Autorité fédérale de surveillance des marchés financiers (Suisse) – FINMA
Directives d'Atlassian en matière d'externalisation
Clause de non-responsabilité
Les conseils fournis ci-dessous visent uniquement à aider les clients suisses du cloud dans le secteur public, ainsi que les entreprises considérées comme des « entités réglementées » par l'Autorité fédérale de surveillance des marchés financiers (Eidgenössische Finanzmarktaufsicht, FINMA) qui envisagent d'externaliser des fonctions commerciales dans le cloud dans le cadre de leur évaluation des produits Cloud et des services associés Atlassian.
Ce rapport est uniquement destiné à des fins d'information et de conseil pour expliquer aux clients Cloud comment Atlassian se conforme aux exigences de la FINMA. Parallèlement, nous avons publié un livre blanc dédié aux responsabilités partagées qui traite des responsabilités partagées qu'un fournisseur de services cloud (CSP), comme Atlassian, et ses clients doivent garder à l'esprit lorsqu'ils se conforment aux exigences de la FINMA. Le modèle de responsabilité partagée n'élimine pas la responsabilité ni les risques liés à l'utilisation des produits Atlassian Cloud, mais il contribue à alléger la charge de travail de nos clients de différentes façons, notamment en assurant la gestion et le contrôle des composants du système et le contrôle physique des installations ; il répercute également une partie des coûts de sécurité et de conformité qui incombaient à nos clients sur Atlassian.
Pour en savoir plus sur notre engagement à protéger les données client, consultez notre page Pratiques de sécurité.
| | Directives de la FINMA | Réponse d'Atlassian | Ressources Atlassian |
Introduction |
| La FINMA est principalement chargée de traiter les risques opérationnels et d'externalisation auxquels sont exposés les établissements financiers, en veillant (i) à ce que les établissements financiers appliquent des contrôles de gouvernance de sécurité appropriés, afin de se protéger, ainsi que leurs créanciers et les particuliers, lorsqu'ils interagissent avec des prestataires de services externalisés, et (ii) au bon fonctionnement des marchés financiers suisses. |
|
Directives de la BaFin en matière d'externalisation |
| Notre livre blanc sur les directives de la FINMA en matière d'externalisation propose des mappages propres à chaque exigence et explique comment Atlassian Cloud Enterprise vous aide à respecter vos obligations. Il comprend notamment des informations sur les droits d'audit, le droit de donner des instructions, la sécurité des données, la résiliation et l'externalisation en chaîne. Pour en savoir plus sur notre engagement à protéger les données client, consultez notre page Pratiques de sécurité. | |
Directives de l'ABE |
| Notre livre blanc sur les directives de la FINMA en matière d'externalisation propose des mappages propres à chaque exigence et explique comment Atlassian Cloud Enterprise vous aide à respecter vos obligations. Il comprend notamment des informations sur les droits d'audit, le droit de donner des instructions, la sécurité des données, la résiliation et l'externalisation en chaîne. Pour en savoir plus sur notre engagement à protéger les données client, consultez notre page Pratiques de sécurité. | |
Inventaire des fonctions externalisées | 4.1. (14) Le client doit tenir un inventaire à jour des fonctions externalisées. Celui-ci comprendra une description de la fonction externalisée, le fournisseur de services (y compris les sous-traitants), le bénéficiaire et l'organe responsable au sein de l'entreprise | Notons qu'il s'agit d'une obligation pour nos clients, les établissements réglementés. Cependant, dans certains cas, Atlassian peut sous-traiter certaines fonctions critiques ou importantes à des fournisseurs de services de haute qualité (par exemple, des fournisseurs de services d'hébergement de données) conformément au RGPD. | |
Sélection, instructions et surveillance du fournisseur de services | 5.1. (16) Les spécifications du service doivent être convenues conformément aux objectifs de l'externalisation et documentées avant la signature du contrat. Cela inclut la réalisation d'une analyse des risques qui tienne compte des principales considérations économiques et opérationnelles ainsi que des risques et opportunités associés | Cette obligation ne s'applique pas aux fournisseurs de services Cloud. Atlassian fournit toutefois plusieurs ressources pour aider ses clients à effectuer les évaluations des risques et à faire preuve de diligence raisonnable. Pour plus d'informations sur les pratiques opérationnelles et de sécurité d'Atlassian, rendez-vous sur l'Atlassian Trust Center (https://www.atlassian.com/fr/trust). Vous y retrouverez :
