Close

BaFin

Directives d'Atlassian en matière d'externalisation

Ce tableau est conçu pour aider les établissements de services financiers sous la supervision de la BaFin, l'autorité fédérale allemande de surveillance financière, à comprendre comment chaque paragraphe du chapitre V (Conditions contractuelles en cas d'externalisation (substantielle)) des directives en matière d'externalisation auprès de fournisseurs de services cloud (les « Directives de la BaFin ») est transcrit dans la documentation contractuelle client d'Atlassian.

Si vous avez déjà un contrat Atlassian ou si vous souhaitez en savoir plus sur la façon dont ces conditions peuvent s'appliquer à votre contrat, contactez-nous.

Considérations et exigences
Commentaires d'Atlassian

1.

En fonction des exigences de la législation applicable, les conditions générales suivantes devraient notamment être prévues au contrat d'externalisation pour l'externalisation substantielle1 ou pour l'externalisation non différenciée selon le Code allemand de l'investissement (KAGB) :

 

2.

1. Gamme de prestations

 

3.

Le contrat devrait inclure une spécification, et si nécessaire une description, du service à exécuter par le fournisseur de services cloud. Cela devrait être stipulé dans l'accord de niveau de service (SLA). Dans ce contexte, les aspects suivants devraient être définis :

 

4.

  • La tâche à externaliser et sa mise en œuvre (par ex., le type de service et le modèle de déploiement, l'étendue des services proposés (puissance de calcul ou espace mémoire disponible, exigences en matière de disponibilité, temps de réponse)
  • Notre documentation, qui est intégrée par renvoi dans le contrat client Atlassian pour les clients éligibles, contient des descriptions claires des produits cloud couverts.

    5.

  • Les services de support
  • Les clients éligibles ont accès à l'offre de support Atlassian, qui est soumise au contrat client Atlassian.

    6.

  • Les responsabilités, obligations de coopération et dispositions (par ex., dans le cas de mises à jour)
  • Généralement prévues au contrat client Atlassian.

    7.

  • Le lieu d'exécution (par ex., la localisation des data centers)
  • Certains produits cloud couverts incluent une fonctionnalité de résidence des données intégrée au produit, comme décrit plus en détail ici, ce qui permet aux administrateurs de nos clients de rattacher des données produit à l'emplacement de leur choix. Cette page présente notre infrastructure d'hébergement cloud.

    Nous nous engageons contractuellement à (a) ne pas dégrader de manière substantielle les fonctionnalités du produit pendant la durée de l'abonnement applicable, et (b) informer les clients de tout changement apporté à nos sites d'hébergement de données.

    8.

  • Le début et la fin du contrat d'externalisation
  • Le contrat client Atlassian définit la durée par défaut d'un abonnement ainsi que les périodes de notification applicables. En outre, lorsque vous passez une commande pour un ou plusieurs produits cloud couverts, le contrat inclut la date de début et de fin de la période d'abonnement correspondante.

    9.

  • Les rapports clés pour l'examen continu du niveau de service
  • Les conditions de niveau de service correspondantes, ainsi que les recours en cas de non-respect des niveaux de service pour les produits cloud couverts sont prévus dans notre Accord de niveau de service et dans les Conditions spécifiques correspondantes du produit.

    10.

  • Les indicateurs permettant de déterminer un niveau de service inacceptable
  • Nous publions des mises à jour sur la disponibilité des services sur https://status.atlassian.com/ et nous nous engageons contractuellement à informer les clients des événements qui ont un impact substantiel sur la disponibilité des produits cloud couverts.

    11.

    2. Droits d'information et d'audit de la société supervisée

     

    12.

    Les droits d'information et d'audit, ainsi que les possibilités de contrôle de la société supervisée ne doivent en aucun cas être soumis à des limitations contractuelles. Il convient de veiller à ce que la société supervisée reçoive les informations dont elle a besoin pour contrôler et surveiller de manière adéquate les risques associés à l'externalisation.

