Registre des Prestataires TIC DORA : Obligations et Modèle

L'article 28 du règlement DORA (EU) 2022/2554 impose aux entités financières de tenir et mettre à jour un registre complet de tous les arrangements contractuels avec des tiers prestataires TIC. Ce registre est bien plus qu'une simple liste de contrats : c'est un outil de gouvernance et de supervision qui doit permettre à l'entité et à ses superviseurs d'avoir une vision complète des dépendances technologiques.

Contenu Obligatoire du Registre

Les normes techniques d'exécution (ITS) DORA précisent le contenu minimal du registre des contrats TIC. Pour chaque arrangement contractuel, l'entité doit documenter : l'identité du prestataire TIC (dénomination sociale, pays d'établissement, identifiant LEI si applicable), la nature des services fournis, la qualification de la fonction supportée (critique, importante ou autre), la durée et les conditions de renouvellement du contrat, le lieu de stockage et de traitement des données, les incidents notifiables subis par le prestataire, et les résultats des audits et évaluations.

Distinction Fonctions Critiques / Importantes / Autres

Le registre doit distinguer les prestataires TIC selon la criticité de la fonction qu'ils supportent. Les fonctions critiques sont celles dont la perturbation aurait un impact majeur sur les services financiers fournis aux clients ou sur la stabilité financière. Les fonctions importantes sont moins critiques mais significatives. Cette classification détermine le niveau d'exigence contractuelle et de surveillance applicable au prestataire.

Chaînes de Sous-Traitance

Le registre ne se limite pas aux contrats directs. DORA impose de cartographier les chaînes de sous-traitance : si le prestataire TIC direct sous-traite lui-même à d'autres prestataires des services critiques pour l'entité financière, ces sous-traitants doivent figurer dans la cartographie. Cette obligation répond à des incidents réels où des défaillances de sous-traitants ont affecté les entités financières sans que celles-ci en aient eu connaissance.

Transmission aux Superviseurs

L'article 28 du règlement DORA impose que le registre soit transmis aux autorités compétentes sur leur demande. Des déclarations annuelles agrégées (nombre de contrats par catégorie, valeur des contrats pour les fonctions critiques) doivent également être soumises. Le format de transmission est défini par les ITS DORA, qui précisent les champs obligatoires et le mode de remise aux autorités.

Maintenance et Mise à Jour

Le registre doit être maintenu à jour en continu. Tout nouveau contrat TIC, toute modification substantielle d'un contrat existant, et toute résiliation doivent être reflétés dans le registre dans des délais raisonnables. Un processus formel de revue annuelle du registre est recommandé, incluant la reclassification des fonctions si le contexte a évolué et la mise à jour des informations sur les prestataires.

Gouvernance du Registre

La tenue du registre des prestataires TIC doit être rattachée à une fonction clairement identifiée dans l'entité. En pratique, selon la taille de l'entité, c'est souvent la DSI, la direction des achats ou la direction des risques qui en a la responsabilité opérationnelle. Une validation par la direction de la conformité et un reporting annuel à l'organe de direction sont recommandés.

Conclusion

Le registre des prestataires TIC est bien plus qu'un exercice documentaire. Correctement tenu, il fournit à l'entité une vision claire de ses dépendances technologiques — une information stratégique précieuse pour la gestion des risques, la négociation contractuelle et la planification de la continuité d'activité. C'est aussi le premier document demandé par les superviseurs lors d'une inspection DORA.