Le registre d'informations sur les prestataires ICT tiers est l'une des obligations les plus concrètes et les plus chronophages de DORA. L'article 28(3) est clair : chaque entité financière doit tenir et mettre à jour un registre couvrant TOUS les accords contractuels avec des prestataires de services ICT tiers. Pas une sélection. Pas les dix plus gros. Tous.
Si vous pensez que votre inventaire Excel existant fait l'affaire, vous allez probablement déchanter en lisant les ITS.
Pourquoi un registre — l'intention du régulateur
Le registre sert deux objectifs distincts. Pour l'entité financière, c'est un outil de pilotage des risques tiers ICT : savoir qui fait quoi, avec quelles dépendances, et quels risques. Pour le régulateur, c'est une source d'information agrégée pour détecter les risques de concentration à l'échelle du marché.
Quand le superviseur agrège les registres de toutes les banques françaises et constate que 85% d'entre elles dépendent du même prestataire pour leur infrastructure cloud, c'est un signal d'alerte systémique. C'est exactement ce type d'analyse que DORA permet — et que les régulateurs n'avaient pas jusqu'ici.
Le contenu obligatoire du registre — niveau de détail exigé
Les ITS publiés en janvier 2024 détaillent les informations que le registre doit contenir pour chaque prestataire. Le niveau de granularité est élevé :
| Section | Informations requises | Détail |
|---|---|---|
| Identification prestataire | Raison sociale, LEI, siège social, groupe d'appartenance | Identifiant unique LEI obligatoire si disponible |
| Contrat | Date début, fin, renouvellement, montant, base juridique | Chaque contrat individuellement |
| Services fournis | Description précise des services ICT | Granularité fonctionnelle |
| Fonctions supportées | Lien entre le service et les fonctions de l'entité | Classification critique/importante ou non |
| Sous-traitance | Chaîne complète : sous-traitants directs et en cascade | Identification + juridiction de chaque sous-traitant |
| Localisation données | Pays de traitement et de stockage | Par service et par type de données |
| Évaluation risque | Résultat due diligence, risque de concentration | Score de risque si applicable |
| Stratégie de sortie | Alternatives identifiées, délai de migration estimé | Pour les fonctions critiques |
| Audit | Date du dernier audit, résultat, prochaine échéance | Droits d'audit contractuels |
Le format du registre — pas de freestyle
Les ITS fournissent un format standardisé. Le registre n'est pas un document libre — il suit une structure normée qui permet l'agrégation par les autorités compétentes. En pratique, c'est un ensemble de tables de données relationnelles couvrant :
La table "entité" (votre établissement), la table "prestataires" (chaque fournisseur ICT), la table "contrats" (chaque accord contractuel), la table "services" (chaque service fourni), la table "fonctions" (lien avec vos fonctions business), la table "sous-traitants" (chaîne de sous-traitance), la table "localisations" (géographie des traitements).
Pas un tableur unique avec 50 colonnes. Un modèle de données structuré. Les entités qui ont investi dans un outil de Third-Party Risk Management (TPRM) sont avantagées — ces outils intègrent souvent des exports conformes au format ITS.
La transmission aux autorités — première échéance avril 2025
L'article 28(3) prévoit que le registre soit mis à la disposition de l'autorité compétente sur demande. Mais les RTS vont plus loin : la première transmission proactive du registre aux autorités est attendue en 2025, avec une date limite fixée au 30 avril 2025 pour le premier exercice.
Cette transmission n'est pas anodine. C'est la première fois que les régulateurs disposeront d'une vue exhaustive et structurée des dépendances ICT du secteur financier. L'analyse de ces données alimentera les décisions de désignation des prestataires ICT critiques.
Constitution du registre — méthodologie pratique
Phase 1 — Inventaire brut (4-6 semaines)
Commencez par un inventaire exhaustif de tous vos prestataires ICT. Sources à croiser : comptabilité (tous les fournisseurs IT dans le plan comptable), achats (bons de commande IT), DSI (inventaire des applications et services), juridique (contrats en cours), RSSI (registre des accès tiers). Cette phase révèle presque toujours des prestataires "oubliés" — des services SaaS souscrits par un métier sans passer par les achats, des licences historiques, des contrats de maintenance dormants.
