DORA (EU) 2022/2554 s'applique aux fintechs agréées au même titre qu'aux grandes banques. Mais voilà le paradoxe : une néobanque de 50 personnes qui gère 2 millions de comptes clients a potentiellement plus de surface d'attaque numérique qu'une banque régionale de 3 000 employés avec ses propres data centers. Revolut, N26, Wise — elles sont toutes dans le scope. Et les fintechs qui opèrent en cloud-native, avec une culture startup et des équipes réduites, doivent aborder la conformité DORA avec une stratégie adaptée à leurs contraintes. High compliance, low bureaucracy : c'est le défi.
Quelles Fintechs Sont Soumises à DORA ?
Toute fintech détenant un agrément financier européen est dans le champ de DORA. Les établissements de paiement (EP) agréés par l'ACPR, les établissements de monnaie électronique (EME), les entreprises d'investissement (PSI), les prestataires de services de crypto-actifs (PSCA) sous MiCA, et les sociétés de gestion sont tous dans le périmètre. Les fintechs opérant en SAAS pour des entités financières — sans agrément propre — ne sont pas directement soumises à DORA mais peuvent être concernées comme tiers prestataires TIC.
Cas Particulier des Banking-as-a-Service
Les fintechs Banking-as-a-Service (BaaS) qui opèrent sous licence d'une banque partenaire présentent un cas complexe. La banque partenaire est soumise à DORA et doit s'assurer que ses prestataires TIC — dont la fintech BaaS — respectent ses exigences contractuelles DORA. La fintech BaaS peut donc être soumise à DORA indirectement via ses obligations contractuelles envers la banque partenaire.
Microentreprises Financières Exemptées
Les fintechs qui sont des microentreprises au sens de DORA (moins de 10 employés, CA < 2M€) bénéficient d'un régime allégé pour certaines obligations. Elles ne sont pas soumises aux exigences de tests TLPT et peuvent simplifier leur cadre de gestion des risques TIC. Cependant, elles restent soumises aux obligations de notification des incidents.
Quand les Fintechs Sont Touchées : Incidents Concrets
Les fintechs ne sont pas à l'abri. En 2023, la fintech britannique Revolut a confirmé une fuite de données ayant touché plus de 50 000 clients suite à une attaque d'ingénierie sociale ciblant un employé. La néobanque allemande N26 a fait face en 2022 à des critiques de la BaFin (régulateur allemand) sur ses dispositifs anti-fraude, conduisant à une limitation de son nombre de nouveaux clients. En France, plusieurs fintechs de paiement ont été mises en demeure par l'ACPR pour des lacunes dans leurs dispositifs de contrôle interne. Ces incidents illustrent une réalité : la rapidité de croissance des fintechs dépasse souvent la maturité de leurs dispositifs de résilience. DORA vient imposer un plancher de conformité non négociable.
Cinq Priorités DORA pour les Fintechs
Pour une fintech avec des ressources limitées, la conformité DORA doit être priorisée. Priorité 1 : la gouvernance — l'approbation du cadre de gestion des risques TIC par le comité de direction ou le conseil. Priorité 2 : le registre des prestataires TIC — inventaire de tous les contrats cloud et SaaS critiques. Priorité 3 : le processus de notification des incidents — être capable de notifier l'ACPR dans les 4h si nécessaire. Priorité 4 : la cartographie des actifs TIC critiques. Priorité 5 : les tests de résilience basiques annuels.
Gérer le Cloud dans le Registre DORA
La plupart des fintechs utilisent AWS, GCP ou Azure comme infrastructure principale. Ces contrats doivent figurer dans le registre des prestataires TIC au titre de DORA. Les clauses minimales DORA (article 30 du règlement) doivent être présentes dans les conditions contractuelles. Les grands hyperscalers ont publié des addendums DORA spécifiques que les fintechs peuvent demander à leurs gestionnaires de compte.
Documentation Proportionnelle
DORA impose une documentation substantielle mais le règlement reconnaît la proportionnalité. Une fintech de 15 personnes n'a pas besoin des mêmes politiques qu'une banque systémique. L'objectif est une documentation utile, appropriée à la taille, qui serait compréhensible pour un superviseur. Des templates DORA adaptés aux petites entités sont disponibles via l'EBA et les associations professionnelles.
DORA comme Argument Investisseurs
Les investisseurs en fintech (VC, corporates) intègrent de plus en plus la maturité réglementaire dans leurs critères d'investissement. Personnellement, j'ai vu des due diligence de Série B où la question "êtes-vous conformes à DORA ?" est apparue dès le premier questionnaire. Une fintech qui peut démontrer une conformité DORA sérieuse — avec un cadre documenté, des tests effectués, une gouvernance claire — rassure les investisseurs sur sa capacité à opérer dans un environnement réglementé et à scaler sans risque réglementaire majeur. À l'inverse, une fintech qui néglige DORA s'expose à un blocage de son agrément — un scénario catastrophique pour ses investisseurs.
Conclusion
DORA est une réalité pour les fintechs agréées depuis le 17 janvier 2025. Plutôt que de le voir comme un obstacle, les meilleures fintechs le traitent comme une opportunité de structurer leur gouvernance numérique, de renforcer la confiance des investisseurs et des partenaires bancaires, et de construire une résilience qui protège leur business à long terme.
Questions fréquentes
Une néobanque comme Revolut ou N26 est-elle soumise à DORA ?
Oui. Revolut, N26, Wise et toutes les néobanques détenant un agrément d'établissement de crédit ou d'établissement de paiement en Europe sont soumises au règlement DORA (EU) 2022/2554 depuis le 17 janvier 2025, sous la supervision de leurs régulateurs nationaux respectifs.
DORA est-il compatible avec une organisation agile ?
Oui, avec adaptations. DORA impose de la rigueur sur la gouvernance et la documentation, mais pas une organisation en silos. Une fintech agile peut intégrer les exigences DORA dans ses sprints et ses process DevSecOps, en documentant les décisions d'architecture, les tests de sécurité et les incidents dans ses outils existants.