Le cabinet Cloix Mendès-Gil a accompagné le groupe Albin Michel, acteur incontournable de l’édition française, dans l’acquisition stratégique du groupe Humensis, regroupant des marques prestigieuses telles que les PUF, Que Sais-Je ?, Belin, Les Editions de l’Observatoire, et Editions des Équateurs.
Un accompagnement juridique sur-mesure
Une partie de l’équipe Croissance Externe/Corporate du cabinet, composée de Sylvain Joyeux, associé, Margaux Fournex et Pierre-Loup Allopeau, collaborateurs, a conseillé Albin Michel tout au long de cette opération complexe, qui constitue une étape significative pour le paysage éditorial français.
Des enjeux stratégiques majeurs
Avec un chiffre d’affaires de près de 48 millions d’euros en 2023, le groupe Humensis représente un pilier du secteur de l’édition scientifique, scolaire et grand public. Cette acquisition renforce la position des Editions Albin Michel en tant qu’acteur clé de la transmission du savoir, en assurant le développement et la pérennité des marques emblématiques du groupe Humensis.
Un engagement partagé
Dans son communiqué officiel, le groupe Scor a souligné que cette cession « confie à un acteur clé du secteur de l’édition la préservation et le développement futur des maisons du groupe Humensis, tout en maintenant leur rayonnement dans l’écosystème intellectuel français »
Collaboration et expertise
Nous remercions chaleureusement Albin Michel pour leur confiance dans cette opération stratégique, ainsi que les acteurs mobilisés :
- Conseils acquéreur : CloixMendèsGil (Sylvain Joyeux, Margaux Fournex, Pierre-Loup Allopeau)
- Conseils vendeurs : Orrick (Patrick Tardivy, Olivier Jouffroy, Violette Jacquot)
- Banque conseil : GIMAR (Hubert Chevrinais)
Conseil financier acquéreur : Kroll (Jacques Giard, Sophie Reiss, Florence Walter)
À propos de Cloix Mendès-Gil
Le cabinet accompagne ses clients dans leurs projets d’acquisition, de transformation et de croissance externe. Pour toute question ou projet stratégique, n’hésitez pas à nous contacter.
L’article L.2141-7 du Code de la commande publique permet à l’acheteur d’exclure de sa procédure de passation les personnes qui, au cours des trois années précédentes, ont dû verser des dommages et intérêts, ont été sanctionnées par une résiliation ou ont fait l’objet d’une sanction comparable pour manquement grave ou persistant à leurs obligations contractuelles lors de l’exécution d’un contrat de la commande publique antérieur.
Cependant, cet article peut parfois donner lieu à des situations complexes.
Dans une ordonnance du 2 décembre 2024 (TA Marseille, ord. 2 décembre 2024, Sté ENSO, n° 2411745), une communauté de communes avait exclu une société de son marché portant sur le transport et le traitement de déchets de déchetterie.
Cette exclusion était fondée sur des manquements contractuels graves envers la métropole de Nice, révélés par une émission de télévision, et sur une amende administrative infligée à une autre filiale du même groupe.
Le juge a annulé cette décision d’exclusion, estimant que les motifs invoqués n’étaient pas réguliers.
Il a constaté qu’il n’y avait pas de preuve que la métropole de Nice avait résilié le marché ou que la société avait dû verser une indemnité ou avait fait l’objet d’une sanction comparable.
De plus, la mise en demeure par le préfet des Alpes-Maritimes et l’amende administrative infligée à une autre filiale ne constituaient pas des sanctions comparables au sens de l’article L.2141-7 du Code de la commande publique.
Implications de la décision
Cette décision souligne que l’acheteur public ne peut pas exclure une entreprise de manière arbitraire. Les motifs d’exclusion doivent être clairement établis et conformes aux dispositions légales. En l’absence de preuves suffisantes de manquements graves ou persistants, l’exclusion d’une entreprise peut être annulée par le juge.
Le Conseil d’État rappelle sa jurisprudence en matière d’indemnisation des entreprises irrégulièrement évincées d’une procédure de passation de marché public.
Lorsqu’une entreprise demande réparation pour son éviction irrégulière, le juge doit d’abord vérifier si l’entreprise avait une chance de remporter le marché.
Si l’entreprise n’avait aucune chance, elle n’a droit à aucune indemnité. Si elle avait une chance, elle peut obtenir le remboursement des frais engagés pour présenter son offre.
Ensuite, le juge doit déterminer si l’entreprise avait des chances sérieuses de remporter le marché. Dans ce cas, l’entreprise a droit à une indemnisation pour son manque à gagner, incluant les frais de présentation de l’offre.
Décisions antérieures et lien de causalité
Le Conseil d’État, dans ses décisions antérieures (CE, 18 juin 2003, Groupement d’entreprises solidaires EPTO Guadeloupe), a établi que le juge doit vérifier l’existence d’un lien direct de causalité entre la faute de l’acheteur et le préjudice subi par l’entreprise.
Nouveaux principes établis
Dans sa décision du 31 octobre 2024, le Conseil d’État précise que le juge doit évaluer le caractère certain du préjudice subi par l’entreprise irrégulièrement évincée. Pour cela, il doit tenir compte des risques liés à l’exploitation du contrat et de la durée de celle-ci.
