Directives de l'ABE

Paragraphe 74

Les droits et obligations de l'établissement, de l'établissement de paiement et du fournisseur de services devraient être clairement attribués et définis dans un accord écrit.

Généralement prévu au contrat client Atlassian.

Paragraphe 75

L'accord d'externalisation pour les fonctions critiques ou importantes devrait au moins inclure :

(a) une description claire de la fonction externalisée à assurer ;

Notre documentation, qui est intégrée par renvoi dans le contrat client Atlassian pour les clients éligibles, contient des descriptions claires des produits Cloud couverts.

(b) la date de début et de fin, le cas échéant, de l'accord, ainsi que les délais de préavis pour le fournisseur de services et l'établissement ou l'établissement de paiement ;

Le contrat client Atlassian définit la durée par défaut d'un abonnement ainsi que les périodes de notification applicables. En outre, lorsque vous passez une commande pour un ou plusieurs produits Cloud couverts, celle-ci inclut la date de début et de fin de la période d'abonnement correspondante.

(c) la loi applicable à l'accord ;

La loi qui régit par défaut le contrat client Atlassian est la loi californienne. Pour plus d'informations, contactez notre équipe commerciale Enterprise.

(d) les obligations financières des parties ;

Le tarif de chacun des produits Cloud couverts est disponible sur www.atlassian.com/fr.

(e) si la sous-traitance d'une fonction critique ou importante, ou de parties substantielles de celle-ci, est autorisée et, le cas échéant, les conditions précisées dans la section 13.1 (Sous-traitance de fonctions critiques et importantes) auxquelles la sous-traitance est soumise ;

Reportez-vous aux commentaires des lignes 21 à 36 de la section 13.1.

(f) le ou les emplacements (c.-à-d. les régions ou pays) où la fonction critique ou importante sera assurée et/ou l'emplacement où les données pertinentes seront conservées et traitées, y compris l'emplacement de stockage éventuel et les conditions à remplir, y compris l'obligation d'informer l'établissement ou l'établissement de paiement si le fournisseur de services propose de modifier le ou les emplacements ;

Certains produits Cloud couverts incluent une fonctionnalité de résidence des données intégrée au produit, comme décrit plus en détail ici, ce qui permet aux administrateurs de nos clients de rattacher des données produit à l'emplacement de leur choix. Cette page présente notre infrastructure d'hébergement dans le cloud.

Nous nous engageons contractuellement à (a) ne pas dégrader de manière substantielle les fonctionnalités du produit pendant la durée de l'abonnement applicable, et (b) informer les clients de tout changement apporté à nos emplacements d'hébergement des données.

(g) le cas échéant, les dispositions relatives à l'accessibilité, à la disponibilité, à l'intégrité, à la confidentialité et à la sécurité des données pertinentes, comme précisé dans la section 13.2 (Sécurité des données et des systèmes) ;

Reportez-vous aux commentaires des lignes 36 à 39 de la section 13.2.

(h) le droit de l'établissement ou de l'établissement de paiement d'effectuer un suivi continu des performances du fournisseur de services ;

Nous publions des mises à jour sur la disponibilité des services sur status.atlassian.com et nous nous engageons contractuellement à informer les clients des événements qui ont un impact substantiel sur la disponibilité des produits Cloud couverts.

(i) les niveaux de service convenus, qui doivent inclure des objectifs de performance quantitatifs et qualitatifs précis pour la fonction externalisée afin de permettre un suivi en temps opportun. Ainsi, des mesures correctives appropriées peuvent être prises sans retard injustifié si les niveaux de service convenus ne sont pas atteints ;

Les conditions de niveau de service correspondantes, ainsi que les recours en cas de non-respect des niveaux de service pour les produits Cloud couverts sont prévus dans notre Accord de niveau de service et dans les Conditions spécifiques correspondantes du produit.

