Autorité fédérale de surveillance des marchés financiers (FINMA) Suisse

Article
09/15/2023

À propos de FINMA

L’autorité fédérale de surveillance des marchés financiers (Eidgenössische Finanzmarktaufsicht, FINMA) est le régulateur des marchés financiers indépendants en Suisse et est chargée de garantir que les marchés financiers suisses fonctionnent de manière efficace. Elle exerce une surveillance prudentielle sur les banques, les compagnies d'assurance, les bourses, les courtiers en valeurs mobilières et les autres institutions financières.

La FINMA publiée la Circulaire 2018/3 externalisation-banques et assureurs pour définir les conditions dans lesquelles les banques, les courtiers en valeurs mobilières et les compagnies d'assurance doivent se conformer lorsqu'ils confient des fonctions importantes pour les activités commerciales de l'entreprise à un prestataire de services. Toutes les entreprises qui externalisent leurs activités sont responsables devant la FINMA comme elles le seraient si elles exerçaient elles-mêmes les fonctions externalisées.

Microsoft et FINMA

Pour guider les institutions financières en Suisse qui envisagent d'externaliser des fonctions commerciales dans le cloud, Microsoft a publié une Liste de contrôle sur la conformité pour les institutions financières Suisses. En examinant et en remplissant la liste de contrôle, les organisations financières peuvent adopter les services cloud d’entreprise Microsoft avec l’assurance qu’elles se conforment aux exigences réglementaires applicables.

Lorsque les établissements financiers suisses externalisent des activités commerciales, ils doivent se conformer aux exigences de l'Autorité fédérale de surveillance des marchés financiers (FINMA) et connaître d'autres exigences et recommandation, notamment celles de la Loi suisse sur les banques, de l'Ordonnance sur les banques et de la Loi fédérale sur la surveillance des assurances.

La liste de contrôle Microsoft permet aux entreprises financières suisses d’effectuer des évaluations de la diligence raisonnable des services cloud entreprises Microsoft et inclut ce qui suit :

Vue d’ensemble du paysage réglementaire dans le contexte.
Liste de contrôle qui signale les problèmes qui doivent être résolus et met en correspondance Microsoft Azure, Microsoft Dynamics 365 et les services Microsoft 365 par rapport aux obligations réglementaires. La liste de contrôle peut être utilisée comme outil pour mesurer la conformité par rapport à un cadre réglementaire et fournir une structure interne pour documenter la conformité, et aider les clients à effectuer leurs propres évaluations des risques des services Cloud entreprise Microsoft.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

Modalités de mise en œuvre

Liste de contrôle de conformité : Suisse : les entreprises financières peuvent obtenir de l'aide pour évaluer les risques liés aux services cloud entreprise Microsoft.
Cas d'utilisation financière : utilisez des aperçus de cas, des didacticiels et d'autres ressources pour créer des solutions Azure pour services financiers.

Questions fréquentes (FAQ)

L’approbation réglementaire est-elle nécessaire ?

Non. L'utilisation du cloud computing public est autorisée sans l'autorisation de la FINMA, sous réserve du respect des prescriptions des règlementations et recommandations citées ci-dessus.

Existe-t-il des conditions impératives devant être incluses dans le contrat avec le fournisseur de services cloud computing ?

Oui. Dans la partie 2 de la Liste de vérification de conformité, nous avons comparé ces conditions aux sections des documents contractuels de Microsoft où elles sont abordées. De plus, le Préposé fédéral à la protection des données et à la transparence (PFPDT) Suisse fournit un exemple de contrat pour l'externalisation transfrontalière du traitement des données. Il s'agit des mêmes que les clauses contractuelles standards (également appelées Clauses types de l’UE) sous les conditions de service en ligne Microsoft.