Le manque à gagner correspond au chiffre d’affaires prévisionnel que l’entreprise aurait réalisé si elle avait obtenu le marché. De ce chiffre d’affaires, il faut déduire les charges variables ainsi qu’une quote-part des coûts fixes affectés à l’exécution du marché public. Cette méthode permet de déterminer de manière précise le préjudice subi par l’entreprise.
Implications pour les entreprises
Cette décision renforce la nécessité pour les entreprises de démontrer le caractère certain de leur préjudice pour obtenir une indemnisation. Elle clarifie également les critères que les juges doivent utiliser pour évaluer les demandes d’indemnisation, assurant ainsi une plus grande transparence et équité dans les procédures de passation de marchés publics.
Le Conseil d’État, dans un arrêt du 29 novembre 2024, a statué que la prolongation d’activité jusqu’à 67 ans est subordonnée uniquement à l’aptitude physique du fonctionnaire, sans possibilité de refus pour un motif lié à l’intérêt du service.
Conditions de prolongation d’activité
Selon l’article L. 556-7 du code général de la fonction publique (CGFP), la prolongation d’activité pour un fonctionnaire est conditionnée uniquement par son aptitude physique. Ainsi, un refus basé sur l’intérêt du service ne peut être opposé à une telle demande.
Pas de refus dans l’intérêt du service
Le Conseil d’État a confirmé que la seule condition pour bénéficier d’une prolongation d’activité jusqu’à 67 ans est l’aptitude physique du fonctionnaire. Cette décision clarifie que l’intérêt du service ne peut être invoqué pour refuser une demande de prolongation d’activité, renforçant ainsi les droits des fonctionnaires souhaitant prolonger leur carrière.
Implications pour les fonctionnaires
Cette décision du Conseil d’État a des implications importantes pour les fonctionnaires proches de la limite d’âge. Elle garantit que leur demande de prolongation d’activité sera évaluée uniquement sur la base de leur aptitude physique, sans considération de l’intérêt du service. Cela offre une plus grande sécurité et prévisibilité pour les fonctionnaires souhaitant continuer à travailler au-delà de l’âge habituel de départ à la retraite.
L’organisation de l’enseignement dans les collèges doit être déterminée par décret. Ainsi, la mise en place de « groupes de besoins » pour l’enseignement du français et des mathématiques au collège nécessite un décret, et non un simple arrêté du ministre de l’Éducation nationale.
Le Conseil d’État, dans sa décision du 28 novembre 2024, a jugé que l’arrêté du 15 mars 2024, pris par la ministre de l’Éducation nationale, était entaché d’incompétence.
Contexte et décision du Conseil d’État
L’arrêté du 15 mars 2024 prévoyait que les élèves de sixième et de cinquième seraient regroupés en fonction de leurs besoins pour les cours de français et de mathématiques, identifiés par les professeurs. Cependant, le Conseil d’État a estimé que cette organisation touchait à l’organisation de l’enseignement, une compétence relevant du Premier ministre agissant par décret. Par conséquent, les dispositions de l’article 4 de cet arrêté ont été annulées pour incompétence.
Maintien temporaire des « groupes de besoins »
Malgré cette annulation, la Haute juridiction a décidé de différer l’effet de cette décision jusqu’au 6 juillet 2025. Cette mesure vise à éviter des conséquences excessives, telles que la perturbation de l’organisation des enseignements en cours d’année scolaire, des effets négatifs sur la progression pédagogique des élèves, et des difficultés pour le bon fonctionnement du service public.
Les réformes des retraites ont prolongé la vie professionnelle des fonctionnaires, un phénomène particulièrement marqué dans une fonction publique vieillissante. La Cour des comptes, dans un rapport publié le 26 novembre 2024, souligne que les reports des âges légaux de départ en retraite et l’augmentation du nombre de trimestres nécessaires pour une pension sans décote ont allongé mécaniquement la carrière des agents publics.
Impact des réformes sur la durée de travail
Les réformes ont ajouté deux ans à la vie professionnelle des fonctionnaires. La dernière réforme de 2023, bien que limitée dans ses effets, augmentera l’âge moyen des agents publics de 0,4 an à partir de 2030 et allongera la durée de travail d’environ trois trimestres.
Vieillissement de la fonction publique d’État
En 2022, 33 % des agents de la fonction publique d’État (FPE) avaient plus de 50 ans, une proportion qui augmente plus lentement que dans la fonction publique territoriale (FPT). Depuis 2010, la part des agents de plus de 60 ans dans la FPE est passée de 4 % à 9 % en 2021, et devrait atteindre 14 % en 2040.
Zones de tensions et recommandations
Les catégories A et B, notamment les cadres supérieurs, les enseignants et les agents administratifs, sont particulièrement touchées par le vieillissement et le report de l’âge de départ à la retraite.
La Cour des comptes recommande :
– une meilleure planification des ressources humaines ;
– la création d’un système de prévision des tendances pour anticiper les besoins futurs ;
– d’adapter les conditions de travail, de prévenir l’usure professionnelle, de favoriser les reconversions et la mobilité ;
– de clarifier l’utilisation des leviers comme le report de l’âge de départ à la retraite et les retraites progressives.
Le cabinet d’avocats CLOIX MENDES-GIL est fier d’annoncer la promotion de trois de ses counsels au rang d’associés :
Christine Lhussier, Nicolas Berthier et Solmaz Ranjineh.
