Accéder à

SEC (États-Unis)

La Securities and Exchange Commission (SEC) est une agence indépendante américaine chargée de superviser les institutions de services financiers. La SEC a pour mission de protéger les investisseurs, de maintenir des marchés équitables, ordonnés et efficaces, et de faciliter la formation de capital.

Les produits et les règles de Google Cloud contribuent à respecter les exigences de la SEC. Nous disposons de documentation pour Google Cloud et Google Workspace afin de vous aider à comprendre comment nous pouvons vous aider à répondre aux exigences de la SEC.

Offres de conformité avec le SEC

Apprenez-en plus sur les réglementations et les consignes clés prescrites par la SEC.

La règle 17a-4(f)(2)(i) de la SEC contient des exigences techniques concernant la tenue de registres électronique pour les courtiers. La règle 18a-6(e)(2)(i) de la SEC contient des exigences similaires pour les security-based swap dealers (SBSD) et les major security-based swap participants (MSBSP) qui ne sont pas enregistrés en tant que courtier-concessionnaire (entités SBS).

Modifications de l'exigence WORM et de la solution alternative de piste d'audit

En janvier 2023, la SEC a modifié l'ancienne exigence de format "write once, read many" (WORM) et ajouté une nouvelle option de piste d'audit comme alternative pour la gestion et la conservation des enregistrements électroniques. Les entités réglementées disposent désormais de deux options :

Exigence WORM : conservez et préservez les enregistrements électroniques dans un format impossible à réécrire ou effacer.

Conditions requises pour la piste d'audit : Utilisez un système de tenue de registres électroniques qui conserve et préserve les enregistrements électroniques de manière à permettre la recréation d'un enregistrement original s'il est modifié ou supprimé.

Pour en savoir plus sur ce changement, consultez la Règle finale de la SEC : "Electronic Recordkeeping Requirements for Broker-Dealers, Security-Based Swap Dealers, and Major Security-Based Swap Participants".

Compatibilité de Google Cloud avec l'exigence WORM

Google Cloud aide ses clients à évaluer Google Cloud Storage et les exigences WORM en collaborant avec Cohasset Associates, Inc. afin de réaliser une évaluation indépendante.

Cohasset a déterminé que Google Cloud Storage répondait aux exigences de la norme WORM lorsqu'elle est correctement configurée et utilisée avec la fonctionnalité de règles de conservation en mode verrouillé. Veuillez noter que l'évaluation de Cohasset ne traite pas de l'alternative à la piste d'audit.

Plus nécessaire : déclarations / attestations concernant les supports de stockage électronique

Depuis janvier 2023, la SEC a supprimé l'exigence de déclaration ("Lettre d'attestation") qui stipulait précédemment que le courtier, le fournisseur de support de stockage électronique ou un autre tiers devait fournir une attestation indiquant que le support de stockage électronique répondait aux exigences de la technique WORM. Google Cloud ne fournit plus cette lettre, car elle n'est plus nécessaire.

Pour en savoir plus sur ce changement, consultez la Règle finale de la SEC : "Electronic Recordkeeping Requirements for Broker-Dealers, Security-Based Swap Dealers, and Major Security-Based Swap Participants".

Notez que la règle 18a-6 ne contient pas d'exigence de représentation pour les entités SBS. De plus, l'exigence de représentation désormais obsolète est différente de l'exigence d'une entreprise tierce en vertu des règles 17a-4(i)(1)(1)(ii)(A) et 18a-6 de la SEC (f)(1)(ii)(A) de la SEC.

La règle 17a-4(i)(1)(ii)(A) de la SEC prévoit une obligation pour un tiers qui prépare ou tient à jour les registres réglementaires d'un courtier (sous forme papier ou électronique) pour indiquer une entreprise tierce à la SEC.

Depuis janvier 2023, la SEC a lancé une autre version de l'entreprise tierce désignée par le terme "autre entreprise" pour les fournisseurs de services cloud tels que Google Cloud. Auparavant, il n'existait qu'une seule version d'entreprise tierce appelée "entreprise traditionnelle".

Entreprise traditionnelle : le tiers doit, entre autres, autoriser l'examen des dossiers par l'autorité compétente et fournir rapidement à l'autorité compétente la version véridique, correcte, complète et à jour de ces enregistrements.

Autre entreprise : solution adaptée à la manière dont les fournisseurs de services cloud détiennent les registres électroniques des entités réglementées et peuvent être utilisée à la place de l'entreprise traditionnelle.

La règle 18a-6(f)(1)(ii)(A) de la SEC contient une exigence similaire pour les entités SBS.

