En bref

  • Le Royaume-Uni a officiellement placé AWS, Azure, Google Cloud et Oracle sous la supervision directe de la Banque d'Angleterre et des régulateurs financiers depuis le 13 juillet 2026.
  • Ces quatre géants cloud sont désormais désignés « Tiers Critiques » (CTP) pour le secteur financier britannique, une première mondiale de cette ampleur.
  • Ce cadre réglementaire crée un précédent majeur susceptible d'être répliqué en Europe et au niveau international dans les prochains mois.

Quand la Banque d'Angleterre prend la main sur le cloud mondial

Le 13 juillet 2026 marque un tournant historique dans la régulation des infrastructures numériques mondiales : pour la première fois, quatre des principaux fournisseurs de services cloud ont été placés sous la supervision directe d'autorités financières nationales. Microsoft Ireland Operations Ltd, Google Cloud EMEA Ltd, Amazon Web Services EMEA SARL et Oracle Corporation UK Ltd ont formellement été désignés comme « Critical Third Parties » (CTPs) au sens de la réglementation britannique. HM Treasury a confirmé ces désignations le 10 juillet 2026, avec une entrée en vigueur effective le 13 juillet 2026.

Cette désignation signifie concrètement que la Bank of England (BoE), la Prudential Regulation Authority (PRA) et la Financial Conduct Authority (FCA) disposent désormais de pouvoirs directs sur ces entreprises technologiques dans le cadre de leur fourniture de services au secteur financier britannique. Ces trois régulateurs agissent conjointement, ce qui garantit une supervision coordonnée et évite les angles morts réglementaires. Une telle configuration tripartite est inédite pour superviser des entités technologiques non financières et témoigne de la gravité avec laquelle les autorités britanniques considèrent les risques de concentration dans le cloud financier.

Les pouvoirs accordés aux régulateurs sont substantiels. La BoE, la PRA et la FCA peuvent désormais collecter des informations directement auprès des CTPs sur leurs opérations, évaluer leur résilience opérationnelle, exiger qu'ils réalisent des tests de résistance face à des scénarios sévères mais plausibles (cyberattaques, pannes majeures, catastrophes naturelles), imposer des auto-évaluations régulières, et recevoir des rapports d'incidents majeurs susceptibles d'affecter le système financier. Ce dernier point est particulièrement significatif : les grandes banques et assureurs britanniques devront s'aligner sur un régime de reporting plus cohérent avec leurs fournisseurs cloud.

La motivation de cette réglementation est claire : la concentration du marché cloud dans le secteur financier britannique représente un risque systémique majeur. Selon les données compilées par la Bank of England dans ses rapports de stabilité financière, la quasi-totalité des banques, compagnies d'assurance et infrastructures de marchés financiers britanniques s'appuient sur l'un ou plusieurs de ces quatre fournisseurs pour leurs opérations critiques. En cas de panne majeure chez l'un d'eux, c'est potentiellement l'ensemble du système financier qui pourrait être affecté simultanément, un scénario qualifié de risque de contagion systémique par les autorités.

Le cadre légal qui permet ces désignations a été établi par le Financial Services and Markets Act 2023 (FSMA 2023), qui a créé le statut de Critical Third Party. Après deux ans de consultations, de définition des critères de désignation et de préparation réglementaire, HM Treasury a finalement procédé à ces premières désignations en juillet 2026. La loi ne fixe pas de limite au nombre de CTPs pouvant être désignés, et le Trésor britannique a d'ores et déjà signalé que d'autres acteurs pourraient rejoindre la liste à mesure que les dépendances du système financier évoluent.

Il est important de noter que la supervision concerne spécifiquement les services fournis au secteur financier britannique, et non l'ensemble des opérations mondiales de ces entreprises. Les entités légales désignées sont les branches européennes ou britanniques des groupes : Microsoft Ireland Operations Ltd pour Azure, Google Cloud EMEA Ltd, Amazon Web Services EMEA SARL, et Oracle Corporation UK Ltd. Cette granularité reflète la structure organisationnelle post-Brexit de ces groupes en Europe et illustre la complexité juridictionnelle inhérente à la régulation d'infrastructures mondiales.

Pour se conformer à ce nouveau cadre réglementaire, les quatre CTPs désignés ont dû s'engager dans un processus préparatoire intensif. Cela inclut la mise en place de capacités de reporting renforcées, la documentation de leurs architectures de service, l'identification des points de défaillance unique (Single Points of Failure), et la préparation de plans de réponse aux incidents coordonnés avec leurs clients du secteur financier. Les régulateurs ont publié des lignes directrices détaillées (supervisory statements) détaillant leurs attentes précises en matière de résilience opérationnelle et de gestion des risques.