Désormais composé de sept associés, le cabinet confirme son engagement à offrir des solutions juridiques adaptées aux défis complexes de ses clients, tout en affirmant sa place parmi les cabinets d’excellence en France.
Des profils d’excellence au service des clients
Christine Lhussier, docteure en droit et avocate à la Cour, cumule plus de 12 ans d’expérience en droit bancaire. Elle accompagne les établissements de crédit dans leur mise en conformité réglementaire, la rédaction de contrats et les relations avec les autorités de contrôle. Elle est également particulièrement reconnue pour sa gestion des dossiers sensibles et est responsable du pôle appel.
Nicolas Berthier, avocat à la Cour depuis 2009, est un expert en contentieux immobilier, civil, commercial et pénal. Avec une approche globale et stratégique des dossiers complexes, il intervient devant toutes les juridictions françaises, y compris en appel et arbitrage. Son expertise en droit équin, développée en partenariat avec l’Institut du Droit Équin, constitue par ailleurs un atout remarquable, combinant savoir-faire spécialisé et vision généraliste.
Solmaz Ranjineh, spécialiste en droit public et forte de 18 ans d’expérience, conseille les collectivités et entreprises dans leurs projets structurants ou innovants. Elle les représente devant les autorités et juridictions nationales ou européennes. Experte des enjeux liés aux mobilités, notamment ferroviaires, elle intervient auprès de ces acteurs pour les conseiller aussi bien à un niveau stratégique qu’opérationnel.
Une croissance continue et une expertise renforcée
Avec cette évolution, CLOIX MENDES-GIL franchit une nouvelle étape de sa croissance. Désormais composé de plus de 30 avocats, le cabinet renforce sa capacité à répondre aux attentes croissantes de ses clients, qu’ils soient publics ou privés.
- Une expertise pointue : Les nouveaux associés apportent une spécialisation stratégique et une vision novatrice dans leurs domaines respectifs, consolidant l’offre du cabinet.
- Une philosophie humaine : Le passage à sept associés reflète la volonté du cabinet de valoriser les talents en interne et d’offrir des solutions juridiques sur mesure.
- Une vision d’avenir : Avec une approche rigoureuse et innovante, CLOIX MENDES-GIL s’impose comme un acteur clé du conseil juridique en France, anticipant les besoins de ses clients dans un monde en mutation.
Sébastien Mendès-Gil et Pierre-Manuel Cloix, associés fondateurs, déclarent « Nous sommes fiers de cette évolution interne, qui marque un nouveau chapitre dans la croissance de notre cabinet. L’association de Christine, Nicolas et Solmaz incarne la pérennité de notre structure et permettra de répondre au mieux aux besoins et attentes de nos fidèles clients ».
À propos de CLOIX MENDES-GIL
Fondé il y a plus de 23 ans, CLOIX MENDES-GIL est un cabinet d’avocats indépendant, reconnu pour son approche novatrice et son expertise dans des secteurs variés : droit public, bancaire, commercial et pénal. Avec une équipe en croissance constante et une vision tournée vers l’avenir, le cabinet s’engage à offrir des solutions sur mesure, alliant spécialisation, rigueur et innovation.
Lors d’un précédent article, notre équipe IP/IT s’était intéressée aux obligations hiérarchisées par niveaux de risque, introduites par le Règlement européen sur l’intelligence artificielle (RIA).
Outre ces catégories de règles contraignantes, le Règlement européen sur l’intelligence artificielle (RIA) a introduit un régime particulier visant à encadrer les modèles d’IA à usage général (general purpose artificial intelligence ou GPAI). Leur diversité rendait en effet difficile leur classification parmi d’autres niveaux de risque, d’autant plus lorsqu’ils servent de fondations à d’autres systèmes d’IA.
Ce régime particulier résulte de la volonté de trouver un compromis visant à encadrer les pratiques dangereuses sans que l’innovation ne s’en trouve bridée. En ce sens, les GPAI ont vocation à être moins encadrés que les systèmes d’IA à haut risque ne peuvent l’être en parallèle.
Définition
Le RIA apporte une définition du modèle d’IA à usage général en son article 3. 63) :
« un modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché ».
Un modèle d’IA génératif est ainsi un GPAI, en ce qu’il permet la production flexible de contenus (texte, audio, image, vidéo) qui peuvent aisément s’adapter à un large éventail de tâches distinctes.
La polyvalence des GPAI en fait des outils potentiellement puissants. C’est leur fulgurante montée en popularité qui a conduit le législateur européen à établir une notion clairement définie des GPAI, distincte de la notion de systèmes d’IA.
En effet, même si les GPAI sont des composants essentiels des systèmes d’IA, ils ne constituent pas en eux-mêmes des systèmes d’IA. Ils y sont intégrés moyennant l’ajout d’autres composants. Toutefois, lorsque l’intégration d’un GPAI dans un système d’IA lui permet de répondre à son tour à divers usages, le système sera lui-même considéré comme un GPAI.
A titre d’illustration, ChatGPT est construite à partir du modèle d’IA à usage général GPT-4.
Les IA à usage général sont souvent classées dans des niveaux de risque élevés en raison de leur impact potentiel sur plusieurs domaines, notamment lorsqu’elles sont utilisées dans des contextes sensibles.
