#BeLex – Assurances : Que faut-il retenir de la circulaire BNB du 5 mai 2020 relative à la sous-traitance « cloud » (services en nuage) ?

Champ d’application ratione personae. La BNB a émis une circulaire applicable aux entreprises d’assurance et de réassurance de droit belge, ainsi qu’aux succursales belges d’entreprises de l’EEE, ayant recours à des fournisseurs de services cloud (ou des prestataires qui ne fournissent pas des services cloud mais qui en dépendent largement).

Objectifs de la circulaire. Le recours à la sous-traitance ne doit pas empêcher la BNB de vérifier si l’entreprise respecte ses obligations légales et règlementaires, ni nuire à la qualité du service fourni aux preneurs d’assurance, assurés, bénéficiaires et personnes concernées par l’exécution des contrats de réassurance. La circulaire vise à garantir que la sous-traitance ne génère pas de risque opérationnel inutile, et ne compromette pas la qualité du système de gouvernance de l’entreprise.
La circulaire met en œuvre, au niveau des services cloud, les principes en matière de sous-traitance découlant de Solvency II, ainsi que les recommandations d’EIOPA sur ce sujet.

Quelles sont les activités concernées ? Il appartient à l’entreprise de déterminer elle-même si la sous-traitance mise en place est concernée par la circulaire.
L’entreprise devra conclure par l’affirmative si la fonction opérationnelle sous-traitée est récurrente ou continue, si elle a trait à des activités normales d’assurance ou de réassurance régulières et si la fonction opérationnelle concernée est critique ou importante (incidence potentielle de toute perturbation significative des services).

Concrètement, que faut-il faire avant de sous-traiter une fonction opérationnelle à un prestataire cloud ?
Une évaluation approfondie des risques doit précéder toute décision de sous-traitance : il peut s’agit de risques liés à la continuité de l’activité (migration des données, …), la protection des données à caractère personnel, de risques juridiques, ou de risques liés au prestataire (due diligence requise quant aux aptitudes du prestataire) ou à des conflits d’intérêts.

L’entreprise est également tenue de mettre à jour sa politique écrite en matière de sous-traitance, en y précisant les missions concernées, les procédures pour l’approbation, la mise en œuvre, le contrôle, la gestion et le renouvellement des dispositifs de sous-traitance, les moyens de supervision des services en nuage, l’accès à la documentation ainsi qu’une stratégie de sortie.

L’approche de l’entreprise doit être proportionnée et mettre en balance les risques et avantages de l’opération. Elle doit tenir compte du modèle de cloud projeté, de la nature des activités externalisées, de la stabilité du pays dans lequel les services seront sous-traités et des lois en vigueur, notamment en ce qui concerne l’insolvabilité et du risque de concentration global de l’entreprise envers un même prestataire.

L’entreprise doit aussi se montrer attentive aux exigences contractuelles qui entourent une telle sous-traitance et définir une répartition claire des rôles et responsabilités entre le prestataire de services en nuage et l’entreprise. Une attention particulière doit être portée aux points suivants : description claire de la fonction sous traitée ; durée de l’accord ; élection de for et droit applicable ; obligations financières ; recours à la sous-traitance en cascade ; lieux de stockage des données ; disponibilité ; confidentialité et intégrité des données ; droit de contrôle étendu de l’entreprise ; niveaux de service convenus ; reporting ; assurance à souscrire ; réversibilité ; sécurité des données.

La mise en place d’une (voire plusieurs) stratégie(s) de sortie complète(s), détaillée(s) et adaptée(s) dans la clause de résiliation est primordiale. Il convient de s’assurer du soutien sans failles du prestataire sur ce point.

Quand cette circulaire entre-t-elle en vigueur ? La circulaire s’applique à partir du 1er janvier 2021, à toutes les sous-traitances conclues, renouvelées ou adaptées par les entreprises d’assurance ou de réassurance.
En ce qui concerne les sous-traitances en cours, les entreprises disposent jusqu’au 31 décembre 2022 pour se conformer à la circulaire.

Autre chose dont il faudrait tenir compte ? L’entreprise ne doit pas perdre de vue les autres textes susceptibles de s’appliquer.
L’on fera référence ici notamment à la section 7 (« sous-traitance ») de la circulaire coupole gouvernance de la BNB.

Pour davantage d’informations concernant les aspects contractuels du cloud, voyez G. Fiévet, « Le cloud et le droit des obligations », in Le droit des obligations dans la vie de l’entreprise/Het verbintenissenrecht in het leven van de onderneming (C. Delforge, S. Stijns, P. Wéry éds.), 2017, Bruges, la Charte, pp. 421 – 460.