    Notre programme d'audit est conçu pour permettre aux clients éligibles et à leurs autorités de surveillance d'auditer efficacement les produits cloud couverts.

    13.

    Afin de protéger les droits d'information et d'audit, les conditions suivantes devraient notamment être convenues contractuellement :

  • L'octroi d'un accès complet aux informations et aux données, ainsi que d'un accès aux locaux commerciaux du fournisseur de services cloud, y compris tous les data centers, équipements, systèmes et réseaux utilisés pour réaliser les tâches externalisées. Cela inclut les processus et contrôles connexes.
  • Des solutions effectives de contrôle et d'audit de l'ensemble de la chaîne d'externalisation.
  • Voir la ligne 12 ci-dessus.

    14.

    Aucune limitation (indirecte) des droits. L'exercice effectif des droits d'information et d'audit ne peut être limité contractuellement. Les autorités de surveillance allemandes considèrent qu'une telle limitation inadmissible des droits d'information et d'audit existe, en particulier dans le cas d'accords contractuels n'accordant de tels droits qu'à certaines conditions. Cela inclut notamment :

  • L'accord sur la mise en œuvre de procédures incrémentielles d'information et d'audit, par ex., l'obligation de se fier d'abord aux rapports d'audit, certificats ou autres preuves de conformité aux normes reconnues par le fournisseur de services cloud avant que la société supervisée ne puisse mener ses propres activités d'audit
  • La limitation de l'exercice des droits d'information et d'audit à l'envoi de rapports d'audit, de certificats ou autres preuves de conformité aux normes reconnues par le fournisseur de services cloud
  • Le conditionnement de l'accès aux informations à la participation préalable à des programmes de formation spéciaux
  • La formulation d'une clause de telle sorte que la réalisation d'un audit soit subordonnée à son caractère commercialement raisonnable
  • La limitation de la réalisation d'audits en termes d'organisation et de personnel. En règle générale, il est toutefois acceptable de limiter l'accès aux heures ouvrables habituelles sur préavis
  • La référence à l'utilisation exclusive, par ex., des consoles de gestion pour l'exercice des droits d'information et d'audit de la société.
  • Voir la ligne 12 ci-dessus.

    15.

    Exemptions

    Selon les exigences applicables en vertu de la législation en matière de surveillance, les sociétés supervisées peuvent demander des exemptions afin d'optimiser leurs activités d'audit. Ces exemptions incluent les audits groupés ou l'utilisation de documents/certificats basés sur des normes communes, des rapports d'audit de tiers reconnus ou des rapports d'audit internes du fournisseur de services cloud.

    Cette considération s'applique au client. Voir également la ligne 12 ci-dessus et la ligne 20 ci-dessous.

    16.

    Audits groupés

    Les sociétés supervisées concernées par les sections 25a, 25b de la Loi allemande sur le crédit (KWG) peuvent se prévaloir des exemptions prévues dans la Circulaire 09/2017 (BA) – Exigences minimales pour la gestion des risques – (MaRisk). Conformément à la section BT 2.1, paragraphe 3 des Exigences minimales pour la gestion des risques, le service d'audit interne de la société supervisée dans le cas d'une externalisation substantielle peut renoncer à ses propres activités d'audit à condition que le travail d'audit réalisé par le fournisseur de services externe réponde aux exigences des sections AT 4.4 et BT 2 des Exigences minimales pour la gestion des risques. Le service d'audit interne de la société externalisante supervisée doit s'assurer à intervalles réguliers que ces conditions sont remplies. Les résultats de l'audit concernant la société supervisée doivent être transmis au service d'audit interne de la société externalisante supervisée.

    Cette considération s'applique au client. Voir également la ligne 12 ci-dessus.

    17.

    À cet égard, l'activité d'audit peut être menée par le service d'audit interne du fournisseur de services cloud, le service d'audit interne d'une ou de plusieurs des sociétés externalisantes supervisées pour le compte des sociétés externalisantes supervisées (les « Audits groupés »), un tiers désigné par le fournisseur de services cloud ou un tiers désigné par les sociétés externalisantes supervisées.

