La prestation de services cloud, un sujet délicat pour les banques

Le cloud, défini comme “un mode d’organisation et de gestion informatique permettant l’accès et l’utilisation, à distance, de services informatiques (logiciels, applications, plateformes, infrastructures, stockage, etc.) standardisées, automatisées, virtualisées et industrialisées/ mutualisées (…)” porté par un prestataire externe, a tissé sa toile au fil des ans.

Dans un secteur ultra-réglementé et averse au risque où les systèmes legacy freinent l’agilité, le cloud s’est d’abord développé dans sa version hybride (combinaison d’un cloud privé et d’un cloud public) et pour des fonctions support. La digitalisation croissante et rapide des services financiers, avec la montée en puissance de pure players, marque désormais l’entrée de plein pied de la banque dans l’univers du cloud. À titre d’exemple, Deutsche Bank a finalisé fin 2020 un accord de dix ans avec Google pour “accélérer la transition de la banque vers le cloud“.

Cette tendance n’est pas sans poser de questions, tant les enjeux sont nombreux. “Des enjeux de souveraineté, avec un risque d’extra-territorialité des réglementations qui reste toutefois à relativiser, de protection des données et de sécurité des infrastructures, de négociations contractuelles ou encore de conformité“, détaille à mind Fintech Frédérick Lacroix, avocat associé chez Clifford Chance et président du groupe de travail. Les banques sont tenues par la réglementation d’insérer certaines clauses dans les contrats avec les prestataires de services cloud lorsqu’elles leurs confient des fonctions critiques ou importantes, ce qui ne va pas sans soulever de difficultés.

Marché oligopolistique

Le marché mondial du cloud public a explosé en dix ans. Il pesait 257,5 milliards de dollars en 2020 (dont près de 40 % sur les services Software-as-a-Service), contre 17,4 milliards en 2009. C’est également un marché “oligopolistique” : Amazon Web Services (AWS), Microsoft Azure, Google et Alibaba détiennent conjointement 61 % de parts de marché sur les services Infrastructure-as-a-Service (IaaS) et Platform-as-a-Service (PaaS).

Cette situation rend les acteurs bancaires dépendants d’un nombre restreint de prestataires de services cloud qui ne sont généralement pas soumis au droit de l’Union européenne (UE). La Commission européenne a toutefois publié fin 2020 le Digital Market Act (DMA) qui intègre les services cloud dans l’encadrement de plateformes dites structurantes.

La délégation par les acteurs bancaires de prestations jugées essentielles ou critiques au regard de la supervision à des parties tierces représente un risque non négligeable. Le 22 juillet 2021, l’Autorité de contrôle prudentiel et de résolution (ACPR) a rappelé que les donneurs d’ordres “demeurent pleinement responsables du respect de toutes les obligations qui leur incombent“. “Dans ce cadre, il est attendu des prestataires auxquels recourent les organismes supervisés qu’ils se conforment aux procédures définies par ces derniers concernant l’organisation et la mise en œuvre du contrôle des services fournis“, a lancé le régulateur à l’adresse des sous-traitants.

Approche par les risques

Pour apporter une plus grande sécurité juridique et pallier une réglementation bancaire jugée trop hétérogène et morcelée, le projet de réglement DORA (Digital Operational Resilience Act) vise précisément à faire porter une partie de la charge sur les prestataires, dont les services de cloud. “L’encadrement actuel de la sous-traitance n’est plus pertinent et il faut désormais étudier une approche par les risques“, estime Frédérick Lacroix.

Ce texte établit notamment un cadre de surveillance des prestataires désignés comme critiques par les autorités européennes de supervision. En cas de manquements graves, le superviseur pourrait ordonner la suspension du service utilisé, voire prononcer la résiliation du contrat. “L’approche est bonne mais DORA ne va pas jusqu’au bout en ne précisant pas les sanctions administratives et disciplinaires qui pourraient s’appliquer aux prestataires“, regrette Frédérick Lacroix. Dans son rapport, le groupe de travail formule plusieurs pistes d’amélioration : l’obligation de créer une filiale européenne pour les prestataires critiques ; la nécessaire obligation de contractualiser avec la filiale européenne du prestataire et la soumission du contrat de prestation au droit de l’UE ; l’instauration d’un régime spécifique de sanctions. Publié en octobre 2020, le cadre DORA devrait être au cœur d’un trilogue à la rentrée avant une possible entrée en vigueur en 2022.