L'une des premières questions que se posent les professionnels du secteur financier face au règlement DORA est simple : suis-je concerné ? La réponse se trouve à l'article 2 du règlement (EU) 2022/2554, qui définit un périmètre étonnamment large. Avec 21 catégories d'entités financières explicitement listées, DORA ratisse bien au-delà des seules banques.
Voyons en détail qui doit se conformer — et ce que cela implique concrètement pour chaque type d'acteur.
Vue d'ensemble : les 21 catégories d'entités financières
L'article 2(1) du règlement DORA liste précisément les entités soumises au texte. Voici le tableau complet :
| # | Catégorie d'entité | Référence DORA | Superviseur principal |
|---|---|---|---|
| 1 | Établissements de crédit | Art. 2(1)(a) | BCE / ANC |
| 2 | Établissements de paiement | Art. 2(1)(b) | ANC |
| 3 | Prestataires de services d'information sur les comptes | Art. 2(1)(b) | ANC |
| 4 | Établissements de monnaie électronique | Art. 2(1)(c) | ANC |
| 5 | Entreprises d'investissement | Art. 2(1)(d) | ESMA / ANC |
| 6 | Prestataires de services sur crypto-actifs (MiCA) | Art. 2(1)(e) | ANC |
| 7 | Émetteurs de jetons référencés à des actifs | Art. 2(1)(e) | ANC / EBA |
| 8 | Dépositaires centraux de titres (CSD) | Art. 2(1)(f) | ESMA / ANC |
| 9 | Contreparties centrales (CCP) | Art. 2(1)(g) | ESMA / ANC |
| 10 | Plates-formes de négociation | Art. 2(1)(h) | ESMA / ANC |
| 11 | Référentiels centraux (trade repositories) | Art. 2(1)(i) | ESMA |
| 12 | Gestionnaires de fonds d'investissement alternatifs (AIFM) | Art. 2(1)(j) | ESMA / ANC |
| 13 | Sociétés de gestion d'OPCVM | Art. 2(1)(k) | ESMA / ANC |
| 14 | Entreprises d'assurance | Art. 2(1)(l) | EIOPA / ANC |
| 15 | Entreprises de réassurance | Art. 2(1)(m) | EIOPA / ANC |
| 16 | Intermédiaires d'assurance et de réassurance | Art. 2(1)(n) | ANC |
| 17 | Institutions de retraite professionnelle (IRP) | Art. 2(1)(o) | EIOPA / ANC |
| 18 | Agences de notation de crédit | Art. 2(1)(p) | ESMA |
| 19 | Administrateurs d'indices de référence critiques | Art. 2(1)(q) | ESMA |
| 20 | Prestataires de services de financement participatif | Art. 2(1)(r) | ANC |
| 21 | Prestataires de services de communication de données | Art. 2(1)(s) | ESMA / ANC |
ANC = Autorité Nationale Compétente (AMF, ACPR en France). AES = Autorités Européennes de Supervision (EBA, ESMA, EIOPA).
Focus par catégorie : ce que DORA implique
Établissements de crédit (banques)
Les banques sont au coeur du dispositif DORA. Pour elles, le règlement se superpose aux guidelines existantes de l'EBA sur la gestion des risques ICT et la sous-traitance. Concrètement, les banques doivent :
- Mettre en place un cadre de gestion des risques ICT approuvé par le conseil d'administration
- Constituer un registre d'informations exhaustif de tous les accords contractuels avec des prestataires tiers ICT
- Notifier les incidents ICT majeurs à leur autorité compétente (ACPR en France)
- Pour les établissements d'importance systémique : réaliser des tests TLPT au moins tous les 3 ans
Les grands groupes bancaires font face à un défi supplémentaire : la consolidation des registres d'informations à l'échelle du groupe, dans un contexte où les dépendances ICT sont souvent mal cartographiées.
Entreprises d'assurance et de réassurance
Le secteur de l'assurance était jusqu'ici moins encadré sur les risques ICT que le secteur bancaire. DORA change la donne. Les assureurs doivent appliquer les mêmes exigences fondamentales, avec quelques spécificités :
- Les intermédiaires d'assurance sont également couverts, sauf les microentreprises et PME qui bénéficient d'exemptions partielles
- Le rôle de l'EIOPA dans la supervision des prestataires tiers critiques spécifiques au secteur assurantiel
- L'intégration avec les exigences de Solvabilité II en matière de gouvernance et de sous-traitance
Sociétés de gestion et gestionnaires de fonds
Les gestionnaires d'actifs — qu'il s'agisse de sociétés de gestion d'OPCVM ou de gestionnaires de FIA — sont pleinement dans le périmètre de DORA. La gestion d'actifs étant fortement dépendante de systèmes technologiques (plateformes de trading, gestion du risque, valorisation), les obligations DORA sont particulièrement pertinentes.
Points d'attention spécifiques :
- La gestion déléguée (délégation de la gestion de portefeuille) implique une vigilance renforcée sur les risques ICT tiers
- Les systèmes de valorisation et de gestion des ordres sont considérés comme des fonctions critiques ou importantes
- La multiplicité des prestataires (dépositaires, administrateurs, brokers) complique la constitution du registre d'informations
Prestataires de services sur crypto-actifs
Les prestataires de services sur crypto-actifs agréés sous MiCA et les émetteurs de jetons référencés à des actifs sont une addition notable au périmètre de DORA. C'est la première fois que ces acteurs sont soumis à un cadre aussi structuré en matière de résilience opérationnelle.