Les institutions financières britanniques — banques, assureurs, gestionnaires d'actifs — doivent elles aussi adapter leurs pratiques. Elles sont tenues de cartographier avec précision leurs dépendances vis-à-vis des CTPs, d'évaluer leurs propres risques de concentration, de définir des stratégies de sortie ou de substitution en cas de défaillance d'un fournisseur, et d'intégrer ces considérations dans leurs propres reportings réglementaires auprès de la PRA et de la FCA.

Un précédent mondial aux implications considérables

La désignation des quatre géants cloud comme CTPs par le Royaume-Uni constitue bien plus qu'une réforme réglementaire locale. Elle établit un modèle — et un précédent — que d'autres juridictions vont inévitablement étudier et adapter. L'Union européenne a déjà mis en place le règlement DORA (Digital Operational Resilience Act), entré en vigueur en janvier 2025, qui impose des exigences similaires aux fournisseurs tiers critiques des institutions financières européennes. Mais là où DORA s'appuie sur une supervision indirecte via les institutions financières clientes, le modèle britannique va plus loin en conférant des pouvoirs directs aux régulateurs sur les fournisseurs cloud eux-mêmes.

Pour les entreprises opérant dans le secteur financier, les implications pratiques sont considérables. La question de la concentration chez un seul fournisseur cloud — souvent AWS ou Azure — va désormais faire l'objet d'un examen réglementaire systématique. Les responsables de la gestion des risques devront documenter et justifier leurs choix d'architecture cloud, prévoir des plans de continuité en cas de défaillance d'un CTP, et démontrer qu'ils ont évalué les risques de dépendance croisée. Pour les fintech et néobanques nativement cloud, dont l'ensemble du modèle opérationnel repose sur ces infrastructures, l'adaptation représente un défi particulièrement significatif.

Du côté des fournisseurs cloud eux-mêmes, cette régulation crée de nouvelles obligations mais aussi de nouveaux leviers compétitifs. Être désigné CTP au Royaume-Uni est certes contraignant, mais c'est aussi un signal de maturité et de confiance institutionnelle. Les fournisseurs qui sauront démontrer une résilience opérationnelle exemplaire dans le cadre de ce régime supervisé pourront faire valoir cet argument auprès de clients financiers dans d'autres juridictions. La conformité réglementaire devient ainsi un facteur différenciant dans un marché cloud très concentré.

À une échelle plus large, cette initiative britannique pose la question de la gouvernance des infrastructures numériques mondiales. Quand une banque centrale peut enjoindre à une filiale irlandaise d'Amazon de modifier ses pratiques opérationnelles, les frontières traditionnelles entre régulation financière, régulation technologique et souveraineté numérique deviennent floues. Dans un contexte géopolitique de plus en plus tendu, la question de qui contrôle les infrastructures cloud critiques des économies nationales n'est plus seulement technique : elle est éminemment politique.

Ce qu'il faut retenir

  • AWS, Azure, Google Cloud et Oracle sont désormais sous supervision directe de la Banque d'Angleterre pour leurs services au secteur financier britannique depuis le 13 juillet 2026.
  • Les institutions financières britanniques doivent cartographier leurs dépendances cloud et mettre en place des plans de résilience documentés conformément aux nouvelles exigences CTP.
  • Ce modèle réglementaire est susceptible d'inspirer d'autres juridictions : les équipes de conformité des acteurs du secteur financier européen doivent anticiper une convergence progressive vers des exigences similaires, complémentaires à DORA.

DORA en Europe et la réglementation CTP britannique : quelles différences concrètes ?

DORA (Digital Operational Resilience Act) impose aux institutions financières européennes de gérer les risques liés à leurs prestataires ICT tiers, avec des exigences contractuelles et de reporting renforcées. Le régime CTP britannique va plus loin en conférant des pouvoirs de supervision directe aux régulateurs financiers (BoE, PRA, FCA) sur les fournisseurs cloud eux-mêmes, sans passer par les institutions financières clientes. En pratique, un fournisseur cloud désigné CTP au Royaume-Uni doit répondre directement aux injonctions réglementaires, alors que sous DORA, le fournisseur reste principalement soumis aux obligations contractuelles imposées par ses clients financiers et aux audits initiés par ces derniers.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact