DORA (Règlement UE 2022/2554) impose depuis le 17 janvier 2025 des exigences contractuelles précises pour tout contrat entre une entité financière et ses prestataires ICT tiers. En 2026, les autorités de contrôle (ACPR, AMF) vérifient activement la présence de ces clauses. Voici la liste exhaustive des mentions obligatoires, les pièges à éviter et comment structurer votre registre DORA.
Quels contrats ICT sont concernés par DORA ?
DORA s'applique à tous les contrats entre une entité financière (banque, assurance, FinTech, gestionnaire d'actifs, etc.) et un prestataire qui fournit des services ICT. La définition est large :
- **Services cloud** : IaaS, PaaS, SaaS (AWS, Azure, GCP, Salesforce, Microsoft 365…)
- **Infogérance IT** : maintenance des systèmes, gestion des serveurs on-premise
- **Cybersécurité** : SOC externalisé, gestion des vulnérabilités, EDR
- **Connectivité et télécom** : liaisons WAN, VPN, opérateurs data
- **Logiciels critiques** : core banking, ERP financiers, systèmes de paiement
**Exception** : les contrats ICT de « portée limitée » (impact faible sur les fonctions critiques) peuvent bénéficier d'un régime simplifié, à condition que l'entité financière documente cette qualification dans son registre des risques.
Clauses contractuelles obligatoires selon l'article 30 de DORA
L'article 30 du Règlement DORA liste les éléments minimaux qui doivent figurer dans tout contrat ICT. L'absence d'une de ces clauses constitue une non-conformité sanctionnable.
1. Description précise des services et SLA
Le contrat doit décrire de manière exhaustive les fonctions et services ICT fournis, avec des indicateurs de performance mesurables (SLA). Pour les fonctions ICT critiques ou importantes, les SLA doivent inclure : disponibilité minimale garantie (uptime), temps de rétablissement en cas d'incident (RTO), objectif de point de reprise (RPO), et pénalités contractuelles en cas de non-respect.
2. Localisation des données et des traitements
Le prestataire doit indiquer précisément où sont hébergées les données (pays, centres de données) et où ont lieu les traitements. Pour les entités financières de l'UE, les contrats doivent mentionner explicitement si des données sont traitées hors UE/EEE et encadrer ces transferts conformément au RGPD. Les prestataires cloud doivent préciser les régions AWS/Azure/GCP utilisées et leur politique de basculement géographique.
3. Droit d'audit de l'entité financière
DORA impose un droit d'audit explicite dans le contrat, permettant à l'entité financière (et aux autorités de contrôle) de réaliser des audits et inspections chez le prestataire. Ce droit couvre : l'accès aux locaux, aux systèmes et aux journaux d'activité pertinents, la réalisation de tests de pénétration (TLPT) coordonnés, et la possibilité de mandater des auditeurs tiers.
Attention : les contrats cloud standards de type AWS ou Azure incluent rarement ce droit de manière suffisante — une négociation est souvent nécessaire, ou le recours à un programme de conformité certifié (AWS Audit Manager, Azure Compliance).
4. Procédures de continuité des activités
Le contrat doit définir les obligations du prestataire en cas d'incident majeur : notification obligatoire à l'entité financière dans un délai défini (recommandé : 4 heures pour les incidents critiques, 24 heures pour les incidents majeurs), plan de continuité du prestataire documenté et partagé, procédures de bascule vers un prestataire alternatif en cas de défaillance prolongée.
5. Coopération lors des résolutions de crise
Les contrats DORA doivent inclure des dispositions sur la coopération du prestataire lors des procédures de résolution de crise bancaire (si applicable) et des enquêtes des autorités. Le prestataire doit s'engager à ne pas entraver les plans de résolution de l'entité financière et à coopérer avec les autorités compétentes (BCE, ACPR, AMF).
6. Stratégie de sortie et plan de réversibilité
L'article 30(2)(g) impose une stratégie de sortie contractuellement définie, précisant : la durée de transition en cas de résiliation (délai minimal pour migrer les données et services), le format d'export des données (standard ouvert ou propriétaire), les conditions tarifaires pendant la période de transition, et les obligations de destruction des données après transfert. Pour les SaaS critiques, une période de transition de 12 mois minimum est recommandée.
Registre DORA des contrats ICT : ce que vous devez y faire figurer
Depuis le 17 janvier 2025, les entités financières doivent tenir un registre complet de tous leurs contrats ICT tiers. Ce registre est un document vivant, auditable par les autorités de contrôle.