| Trust Center |
| 5.2. (17) Le prestataire de services doit être choisi en tenant compte et sous réserve de vérifications de ses capacités professionnelles, ainsi que de ses ressources financières et humaines. Lorsque plusieurs fonctions sont externalisées vers le même fournisseur de services, la concentration des risques doit être prise en compte. | Consultez nos conseils dans notre réponse aux sections 4.1 et 5.1. |
| |
| 5.3. (18) La perspective de changer de fournisseur de services et les conséquences possibles d'un tel changement doivent être prises en compte dans la décision d'externalisation et la sélection du fournisseur de services. Le fournisseur de services doit garantir la fourniture d'un service permanent. Des dispositions doivent être prises pour internaliser la fonction externalisée ou la transférer. | Pendant la durée de l'abonnement pour laquelle vous bénéficiez d'un produit Cloud couvert applicable, nous déploierons des efforts commercialement raisonnables pour vous fournir un pourcentage de disponibilité mensuelle tel que défini ci-dessous (« Engagement en matière de niveau de service ») :
Les conditions de niveau de service correspondantes, ainsi que les recours en cas de non-respect des niveaux de service pour les produits Cloud couverts sont prévus dans notre Accord de niveau de service et dans les Conditions spécifiques correspondantes du produit. | Accord de niveau de service (SLA) d'Atlassian | |
| 5.4. (19) Les devoirs des parties doivent être convenus et délimités contractuellement, notamment en ce qui concerne les interfaces et les responsabilités. | Consultez le Contrat client Atlassian -> https://www.atlassian.com/fr/legal/atlassian-customer-agreement | ||
| 5.5. (20 - 21) Le client doit surveiller et évaluer en permanence les services d'un fournisseur d'externalisation et, à cette fin, doit établir les termes contractuels relatifs aux droits d'instruction et de contrôle nécessaires. | Pour vous aider avec la conformité et le reporting, nous partageons des informations, des bonnes pratiques, et nous assurons un accès facile à la documentation liée à la fonctionnalité de nos produits. Nos produits font régulièrement l'objet d'une vérification indépendante portant sur les contrôles de sécurité, de confidentialité et de conformité, et obtiennent des certifications par rapport aux normes mondiales pour gagner votre confiance. | ||
Sécurité | 6.1. (24) Les parties doivent convenir contractuellement des exigences de sécurité applicables, et le client doit contrôler le respect de ces exigences | Les engagements contractuels en matière de sécurité sont inclus dans la section 4.2 du Contrat client Atlassian (https://www.atlassian.com/fr/legal/atlassian-customer-agreement), qui indique qu'Atlassian a implémenté et maintiendra des mesures de sécurité physiques, techniques et organisationnelles conçues pour protéger vos données client contre toute action non autorisée (accès, destruction, utilisation, modification ou divulgation). Cette section indique également qu'Atlassian maintiendra un programme de conformité qui inclut des audits et des certifications indépendants par des tiers. Notre Trust Center (https://www.atlassian.com/fr/trust), tel que mis à jour de temps à autre, contient de plus amples informations sur nos mesures de sécurité et nos certifications. | |
| 6.2. (25) Les parties doivent établir un framework de sécurité pour garantir que la fonction sous-traitée puisse continuer à être exécutée en cas d'urgence | Nous gérons des plans de continuité d'activité et des plans de reprise d'activité, comme décrit dans notre Trust Center (https://www.atlassian.com/fr/trust/security/security-practices#business-continuity-and-disaster-recovery-management). Ces plans sont révisés et testés au moins une fois par an. | ||
Audit et supervision | 7.1. (26) Le client, son cabinet d'audit et la FINMA doivent être en mesure de vérifier que le fournisseur de services respecte les réglementations de surveillance. À cette fin, ils doivent avoir le droit contractuel d'inspecter et d'auditer toutes les informations relatives à la fonction sous-traitée à tout moment et sans restriction. | Atlassian reconnaît que les entités réglementées par la FINMA doivent être en mesure d'auditer nos services de manière efficace. Atlassian accorde certains droits d'audit, d'accès et d'information à ces entités réglementées et à leurs autorités de surveillance conformément aux lois en vigueur. Les entités réglementées peuvent accéder à leurs données sur les services à tout moment et peuvent fournir un accès à leur autorité de surveillance. |
|