Obligations générales
Les obligations relatives aux GPAI, en dehors des cas où ils impliquent un risque systémique, se limitent principalement à l’information et à la transparence :
- élaborer et mettre à jour une documentation technique du modèle (article 53.1.a) du RIA) ;
- prévoir des informations et de la documentation à l’intention des fournisseurs de systèmes d’IA qui envisagent d’y intégrer un GPAI afin qu’ils puissent s’assurer qu’il est sûr et conforme (article 53.1.b) du RIA) ;
- mettre en place une politique conforme au droit d’auteur européen, et permettant notamment d’identifier et de respecter les réservations de droit exprimées par les titulaires de droits d’auteur (article 53.1.c) du RIA) ;
- mettre en place des mesures de transparence sur les données utilisées pour entraîner les systèmes (article 53.1.d) du RIA).
L’article 53.2 du RIA prévoit une exception en matière de licences libres (« open source »), lesquelles permettent notamment d’accéder ouvertement aux GPAI. En raison de leur caractère plus transparent, elles ne se voient pas appliquer les deux premières obligations dès lors qu’elles ne présentent pas de risque systémique.
En outre, des obligations de transparence sont prévues pour les systèmes d’IA à usage général (soit les systèmes intégrant un GPAI), notamment :
- ceux qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte (article 50.2 RIA) ;
- ceux qui génèrent ou manipulent des contenus constituant un hypertrucage (Deepfake), ou des textes publiés dans le but d’informer le public sur des questions d’intérêt général (article 50.4 RIA).
Classification particulière des GPAI présentant un risque systémique
Le RIA a prévu des dispositions spécifiques aux GPAI qui sont susceptibles d’entraîner des risques particulièrement négatifs (perturbations de secteurs sensibles, conséquences graves pour la santé et la sécurité publique, processus démocratiques, contenus illicites, discriminatoire, etc.).
A titre d’illustration, ont notamment motivé l’élaboration de cette catégorie : les risques de cyberattaques offensives, la possibilité que les GPAI s’auto-reproduisent, ou encore les risques de réactions en chaîne susceptibles d’affecter toute une ville.
Le RIA se réfère à la notion de « risque systémique » (article 51 du RIA) pour désigner cette catégorie de GPAI. Ce risque est lié aux capacités particulièrement élevées que présente le modèle.
Le RIA prévoit ainsi que le risque systémique est caractérisé dès lors que :
- le GPAI dispose de capacités « à fort impact » évaluées sur la base de méthodologies et d’outils techniques appropriés, y compris des indicateurs et des critères de référence (article 51.1.a) du RIA).
- Un GPAI est présumé présenter de telles capacités dès lors que la quantité cumulée de calcul utilisée pour son entraînement, mesurée en opérations en virgule flottante, est supérieure à 10 puissance 25 (article 51.2) du RIA) ;
- la Commission peut également prendre une décision par laquelle elle détermine que le GPAI a des capacités ou un impact équivalent au GPAI « à fort impact » en fonction de sept critères listés en annexe XIII du RIA (paramètres, quantité de calcul utilisé pour l’entraînement, nombre d’utilisateurs finaux inscrits, etc.) (article 51.1.b) du RIA).
Obligations particulières des GPAI présentant un risque systémique
Des exigences supplémentaires sont prévues pour les GPAI présentant un risque systémique, notamment :
- informer la Commission sans tarder dès lors que le GPAI remplit les conditions pour être qualifié comme présentant un risque systémique (article 52 du RIA) ;
- mettre en œuvre un processus rigoureux d’évaluation du GPAI (article 55.1.a) du RIA) ;
- mettre en œuvre un processus rigoureux d’évaluation et d’atténuation des risques découlant du GPAI (article 55.1.b) du RIA) ;
- signaler tout incident grave au Bureau de l’IA sans retard injustifié (article 55.1.c) du RIA) ;
- garantir un niveau de protection approprié en matière de cybersécurité pour le GPAI présentant un risque systémique et l’infrastructure physique du modèle (article 55.1.d) du RIA).
Le rôle du Bureau européen de l’IA
Les GPAI sont actuellement au centre de l’attention du Bureau européen de l’intelligence artificielle. Il a lancé un appel à participation débutant en septembre 2024 pour l’élaboration d’un code de bonnes pratiques visant à faciliter l’application des règles sur les GPAI. Ce processus va s’appuyer sur une consultation multipartite, laquelle a permis à toutes les parties prenantes de s’exprimer jusqu’au 18 septembre dernier.
Le code de bonnes pratiques pourrait s’avérer être un outil central, permettant aux fournisseurs de GPAI de s’y appuyer pour témoigner de leur conformité avec les obligations prévues par le RIA.
La version finale de ce code de bonnes pratiques devrait être présentée lors d’une séance plénière en avril 2025, avant d’être publiée.
Les dispositions du RIA relatives aux GPAI entreront quant à elles en application le 2 août 2025.
***
Le département Contrats informatiques, données & conformité vous accompagne dans votre mise en conformité avec la législation des espaces numériques.
Pour toute question, n’hésitez pas à nous contacter.
Le 14 décembre 2022 le Règlement n° 2022/2554 du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier encore nommé Digital Operational Resilience Act – DORA) a été adopté.
Dans la mesure où il s’agit d’un règlement il est entré en application le 17 janvier 2025.