**Structure minimale du registre DORA :**
| Champ | Description |
|---|---|
| Identifiant contrat | Référence interne unique |
| Nom du prestataire | Dénomination sociale + pays d'établissement |
| Nature du service | IaaS / PaaS / SaaS / Infogérance / Télécoms |
| Fonction ICT couverte | Critique / Important / Autre |
| Données personnelles traitées | Oui / Non + catégories |
| Localisation des données | Pays + infrastructure |
| Date de début et durée | Avec reconductions tacites documentées |
| Sous-traitants du prestataire | Chaîne de sous-traitance ICT |
| Niveau de criticité DORA | Critique / Non critique |
| Date du dernier audit | + résultats synthétiques |
Les autorités (BCE, ACPR) ont demandé en 2025 aux grandes entités de transmettre ce registre dans un format standardisé (JSON structuré), utilisé pour cartographier les concentrations de risque systémique sur les prestataires cloud.
Prestataires ICT critiques désignés : obligations supplémentaires
La Commission européenne peut désigner certains prestataires comme « prestataires ICT critiques » (CTPP). Dès lors :
1. Le prestataire est soumis à la surveillance directe d'une autorité de supervision principale (BCE, ESMA, EBA selon le secteur).
2. L'entité financière cliente doit informer ses autorités de contrôle de sa dépendance envers ce prestataire critique.
3. Les contrats avec ce prestataire font l'objet d'une attention renforcée lors des audits de conformité DORA.
En 2026, AWS, Azure et GCP font l'objet de discussions au niveau européen pour une potentielle désignation en CTPP, ce qui aurait des implications majeures pour tous leurs clients du secteur financier.
Checklist : évaluer la conformité DORA de vos contrats existants
Pour les contrats ICT déjà en place avant le 17 janvier 2025, les entités financières avaient jusqu'au 17 juillet 2025 pour les mettre en conformité (délai accordé par l'ABE et l'ACPR). En 2026, la mise en conformité est censée être achevée.
Vérification rapide :
- ☐ Le contrat décrit précisément les services et SLA mesurables
- ☐ La localisation des données (pays + infrastructure) est documentée
- ☐ Le droit d'audit de l'entité financière est explicitement prévu
- ☐ Les délais de notification d'incident sont fixés
- ☐ Un plan de continuité du prestataire est annexé ou référencé
- ☐ Une stratégie de sortie avec délai de transition est définie
- ☐ La sous-traitance du prestataire est documentée et encadrée
- ☐ Le contrat est enregistré dans le registre ICT DORA de l'entité
Conclusion
Les obligations contractuelles DORA avec les prestataires ICT sont au cœur de la conformité 2026. Les entités financières qui n'ont pas encore audité l'intégralité de leurs contrats cloud et infogérance s'exposent à des demandes correctives lors des inspections ACPR et AMF. La priorité : identifier les contrats couvrant des fonctions ICT critiques, vérifier les 6 clauses obligatoires de l'article 30, et mettre à jour le registre des contrats en conséquence.
Questions fréquentes
DORA s'applique-t-il aux contrats ICT intra-groupe ?
Oui, les contrats ICT intra-groupe (filiales, maisons-mères) sont soumis à DORA si l'entité qui reçoit le service est une entité financière réglementée. Cependant, l'article 30(4) prévoit un régime simplifié pour les contrats intra-groupe : les SLA et clauses de sortie peuvent être moins détaillés que pour des prestataires tiers, à condition que le groupe dispose d'une politique ICT intra-groupe documentée et validée par les autorités.
Un prestataire cloud refuse de négocier les clauses d'audit — que faire ?
C'est un problème fréquent avec les hyperscalers (AWS, Azure, GCP) qui proposent des contrats standardisés. Solutions : (1) utiliser les programmes de conformité certifiés du prestataire comme équivalent fonctionnel de l'audit direct (ex. AWS Audit Manager, Azure Compliance Manager), (2) négocier des clauses d'audit via des programmes enterprise dédiés, (3) documenter dans votre registre DORA pourquoi le droit d'audit direct n'a pas pu être obtenu et les mesures compensatoires adoptées.
Quelle est la sanction pour absence de clauses DORA dans un contrat ICT ?
Les sanctions DORA sont appliquées aux entités financières (pas aux prestataires). L'ACPR peut prononcer des mesures conservatoires, des injonctions de mise en conformité, et des sanctions pécuniaires. Pour les établissements de crédit, l'article 65 de DORA autorise des amendes jusqu'à 10 % du chiffre d'affaires annuel. Pour les dirigeants responsables, des sanctions personnelles jusqu'à 5 millions d'euros peuvent être appliquées.
Comment gérer la sous-traitance ICT de mes prestataires ?
DORA impose que les contrats ICT définissent les conditions dans lesquelles le prestataire peut sous-traiter des services ICT critiques. L'entité financière doit : être informée de tout changement de sous-traitant majeur, pouvoir s'y opposer pour les fonctions critiques, et disposer de droits d'audit sur la chaîne de sous-traitance. En pratique, exigez un avenant spécifique ou une annexe listant les sous-traitants actuels et le processus de notification des changements.