles à caractère personnel) au niveau de protection exigé par le RGPD.
Eric Le Quellenec
Lexing Informatique conseil
(1) Rapport ACP, « Risques associés au cloud computing », Analyse et synthèses n° 16, juillet 2017.
(2) Recommandations Cnil pour les entreprises qui envisagent de souscrire à des services de Cloud computing, Cnil, juin 2012.
(3) ABE Final report: Recommendations on outsourcing to cloud service providers, EBA/REC/2017/03, 20 December 2017.
(4) « Contrat cloud : les impacts du RGPD sur la sous-traitance », Post du 30 janvier 2017.