"On est une fintech de 35 personnes. DORA, c'est pour les grandes banques, non ?" J'entends cette question — ou des variantes — à chaque conférence sur la réglementation financière. La réponse est non. DORA s'applique aussi aux petites entités financières. Mais avec un principe de proportionnalité qui fait toute la différence.
Le cadre simplifié de l'article 16 existe précisément pour éviter d'écraser les petites structures sous un poids réglementaire conçu pour les banques systémiques. Reste à comprendre ce qui est simplifié — et ce qui ne l'est pas.
Quelles fintech sont concernées par DORA ?
La réponse dépend du statut réglementaire de la fintech, pas de sa taille ou de sa culture startup. DORA vise les entités financières réglementées. Si votre fintech détient un agrément ou une licence au titre de la réglementation financière européenne, DORA s'applique.
| Type de fintech | Agrément | Soumise à DORA ? |
|---|---|---|
| Établissement de paiement | DSP2 | Oui |
| Établissement de monnaie électronique | DME2 | Oui |
| Prestataire de services sur crypto-actifs | MiCA (PSAN en France) | Oui |
| Prestataire de services de financement participatif | ECSP | Oui |
| Société de gestion / conseiller en investissement | MiFID II / AIFMD | Oui |
| Prestataire technologique (B2B, non agréé) | Aucun agrément financier | Non (mais potentiellement comme prestataire ICT tiers) |
| Insurtech sans agrément propre | Aucun | Non (mais le partenaire assureur est soumis à DORA) |
Point crucial : beaucoup de fintech B2B qui fournissent des services technologiques aux institutions financières ne sont pas directement soumises à DORA en tant qu'entités financières. Mais elles sont indirectement impactées en tant que prestataires ICT tiers — leurs clients banques et assureurs vont exiger la conformité DORA dans les contrats.
Le cadre simplifié de l'article 16 — ce qu'il allège vraiment
L'article 16 prévoit un cadre de gestion des risques ICT simplifié pour les petites entités financières, y compris les micro-entreprises au sens de la définition européenne (moins de 10 employés ET CA ou bilan inférieur à 2 millions d'euros).
Ce qui est allégé
Documentation. Le cadre de gestion des risques ICT peut être proportionné à la taille et à la complexité de l'entité. Pas besoin de 200 pages de politique — un cadre concis et opérationnel suffit.
Gouvernance. Les exigences de gouvernance sont adaptées. Une micro-entreprise n'a pas de conseil d'administration de 15 membres — la responsabilité du risque ICT peut être portée par le dirigeant unique.
TLPT. Les petites entités sont exemptées des tests TLPT. Les tests de résilience de base restent obligatoires, mais le périmètre et la profondeur sont proportionnés.
Reporting. Certaines obligations de reporting détaillé sont allégées, même si la notification des incidents majeurs reste obligatoire dans les mêmes délais.
Ce qui n'est PAS allégé
Notification des incidents. Le délai de 4 heures pour la notification initiale s'applique identiquement. Un incident majeur chez une fintech de 20 personnes doit être notifié dans les mêmes délais que chez BNP Paribas.
Registre d'informations. Le registre des prestataires ICT tiers est obligatoire, quelle que soit la taille de l'entité. Le format est le même.
Clauses contractuelles. Les clauses minimales de l'article 30 s'appliquent à tous les contrats ICT, y compris ceux des petites entités.
Tests de base. Des tests de résilience annuels sont obligatoires — proportionnés, mais obligatoires.
Le vrai défi des fintech face à DORA
La dépendance massive au cloud
La plupart des fintech sont "cloud-native". Toute leur infrastructure est chez AWS, Azure ou Google Cloud. Leurs outils métier sont en SaaS. Leur core system est souvent un service managé. Cette architecture — parfaitement rationnelle d'un point de vue technologique — crée une dépendance ICT intense qui doit être documentée et gérée conformément à DORA.
Concrètement, une fintech de 30 personnes utilise typiquement 30 à 50 services SaaS et cloud. Chacun doit figurer dans le registre d'informations. Les contrats doivent intégrer les clauses article 30. Des plans de sortie doivent exister pour les services critiques.
Les ressources limitées
Une fintech n'a pas un département conformité de 20 personnes, un RSSI à temps plein et un budget sécurité de 5 millions d'euros. La conformité DORA doit être intégrée dans les opérations existantes avec des ressources limitées.
L'approche pragmatique : identifier les 5 à 10 exigences DORA les plus critiques pour votre profil de risque, les adresser en priorité, et itérer. Pas de big bang — une montée en conformité progressive et documentée.
Stratégie de conformité DORA pour une fintech — approche en 6 étapes
| Étape | Action | Effort estimé |
|---|---|---|
| 1 | Identifier votre statut réglementaire et le niveau d'exigence applicable | 1-2 jours |
| 2 | Cartographier vos fonctions critiques (souvent 3-5 pour une petite fintech) | 1 semaine |
| 3 | Constituer le registre d'informations tiers ICT | 2-4 semaines |
| 4 | Mettre en place le processus de notification d'incidents | 1-2 semaines |
| 5 | Rédiger la politique de gestion des risques ICT (proportionnée) | 2-3 semaines |
| 6 | Planifier les tests de résilience annuels | 1 semaine + exécution |
Budget total pour une fintech de 20-50 personnes ? Entre 30 000 et 80 000 euros la première année (incluant un pentest externe et éventuellement un consultant spécialisé), puis 15 000 à 40 000 euros par an en régime de croisière.
Les fintech comme prestataires ICT — l'autre face de DORA
Beaucoup de fintech B2B fournissent des services technologiques aux institutions financières : agrégation de comptes, scoring de crédit, KYC/AML, paiement en marque blanche. Ces fintech ne sont peut-être pas directement soumises à DORA, mais leurs clients le sont — et ils vont exiger la conformité dans les contrats.
Si vous êtes une fintech B2B, attendez-vous à recevoir des questionnaires DORA de vos clients bancaires et assurantiels. Attendez-vous à devoir intégrer les clauses article 30 dans vos contrats. Attendez-vous à des demandes d'audit. Et si vos services sont utilisés par suffisamment d'entités financières, vous pourriez même être désigné comme prestataire ICT critique et tomber sous supervision directe des AES.
FAQ — DORA pour les fintech
Une néobanque avec licence d'établissement de paiement est-elle soumise au même niveau que BNP Paribas ?
Non. Le principe de proportionnalité s'applique. Les exigences sont adaptées à la taille, au profil de risque et à la complexité de l'entité. Mais les obligations fondamentales — notification d'incidents, registre tiers, cadre de gestion des risques — s'appliquent identiquement.
Les PSAN (crypto) sont-ils concernés dès maintenant ?
Oui. Les prestataires de services sur crypto-actifs enregistrés ou agréés sous MiCA sont des entités financières au sens de DORA. La conformité est exigée depuis janvier 2025.
Peut-on mutualiser la conformité DORA au sein d'un incubateur ou d'un groupe ?
En partie. Certains éléments peuvent être mutualisés (politique de sécurité groupe, SOC partagé, tests de résilience mutualisés) mais chaque entité agréée reste individuellement responsable de sa conformité. Le registre d'informations et la notification d'incidents sont des obligations propres à chaque entité.
DORA n'est pas un frein à l'innovation fintech — c'est un cadre de maturité. Les fintech qui l'intègrent tôt dans leur développement en font un avantage concurrentiel auprès de leurs clients institutionnels. Celles qui l'ignorent découvriront un jour que leur plus gros prospect bancaire exige la conformité DORA comme prérequis contractuel. Consultez le guide complet DORA pour le cadre global.