(j) les obligations de notification du fournisseur de services à l'établissement ou l'établissement de paiement, y compris la communication par le fournisseur de services de tout événement susceptible d'avoir un impact substantiel sur la capacité du fournisseur de services à assurer efficacement la fonction critique ou importante conformément aux niveaux de service convenus et aux lois et exigences réglementaires applicables et, le cas échéant, l'obligation d'envoyer des rapports sur le service d'audit interne du fournisseur de services ;

Nous publions des mises à jour sur la disponibilité des services sur status.atlassian.com et nous nous engageons contractuellement à informer les clients des événements qui ont un impact substantiel sur la disponibilité des produits Cloud couverts.

(k) si le fournisseur de services doit souscrire une assurance obligatoire contre certains risques et, le cas échéant, le niveau de couverture exigé ;

Atlassian bénéficie de couvertures d'assurance contre un certain nombre de risques identifiés, conformément aux lois applicables à notre activité.

(l) les exigences relatives à la mise en œuvre et la mise à l'essai de plans d'urgence opérationnels ;

Des plans de continuité de l'activité et de reprise d'activité sont en place, comme indiqué dans notre Trust Center. Ces plans sont révisés et testés au moins une fois par an.

(m) des dispositions qui garantissent que les données détenues par l'établissement ou l'établissement de paiement peuvent être consultées en cas d'insolvabilité, de résolution ou de cessation des activités commerciales du fournisseur de services ;

Nous permettons au client d'accéder à ses données et de les exporter pendant toute la durée de notre contrat.

Aucun de ces engagements n'est abandonné en cas d'insolvabilité d'Atlassian. Atlassian n'a pas non plus le droit de résilier le contrat pour cause d'insolvabilité d'Atlassian. Le client peut toutefois choisir de résilier le contrat pour des raisons pratiques dans les mêmes circonstances.

Dans le cas peu probable de l'insolvabilité d'Atlassian, le client peut faire valoir ces engagements lorsqu'il traite avec l'administrateur judiciaire désigné.

(n) l'obligation pour le fournisseur de services de coopérer avec les autorités compétentes et les autorités de résolution de l'établissement ou de l'établissement de paiement, y compris les autres personnes qu'ils ont désignées ;

Atlassian coopérera avec les autorités et autorités de résolution compétentes de l'établissement dans l'exercice de leurs droits d'audit, d'information et d'accès.

(o) pour les établissements, une référence claire aux pouvoirs de l'autorité nationale de résolution, en particulier aux Articles 68 et 71 de la Directive 2014/59/UE (BRRD), et en particulier une description des « obligations substantielles » du contrat au sens de l'Article 68 de ladite Directive ;

Atlassian comprend que les établissements et toutes les entités de résolution doivent être en mesure de poursuivre leurs activités pendant la résolution. Afin d'offrir une assistance pendant la résolution, nous nous engageons à continuer de fournir les produits Cloud couverts pendant la résolution, comme l'exige la BRRD.

(p) le droit illimité des établissements, des établissements de paiement et des autorités compétentes d'inspecter et d'auditer le fournisseur de services en ce qui concerne, en particulier, la fonction externalisée critique ou importante, comme précisé dans la section 13.3 (Droits d'accès, d'information et d'audit) ; et

Reportez-vous aux commentaires des lignes 40 à 53 de la section 13.3.

(q) des droits de résiliation, comme précisé dans la section 13.4 (Droits de résiliation).

Reportez-vous aux commentaires de la ligne 56 de la section 13.4.

Paragraphe 76

L'accord d'externalisation devrait préciser si la sous-traitance de fonctions critiques ou importantes, ou de parties substantielles de celles-ci, est autorisée ou non.

Afin de fournir des produits à l'échelle mondiale avec un minimum d'interruptions, nous pouvons sous-traiter certaines fonctions critiques ou importantes à des fournisseurs de services de haute qualité (par exemple, des fournisseurs de services d'hébergement de données).