    Cette considération s'applique au client. Voir également la ligne 12 ci-dessus.

    18.

    Pour les autres sociétés supervisées, il peut être permis, dans certains cas, d'exercer certains droits d'information et d'audit à l'encontre du fournisseur de services cloud conjointement avec d'autres sociétés supervisées par le biais d'un Audit groupé.

    Cette considération s'applique au client. Voir également la ligne 12 ci-dessus.

    19.

    Si une société supervisée se prévaut de l'une des exemptions susmentionnées, cela ne peut entraîner aucune limitation de ses droits d'information et d'audit.

    Voir la ligne 12 ci-dessus.

    20.

    Preuves/Certificats et rapports d'audit

    La société supervisée peut, en règle générale, utiliser des documentations/certificats sur la base de normes communes (par ex., la norme de sécurité internationale ISO/CEI 2700X de l'Organisation internationale de normalisation ou la norme C5 (Cloud Computing Compliance Controls Catalogue du BSI), de rapports d'audit de tiers reconnus ou rapports d'audit internes du fournisseur de services cloud. À cet égard, la société supervisée doit tenir compte du périmètre, de la rigueur, de l'actualité, et de la pertinence de l'organisme de certification ou de l'auditeur à l'origine de ces documentations/certificats et rapports d'audit.

    Les contrôles réalisés par Atlassian en matière de sécurité, de confidentialité et de conformité font l'objet d'examens réguliers. Pendant la durée de notre contrat avec vous, nous respecterons au moins les normes répertoriées dans notre Trust Center, qui comprend les certifications ISO/CEI 27001 et ISO/CEI 27018, ainsi que les rapports d'audit SOC2 de type II et SOC3 : https://www.atlassian.com/fr/trust/compliance.

    21.

    Toutefois, une société supervisés ne doit pas s'appuyer uniquement sur ces éléments dans le cadre de son activité d'audit. Lorsque le service d'audit interne utilise de tels documents/certificats dans le cadre de ses activités, il devrait être en mesure d'examiner les éléments de preuve qui les sous-tendent.

    Cette considération s'applique au client. Voir également la ligne 12 ci-dessus.

    22.

    3. Droits d'information et d'audit des autorités de surveillance

     

    23.

    Les droits d'information et d'audit, ainsi que les possibilités de contrôle de la société supervisée ne doivent en aucun cas être soumis à des limitations contractuelles. Les autorités de surveillance doivent être en mesure de surveiller les fournisseurs de services cloud exactement comme le prévoit la loi applicable pour la société supervisée. Les autorités de surveillance doivent pouvoir exercer leurs droits d'information et d'audit, ainsi que les possibilités de contrôle de manière appropriée et sans limitation en ce qui concerne la tâche sous-traitée. Cela s'applique également aux personnes auxquelles les autorités de surveillance font appel pour la réalisation des audits.

    Notre programme d'audit est conçu pour permettre aux clients éligibles et à leurs autorités de surveillance d'auditer efficacement les produits cloud couverts.

    24.

    Afin de protéger ces droits, les conditions suivantes devraient notamment être convenues contractuellement :

  • Obligation pour le fournisseur de services cloud de coopérer sans limitation avec les autorités de surveillance
  • Octroi d'un accès complet aux informations et aux données, et accès aux locaux commerciaux du fournisseur de services cloud, y compris tous les data centers, équipements, systèmes et réseaux utilisés pour réaliser les tâches externalisées. Cela inclut les processus et contrôles connexes ainsi que la possibilité de réaliser des audits sur site du fournisseur de services cloud (et le cas échéant de la société externalisante).
  • Des solutions effectives de contrôle et d'audit de l'ensemble de la chaîne d'externalisation.
  • Voir la ligne 23 ci-dessus.

    25.