Dans ce cadre, nous avons souhaité, par le biais de plusieurs articles, présenter dans le détail ce nouveau texte, afin de permettre une mise en conformité. Les chapitre VI et VII du règlement, composé des articles 45 à 56, précise les dispositions relatives au partage d’informations entre entités financières et les compétences des autorités de supervision. Cet article détaille les principes clés de ce chapitre, ainsi que ses implications pour les acteurs concernés.
1. Objectifs du partage d’information
Le chapitre VI du règlement DORA encourage un partage étendu d’informations entre les entités financières afin de renforcer la capacité collective du secteur à anticiper et gérer les cybermenaces :
- Elles doivent échanger entre elles pour améliorer la résilience opérationnelle numérique, pour se sensibiliser aux cybermenaces, pour limiter ou bloquer la capacité de propagation des cybermenaces et pour soutenir les capacités de défense, les techniques de détection des menaces et les stratégies d’atténuation ou les phases de réponse et de rétablissement ;
- Le partage d’informations doit respecter la confidentialité des données sensibles dans le respect du RGPD et des règles de concurrence.
Ces échanges visent à créer un écosystème de collaboration où la menace cyber est traitée comme un enjeu global.
2. Les autorités compétentes : un dispositif institutionnel clair et unifié
2.1. Des autorités compétentes désignées par la législation sectorielle
Le règlement DORA ne créé pas de nouvelles entités de contrôle, mais s’appuie sur les autorités compétentes déjà établies par des législations financières spécifiques (en France il s’agit notamment de l’Autorité de Contrôle Prudentiel et de résolution, de l’autorité des marchés financiers, de la Banque de France. Ainsi, chaque type d’entité financière relève de l’autorité qui supervise déjà son activité au titre du droit sectoriel applicable. Cette approche garantit la cohérence de la supervision et facilite l’intégration des exigences de DORA dans les pratiques existantes[1].
2.2. Un rôle affirmé pour les superviseurs principaux
Comme nous l’avions précisé dans notre article #5, certaines entités, telles que les prestataires tiers critiques de services TIC, peuvent relever d’un superviseur principal spécifique. Ce dernier coordonne notamment la surveillance entre plusieurs autorités lorsque les activités d’une entité s’étendent sur différentes juridictions ou couvrent plusieurs secteurs financiers.
En centralisant le pilotage, DORA entend éviter les redondances et les chevauchements de compétences, tout en renforçant l’efficacité du contrôle.
3. Coopération intersectorielle et coordination avec NIS 2
3.1. Synergies avec la directive NIS 2
DORA encourage la coopération entre les autorités compétentes financières et les instances créées par la directive (UE) 2022/2555 (dite NIS 2), centrées sur la cybersécurité des entités essentielles ou importantes dans divers secteurs[2] :
- Les autorités de supervision financière peuvent participer aux travaux du groupe de coopération NIS 2, consulter les points de contact uniques ou solliciter les équipes de réponse aux incidents de sécurité informatique (CSIRT) ;
- Des accords de coopération peuvent être conclus pour coordonner les enquêtes, les inspections sur place et le partage d’informations, notamment pour les entités relevant à la fois de NIS 2 et de DORA (par exemple, certains prestataires tiers critiques de services TIC).
Cette articulation favorise une approche holistique de la sécurité numérique, en prenant en compte les risques transversaux et la complexité des menaces pesant sur le secteur financier.
4. Exigences de coordination et d’échanges d’informations
Au-delà de NIS 2, le chapitre VII prévoit également un cadre de coopération entre secteurs financiers. Les autorités européennes de surveillance (AES), la BCE, le Conseil de résolution unique, le Comité européen du risque systémique (CERS) et l’ENISA peuvent mettre en place des mécanismes de partage de bonnes pratiques et élaborer des exercices de gestion de crise :
- ces exercices, basés sur des scénarios de cyberattaques, visent à tester la résilience opérationnelle et les chaînes de communication, en anticipant les menaces transfrontières susceptibles d’affecter l’ensemble du système financier de l’Union ;
- ils constituent un laboratoire stratégique permettant de détecter les cyber vulnérabilités communes et de préparer une réponse rapide et coordonnée en cas de crise majeure.
5. Mécanismes de sanction et mesures correctives
5.1. Des pouvoirs étendus de surveillance et d’enquête
Pour garantir une mise en œuvre rigoureuse de DORA, les autorités compétentes disposent de pouvoirs d’investigation renforcés :
- accès à tous documents ou données pertinents quelle qu’en soit la forme ;
- conduite d’inspections sur place ou d’enquêtes ;
- capacité de convoquer et d’interroger les responsables des entités financières.
En cas de non-respect des obligations de DORA, elles peuvent imposer des mesures correctives (arrêt d’un comportement fautif, cessation d’une pratique illégale, etc.)[3].
5.2. Un régime de sanctions administratives proportionnées
Les États membres doivent mettre en place un régime de sanctions administratives ou de mesures correctives efficace, dissuasif et proportionné. Les autorités compétentes peuvent notamment :
- exiger la cessation d’une pratique en infraction et empêcher sa répétition ;
- imposer des sanctions pécuniaires ou des injonctions ;
- publier des informations sur la nature des violations et l’identité des contrevenants, sauf si la protection de la stabilité financière ou le respect de la vie privée l’interdit ou la poursuite d’enquête pénale en cours[4].
