Cloud banking: le guide de l’ASB a été mis à jour pour intégrer les évolutions légales et réglementaires
Utiliser les technologies du cloud est un facteur critique de succès pour la Suisse et pour sa place financière. Cela nécessite de bien connaître les exigences légales et réglementaires y relatives, puis de les concrétiser et de les opérationnaliser au moyen de mesures techniques et organisationnelles appropriées. Le guide «cloud» de l’Association suisse des banquiers (ASB), dont la première version datait de 2019, présente aux banques et aux maisons de titres des pistes de solutions à cet effet. Il vient d’être mis à jour.
Social Bookmarks
Les prestations de cloud computing en pratique: opportunités et défis
La transition numérique se poursuit irrésistiblement dans le secteur financier, conférant une importance croissante aux prestations de cloud computing. Ces dernières peuvent procurer aux banques et aux maisons de titres (ci-après les «établissements»), selon les circonstances, des gains d’efficience et des avantages en termes de coûts. Elles favorisent le développement et la commercialisation rapides et flexibles de services innovants. Elles permettent également de bénéficier des nouvelles technologies, comme l’intelligence artificielle, sans avoir à réaliser de lourds investissements en matériel et en logiciels. Grâce au volumineux pool de données désormais accessible et à la puissance de traitement disponible, il devient possible d’analyser de grandes quantités de données en temps réel et ainsi, par exemple, de proposer des prestations de conseil innovantes et personnalisées ou d’automatiser des processus complexes en matière de compliance et de risque. En outre, des prestataires spécialisés dans le cloud computing permettent le cas échéant d’améliorer la sécurité de l’infrastructure des établissements. Les prestations de cloud computing constituent donc un facteur critique de succès pour la place financière suisse.
Elles n’en impliquent pas moins des défis à relever et des risques. Dans le cloud comme ailleurs, les établissements sont liés par le secret professionnel tel que prévu par la loi sur les banques ou la loi sur les établissements financiers, ils sont tenus de respecter les prescriptions du droit de la protection des données, ils doivent garantir la sécurité des données ainsi que la résilience et, en particulier, gérer activement les dépendances par rapport à certains prestataires afin d’éviter d’éventuelles pertes de contrôle.
Dans ce contexte, les établissements n’ont d’autre choix que d’adapter en permanence leur stratégie et leur architecture cloud aux évolutions du monde extérieur ainsi qu’à leurs propres besoins.
Concrétisation et opérationnalisation des exigences légales, réglementaires et de politique commerciale au moyen de mesures techniques et opérationnelles
«Il est indispensable que les établissements aient une vision claire des exigences légales et réglementaires qui s’imposent à eux et soient à même de les concrétiser et de les rendre opérationnelles au moyen de mesures techniques et organisationnelles appropriées», souligne August Benz, Responsable International & Transformation et vice-CEO de l’ASB. Le guide «cloud» propose des pistes de solutions concrètes en réponse aux principales problématiques légales et réglementaires. Il constitue un outil d’interprétation juridiquement non contraignant auquel les établissements peuvent se référer pour l’acquisition et la mise en œuvre de prestations de cloud computing, en particulier sur les quatre thèmes clés suivants:
- gestion et suivi: choix du prestataire de services de cloud computing et de ses sous-traitants, accord en cas de changement de sous-traitants
- traitement de données: traitement de données bancaires de clientes et de clients
- autorités et procédures: transparence et coopération des établissements et des prestataires de services de cloud computing en ce qui concerne les mesures administratives et judiciaires
- audit: contrôle des prestations de cloud computing et de l’infrastructure de type cloud utilisée pour fournir ces prestations
Afin d’intégrer les évolutions légales et réglementaires intervenues depuis sa première publication en 2019, par exemple en matière de réglementation des risques opérationnels, le guide a été mis à jour. Les bases juridiques et les définitions ont été revues, la notion de foreign lawful access a été précisée, le concept d’approche fondée sur le risque est désormais expliqué, et des considérations de fond à propos du recours à des prestations de cloud computing ont été ajoutées.
Notons en dernier lieu que les établissements qui utilisent le guide peuvent prendre en compte leur taille ainsi que la complexité de leur modèle d’affaires, selon une approche fondée sur le risque et proportionnée. Il appartient à chacun d’eux de gérer l’aspect véritablement clé en ce qui concerne le recours au cloud, à savoir l’évaluation des risques et la définition subséquente de mesures techniques et organisationnelles appropriées.
En publiant son guide «cloud» mis à jour, l’ASB contribue de manière importante à la sécurité et à la conformité dans l’usage des technologies du cloud, tout en aidant les établissements à saisir de manière responsable les opportunités liées à la transition numérique.