La FINMA fait des concessions pour l’outsourcing dans le cloud
La FINMA a publié une nouvelle circulaire sur l’outsourcing. Répondant à certaines demandes du secteur financier, l’autorité fait quelques concessions, notamment en matière d’audit et de transfert des données à l’étranger, susceptibles de faciliter le recours au cloud.
La FINMA a publié une nouvelle circulaire sur l’outsourcing pour les banques et les assureurs, qui entrera en vigueur au 1er avril 2018. La circulaire qui règle la façon dont les établissements peuvent recourir à des services externalisés remplace une règlementation datant de 1999, une époque où l’outsourcing était moins répandu, et où le cloud n’existait pas.
Dans le cadre d’un processus d’audition préalable, de nombreux entreprises et associations du secteur financier se sont manifestées et ont réclamé des adaptations en raison justement des changements technologiques et du caractère particulier du cloud. Par principe, la FINMA n’a pas voulu entrer en matière se refusant de distinguer des types d’outsourcing sur la base des technologies qu’ils exploitent. Face aux remarques et au désir des établissements de pouvoir s’appuyer sur le cloud, le gendarme financier a néanmoins fait quelques concessions.
En matière d’audit, plusieurs organisations critiquaient notamment l’exigence selon laquelle le domaine externalisé doit pouvoir être examiné de manière permanente, intégrale et sans entraves aussi bien en Suisse qu’à l’étranger. Une exigence difficilement compatible avec le cloud et des centres de calcul dispersés dans plusieurs géographies. Si la FINMA a décidé de conserver cette exigence, elle souligne toutefois que les termes «permanent», «intégral» et «sans entraves» doivent être interprétés selon le principe de proportionnalité. «En informatique en particulier, la présence sur place n’est pas impérative dans tous les cas. Il est donc envisageable d’exercer le droit de regard à distance», explique notamment la FINMA.
La FINMA a également fait des concession en matière de transfert des données à l’étranger, là aussi un point crucial pour l’emploi du cloud. Le gendarme financier renonce notamment à l’obligation d’une information préalable en cas de transfert à l’étranger de grandes quantités de données d’identification des clients, comme le souhaitaient les participants à l’audition. En cas d’outsourcing transfrontalier, la FINMA précise par ailleurs que l’accès, la lisibilité et l’exploitation des données pertinentes pour la surveillance doivent être possibles depuis la Suisse en dépit de l’externalisation. Au nom de la neutralité technologique, elle ne précise en revanche pas que ces données doivent être stockées dans le pays, comme certaines organisations le craignaient.