Phase 2 — Classification (3-4 semaines)
Classifiez chaque prestataire selon qu'il supporte une fonction critique/importante ou non. La définition de "fonction critique ou importante" est alignée sur les guidelines EBA : une fonction dont la défaillance compromettrait la capacité de l'entité à respecter ses obligations réglementaires, ses résultats financiers, ou la continuité de ses services.
Phase 3 — Enrichissement (6-8 semaines)
Complétez les informations pour chaque prestataire selon le format ITS. C'est la phase la plus longue — obtenir les informations sur les sous-traitants et les localisations de données nécessite souvent des échanges multiples avec les prestataires. Certains traînent les pieds. D'autres ne disposent pas eux-mêmes de l'information sur leur propre chaîne de sous-traitance.
Phase 4 — Validation et gouvernance (2-3 semaines)
Le registre doit être validé par les fonctions concernées (DSI, RSSI, juridique, risques) et présenté au comité de direction. Un processus de mise à jour continue doit être défini : qui met à jour quoi, à quelle fréquence, avec quel circuit de validation.
Les erreurs fréquentes
Se limiter aux prestataires "importants". DORA couvre tous les prestataires ICT tiers, sans seuil de montant ou de criticité. Le fournisseur de votre outil de ticketing y figure au même titre que votre hébergeur cloud.
Considérer le registre comme un projet one-shot. Le registre est un document vivant. Chaque nouveau contrat, chaque renouvellement, chaque changement de sous-traitant doit être reflété. Sans processus de mise à jour, le registre est obsolète en quelques mois.
Ignorer les accords intra-groupe. Les services ICT fournis par une entité du même groupe doivent figurer dans le registre. Un service informatique mutualisé au niveau de la holding est un prestataire ICT au sens de DORA.
Négliger la chaîne de sous-traitance. Le registre ne s'arrête pas au prestataire direct. Si votre éditeur de core banking héberge sa solution chez AWS, cette information doit figurer dans le registre.
Outils et solutions du marché
Plusieurs catégories d'outils peuvent supporter la tenue du registre :
| Type d'outil | Exemples | Adapté pour |
|---|---|---|
| TPRM dédié | ServiceNow VRM, OneTrust, Prevalent | Grandes entités, > 100 prestataires |
| GRC étendu | Archer, MetricStream | Entités ayant déjà un GRC en place |
| Solution spécialisée DORA | Riskonnect, Venminder | Entités cherchant une solution clé en main |
| Tableur structuré | Excel/Google Sheets avec modèle ITS | Petites entités, < 30 prestataires |
FAQ — Registre d'informations DORA
Le registre doit-il inclure les prestataires non-ICT qui utilisent des outils ICT ?
Non. Le registre couvre les prestataires de services ICT — ceux qui fournissent des services numériques. Un cabinet d'avocats n'est pas un prestataire ICT même s'il utilise des outils numériques. Mais un prestataire qui vous fournit un service juridique via une plateforme SaaS peut entrer dans le périmètre pour la composante ICT du service.
Quelle est la fréquence de mise à jour requise ?
DORA ne fixe pas de fréquence précise mais exige que le registre soit "tenu à jour". En pratique, une revue trimestrielle complète avec des mises à jour au fil de l'eau pour les événements significatifs (nouveau contrat, résiliation, changement de sous-traitant) constitue une bonne pratique.
Le registre est-il public ?
Non. Le registre est un document interne transmis aux autorités compétentes sur demande ou lors des exercices de reporting prévus. Il n'est pas publié ni accessible aux tiers. Pour comprendre le cadre global de la gestion des tiers, consultez notre article sur DORA et les risques ICT tiers.
Le registre d'informations est plus qu'une obligation réglementaire — c'est un outil de pilotage stratégique. Les entités qui le prennent au sérieux découvrent des dépendances qu'elles ignoraient, des risques de concentration qu'elles n'avaient pas mesurés, et des opportunités de rationalisation de leur portefeuille de prestataires. Celles qui le traitent comme une case à cocher administrative passent à côté de cette valeur. Retrouvez le cadre complet dans notre guide DORA.