Paragraphe 77

Si la sous-traitance de fonctions critiques ou importantes est autorisée, les établissements et les établissements de paiement devraient déterminer si la partie de la fonction à sous-traiter est, en tant que telle, critique ou importante (c'est-à-dire une partie substantielle de la fonction critique ou importante) et, le cas échéant, l'inscrire dans le registre.

Cette considération s'applique au client.

Paragraphe 78

Si la sous-traitance de fonctions critiques ou importantes est autorisée, l'accord écrit devrait :

(a) préciser tous les types d'activités exclus de la sous-traitance ;

Voir la ligne 22 ci-dessus.

(b) préciser les conditions à respecter en cas de sous-traitance ;

Atlassian fera état de tout changement ou de toute nouvelle sous-traitance de fonctions critiques ou importantes, et fournira des informations sur ces sous-traitances. Nous autorisons l'établissement à résilier son contrat avec nous si l'établissement exprime des inquiétudes concernant ces sous-traitances.

(c) préciser que le fournisseur de services est tenu de superviser les services qu'il sous-traite afin de s'assurer que toutes les obligations contractuelles entre le fournisseur de services et l'établissement ou l'établissement de paiement sont continuellement respectées ;

Atlassian reste responsable de ses performances globales dans le cadre du contrat client Atlassian, y compris pour toutes les fonctions sous-traitées. En ce qui concerne les sous-traitances critiques ou importantes, Atlassian s'engage à s'assurer qu'elle dispose de contrats appropriés avec les sous-traitants correspondants, qui accordent des droits d'audit, d'accès et d'information appropriés aux établissements et à leurs autorités et autorités de résolution compétentes, et exigent que ces sous-traitants se conforment à toutes les lois applicables.

(d) exiger du fournisseur de services qu'il obtienne une autorisation écrite spécifique ou générale préalable de l'établissement ou de l'établissement de paiement avant de sous-traiter des données ;

Dans le cadre de notre conformité au RGPD, dans notre Avenant sur le traitement des données, nous nous engageons à ne faire appel à aucun sous-traitant pour traiter les données personnelles du client sans le consentement écrit préalable du client.

(e) inclure une obligation pour le fournisseur de services d'informer l'établissement ou l'établissement de paiement de tout projet de sous-traitance ou de tout changement substantiel y afférent, en particulier lorsque cela pourrait affecter la capacité du fournisseur de services à s'acquitter de ses responsabilités en vertu de l'accord d'externalisation. Cela inclut les changements importants prévus des sous-traitants et de la période de notification ; en particulier, la période de notification à fixer devrait au moins permettre à l'établissement ou l'établissement de paiement externalisant de procéder à une évaluation des risques liés aux changements proposés, et de s'opposer aux changements avant que la sous-traitance prévue ou les changements importants de celle-ci soient effectifs ;

Voir la ligne 26 ci-dessus.

(f) s'assurer, le cas échéant, que l'établissement ou l'établissement de paiement a le droit de s'opposer au projet de sous-traitance ou à des changements substantiels de celui-ci, ou à ce qu'une approbation explicite soit requise ;

Voir la ligne 26 ci-dessus.

(g) s'assurer que l'établissement ou l'établissement de paiement a le droit contractuel de résilier l'accord en cas de sous-traitance injustifiée, par exemple, lorsque la sous-traitance augmente substantiellement les risques pour l'établissement ou l'établissement de paiement, ou lorsque le fournisseur de services sous-traite sans en informer l'établissement ou l'établissement de paiement.

Voir la ligne 26 ci-dessus.

Paragraphe 79

Les établissements et les établissements de paiement ne devraient convenir de sous-traiter que si le sous-traitant s'engage à :

(a) se conformer à toutes les lois, exigences réglementaires et obligations contractuelles applicables ; et

Voir la ligne 27 ci-dessus.

(b) accorder à l'établissement, à l'établissement de paiement et à l'autorité compétente les mêmes droits contractuels d'accès et d'audit que ceux accordés par le fournisseur de services.

Voir la ligne 27 ci-dessus.