Dans certains cas, ces sanctions peuvent viser individuellement les membres de l’organe de direction ou les personnes responsables, afin de souligner la responsabilité de la direction dans la conformité aux obligations numériques[5].
Les sanctions prennent en compte plusieurs éléments et notamment la matérialité, la gravité, la durée de la violation, le degré de responsabilité des personnes, l’assise financière de la personne, l‘importance du gains obtenus ou des pertes évitées par la personne, les préjudices des tiers, le degré de coopération de la personne avec l’autorité compétente et les violations antérieures commises[6].
6. Articulation avec les sanctions pénales
Les États membres peuvent choisir de pénaliser certains manquements graves relevant de DORA. Lorsque des enquêtes pénales sont engagées, les autorités financières et les autorités judiciaires sont tenues de collaborer. Cet échange d’informations vise à préserver la cohérence de l’action publique et à assurer une réponse efficace aux infractions qui menacent la résilience opérationnelle du secteur financier.
7. Transparence, secret professionnel et protection des données
7.1. Publication contrôlée des décisions de sanction
Pour concilier exigences de transparence et protection des droits individuels, les décisions de sanction administrative sont publiées sur le site internet officiel de l’autorité compétente lorsqu’elles deviennent définitives. Toutefois, l’identité d’une personne morale ou physique peut être gardée confidentielle ou la publication peut être différée si cela est jugé nécessaire pour :
- éviter des dommages disproportionnés ;
- protéger la stabilité financière ;
- respecter la protection des données à caractère personnel.
Les décisions annulées par les juridictions sont également rendues publiques, assurant ainsi un équilibre entre clarté de l’information et garantie d’un recours juridictionnel effectif.
Le règlement DORA souhaite qu’une vigilance particulière soit mise en œuvre pour rappeler notamment lors des publications sur le site internet des autorités des sanctions effectuées, que les voie de recours soient indiquées le cas échéant.
7.2. Secret professionnel et échange d’informations confidentielles
Les autorités compétentes sont soumises au secret professionnel. Les informations échangées (données personnelles, informations techniques, données économiques sensibles) ne peuvent être divulguées qu’en vertu du droit de l’Union ou du droit national. Cette obligation vaut également pour tout personnel ou expert mandaté par l’autorité de supervision.
La sécurisation des échanges et le respect de la confidentialité sont d’autant plus cruciaux que DORA traite souvent d’informations critiques liées à la cybersécurité et à la solidité opérationnelle des entités financières.
7.3. Respect du RGPD et durée de conservation limitée
La collecte et le traitement des données à caractère personnel se déroulent dans le strict respect des cadres européens (RGPD et règlement (UE) 2018/1725 (RGPD pour les traitements effectués par les institutions de les institutions, organes et organismes de l’Union).
Les données ne sont conservées que pour la durée nécessaire aux missions de contrôle, sans excéder quinze ans, sauf si une procédure judiciaire en cours exige une prolongation. Il en résulte une approche mesurée, préservant la vie privée tout en assurant la bonne exécution des tâches de supervision.
∞
Les chapitres VI et VII du règlement DORA pose les bases d’une collaboration renforcée entre les entités financières et les autorités compétentes. En favorisant un partage d’informations et une supervision rigoureuse des prestataires tiers critiques, il vise à prévenir les risques systémiques et à renforcer la résilience du secteur financier face aux cybermenaces.
Les acteurs doivent donc s’assurer de leur conformité dès maintenant afin d’être prêts pour l’entrée en application du règlement en janvier 2025.
Le département Contrats informatiques, données & conformité peut vous accompagner dans la gestion et la mise en place contractuelle ainsi que dans la constitution du cadre de sécurité indispensable au respect de la conformité DORA.
Pour toute question, n’hésitez pas à nous contacter.
Dans le cadre du cycle Guide pour la mise en application du règlement DORA expliquant le cadre légal de cette nouvelle réglementation qui entre en application le 17 janvier 2025, nous abordons les six thèmes suivants :
- #1 Dispositions générales : qu’est-ce que le règlement DORA ? De quoi est-ce qu’il est question ? À qui s’applique-t-il ? Quel est le risque en cas de non-conformité ?
- #2 Les exigences que DORA impose en matière de gestion du risque lié aux TIC
- #3 Les règles de gestion, de classification et de notification des incidents liés aux TIC
- #4 Les tests de résilience opérationnelle numérique
- #5 La gestion des risques liés aux prestataires tiers de services TIC
- #6 Le partage d’information et les autorités compétentes
[1] Dora, art. 46.
[2] Dora, art. 47.
[3] DORA, art. 50.
[4] DORA, art. 54 §3.
[5] DORA, art. 50 §5.
[6] DORA, art. 51.
Le 14 décembre 2022 le Règlement n° 2022/2554 du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier encore nommé Digital Operational Resilience Act – DORA) a été adopté.
Dans la mesure où il s’agit d’un règlement il est entré en application le 17 janvier 2025.
Dans ce cadre, nous avons souhaité, par le biais de plusieurs articles, présenter dans le détail ce nouveau texte, afin de permettre une mise en conformité. Cet article propose une synthèse des dispositions clés du Règlement, en s’attachant aux obligations, tant pour les entités financières que pour les prestataires tiers, et aux mécanismes de supervision mis en place par les autorités compétentes.
