Depuis le 17 janvier 2025, le règlement DORA (Digital Operational Resilience Act, UE 2022/2554) impose aux entités financières un cadre strict de gestion des risques liés aux tiers prestataires ICT. Le registre d'informations sur les prestataires de services TIC est l'une des obligations les plus structurantes : toute banque, compagnie d'assurance ou établissement de paiement doit documenter exhaustivement ses dépendances technologiques.

Le registre d'informations DORA : ce que la loi exige

<p>L'article 28 du règlement DORA impose la tenue d'un <strong>registre d'informations</strong> sur tous les accords contractuels conclus avec des prestataires de services TIC. Ce registre doit être régulièrement mis à jour et transmis aux autorités compétentes (ACPR, AMF) sur demande.</p>

Contenu obligatoire du registre (Art. 28 DORA)

<p>Le registre doit contenir pour chaque prestataire ICT :</p><ul><li>Nom, forme juridique, pays d'établissement et numéro d'immatriculation</li><li>Nature et description des services fournis</li><li>Date de début et de fin du contrat</li><li>Classification : prestataire ICT critique ou non critique</li><li>Sous-traitants ICT du prestataire (chaîne de sous-traitance)</li><li>Pays où les données sont stockées/traitées</li><li>Procédures de sortie et plans de continuité</li></ul><p><strong>Format standardisé :</strong> Les AES (ABE, AEAPP, AEMF) ont publié des templates RTS en janvier 2025 (modèles Excel/XML téléchargeables sur le site de l'ABE).</p>

Prestataires ICT critiques : critères de classification

<p>Les autorités de supervision désignent les <strong>Prestataires TIC Critiques</strong> (CTPP) selon quatre critères cumulatifs :</p><ol><li>Systémicité : impact potentiel sur la stabilité financière</li><li>Nombre d'entités financières clientes dans l'UE</li><li>Interdépendance avec d'autres prestataires ICT</li><li>Caractère substituable (facilité à changer de fournisseur)</li></ol><p>En 2026, les premiers CTPP désignés incluent des hyperscalers cloud (AWS, Azure, GCP) et des fournisseurs de systèmes de paiement. Ces prestataires sont soumis à une supervision directe par un Superviseur Principal désigné (ABE, AEAPP ou AEMF selon leur secteur).</p>

Obligations contractuelles envers les tiers ICT

<p>L'article 30 DORA liste les clauses <strong>minimales obligatoires</strong> dans tout contrat avec un prestataire ICT :</p><table border='1' style='width:100%;border-collapse:collapse'><tr><th>Clause</th><th>Contenu requis</th></tr><tr><td>Description des services</td><td>SLAs précis, niveaux de qualité, lieux de traitement</td></tr><tr><td>Sécurité des données</td><td>Mesures de chiffrement, gestion des accès, audits</td></tr><tr><td>Disponibilité et continuité</td><td>RTO/RPO documentés, plans de reprise</td></tr><tr><td>Audit et inspection</td><td>Droit d'audit de l'entité financière ET des autorités</td></tr><tr><td>Résiliation</td><td>Préavis minimum, procédures de sortie, portabilité des données</td></tr><tr><td>Sous-traitance</td><td>Conditions d'approbation des sous-traitants ICT</td></tr></table>

Sanctions en cas de non-conformité du registre

<p>L'ACPR et l'AMF peuvent infliger des sanctions administratives en cas de manquements :</p><ul><li>Registre incomplet ou non transmis : avertissement + astreinte jusqu'à 1 % du CA journalier</li><li>Non-respect des exigences contractuelles : amende jusqu'à <strong>1 % du CA annuel mondial</strong></li><li>Prestataire ICT critique non déclaré : amende jusqu'à <strong>5 millions d'euros</strong></li></ul><p>La Commission nationale de l'informatique et des libertés (CNIL) peut s'ajouter si les manquements concernent également le RGPD.</p>

Questions fréquentes

Quelles entités financières sont soumises aux obligations DORA sur les tiers ICT ?

Toutes les entités financières couvertes par DORA : banques, entreprises d'investissement, établissements de paiement, compagnies d'assurance, OPCVM, fonds alternatifs, contreparties centrales, dépositaires centraux de titres et agences de notation. Les microentreprises bénéficient d'un régime allégé pour certaines obligations.

Quand le registre des prestataires ICT doit-il être transmis aux autorités ?

Le registre d'informations doit être maintenu en permanence et transmis aux autorités compétentes (ACPR, AMF) sur demande. Les premières soumissions annuelles consolidées sont attendues au plus tard fin 2025. Le règlement délégué précise que les informations doivent être actualisées dès tout changement significatif.

Un prestataire cloud comme AWS ou Azure est-il automatiquement un prestataire ICT critique sous DORA ?

Non, automatiquement. La désignation de Prestataire TIC Critique (CTPP) est décidée par les AES (ABE/AEAPP/AEMF) après évaluation des critères de systémicité, de nombre de clients financiers dans l'UE, d'interdépendance et de substituabilité. En pratique, les principaux hyperscalers cloud ont été parmi les premiers désignés en 2025.