Pour les exchanges, plateformes de custody et fournisseurs de portefeuilles, DORA impose des exigences qui vont bien au-delà de ce que beaucoup avaient anticipé — notamment en matière de tests de résilience et de gestion des incidents.
Infrastructures de marché
Les contreparties centrales (CCP), les dépositaires centraux de titres (CSD) et les plateformes de négociation sont des acteurs systémiques par nature. DORA renforce les exigences existantes (EMIR, CSDR) avec un cadre spécifique sur la résilience numérique :
- Tests TLPT obligatoires pour les CCP et les infrastructures systémiques
- Obligations renforcées de notification d'incidents, compte tenu de l'impact systémique potentiel
- Exigences accrues sur les stratégies de sortie pour les prestataires ICT critiques
Les prestataires tiers critiques de services ICT
Au-delà des 21 catégories d'entités financières, DORA introduit un cadre inédit de supervision directe des prestataires tiers critiques de services ICT (articles 31 à 44).
Un prestataire est désigné comme "critique" par les AES sur la base de critères incluant :
- Le caractère systémique des services fournis au secteur financier
- Le degré de dépendance des entités financières vis-à-vis de ce prestataire
- Le degré de substituabilité du prestataire
- Le nombre et la taille des entités financières clientes
Les prestataires désignés critiques sont soumis à une supervision directe exercée par un "lead overseer" (superviseur principal) désigné parmi les AES. Ce superviseur dispose de pouvoirs d'investigation, d'inspection sur site et de recommandation.
En pratique, les premiers prestataires désignés incluent des hyperscalers cloud (AWS, Microsoft Azure, Google Cloud), des fournisseurs de services financiers de base (Bloomberg, Refinitiv) et des éditeurs de logiciels bancaires.
Pour une analyse détaillée de ces obligations, consultez notre article sur la gestion des risques ICT tiers sous DORA.
Exemptions et proportionnalité
DORA n'applique pas un modèle "one size fits all". Plusieurs mécanismes de proportionnalité existent :
Cadre simplifié pour les microentreprises
L'article 16 prévoit un cadre de gestion des risques ICT simplifié pour les entités qui emploient moins de 10 personnes et dont le chiffre d'affaires annuel ou le bilan total n'excède pas 2 millions d'euros. Ce cadre allégé porte sur :
- Un cadre de gestion des risques ICT proportionné
- Des obligations de documentation réduites
- Des tests de résilience adaptés
Attention : le cadre simplifié ne signifie pas exemption. Les microentreprises restent soumises aux obligations fondamentales.
Entités exclues
Certaines entités sont explicitement exclues du périmètre de DORA (article 2(3)) :
- Les institutions de retraite professionnelle gérant des régimes comptant au total 15 affiliés au maximum
- Certaines petites entreprises d'assurance ou de réassurance selon des seuils nationaux
- Les personnes physiques ou entités exemptées au titre des directives sectorielles
Comment déterminer si vous êtes dans le périmètre ?
Si vous n'êtes pas sûr que votre organisation tombe dans le périmètre de DORA, voici un processus simple :
- Vérifiez votre agrément : êtes-vous agréé ou enregistré auprès d'une autorité financière (ACPR, AMF, ou équivalent européen) ?
- Identifiez votre catégorie : dans laquelle des 21 catégories votre activité principale entre-t-elle ?
- Évaluez la proportionnalité : êtes-vous une microentreprise au sens de l'article 16 ?
- Cartographiez vos obligations : selon votre catégorie et taille, quelles sont vos obligations spécifiques ?
En cas de doute, consultez votre autorité compétente nationale. En France, l'ACPR et l'AMF ont publié des orientations et des FAQ dédiées.
Questions fréquentes sur le périmètre DORA
Combien d'entités sont concernées par le règlement DORA ?
Le règlement DORA s'applique à 21 catégories d'entités financières, couvrant plus de 22 000 entités à travers l'Union européenne, ainsi qu'aux prestataires tiers critiques de services ICT.
Les prestataires cloud sont-ils soumis à DORA ?
Les prestataires cloud ne sont pas directement soumis à toutes les obligations DORA, mais les prestataires tiers critiques de services ICT (dont les grands cloud providers) font l'objet d'un cadre de supervision directe par les autorités européennes de supervision.
Les microentreprises sont-elles exemptées de DORA ?
Non, les microentreprises ne sont pas exemptées mais bénéficient d'un cadre simplifié de gestion des risques ICT prévu à l'article 16 du règlement.
Les entreprises de crypto-actifs sont-elles concernées par DORA ?
Oui, les prestataires de services sur crypto-actifs agréés sous MiCA et les émetteurs de jetons référencés à des actifs font partie des 21 catégories soumises à DORA.
Les succursales d'entités de pays tiers sont-elles soumises à DORA ?
DORA s'applique aux succursales établies dans l'UE d'entités financières de pays tiers dans la mesure où elles relèvent de la supervision d'une autorité compétente nationale.