    Aucune limitation (indirecte) des droits

    Une telle limitation inacceptable des droits d'information et d'audit, ainsi que des possibilités de contrôle des autorités de surveillance allemandes est réputée exister, en particulier dans le cas de dispositions accordant de tels droits uniquement à certaines conditions. Nous renvoyons aux déclarations ci-dessus concernant la limitation des droits des sociétés supervisées afin d'éviter les répétitions.

    Voir la ligne 23 ci-dessus.

    26.

    4. Droit de donner des instructions

     

    27.

    Les droits des sociétés supervisées de donner des instructions doivent être convenus. Ces droits visent à garantir que toutes les instructions requises pour fournir le service convenu puissent être données, c'est-à-dire que la possibilité d'influencer et de contrôler la tâche externalisée est requise. La mise en œuvre technique peut être organisée au cas par cas, en fonction de la situation spécifique de la société.

    Nos clients peuvent nous donner des instructions (y compris en ce qui concerne les certifications et les rapports d'audit de tiers) concernant les produits cloud couverts par le biais de leurs canaux de support client.

    28.

    Si la société supervisée utilise des éléments de preuve/certifications ou des rapports d'audit (cf. V.2), elle devrait également avoir la possibilité d'influencer le périmètre des éléments de preuve/certifications ou des rapports d'audit afin de l'étendre aux systèmes et contrôles pertinents. Le nombre d'instructions et la fréquence à laquelle ces instructions sont données doivent rester raisonnables.

    Voir la ligne 27 ci-dessus.

    29.

    En outre, la société supervisée devrait être autorisée à tout moment à donner des instructions au fournisseur de services cloud pour la correction, la suppression et le blocage des données, et le fournisseur de services cloud devrait être autorisé à collecter, traiter et utiliser les données uniquement dans le cadre des instructions données par la société supervisée. Cela devrait également couvrir la possibilité de donner une instruction à tout moment pour que les données traitées par le fournisseur de services cloud soient renvoyées rapidement et sans limitation à la société supervisée.

    Nous proposons un Avenant sur le traitement des données qui détaille les engagements en matière de traitement et de sécurité des données personnelles des clients. Pour en savoir plus sur notre programme de conformité au RGPD, consultez la page suivante :

    https://www.atlassian.com/fr/trust/compliance/resources/gdpr.

    En outre, nous fournissons à tous nos clients des fonctionnalités intégrées au produit leur permettant d'exporter eux-mêmes leurs données à tout moment pendant la durée de leur contrat.

    30.

    Si l'accord explicite sur les droits de la société supervisée de donner des instructions peut être annulé, le service à fournir par la société externalisante doit être spécifié avec suffisamment de clarté dans le contrat d'externalisation.

    Voir la ligne 27 ci-dessus.

    31.

    5. Sécurité/protection des données (référence à l'emplacement de stockage des données)

     

    32.

    Des dispositions garantissant le respect des réglementations en matière de protection des données et d'autres exigences de sécurité doivent être convenues.

    Compte tenu de la nature polyvalente de nos produits cloud couverts, nous fournissons le même degré de sécurité élevé à tous nos clients. Ces pratiques de sécurité sont présentées en détail dans notre Trust Center : https://www.atlassian.com/fr/trust.

    Nous nous engageons à respecter les pratiques de sécurité de notre Trust Center et à ne pas diminuer substantiellement la sécurité globale de nos produits cloud couverts pendant la durée de votre abonnement.

    Voir également les lignes 27 et 29 ci-dessus.

    33.

    L'emplacement de stockage des données doit être connu de la société supervisée. Cela devrait inclure la localisation précise des data centers. En règle générale, le nom de la localité (par ex., la ville) est suffisant. Toutefois, si, pour des raisons de gestion des risques, la société supervisée a besoin de l'adresse précise du data center, le fournisseur de services cloud devrait la lui fournir.

    Voir la ligne 7 ci-dessus.

    34.

    En outre, la redondance des données et des systèmes devrait être assurée de manière à garantir la continuité des services en cas de défaillance d'un data center.

    Des plans de continuité d'activité et de reprise d'activité sont en place, comme indiqué dans notre Trust Center. Ces plans sont révisés et testés au moins une fois par an.