Paragraphe 80

Les établissements et les établissements de paiement devraient s'assurer que le fournisseur de services supervise de manière appropriée les sous-fournisseurs de services, conformément à la politique définie par l'établissement ou l'établissement de paiement. Si le projet de sous-traitance peut avoir des effets négatifs substantiels sur l'accord d'externalisation d'une fonction critique ou importante, ou entraîne une augmentation substantielle du risque, y compris lorsque les conditions énoncées au paragraphe 79 ne sont pas remplies, l'établissement ou l'établissement de paiement devrait exercer son droit à s'opposer à la sous-traitance, si un tel droit a été convenu, et/ou résilier le contrat.

Voir les lignes 26 et 27 ci-dessus.

Paragraphe 81

Les établissements et les établissements de paiement devraient s'assurer que les fournisseurs de services, le cas échéant, respectent les normes de sécurité informatique appropriées.

Les contrôles réalisés par Atlassian en matière de sécurité, de confidentialité et de conformité font l'objet d'examens réguliers. Pendant la durée de notre contrat avec vous, nous respecterons au moins les normes répertoriées dans notre Trust Center, qui comprend les certifications ISO/CEI 27001 et ISO/CEI 27018, ainsi que les rapports d'audit SOC 2 de type II et SOC 3 : https://www.atlassian.com/fr/trust/compliance.

Paragraphe 82

Le cas échéant (par exemple, dans le contexte de l'externalisation du cloud ou d'une autre TIC), les établissements et les établissements de paiement devraient définir des exigences en matière de sécurité des données et des systèmes dans le cadre de l'accord d'externalisation, et veiller au respect de ces exigences en permanence.

Compte tenu de la nature polyvalente de nos produits Cloud couverts, nous fournissons le même degré de sécurité élevé à tous nos clients. Ces pratiques de sécurité sont présentées en détail dans notre Trust Center :
https://www.atlassian.com/fr/trust.

Nous nous engageons à respecter les pratiques de sécurité de notre Trust Center et à ne pas diminuer substantiellement la sécurité globale de nos produits Cloud couverts pendant la durée de votre abonnement.

Paragraphe 83

Dans le cas de l'externalisation vers des fournisseurs de services cloud, et d'autres accords d'externalisation impliquant le traitement ou le transfert de données personnelles ou confidentielles, les établissements et les établissements de paiement devraient adopter une approche basée sur les risques pour le stockage des données et la ou les emplacements de traitement des données (c.-à-d. le pays ou la région), ainsi que des considérations relatives à la sécurité des informations.

Cette considération s'applique au client.

Paragraphe 84

Sans préjudice des exigences du Règlement (UE) 2016/679, les établissements et les établissements de paiement, lorsqu'ils externalisent (en particulier vers des pays tiers), devraient tenir compte des différences entre les dispositions de chaque pays relatives à la protection des données. Les établissements et les établissements de paiement devraient s'assurer que l'accord d'externalisation comporte l'obligation pour le fournisseur de services de protéger les informations confidentielles, personnelles ou sensibles, de se conformer à toutes les exigences juridiques relatives à la protection des données qui s'appliquent à l'établissement ou à l'établissement de paiement (par exemple, la protection des données personnelles), et de respecter le secret bancaire ou des obligations juridiques de confidentialité similaires en ce qui concerne les informations des clients, le cas échéant.

Nous proposons un Avenant sur le traitement des données qui détaille les engagements en matière de traitement et de sécurité des données personnelles des clients. Pour en savoir plus sur notre programme de conformité au RGPD, consultez la page suivante :

https://www.atlassian.com/fr/trust/compliance/resources/gdpr.

Paragraphe 85

Les établissements et les établissements de paiement devraient s'assurer, dans le cadre de l'accord d'externalisation écrit, que le service d'audit interne est en mesure d'examiner la fonction externalisée en utilisant une approche basée sur les risques.

Atlassian fournit aux établissements des mécanismes contractuels permettant de vérifier en permanence les produits Cloud couverts.

