ACPR et DORA : Rôle, Pouvoirs et Supervision en France

En France, l'Autorité de Contrôle Prudentiel et de Résolution (ACPR) est l'autorité compétente désignée pour superviser l'application du règlement DORA (EU) 2022/2554 auprès des établissements de crédit, des établissements de paiement, de monnaie électronique, et des entreprises d'assurance et de réassurance. Cette désignation découle directement de l'article 46 du règlement.

Périmètre de Supervision DORA de l'ACPR

L'ACPR supervise au titre de DORA les mêmes entités que dans le cadre de sa mission prudentielle habituelle : établissements de crédit, établissements de paiement, établissements de monnaie électronique, entreprises d'assurance vie et non-vie, mutuelles et instituts de prévoyance, sociétés de réassurance. Pour les groupes transfrontaliers soumis au Mécanisme de Supervision Unique, l'ACPR coopère avec la BCE.

Coordination avec l'AMF

Pour les entités relevant à la fois de l'ACPR et de l'AMF — comme les groupes financiers diversifiés — un mécanisme de coordination est prévu. L'AMF supervise DORA pour les entreprises d'investissement, les gestionnaires d'actifs et les infrastructures de marché. En pratique, les deux autorités ont établi un protocole de coopération pour éviter les doubles contrôles et assurer la cohérence des attentes superviseurs.

Articulation avec la BCE

Pour les banques significatives soumises au Mécanisme de Supervision Unique (MSU), la BCE est l'autorité prudentielle principale. La supervision DORA implique une coordination entre l'ACPR et les équipes de surveillance prudentielle intégrées (JST) de la BCE. Des lignes directrices communes ont été développées pour assurer la cohérence des messages superviseurs.

Pouvoirs d'Enquête et de Contrôle

Au titre du règlement DORA, l'ACPR dispose de pouvoirs étendus : demandes d'information et de documentation, accès aux locaux et systèmes, audition des dirigeants et du personnel, réalisation d'inspections sur place et sur pièces. Ces pouvoirs s'exercent dans le respect des droits de la défense mais permettent une investigation approfondie des dispositifs de gestion des risques TIC des entités supervisées.

Pouvoirs de Sanction

L'ACPR peut prononcer des sanctions administratives à l'encontre des entités qui ne respectent pas les obligations du règlement DORA. Les sanctions pécuniaires peuvent atteindre 10 millions d'euros ou 5 % du chiffre d'affaires annuel total pour les personnes morales. Pour les personnes physiques responsables (dirigeants), les sanctions peuvent atteindre 5 millions d'euros. L'ACPR peut également prononcer des sanctions non pécuniaires : avertissement, blâme, injonction de se conformer sous délai.

Les Attentes de l'ACPR en Matière de DORA

L'ACPR a publié des communications et des questionnaires superviseurs précisant ses attentes. Elle attend des entités qu'elles soient en mesure de présenter un cadre de gestion des risques TIC documenté et approuvé par l'organe de direction, un registre des contrats prestataires TIC à jour, une politique de test de résilience formalisée, et un processus de notification des incidents opérationnel. Les premières inspections thématiques DORA sont attendues pour 2025-2026.

Conclusion

L'ACPR aborde la supervision de DORA avec une approche basée sur les risques : priorité aux établissements les plus systémiques et aux lacunes les plus critiques. Les entités financières ont intérêt à anticiper les attentes de l'ACPR en documentant rigoureusement leurs dispositifs DORA avant les premières inspections formelles.