#6 Le règlement DORA : le partage d’information et les autorités compétentes

Le 14 décembre 2022 le Règlement n° 2022/2554 du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier encore nommé Digital Operational Resilience Act – DORA) a été adopté.

Dans la mesure où il s’agit d’un règlement il entre en application sans transposition et très prochainement, le 17 janvier 2025.

Dans ce cadre, nous avons souhaité, par le biais de plusieurs articles, présenter dans le détail ce nouveau texte, afin de permettre une mise en conformité. Les chapitre VI et VII du règlement, composé des articles 45 à 56, précise les dispositions relatives au partage d’informations entre entités financières et les compétences des autorités de supervision. Cet article détaille les principes clés de ce chapitre, ainsi que ses implications pour les acteurs concernés.

1.      Objectifs du partage d’information

Le chapitre VI du règlement DORA encourage un partage étendu d’informations entre les entités financières afin de renforcer la capacité collective du secteur à anticiper et gérer les cybermenaces :

  • Elles doivent échanger entre elles pour améliorer la résilience opérationnelle numérique, pour se sensibiliser aux cybermenaces, pour limiter ou bloquer la capacité de propagation des cybermenaces et pour soutenir les capacités de défense, les techniques de détection des menaces et les stratégies d’atténuation ou les phases de réponse et de rétablissement ;
  • Le partage d’informations doit respecter la confidentialité des données sensibles dans le respect du RGPD et des règles de concurrence.

Ces échanges visent à créer un écosystème de collaboration où la menace cyber est traitée comme un enjeu global.

2.      Les autorités compétentes : un dispositif institutionnel clair et unifié

2.1.                       Des autorités compétentes désignées par la législation sectorielle

Le règlement DORA ne créé pas de nouvelles entités de contrôle, mais s’appuie sur les autorités compétentes déjà établies par des législations financières spécifiques (en France il s’agit notamment de l’Autorité de Contrôle Prudentiel et de résolution, de l’autorité des marchés financiers, de la Banque de France. Ainsi, chaque type d’entité financière relève de l’autorité qui supervise déjà son activité au titre du droit sectoriel applicable. Cette approche garantit la cohérence de la supervision et facilite l’intégration des exigences de DORA dans les pratiques existantes[1].

2.2.                       Un rôle affirmé pour les superviseurs principaux

Comme nous l’avions précisé dans notre article #5, certaines entités, telles que les prestataires tiers critiques de services TIC, peuvent relever d’un superviseur principal spécifique. Ce dernier coordonne notamment la surveillance entre plusieurs autorités lorsque les activités d’une entité s’étendent sur différentes juridictions ou couvrent plusieurs secteurs financiers.

En centralisant le pilotage, DORA entend éviter les redondances et les chevauchements de compétences, tout en renforçant l’efficacité du contrôle.

3.      Coopération intersectorielle et coordination avec NIS 2

3.1.                       Synergies avec la directive NIS 2

DORA encourage la coopération entre les autorités compétentes financières et les instances créées par la directive (UE) 2022/2555 (dite NIS 2), centrées sur la cybersécurité des entités essentielles ou importantes dans divers secteurs[2] :

  • Les autorités de supervision financière peuvent participer aux travaux du groupe de coopération NIS 2, consulter les points de contact uniques ou solliciter les équipes de réponse aux incidents de sécurité informatique (CSIRT) ;
  • Des accords de coopération peuvent être conclus pour coordonner les enquêtes, les inspections sur place et le partage d’informations, notamment pour les entités relevant à la fois de NIS 2 et de DORA (par exemple, certains prestataires tiers critiques de services TIC).

Cette articulation favorise une approche holistique de la sécurité numérique, en prenant en compte les risques transversaux et la complexité des menaces pesant sur le secteur financier.

4.      Exigences de coordination et d’échanges d’informations

Au-delà de NIS 2, le chapitre VII prévoit également un cadre de coopération entre secteurs financiers. Les autorités européennes de surveillance (AES), la BCE, le Conseil de résolution unique, le Comité européen du risque systémique (CERS) et l’ENISA peuvent mettre en place des mécanismes de partage de bonnes pratiques et élaborer des exercices de gestion de crise :

  • ces exercices, basés sur des scénarios de cyberattaques, visent à tester la résilience opérationnelle et les chaînes de communication, en anticipant les menaces transfrontières susceptibles d’affecter l’ensemble du système financier de l’Union ;
  • ils constituent un laboratoire stratégique permettant de détecter les cyber vulnérabilités communes et de préparer une réponse rapide et coordonnée en cas de crise majeure.

5.      Mécanismes de sanction et mesures correctives

5.1.                       Des pouvoirs étendus de surveillance et d’enquête

Pour garantir une mise en œuvre rigoureuse de DORA, les autorités compétentes disposent de pouvoirs d’investigation renforcés :

  • accès à tous documents ou données pertinents quelle qu’en soit la forme ;
  • conduite d’inspections sur place ou d’enquêtes ;
  • capacité de convoquer et d’interroger les responsables des entités financières.