Paragraphe 86

Indépendamment de la criticité ou de l'importance de la fonction externalisée, les accords d'externalisation écrits entre les établissements et les fournisseurs de services devraient faire référence aux pouvoirs de collecte d'informations et d'enquête des autorités et autorités de résolution compétentes en vertu de l'Article 63, paragraphe (1), point (a) de la Directive 2014/59/UE et de l'Article 65, paragraphe (3) de la Directive 2013/36/UE en ce qui concerne les fournisseurs de services situés dans un État membre, et devraient également garantir ces droits aux fournisseurs de services situés dans des pays tiers.

Atlassian reconnaît les pouvoirs de collecte d'informations et d'enquête des autorités et autorités de résolution compétentes en vertu de la législation européenne pertinente et applicable.

Paragraphe 87

En ce qui concerne l'externalisation de fonctions critiques ou importantes, les établissements et les établissements de paiement devraient s'assurer, dans le cadre de l'accord d'externalisation écrit, que le fournisseur de services leur accorde, ainsi qu'à leurs autorités compétentes, y compris les autorités de résolution, et à toute autre personne désignée par eux ou par les autorités compétentes, les éléments suivants :

(a) l'accès total à l'ensemble des locaux commerciaux pertinents (par exemple, les sièges sociaux et les centres d'exploitation), y compris l'ensemble des appareils, systèmes, réseaux, informations et données utilisés pour assurer la fonction externalisée, y compris les informations financières connexes, le personnel et les auditeurs externes du fournisseur de services (les « Droits d'accès et d'information ») ; et

(b) des droits illimités d'inspection et d'audit liés à l'accord d'externalisation (les « Droits d'audit »), afin de leur permettre de contrôler l'accord d'externalisation, et de garantir le respect de toutes les exigences réglementaires et contractuelles applicables.

Pour tous les établissements qui utilisent les produits Cloud couverts, Atlassian accorde les droits d'audit, d'information et d'accès requis aux établissements, à leurs autorités compétentes et à leurs mandataires.

Paragraphe 88

Pour l'externalisation de fonctions non critiques ou non importantes, les établissements et les établissements de paiement devraient garantir les droits d'accès et d'audit tels que précisés au paragraphe 87, points (a) et (b), et à la section 13.3, selon une approche basée sur les risques, compte tenu de la nature de la fonction externalisée ainsi que des risques liés à l'activité et à la réputation, de l'évolutivité de la fonction externalisée, de l'impact potentiel sur la continuité des activités et de la durée du contrat. Les établissements et les établissements de paiement devraient tenir compte du fait que les fonctions peuvent devenir critiques ou importantes au fil du temps.

Voir la ligne 44 ci-dessus.

Paragraphe 89

Les établissements et les établissements de paiement devraient s'assurer que l'accord d'externalisation ou tout autre accord contractuel n'entrave pas et ne limite pas l'exercice effectif des droits d'accès et d'audit par eux-mêmes, par les autorités compétentes ou par les tiers qu'ils ont désignés pour exercer ces droits.

Notre programme d'audit est conçu pour permettre aux clients éligibles et à leurs autorités compétentes d'auditer efficacement les produits Cloud couverts.

Paragraphe 90

Les établissements et les établissements de paiement devraient exercer leurs droits d'accès et d'audit, déterminer la fréquence des audits et les activités à auditer selon une approche basée sur les risques, et respecter les normes d'audit nationales et internationales pertinentes et communément acceptées.

Nous avons élaboré un programme d'audit conforme à cette considération.

Paragraphe 91

Sans préjudice de leur responsabilité finale concernant les accords d'externalisation, les établissements et les établissements de paiement peuvent utiliser :

(a) des audits groupés organisés conjointement avec d'autres clients du même fournisseur de services, et réalisés par eux-mêmes et ces clients ou par un tiers désigné par eux-mêmes, afin d'optimiser l'utilisation des ressources d'audit et de réduire la charge organisationnelle pesant à la fois sur les clients et sur le fournisseur de services ;

(b) des certifications tierces, et des rapports d'audit tiers ou internes mis à disposition par le fournisseur de services.