Prise en charge par Google Cloud des exigences liées aux autres entreprises

Pour répondre aux exigences de l'autre entreprise, Google propose aux clients un Avenant SEC 17a-4(i) ou SEC 18a-6(f) pour Google Cloud et Google Workspace. Notre équipe commerciale ou votre représentant Google Cloud peuvent vous aider à accéder à notre documentation. Les clients devront fournir votre nom et votre numéro de titulaire. Une fois qu'un client a signé l'Avenant, Google peut autoriser l'entreprise alternative et la partager avec le client pour le soumettre aux autorités compétentes.

Pour en savoir plus sur la procédure à suivre pour soumettre l'autre entreprise à votre autorité compétente, consultez les pages suivantes :

The SEC Staff Guidance for Filing Broker-Dealer Notices, Statements, Undertakings and Reports

The SEC Staff Statement on Submitting Notices, Statements, Applications, and Reports for SBS Entities

Pour en savoir plus sur l'autre entreprise, consultez la page 56 de la règle finale de la SEC : "Electronic Recordkeeping Requirements for Broker-Dealers, Security-Based Swap Dealers, and Major Security-Based Swap Participants." Consultez les pages 137 et 145 pour connaître la formulation exacte de l'autre entreprise pour les courtiers et les entités SBS, respectivement.

Différences entre une entreprise traditionnelle, une autre entreprise et une entreprise tierce désignée

L'entreprise traditionnelle et l'autre entreprise sont différentes de l'entreprise tierce désignée conformément aux règles 17a-4(f)(3)(3)(v)(A) et 18a-6(e)(3)(v)(A) de la SEC. Un Tiers désigné (D3P) est un tiers qu'une entité réglementée conserve spécifiquement pour accéder à des enregistrements électroniques en vue de l'examen de l'autorité compétente. Il ne s'agit pas d'un service fourni par Google Cloud. Si nécessaire, les entités réglementées peuvent faire appel à un fournisseur indépendant pour un service D3P et l'entreprise D3P.

La réglementation SCI a été adoptée par la SEC pour gérer les risques liés aux changements technologiques qui transforment les marchés de valeurs américains. Afin de renforcer l'infrastructure technologique des marchés, la réglementation SCI exige que certaines organisations d'autorégulation, systèmes d'échange alternatifs, securities information processors et organismes de compensation exonérés soient tenus de respecter les conditions suivantes :

1. S'assurer que leurs systèmes disposent d'une capacité, d'une intégrité, d'une résilience, d'une disponibilité et d'une sécurité suffisantes pour maintenir leur capacité opérationnelle

2. Tester les plans de continuité d'activité et de reprise après sinistre

3. Prendre des mesures correctives en cas de perturbations des systèmes, de problèmes de conformité des systèmes et d'intrusion dans les systèmes, et d'informer la commission et les parties concernées lorsqu'elles se produisent

4. Procéder à des examens réguliers du système

En tant que fournisseur de services externalisé, la mise en correspondance de Google Cloud avec les consignes et le livre blanc aide les clients à comprendre comment nous pouvons les accompagner pour répondre aux exigences de la réglementation SCI.

La loi Sarbanes-Oxley est une loi américaine qui vise à améliorer l'exactitude et la fiabilité des divulgations d'informations des entreprises. Dans le cadre des exigences de la loi SOX, la section 404 de la loi Sarbanes-Oxley établit des exigences pour que toutes les sociétés publiques américaines rendent compte publiquement de la responsabilité de la direction quant à la mise en place et au maintien d'une structure de contrôle interne adéquate, y compris les contrôles régissant les rapports financiers et les résultats de l'évaluation faite par la direction de l'efficacité du contrôle interne régissant les rapports financiers.

Les obligations SOX comprennent l'établissement et la surveillance des contrôles internes, y compris ceux gérés par un tiers, tel qu'un fournisseur de services cloud. Toute organisation qui traite des informations comptables ou financières sur Google Cloud ou Google Workspace doit déterminer elle-même si des services Google Cloud ou Google Workspace spécifiques sont concernés pour remplir ses obligations liées à la loi SOX.

Pour en savoir plus sur Google Cloud ou Google Workspace, consultez le rapport SOC (Service Organization Control) 1 Type 2 fournit une description des systèmes et commandes de Google Cloud et Google Workspace, et l'avis d'un auditeur indépendant sur l'exactitude de la description de l'organisation, ainsi que sur l'adéquation et l'efficacité des contrôles décrits pour atteindre les objectifs énoncés. Vous pouvez demander des rapports SOC 1 Type 2 via le gestionnaire des rapports de conformité pour Google Cloud et Google Workspace.