    35.

    La sécurité des données et des systèmes doit également être garantie au sein de la chaîne d'externalisation.

    Voir la ligne 32 ci-dessus.

    36.

    La société supervisée doit avoir la possibilité d'accéder rapidement et à tout moment à ses données stockées auprès du fournisseur de services cloud, et de les retransférer si nécessaire. À cet égard, il convient de s'assurer que le mode de retransfert sélectionné ne limite pas et n'exclut pas l'utilisation des données. C'est pourquoi des formats de données standard indépendants de la plateforme devraient être convenus. La compatibilité des différents systèmes doit être prise en compte.

    Voir la ligne 29 ci-dessus.

    37.

    6. Dispositions de résiliation

     

    38.

    Des droits et délais de résiliation adéquats doivent être convenus. En particulier, un droit de résiliation spécial, prévoyant la résiliation pour un motif valable si l'autorité de surveillance demande la résiliation de l'accord, devrait être convenu.

    Nous accordons aux clients un droit de résiliation étendu pour des raisons pratiques, ce qui permet une résiliation en toutes circonstances.

    39.

    Il convient de s'assurer qu'en cas de résiliation, les tâches externalisées auprès du fournisseur de services cloud continuent d'être assurées jusqu'à leur transfert complet à un autre fournisseur de services cloud ou à la société supervisée. À cet égard, il convient de garantir en particulier que le fournisseur de services cloud aidera raisonnablement la société supervisée à transférer les tâches externalisées à un autre fournisseur de services cloud ou directement à la société supervisée.

    Si un établissement l'exige, le fournisseur de services cloud peut prolonger la durée de son abonnement pour une courte période afin de permettre sa transition vers un autre fournisseur de services.

    40.

    Le type, les modalités et la qualité du transfert des tâches externalisées et des données devraient être définis. Si les formats de données sont adaptés aux besoins individuels de la société supervisée, le fournisseur de services cloud devrait fournir une documentation de ces adaptations lors de la résiliation.

    Ces informations figurent dans notre documentation.

    41.

    Il devrait être convenu qu'après le retransfert des données à la société supervisée, le fournisseur de services cloud procèdera à la suppression totale et définitive des données de la société supervisée.

    Cette considération est traitée dans notre Avenant sur le traitement des données.

    42.

    Afin de garantir la continuité des activités externalisées en cas de résiliation planifiée ou imprévue de l'accord, la société supervisée doit avoir une stratégie de désengagement et s'assurer que cette continuité peut être garantie.

    Cette considération s'applique au client.

    43.

    7. Externalisation en chaîne

     

    44.

    Des dispositions relatives à la possibilité et aux modalités d'une externalisation en chaîne garantissant que les exigences de la législation en matière de surveillance continuent d'être respectées doivent être arrêtées. Les limitations conduisant, par ex., à n'assumer que les obligations les plus substantiellement similaires ne sont pas autorisées. Il convient en particulier de veiller à ce que les droits d'information et d'audit, ainsi que les possibilités de contrôle de la société externalisante supervisée et des autorités de surveillance s'appliquent également aux sous-traitants dans le cas d'une externalisation en chaîne.

    Afin de fournir des produits à l'échelle mondiale avec un minimum d'interruptions, nous pouvons sous-traiter certaines fonctions critiques à des fournisseurs de services de haute qualité (par ex., des fournisseurs d'hébergement de données). En ce qui concerne les sous-traitants critiques, Atlassian s'engage à s'assurer qu'elle dispose de contrats appropriés avec ces sous-traitants, qui accordent des droits d'audit, d'accès et d'information appropriés aux établissements et à leurs autorités de surveillance, et exigent que les sous-traitants se conforment à toutes les lois applicables. Voir également la ligne 12 ci-dessus.

    45.

    En vue de l'externalisation en chaîne, des réserves relatives au consentement de la société externalisante ou des conditions spécifiques à remplir pour que l'externalisation en chaîne soit possible devraient être prévues dans l'accord d'externalisation. Il convient de définir les tâches et/ou parties de celles-ci pouvant être externalisées en chaîne et celles qui ne le peuvent pas.