Notre programme d'audit permet aux établissements de vérifier les produits Cloud couverts à l'aide d'audits groupés et/ou de certifications tierces.

Paragraphe 92

Pour l'externalisation de fonctions critiques ou importantes, les établissements et les établissements de paiement devraient déterminer si les certifications et les rapports de tiers visés au paragraphe 91, point (b) sont adéquats et suffisants pour s'acquitter de leurs obligations réglementaires et ne devraient pas se fier uniquement à ces rapports.

Cette considération s'applique au client.

Paragraphe 93

Les établissements et les établissements de paiement ne devraient utiliser la méthode visée au paragraphe 91, point (b) que s'ils :

(a) sont satisfaits du plan d'audit pour la fonction externalisée ;

(b) s'assurent que le périmètre de la certification ou du rapport d'audit couvre les systèmes (c.-à-d. les processus, les applications, les infrastructures, les data centers, etc.), ainsi que les contrôles clés identifiés par l'établissement ou l'établissement de paiement et la conformité aux exigences réglementaires applicables ;

(c) analysent minutieusement et en continu le contenu des certifications ou des rapports d'audit, et s'assurent que certifications ou rapports sont toujours valides ;

(d) s'assurent que les systèmes et contrôles clés sont couverts par les futures versions de la certification ou du rapport d'audit ;

(e) sont satisfaits de l'aptitude de la partie certificatrice ou auditrice (par exemple, en ce qui concerne la rotation de l'organisme de certification ou d'audit, les qualifications, l'expertise ou le réexamen/la vérification des éléments de preuve contenus dans le dossier d'audit sous-jacent) ;

(f) sont satisfaits du fait que les certifications sont délivrées, et que les audits sont réalisés selon des normes professionnelles pertinentes largement reconnues et comprennent une évaluation de l'efficacité opérationnelle des contrôles clés en place ;

(g) ont le droit contractuel de demander l'extension du périmètre des certifications ou des rapports d'audit à d'autres systèmes et contrôles pertinents ; le nombre et la fréquence de ces demandes de modification du périmètre devraient être raisonnables et légitimes du point de vue de la gestion des risques ; et

(h) conservent le droit contractuel de procéder à des audits individuels, à leur discrétion, de l'externalisation de fonctions critiques ou importantes.

Les sous-paragraphes (a) à (f) sont des considérations client. En ce qui concerne le sous-paragraphe (g), nous fournissons aux établissements un mécanisme contractuel permettant de demander la modification de nos contrôles et processus d'audit. Le sous-paragraphe (h) est traité à la ligne 44 ci-dessus.

Paragraphe 94

Conformément aux Directives de l'ABE en matière d'évaluation des risques liés aux TIC dans le cadre du processus de contrôle et d'évaluation prudentiels (SREP), les établissements devraient, le cas échéant, s'assurer qu'ils sont en mesure de procéder à des tests d'intrusion afin d'évaluer l'efficacité des mesures et processus de cybersécurité et sécurité des TIC internes implémentés. Compte tenu du titre I, les établissements de paiement devraient également disposer de mécanismes internes de contrôle des TIC, y compris un contrôle de sécurité des TIC et des mesures d'atténuation.

Atlassian autorise ses clients à procéder à des tests d'intrusion à tout moment sans l'approbation préalable d'Atlassian : https://www.atlassian.com/fr/trust/security/security-testing.

Paragraphe 95

Avant une visite sur place planifiée, les établissements, les établissements de paiement, les autorités compétentes et les auditeurs ou les tiers agissant pour le compte de l'établissement, de l'établissement de paiement ou des autorités compétentes devraient fournir un préavis raisonnable au fournisseur de services, sauf si cela est impossible en raison d'une urgence ou d'une situation de crise, ou conduirait à une situation dans laquelle l'audit ne serait plus effectif.