1. Le respect des principes généraux
Les principes généraux applicables aux entités financières s’appliquent également dans leur relation avec les prestataires de services TIC. Dans ce cadre, la gestion des risques liés aux prestataires tiers de services TIC fait partie intégrante du cadre de gestion évoqué dans notre article #2.
Le principe de proportionnalité s’avère fondamental pour adapter la gestion des risques aux spécificités de chaque entité financière (taille, nature des activités, complexité des systèmes, etc.). Les entités non soumises au cadre simplifié doivent ainsi élaborer une stratégie dédiée, prenant en compte leur politique d’utilisation des services TIC, en particulier pour les fonctions considérées comme critiques ou importantes.
2. L’information des autorités sur les prestataires tiers de services TIC
Pour assurer un suivi rigoureux, les entités financières sont tenues :
- de tenir un registre exhaustif de tous les accords contractuels conclus avec des prestataires tiers de services TIC ;
- de communiquer, au moins une fois par an, à l’autorité compétente :
- le nombre de nouveaux accords relatifs à l’utilisation de services TIC ;
- les catégories de prestataires tiers concernés ;
- le type d’accords contractuels conclus ;
- les services et fonctions de TIC fournis.
Une norme technique d’exécution, entrant en vigueur le 22 décembre 2024, précise davantage le format et le contenu attendus de ce registre d’information.
3. La conclusion d’un accord contractuel tenant compte de la gestion de risque
3.1. L’analyse de risque précontractuel
Avant de conclure un accord contractuel avec ses différents prestataires l’entité financière doit :
- évaluer les risques ;
- déterminer si l’objet du contrat porte sur une fonction critique ou importante ;
- évaluer les conditions de surveillance en matière de conclusion de contrats ;
- identifier et évaluer les risques pertinents ayant trait à l’accord contractuel ;
- faire preuve de toute la diligence requise à l’égard des prestataires tiers de services TIC potentiels ;
- s’assurer que les prestataires tiers de services TIC répondent aux qualités requises ;
- évaluer les conflits d’intérêts susceptibles de découler de l’accord contractuel.
3.2. Distinction des contrats à fonctions critiques des autres
Afin de se conformer au Règlement DORA, les entités financières doivent donc classer leurs accords contractuels entre ceux qui sont conclus avec des prestataires qui permettent de soutenir une fonction critique et ceux qui concerne d’autres fonctions[1] moins essentielles.
3.3. Le contenu des contrats
L’article 30 du Règlement DORA constitue la référence en matière de clauses obligatoires. Les contrats relevant de fonctions critiques ou importantes exigent, en sus des obligations standards, l’intégration de dispositions renforcées pour garantir la résilience opérationnelle.
3.3.1. Clauses standards
Les clauses standards portent notamment sur :
- la description précise des services fournis ;
- les lieux de traitement des données ;
- les mesures de sécurité mises en place ;
- les niveaux de service (SLA) ;
- les modalités d’accès et de récupération des données ;
- les obligations de notification en cas d’incident TIC ;
- les droits de résiliation et les conditions de formation ;
- les clauses d’audit et de réversibilité permettant une sortie en cas de risque majeur pour la sécurité de l’entité financière.
3.3.2. Clauses spécifiques pour les fonctions critiques
Les fonctions critiques ou importantes nécessitent la formalisation de clauses supplémentaires, portant notamment sur :
- des objectifs de performance clairs et mesurables (SLA renforcés) ;
- des obligations de notification plus strictes ;
- des plans de continuité d’activité ou de reprise après sinistres spécifiques ;
- des droits d’audit renforcés et plus réguliers.
3.4. Éviter la dépendance vis-à-vis d’un prestataire tiers TIC
DORA souligne par ailleurs la nécessité de limiter, ou à défaut de gérer le risque lié à la concentration de plusieurs fonctions critiques ou importantes chez un unique prestataire tiers. Les entités financières doivent ainsi :
- évaluer la substituabilité potentielle du prestataire ;
- envisager le recours à plusieurs prestataires distincts afin de diversifier leur chaîne de valeur TIC ;
- tenir compte de la compatibilité technique et opérationnelle des solutions retenues avec leur propre stratégie de résilience numérique.
3.5. La gestion des sous-traitants
Enfin, les sous-traitants de premier niveau comme ceux de rang inférieur doivent faire l’objet d’une vigilance particulière[2].
4. Le cadre des superviseurs de prestataires tiers critique de services TIC
4.1. La désignation des prestataires de service TIC critique
Au point important, le règlement confère aux autorités européennes de surveillance (AES) le pouvoir de désigner les prestataires tiers de services TIC critiques en fonction de critères tels que l’importance systémique des services fournis au regard de la stabilité, la continuité ou la qualité des services financiers, et au regard des autres entités financières, leur complexité et le degré de dépendance des entités financières à leur égard (tenant également compte de la substituabilité).
Les règles de désignation de ces prestataires dépendent d’un processus développé à l’article 31 du règlement DORA et du Règlement délégué du 22 février 2024 complétant le règlement (UE) 2022/2554.
Cette désignation vise à renforcer la supervision de ce prestataire et à assurer une résilience opérationnelle numérique accrue au sein du secteur financier.
4.2. La désignation des superviseurs généraux
Dans ce cadre, les autorités désignent trois superviseurs principaux (1) liés à l’autorité bancaire européenne ; 2) liés à l’autorité européenne des assurances et des pensions professionnelles ; 3) liés à l’autorité européenne des marchés financiers), pour chaque prestataire tiers de services TIC.