En cas de non-respect des obligations de DORA, elles peuvent imposer des mesures correctives (arrêt d’un comportement fautif, cessation d’une pratique illégale, etc.)[3].

5.2.                       Un régime de sanctions administratives proportionnées

Les États membres doivent mettre en place un régime de sanctions administratives ou de mesures correctives efficace, dissuasif et proportionné. Les autorités compétentes peuvent notamment :

  • exiger la cessation d’une pratique en infraction et empêcher sa répétition ;
  • imposer des sanctions pécuniaires ou des injonctions ;
  • publier des informations sur la nature des violations et l’identité des contrevenants, sauf si la protection de la stabilité financière ou le respect de la vie privée l’interdit ou la poursuite d’enquête pénale en cours[4].

Dans certains cas, ces sanctions peuvent viser individuellement les membres de l’organe de direction ou les personnes responsables, afin de souligner la responsabilité de la direction dans la conformité aux obligations numériques[5].

Les sanctions prennent en compte plusieurs éléments et notamment la matérialité, la gravité, la durée de la violation, le degré de responsabilité des personnes, l’assise financière de la personne, l‘importance du gains obtenus ou des pertes évitées par la personne, les préjudices des tiers, le degré de coopération de la personne avec l’autorité compétente et les violations antérieures commises[6].

6.      Articulation avec les sanctions pénales

Les États membres peuvent choisir de pénaliser certains manquements graves relevant de DORA. Lorsque des enquêtes pénales sont engagées, les autorités financières et les autorités judiciaires sont tenues de collaborer. Cet échange d’informations vise à préserver la cohérence de l’action publique et à assurer une réponse efficace aux infractions qui menacent la résilience opérationnelle du secteur financier.

7.      Transparence, secret professionnel et protection des données

7.1.                       Publication contrôlée des décisions de sanction

Pour concilier exigences de transparence et protection des droits individuels, les décisions de sanction administrative sont publiées sur le site internet officiel de l’autorité compétente lorsqu’elles deviennent définitives. Toutefois, l’identité d’une personne morale ou physique peut être gardée confidentielle ou la publication peut être différée si cela est jugé nécessaire pour :

  • éviter des dommages disproportionnés ;
  • protéger la stabilité financière ;
  • respecter la protection des données à caractère personnel.

Les décisions annulées par les juridictions sont également rendues publiques, assurant ainsi un équilibre entre clarté de l’information et garantie d’un recours juridictionnel effectif.

Le règlement DORA souhaite qu’une vigilance particulière soit mise en œuvre pour rappeler notamment lors des publications sur le site internet des autorités des sanctions effectuées, que les voie de recours soient indiquées le cas échéant.

7.2.                       Secret professionnel et échange d’informations confidentielles

Les autorités compétentes sont soumises au secret professionnel. Les informations échangées (données personnelles, informations techniques, données économiques sensibles) ne peuvent être divulguées qu’en vertu du droit de l’Union ou du droit national. Cette obligation vaut également pour tout personnel ou expert mandaté par l’autorité de supervision.

La sécurisation des échanges et le respect de la confidentialité sont d’autant plus cruciaux que DORA traite souvent d’informations critiques liées à la cybersécurité et à la solidité opérationnelle des entités financières.

7.3.                       Respect du RGPD et durée de conservation limitée

La collecte et le traitement des données à caractère personnel se déroulent dans le strict respect des cadres européens (RGPD et règlement (UE) 2018/1725 (RGPD pour les traitements effectués par les institutions de les institutions, organes et organismes de l’Union).

Les données ne sont conservées que pour la durée nécessaire aux missions de contrôle, sans excéder quinze ans, sauf si une procédure judiciaire en cours exige une prolongation. Il en résulte une approche mesurée, préservant la vie privée tout en assurant la bonne exécution des tâches de supervision.

Les chapitres VI et VII du règlement DORA pose les bases d’une collaboration renforcée entre les entités financières et les autorités compétentes. En favorisant un partage d’informations et une supervision rigoureuse des prestataires tiers critiques, il vise à prévenir les risques systémiques et à renforcer la résilience du secteur financier face aux cybermenaces.

Les acteurs doivent donc s’assurer de leur conformité dès maintenant afin d’être prêts pour l’entrée en application du règlement en janvier 2025.

Le département Contrats informatiques, données & conformité peut vous accompagner dans la gestion et la mise en place contractuelle ainsi que dans la constitution du cadre de sécurité indispensable au respect de la conformité DORA.

Pour toute question, n’hésitez pas à nous contacter.

Dans le cadre du cycle Guide pour la mise en application du règlement DORA expliquant le cadre légal de cette nouvelle réglementation qui entre en application le 17 janvier 2025, nous abordons les six thèmes suivants :


[1] Dora, art. 46.

[2] Dora, art. 47.

[3] DORA, art. 50.

[4] DORA, art. 54 §3.

[5] DORA, art. 50 §5.

[6] DORA, art. 51.