Notre programme d'audit est adapté à cette considération.

Paragraphe 96

Lors de la réalisation d'audits dans des environnements multi-clients, il convient de veiller à ce que les risques pour l'environnement d'un autre client (par exemple, l'impact sur les niveaux de service, la disponibilité des données, les aspects de confidentialité) soient évités ou atténués.

Il est extrêmement important pour Atlassian et ses clients que les activités que nous menons avec un client ne mettent aucun autre client en danger. Cela s'applique aux audits que vous réalisez, mais également aux audits que d'autres clients réalisent. Lorsqu'un établissement réalise un audit, nous travaillons avec lui à limiter les perturbations pour nos autres clients, tout comme nous travaillons avec d'autres clients qui réalisent des audits à limiter les perturbations pour l'établissement. En particulier, nous veillons à respecter nos engagements en matière de sécurité en toute circonstance.

Paragraphe 97

Lorsque l'accord d'externalisation présente un niveau élevé de complexité technique, par exemple, dans le cas de l'externalisation dans le cloud, l'établissement ou l'établissement de paiement devrait vérifier que la personne qui réalise l'audit, qu'il s'agisse d'un auditeur interne, d'un groupe d'auditeurs ou d'auditeurs externes agissant pour son compte, possède les compétences et les connaissances appropriées et pertinentes pour réaliser les audits et/ou évaluations pertinents dans les meilleures conditions. Il en va de même pour le personnel de l'établissement ou de l'établissement de paiement qui contrôle les certifications ou les audits tiers réalisés par des fournisseurs de services.

Il s'agit d'une responsabilité du client.

Paragraphe 98

L'accord d'externalisation devrait expressément permettre à l'établissement ou à l'établissement de paiement de résilier l'accord, conformément à la législation applicable, y compris dans les situations suivantes :

(a) lorsque le fournisseur des fonctions externalisées enfreint la loi, les réglementations ou les dispositions contractuelles applicables ;

b) lorsque des obstacles susceptibles de modifier la fourniture de la fonction externalisée sont identifiés ;

(c) lorsque des changements substantiels affectent l'accord d'externalisation ou le fournisseur de services (par exemple, en cas de sous-traitance ou de changement de sous-traitant) ;

(d) lorsque des lacunes sont constatées en ce qui concerne la gestion et la sécurité des données ou informations confidentielles, personnelles ou autrement sensibles ; et

(e) lorsque des instructions sont données par l'autorité compétente de l'établissement ou de l'établissement de paiement, par exemple, lorsque l'autorité compétente n'est plus en mesure, en raison de l'accord d'externalisation, de surveiller efficacement l'établissement ou l'établissement de paiement.

Nous accordons aux clients un droit étendu de résiliation pour des raisons de commodité, ce qui permet une résiliation dans l'un des cas répertoriés dans la section 13.4 des Directives de l'ABE.

Paragraphe 99

L'accord d'externalisation écrit devrait :

(a) définir clairement les obligations du fournisseur de services existant, en cas de transfert de la fonction externalisée à un autre fournisseur de services, ou de retransfert à l'établissement ou à l'établissement de paiement, y compris pour le traitement des données ;

Nous fournissons à tous nos clients des fonctionnalités intégrées au produit leur permettant d'exporter eux-mêmes leurs données à tout moment pendant la durée de leur contrat.

(b) fixer une période de transition appropriée, au cours de laquelle le fournisseur de services, après la résiliation de l'accord d'externalisation, continuerait d'assurer la fonction externalisée afin de réduire le risque de perturbations ; et

Si un établissement l'exige, le fournisseur de services cloud peut prolonger la durée de son abonnement pour une courte période afin de permettre sa transition vers un autre fournisseur de services.

(c) inclure une obligation pour le fournisseur de services d'assister l'établissement ou l'établissement de paiement dans le transfert de la fonction en cas de résiliation de l'accord d'externalisation.

Voir les lignes 58 et 59 ci-dessus.