#5 Le règlement DORA : la gestion des risques liés aux prestataires tiers de services TIC

Le 14 décembre 2022 le Règlement n° 2022/2554 du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier encore nommé Digital Operational Resilience Act – DORA) a été adopté.

Dans la mesure où il s’agit d’un règlement il entre en application sans transposition et très prochainement, le 17 janvier 2025.

Dans ce cadre, nous avons souhaité, par le biais de plusieurs articles, présenter dans le détail ce nouveau texte, afin de permettre une mise en conformité. Cet article propose une synthèse des dispositions clés du Règlement, en s’attachant aux obligations, tant pour les entités financières que pour les prestataires tiers, et aux mécanismes de supervision mis en place par les autorités compétentes.

1.      Le respect des principes généraux

Les principes généraux applicables aux entités financières s’appliquent également dans leur relation avec les prestataires de services TIC. Dans ce cadre, la gestion des risques liés aux prestataires tiers de services TIC fait partie intégrante du cadre de gestion évoqué dans notre article #2.

Le principe de proportionnalité s’avère fondamental pour adapter la gestion des risques aux spécificités de chaque entité financière (taille, nature des activités, complexité des systèmes, etc.). Les entités non soumises au cadre simplifié doivent ainsi élaborer une stratégie dédiée, prenant en compte leur politique d’utilisation des services TIC, en particulier pour les fonctions considérées comme critiques ou importantes.

2.      L’information des autorités sur les prestataires tiers de services TIC

Pour assurer un suivi rigoureux, les entités financières sont tenues :

  • de tenir un registre exhaustif de tous les accords contractuels conclus avec des prestataires tiers de services TIC ;
  • de communiquer, au moins une fois par an, à l’autorité compétente :
    • le nombre de nouveaux accords relatifs à l’utilisation de services TIC ;
    • les catégories de prestataires tiers concernés ;
    • le type d’accords contractuels conclus ;
    • les services et fonctions de TIC fournis.

Une norme technique d’exécution, entrant en vigueur le 22 décembre 2024, précise davantage le format et le contenu attendus de ce registre d’information.

3.      La conclusion d’un accord contractuel tenant compte de la gestion de risque

3.1.                       L’analyse de risque précontractuel

Avant de conclure un accord contractuel avec ses différents prestataires l’entité financière doit :

  • évaluer les risques ;
  • déterminer si l’objet du contrat porte sur une fonction critique ou importante ;
  • évaluer les conditions de surveillance en matière de conclusion de contrats ;
  • identifier et évaluer les risques pertinents ayant trait à l’accord contractuel ;
  • faire preuve de toute la diligence requise à l’égard des prestataires tiers de services TIC potentiels ;
  • s’assurer que les prestataires tiers de services TIC répondent aux qualités requises ;
  • évaluer les conflits d’intérêts susceptibles de découler de l’accord contractuel.
3.2.                       Distinction des contrats à fonctions critiques des autres

Afin de se conformer au Règlement DORA, les entités financières doivent donc classer leurs accords contractuels entre ceux qui sont conclus avec des prestataires qui permettent de soutenir une fonction critique et ceux qui concerne d’autres fonctions[1] moins essentielles.

3.3.                       Le contenu des contrats

L’article 30 du Règlement DORA constitue la référence en matière de clauses obligatoires. Les contrats relevant de fonctions critiques ou importantes exigent, en sus des obligations standards, l’intégration de dispositions renforcées pour garantir la résilience opérationnelle.

3.3.1.      Clauses standards

Les clauses standards portent notamment sur :

  • la description précise des services fournis ;
  • les lieux de traitement des données ;
  • les mesures de sécurité mises en place ;
  • les niveaux de service (SLA) ;
  • les modalités d’accès et de récupération des données ;
  • les obligations de notification en cas d’incident TIC ;
  • les droits de résiliation et les conditions de formation ;
  • les clauses d’audit et de réversibilité permettant une sortie en cas de risque majeur pour la sécurité de l’entité financière.
3.3.2.      Clauses spécifiques pour les fonctions critiques

Les fonctions critiques ou importantes nécessitent la formalisation de clauses supplémentaires, portant notamment sur :

  • des objectifs de performance clairs et mesurables (SLA renforcés) ;
  • des obligations de notification plus strictes ;
  • des plans de continuité d’activité ou de reprise après sinistres spécifiques ;
  • des droits d’audit renforcés et plus réguliers.
3.4.                       Éviter la dépendance vis-à-vis d’un prestataire tiers TIC

DORA souligne par ailleurs la nécessité de limiter, ou à défaut de gérer le risque lié à la concentration de plusieurs fonctions critiques ou importantes chez un unique prestataire tiers. Les entités financières doivent ainsi :

  • évaluer la substituabilité potentielle du prestataire ;
  • envisager le recours à plusieurs prestataires distincts afin de diversifier leur chaîne de valeur TIC ;
  • tenir compte de la compatibilité technique et opérationnelle des solutions retenues avec leur propre stratégie de résilience numérique.
3.5.                       La gestion des sous-traitants

Enfin, les sous-traitants de premier niveau comme ceux de rang inférieur doivent faire l’objet d’une vigilance particulière[2].

4.      Le cadre des superviseurs de prestataires tiers critique de services TIC

4.1.                       La désignation des prestataires de service TIC critique

Au point important, le règlement confère aux autorités européennes de surveillance (AES) le pouvoir de désigner les prestataires tiers de services TIC critiques en fonction de critères tels que l'importance systémique des services fournis au regard de la stabilité, la continuité ou la qualité des services financiers, et au regard des autres entités financières, leur complexité et le degré de dépendance des entités financières à leur égard (tenant également compte de la substituabilité).

