DIGITAL SOLUTIONS
La CSSF introduit la révolution cloud
La CSSF vient de publier une circulaire définissant le cadre d’une externalisation des services faisant appel à une infrastructure cloud.
May 23, 2017
La CSSF vient de publier une circulaire définissant le cadre d’une externalisation des services faisant appel à une infrastructure cloud. – Par Sébastien Lambotte
C’est une circulaire que la Commission de Surveillance du Secteur Financier (CSSF) prépare depuis plusieurs mois. La circulaire cloud computing (17/654), qui vient d’être publiée, pourrait bien considérablement modifier la manière dont s’organisent les services IT au niveau de la finance au Luxembourg. Elle vient clarifier le cadre de « la sous-traitance informatique reposant sur une infrastructure informatique en nuage ou infrastructure de Cloud Computing » auprès d’un prestataire externe.
Plusieurs objectifs poursuivis
Cette circulaire « cloud computing » poursuit plusieurs objectifs. Elle vise à tenir compte des spécificités du cloud dans un contexte de sous-traitance et, dans cette optique, à déconnecter la fourniture d’un cloud de la notion d’operating au sens des PSF de support. La circulaire entend aussi conserver les spécificités des PSF de support et favoriser leur rôle dans le contexte du cloud. La CSSF a aussi voulu une circulaire durable, qui puisse rester compatible autant que possible avec les travaux en cours au niveau de l’EBA et qui concernent le droit à l’audit en particulier.
Afin de pouvoir mieux répondre aux attentes actuelles, dans un contexte d’évolution technologique rapide, la CSSF a commencé par définir clairement ce qu’est un cloud et les rôles y étant associés dans le cadre d’une externalisation de services informatiques attachés à la finance. Elle définit ainsi le cloud à partir de cinq caractéristiques communément partagées (libre-service, accès réseau étendu, ressources partagées, élasticité rapide, service mesuré) et deux exigences spécifiques.
Ces exigences précisent notamment que, d’une part, « le personnel travaillant pour le fournisseur de services de cloud computing ne peut en aucun cas accéder aux données et aux systèmes qu’un Etablissement Surveillé par la CSSF et Consommant des Ressources de cloud computing (ESCR) détient sur l’infrastructure cloud… ». D’autre part, la prestation de services de cloud computing ne doit engendrer « aucune interaction manuelle de la part du fournisseur de services pour la gestion quotidienne des ressources de cloud computing utilisées par l’ESCR (par exemple, le provisionnement, la configuration ou la libération de ressources de cloud computing) ».
Ainsi, seul l’opérateur des ressources (qui est soit l’ESCR, soit un tiers autre que le fournisseur de services de cloud computing) gère l’environnement informatique hébergé sur l’infrastructure cloud computing. En résumé, le fournisseur de service cloud ne doit pas pouvoir accéder aux données.
Dès lors, les sous-traitances répondant à l’ensemble des conditions définies (les 5 caractéristiques du cloud et ces deux exigences) ne sont plus soumises à la circulaire CSSF 17/65610 ou au sous-chapitre 7.4 de la circulaire CSSF 12/552.
L’exigence de conservation territoriale disparait
La circulaire parvient à déconnecter le cadre de cette sous-traitance des enjeux de l’article 41, en établissant clairement les rôles, les responsabilités et les obligations de chacun. Elle fait une distinction entre le signataire qui établit le contrat avec le service cloud, le consommateur de ressources (l’établissement financier surveillé), l’opérateur de ressources (qui peut être l’établissement directement ou un PSF de support) et le fournisseur du cloud.
Le respect des exigences de la CSSF n’incombent pas au fournisseur du cloud. Ce dernier ne doit pas être agréé par la CSSF. Le respect des obligations réglementaires incomberont à l’opérateur de ressources, s’il s’agit d’un PSF de support, ou à l’établissement financier directement si celui-ci choisit d’externaliser en dehors du territoire par exemple. A lui de s’assurer directement que son prestataire est en total respect de la loi et de rendre des comptes à la CSSF. Les PSF de support, dans ce contexte, demeurent donc des prestataires sur lesquels peuvent plus facilement se reposer les acteurs du secteur financier.
L’exigence de conservation des données au niveau du territoire luxembourgeois ne s’applique plus. La confidentialité des données est guidée par l’application des principes du « droit de savoir » et du « moindre privilège ». Autrement dit, seules les personnes dont la fonction le justifie peuvent accéder aux données, avec, de plus, des privilèges restreints au minimum nécessaire pour exercer leur fonction.
Nouvelle donne
Cette circulaire, très réfléchie sur le plan juridique, tenant compte des enjeux technologiques et économiques actuels, a le mérite de clarifier le cadre, avec une définition plus précises des responsabilités de chacun. Elle permet aux acteurs financiers luxembourgeois d’accéder à de nouvelles possibilités, aussi bien des solutions en mode IaaS, PaaS que SaaS. Ils pourront de profiter d’une plus grande flexibilité dans la gestion de leurs ressources informatiques.
Aux prestataires IT luxembourgeois, et notamment aux PSF de support, de bien se positionner dans ce nouveau contexte, afin d’apporter de la valeur à leurs clients actifs dans le domaine de la finance, en s’appuyant sur des ressources cloud telles que définies par la circulaire.