| 7.2. (27) L'audit peut être délégué aux auditeurs du fournisseur de services si ces derniers sont suffisamment qualifiés. Ensuite, le cabinet d'audit du client peut utiliser les résultats des auditeurs du fournisseur de services pour son audit. | Nos produits cloud font régulièrement l'objet d'une vérification indépendante portant sur leurs contrôles de sécurité, de confidentialité et de conformité, et obtiennent des certifications, des attestations de conformité ou des rapports d'audit par rapport aux normes en vigueur dans le monde entier. Vous pouvez consulter les ressources Atlassian relatives à la sécurité de pointe, aux audits et certifications tiers, ainsi que la documentation et les engagements juridiques d'Atlassian afin d'assurer votre conformité dans notre Centre de ressources dédié à la conformité (https://www.atlassian.com/fr/trust/compliance/resources). | ||
| 7.3. (28) L'externalisation d'une fonction ne doit pas compliquer la supervision par la FINMA, en particulier si la fonction est sous-traitée dans un autre pays. | Atlassian reste responsable de ses performances globales dans le cadre du contrat client Atlassian, y compris pour toutes les fonctions sous-traitées. En ce qui concerne les sous-traitances critiques ou importantes, Atlassian s'engage à s'assurer qu'elle dispose de contrats appropriés avec les sous-traitants correspondants, qui accordent des droits d'audit Atlassian si nécessaire, et exigent que ces sous-traitants se conforment à toutes les lois applicables. |
| |
| 7.4. (29) Si le fournisseur de services n'est pas supervisé par la FINMA, il doit être contractuellement tenu de fournir à la FINMA toutes les informations et tous les documents concernant les fonctions sous-traitées, qui sont nécessaires aux activités de surveillance de la FINMA. Si l'audit est délégué aux auditeurs du fournisseur de services, leur rapport doit être fourni, sur demande, à la FINMA ainsi qu'aux auditeurs internes et au cabinet d'audit du client procédant à l'externalisation. | Sur demande, Atlassian fournira son rapport d'audit tiers. |
| |
Externalisation à l'étranger | 8.1. (30) L'externalisation dans un autre pays est autorisée si le client peut garantir expressément que lui-même, son cabinet d'audit et la FINMA peuvent faire valoir et faire respecter leur droit d'inspecter et d'auditer les informations. | Notre livre blanc sur les directives de la FINMA en matière d'externalisation propose des mappages propres à chaque exigence et explique comment Atlassian Cloud Enterprise vous aide à respecter vos obligations. Il comprend notamment des informations sur les droits d'audit, le droit de donner des instructions, la sécurité des données, la résiliation et l'externalisation en chaîne. Pour en savoir plus sur notre engagement à protéger les données client, consultez notre page Pratiques de sécurité. | |
| 8.2. (31) Le client doit s'assurer que l'externalisation auprès d'un fournisseur de services étranger n'entravera pas la restructuration ou la résolution des problèmes en Suisse, et les informations nécessaires à cette fin doivent être accessibles en Suisse à tout moment. | Atlassian coopérera de manière raisonnable avec ses clients en cas de changement de direction, de cession ou de toute autre restructuration organisationnelle. |
| |
Accord | 9.1. (32) L'externalisation doit être basée sur un accord écrit. En plus de nommer les parties et de décrire la fonction sous-traitée, l'accord doit également répondre aux exigences des chiffres marginaux (Cm) 33-34. | Tous les engagements avec les clients sont régis par un contrat officiel. Consultez le Contrat client Atlassian -> https://www.atlassian.com/fr/legal/atlassian-customer-agreement | |
| 9.2. (33) Le client doit s'assurer d'être informé rapidement de l'utilisation ou du remplacement de sous-traitants pour des fonctions importantes et d'avoir la possibilité de mettre fin à l'externalisation de manière ordonnée conformément au Cm 18.1. En cas de recours à des sous-traitants, ceux-ci doivent également être liés par les obligations et garanties du fournisseur de services nécessaires afin d'assurer la conformité à cette circulaire. | La section 13.4 des directives de l'ABE décrit les droits de résiliation du client. Il y est indiqué : « Nous accordons aux clients un droit étendu de résiliation pour des raisons de commodité, ce qui permet une résiliation dans l'un des cas répertoriés dans la section 13.4 des Directives de l'ABE » https://www.atlassian.com/trust/compliance/resources/eba/eba-guidance | ||
| 9.3. (34) L'accord doit inclure des mesures visant à garantir l'implémentation des exigences énoncées dans cette circulaire, en particulier dans les Cm 21, 24, 26, 29, 30 et 31. | Voir les questions 5.5, 6.1, 7.1, 7.4, 8.1 et 8.2 |
|