    Voir la ligne 44 ci-dessus.

    46.

    La société supervisée devrait être informée à l'avance et par écrit de l'externalisation en chaîne des tâches externalisées et/ou de certaines parties de celles-ci. Les sous-traitants et les tâches et/ou parties de celles-ci externalisées en chaîne qui leur ont été confiés devraient être connus de la société supervisée.

    Atlassian fera état de tout changement ou de toute nouvelle sous-traitance de fonctions critiques ou importantes, et fournira des informations sur ces sous-traitances. Nous autorisons l'établissement à résilier son contrat avec nous si l'établissement exprime des inquiétudes concernant ces sous-traitances.

    47.

    Il convient de garder à l'esprit qu'une externalisation en chaîne présente des risques, notamment pour la société externalisante. En conséquence, l'analyse des risques devrait au moins être passée en revue, ou une nouvelle analyse des risques devrait être réalisée en cas d'externalisation en chaîne. Cela s'applique également lorsque des défauts ou des changements substantiels sont constatés au niveau du service cloud fourni par les sous-traitants.

    Cette considération s'applique au client.

    48.

    La société devrait effectuer un suivi continu du service fourni dans son ensemble, que le service cloud soit assuré par le fournisseur de services cloud ou ses sous-traitants.

    Cette considération s'applique au client.

    49.

    8. Devoir d'information

     

    50.

    Des dispositions doivent être convenues pour garantir que le fournisseur de services cloud informe la société supervisée des événements susceptibles de nuire au bon déroulement des tâches externalisées. Cela inclut le signalement d'interruptions de la fourniture du service cloud et permet de s'assurer que la société peut surveiller les tâches externalisées de manière appropriée.

    Nous publions des mises à jour sur la disponibilité des services sur https://status.atlassian.com/ et nous nous engageons contractuellement à informer les clients des événements qui ont un impact substantiel sur la disponibilité des produits cloud couverts.

    51.

    Le fournisseur de services cloud doit informer immédiatement la société supervisée de toute circonstance pouvant présenter un risque pour la sécurité des données de la société supervisée à traiter par le fournisseur de services cloud, par ex. à la suite d'actions de tiers ( saisie, confiscation, etc.), de procédures d'insolvabilité ou de concordat, ou d'autres événements.

    Outre les engagements mentionnés à la ligne 50 ci-dessus, nous nous engageons à informer les clients des incidents de sécurité dans notre Avenant sur le traitement des données.

    52.

    Il convient de s'assurer que la société supervisée est correctement informée à l'avance par le fournisseur de services cloud des changements pertinents apportés au service cloud à assurer par le fournisseur de services cloud. Les descriptions du service et les changements apportés à celles-ci devraient être fournies et/ou notifiées par écrit à la société supervisée. Il convient de veiller à ce que la société supervisée soit correctement informée, dans la mesure permise par la loi, lorsque des demandes de cession de données de la société supervisée sont émises par des tiers.

    Nous publions une feuille de route pour les produits cloud destinée à informer les clients des changements substantiels apportés aux produits cloud couverts.

    De plus, nous ne fournissons les données client à des tiers que conformément à nos directives en matière de demandes émanant des forces de l'ordre.

    53.

    9. Avis sur la loi applicable

     

    54.

    Lorsqu'une clause relative au conflit de lois est convenue et que le droit allemand n'est pas choisi comme loi applicable, la loi d'un pays de l'Union européenne ou de l'Espace économique européen devrait, en tout état de cause, être choisie comme la loi régissant l'accord.

    La loi qui régit par défaut le contrat client Atlassian est la loi californienne. Pour plus d'informations, veuillez contacter notre équipe commerciale Enterprise.

    1 Le terme « externalisation substantielle » tel qu'utilisé dans les directives de la BaFin est équivalent au terme « externalisation critique ou significative » tel qu'utilisé dans les directives de l'ABE.