4.3. La redevance finançant les superviseurs généraux
Ces prestataires tiers critiques répondant aux critères, financent ensuite, par le biais d’une redevance annuelle[3], dont le montant est fixé par un acte délégué de la Commission, le fonctionnement d’autorité chargé de les superviser[4].
4.4. Les mesures de supervision
L’objet de la supervision. Le règlement confie aux autorités européennes de surveillance (AES) la responsabilité de superviser les prestataires critiques tiers de services TIC en collaboration avec les autorités nationales compétentes[5]. Les AES sont chargées de créer un forum de supervision pour coordonner les activités de surveillance, échanger des informations et assurer une application cohérente des exigences du règlement.
Les pouvoirs d’examen et de contrôle. Les modalités de coopération entre les AES et les autorités nationales compétentes, ainsi que les mécanismes de coordination pour assurer une supervision efficace et cohérente de ces prestataires critiques sont précisées (vérifier les règles, les procédures, les mécanismes, les dispositifs chez les prestataires tiers)[6] par le règlement.
Dans ce cadre, le règlement établit les modalités de coordination opérationnelle entre les superviseurs principaux des prestataires tiers de services TIC critiques.
De même, le règlement DORA confère au superviseur principal des pouvoirs de surveillance spécifiques. Ces pouvoirs incluent la possibilité de demander des informations, de mener des enquêtes générales, de réaliser des inspections sur place et de superviser en continu les activités des prestataires concernés. Il formule également des recommandations[7].
Le pouvoir d’astreinte. Il dispose également d’un pouvoir d’astreinte car il peut imposer des mesures à mettre en place par le prestataire. Si ce dernier ne se conforme pas après un délai minimum de 30 jours suivant la notification des mesures, le superviseur peut adopter une décision d’astreinte quotidienne avec une limite de 6 mois. Elle peut atteindre jusqu’à 1% du chiffre d’affaires quotidien moyen mondial du prestataire pour l’exercice précédent, selon des critères précis définis à l’article 35 du Règlement.
La coopération. Pour mener à bien ses missions de surveillance, le superviseur principal peut coopérer avec les autorités compétentes des pays tiers concernés, notamment en concluant des accords de coopération ou en participant à des initiatives internationales pertinentes.
La demande d’information. Le superviseur principal a des pouvoirs « d’enquête » pour obtenir l’exécution et la réalisation des mesures précisées dans le Règlement. Dans ce cadre, il peut :
- demander, selon une procédure strictement définie[8], des informations aux prestataires tiers critiques de services TIC. Ces informations peuvent être demandées sur simple demande ou par voie de décision. Dans ce dernier cas des astreintes peuvent être décidées[9] ;
- mener des enquêtes générales auprès des prestataires tiers critiques de services TIC, selon les pouvoirs listés à l’article 38 du Règlement ;
- procéder à des inspections sous préavis raisonnable sauf urgence ou impératif[10], sur place et hors site, auprès des prestataires tiers critiques de services TIC. Le superviseur principal peut accéder aux locaux professionnels, terrains ou propriétés des prestataires concernés, examiner les livres et registres, et procéder à des vérifications nécessaires.
Le superviseur principal a le pouvoir de surveiller en continu les activités des prestataires tiers critiques de services TIC.
∞
Ainsi, les entités financières ne sont pas les seules concernées par le Règlement DORA. En tant que prestataire tiers de services TIC, les éditeurs, intégrateurs, hébergeurs, infogéreurs…doivent également se mettre en conformité pour délivrer leurs services aux entités financières. Les accords contractuels doivent être conformes au Règlement DORA et dès lors que le prestataire fourni des services « critiques » il conviendra de respecter le cadre de supervision définit par DORA.
Le département Contrats informatiques, données & conformité peut vous accompagner dans la gestion et la mise en place contractuelle ainsi que dans la constitution du cadre de sécurité indispensable au respect de la conformité DORA.
Pour toute question, n’hésitez pas à nous contacter.
Dans le cadre du cycle Guide pour la mise en application du règlement DORA expliquant le cadre légal de cette nouvelle réglementation qui entre en application le 17 janvier 2025, nous abordons les six thèmes suivants :
- #1 Dispositions générales : qu’est-ce que le règlement DORA ? De quoi est-ce qu’il est question ? À qui s’applique-t-il ? Quel est le risque en cas de non-conformité ?
- #2 Les exigences que DORA impose en matière de gestion du risque lié aux TIC
- #3 Les règles de gestion, de classification et de notification des incidents liés aux TIC
- #4 Les tests de résilience opérationnelle numérique
- #5 La gestion des risques liés aux prestataires tiers de services TIC
- #6 Le partage d’information et les autorités compétentes
[1] DORA, art. 28§3.
[2] DORA, art. 29, §2.
[3] Sur la redevance v. DORA, art. 43.
[4] V. Régl. Complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil en déterminant le montant des redevances de supervision à percevoir par le superviseur principal auprès des prestataires tiers critiques de services TIC et les modalités de paiement de ces redevances.
[5] DORA, art. 32, §4.
[6] DORA, art. 33.
[7] DORA, art. 42.
[8] DORA, art. 37 §2.
[9] DORA, art. 37, §3.
[10] DORA, art. 39, §5.