Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2025R0299_EN.4. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 3 – Politique de continuité des activités ⬅️ | ➡️ Article 5 – Tests périodiques des plans de continuité des activités
Références LVL1 <=> LVL2
Level 1 reference(s): 2023R1114_FR.68 > 10
Article 4 - Plans de continuité des activités
1.
Lorsqu’ils mettent en œuvre la politique de continuité des activités visée à l’1114, les prestataires de services sur crypto-actifs établissent des plans de continuité des activités. Les plans de continuité des activités définissent les procédures nécessaires pour protéger et, si nécessaire, rétablir:
a)
la confidentialité, l’intégrité et la disponibilité des données des clients;
b)
la disponibilité des fonctions «métiers», des processus de soutien et des actifs informationnels des prestataires de services sur crypto-actifs.
2.
Les plans de continuité des activités contiennent les éléments suivants:
a)
un éventail de scénarios défavorables possibles concernant le fonctionnement des fonctions critiques ou importantes, parmi lesquels l’indisponibilité des fonctions «métiers», du personnel, du lieu de travail, des fournisseurs externes ou des centres de données ou la perte ou altération de données et documents critiques;
b)
les procédures et les politiques à suivre en cas d’incident perturbateur, notamment:
i)
les mesures nécessaires au rétablissement des fonctions critiques ou importantes;
ii)
les délais dans lesquels ces fonctions critiques ou importantes doivent être rétablies;
iii)
les objectifs en matière de point de rétablissement;
iv)
le délai maximal de reprise des services;
c)
les procédures et les politiques de relocalisation des fonctions «métiers» utilisées pour fournir des services sur crypto-actifs vers un site de secours;
d)
la sauvegarde des données commerciales critiques, y compris des informations actualisées sur les contacts nécessaires pour assurer la communication au sein du prestataire de services sur crypto-actifs, et entre le prestataire de services sur crypto-actifs et ses clients;
e)
les procédures de communication en temps utile avec les clients et les autres parties prenantes externes, y compris les autorités compétentes.
3.
En cas de perturbation impliquant un registre distribué sans permission utilisé par le prestataire de services sur crypto-actifs dans la fourniture de ses services, les communications visées au paragraphe 2, point e), comprennent les informations suivantes:
a)
le délai estimé de reprise des services;
b)
les causes et les effets de l’incident perturbateur;
c)
tout risque concernant les fonds et crypto-actifs de clients détenus pour leur compte;
d)
les mesures que le prestataire de services sur crypto-actifs entend prendre en réponse à la perturbation d’un registre distribué sans permission.
Lorsque le prestataire de services sur crypto-actifs ne dispose pas facilement de ces informations, il communique, dans la mesure du possible, les mises à jour des informations visées au premier alinéa aux clients et aux parties prenantes, y compris aux autorités compétentes.
4.
Les plans de continuité des activités contiennent des procédures pour remédier à toute perturbation des fonctions critiques ou importantes externalisées, notamment lorsque ces fonctions critiques ou importantes deviennent indisponibles.