Les règles de désignation de ces prestataires dépendent d’un processus développé à l’article 31 du règlement DORA et du Règlement délégué du 22 février 2024 complétant le règlement (UE) 2022/2554.

Cette désignation vise à renforcer la supervision de ce prestataire et à assurer une résilience opérationnelle numérique accrue au sein du secteur financier.

4.2.                       La désignation des superviseurs généraux

Dans ce cadre, les autorités désignent trois superviseurs principaux (1) liés à l’autorité bancaire européenne ; 2) liés à l’autorité européenne des assurances et des pensions professionnelles ; 3) liés à l’autorité européenne des marchés financiers), pour chaque prestataire tiers de services TIC.

4.3.                       La redevance finançant les superviseurs généraux

Ces prestataires tiers critiques répondant aux critères, financent ensuite, par le biais d’une redevance annuelle[3], dont le montant est fixé par un acte délégué de la Commission, le fonctionnement d’autorité chargé de les superviser[4].

4.4.                       Les mesures de supervision

L’objet de la supervision. Le règlement confie aux autorités européennes de surveillance (AES) la responsabilité de superviser les prestataires critiques tiers de services TIC en collaboration avec les autorités nationales compétentes[5]. Les AES sont chargées de créer un forum de supervision pour coordonner les activités de surveillance, échanger des informations et assurer une application cohérente des exigences du règlement.

Les pouvoirs d’examen et de contrôle. Les modalités de coopération entre les AES et les autorités nationales compétentes, ainsi que les mécanismes de coordination pour assurer une supervision efficace et cohérente de ces prestataires critiques sont précisées (vérifier les règles, les procédures, les mécanismes, les dispositifs chez les prestataires tiers)[6] par le règlement.

Dans ce cadre, le règlement établit les modalités de coordination opérationnelle entre les superviseurs principaux des prestataires tiers de services TIC critiques.

De même, le règlement DORA confère au superviseur principal des pouvoirs de surveillance spécifiques. Ces pouvoirs incluent la possibilité de demander des informations, de mener des enquêtes générales, de réaliser des inspections sur place et de superviser en continu les activités des prestataires concernés. Il formule également des recommandations[7].

Le pouvoir d’astreinte. Il dispose également d’un pouvoir d’astreinte car il peut imposer des mesures à mettre en place par le prestataire. Si ce dernier ne se conforme pas après un délai minimum de 30 jours suivant la notification des mesures, le superviseur peut adopter une décision d’astreinte quotidienne avec une limite de 6 mois. Elle peut atteindre jusqu’à 1% du chiffre d’affaires quotidien moyen mondial du prestataire pour l’exercice précédent, selon des critères précis définis à l’article 35 du Règlement. 

La coopération. Pour mener à bien ses missions de surveillance, le superviseur principal peut coopérer avec les autorités compétentes des pays tiers concernés, notamment en concluant des accords de coopération ou en participant à des initiatives internationales pertinentes.

La demande d’information. Le superviseur principal a des pouvoirs « d’enquête » pour obtenir l’exécution et la réalisation des mesures précisées dans le Règlement. Dans ce cadre, il peut :

  • demander, selon une procédure strictement définie[8], des informations aux prestataires tiers critiques de services TIC. Ces informations peuvent être demandées sur simple demande ou par voie de décision. Dans ce dernier cas des astreintes peuvent être décidées[9] ;
  • mener des enquêtes générales auprès des prestataires tiers critiques de services TIC, selon les pouvoirs listés à l’article 38 du Règlement ;
  • procéder à des inspections sous préavis raisonnable sauf urgence ou impératif[10], sur place et hors site, auprès des prestataires tiers critiques de services TIC. Le superviseur principal peut accéder aux locaux professionnels, terrains ou propriétés des prestataires concernés, examiner les livres et registres, et procéder à des vérifications nécessaires.

Le superviseur principal a le pouvoir de surveiller en continu les activités des prestataires tiers critiques de services TIC.

Ainsi, les entités financières ne sont pas les seules concernées par le Règlement DORA. En tant que prestataire tiers de services TIC, les éditeurs, intégrateurs, hébergeurs, infogéreurs…doivent également se mettre en conformité pour délivrer leurs services aux entités financières. Les accords contractuels doivent être conformes au Règlement DORA et dès lors que le prestataire fourni des services « critiques » il conviendra de respecter le cadre de supervision définit par DORA.

Le département Contrats informatiques, données & conformité peut vous accompagner dans la gestion et la mise en place contractuelle ainsi que dans la constitution du cadre de sécurité indispensable au respect de la conformité DORA.

Pour toute question, n’hésitez pas à nous contacter.

Dans le cadre du cycle Guide pour la mise en application du règlement DORA expliquant le cadre légal de cette nouvelle réglementation qui entre en application le 17 janvier 2025, nous abordons les six thèmes suivants :


[1] DORA, art. 28§3.

[2] DORA, art. 29, §2.

[3] Sur la redevance v. DORA, art. 43.

[4] V. Régl. Complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil en déterminant le montant des redevances de supervision à percevoir par le superviseur principal auprès des prestataires tiers critiques de services TIC et les modalités de paiement de ces redevances.

[5] DORA, art. 32, §4.

[6] DORA, art. 33.

[7] DORA, art. 42.

[8] DORA, art. 37 §2.

[9] DORA, art. 37, §3.

[10] DORA, art. 39, §5.