Règlement DORA : Texte Officiel et Analyse Juridique

Le règlement DORA — acronyme de Digital Operational Resilience Act — est le texte (EU) 2022/2554 du Parlement européen et du Conseil, adopté le 14 décembre 2022 et publié au Journal officiel de l'Union européenne le 27 décembre 2022. Un texte de 64 articles qui a fait transpirer plus d'un directeur conformité. Et pour cause : il est entré en application le 17 janvier 2025, sans période de transition supplémentaire. Pour la première fois, l'Europe unifie le cadre réglementaire de la résilience opérationnelle numérique du secteur financier — un secteur qui, rappelons-le, a vu la panne CrowdStrike de juillet 2024 paralyser des milliers de terminaux bancaires en quelques heures.

Structure du Règlement (EU) 2022/2554

Le règlement DORA se compose de 64 articles organisés en neuf chapitres. Le chapitre I pose les définitions et le champ d'application. Le chapitre II traite de la gestion des risques liés aux TIC. Le chapitre III porte sur la gestion, la classification et la notification des incidents. Le chapitre IV définit les exigences de test de résilience opérationnelle numérique. Le chapitre V réglemente le risque lié aux tiers prestataires TIC. Le chapitre VI établit les modalités du partage d'informations. Les chapitres VII à IX couvrent les dispositions finales, les sanctions et les modifications d'actes existants.

Article 1 — Objet et champ d'application

L'article 1 du règlement DORA définit l'objet : établir des exigences uniformes concernant la sécurité des réseaux et des systèmes d'information qui sous-tendent les processus opérationnels des entités financières. Il pose le principe de proportionnalité selon lequel les obligations sont calibrées à la taille, au profil de risque et à la nature des activités de chaque entité.

Articles 5 à 16 — Gestion des risques TIC

Ces articles constituent le cœur opérationnel du règlement. L'article 5 exige que les organes de direction des entités financières définissent, approuvent et supervisent le cadre de gestion des risques liés aux TIC. L'article 6 précise que ce cadre doit être documenté, révisé au moins annuellement, et inclure une stratégie de résilience numérique. Les articles 7 à 14 détaillent les obligations spécifiques : identification des actifs TIC, protection et prévention, détection des anomalies, réponse et rétablissement, sauvegarde, apprentissage et évolution.

Articles 17 à 23 — Gestion des incidents

Le règlement DORA impose un processus de gestion des incidents en trois phases. La phase de classification selon des critères définis à l'article 18 (nombre de clients affectés, durée, étendue géographique, criticité des services). La phase de notification aux autorités compétentes selon le calendrier de l'article 19 : notification initiale dans les 4 heures suivant la classification comme majeur, rapport intermédiaire dans les 72 heures, rapport final dans le mois. La phase de traitement avec conservation des preuves.

Normes Techniques Réglementaires (RTS) et Standards d'Exécution (ITS)

Le règlement DORA habilite les trois autorités européennes de surveillance — EBA (banques), EIOPA (assurances), ESMA (marchés) — à élaborer des normes techniques. Ces textes de niveau 2 précisent les modalités d'application du règlement. Les principaux RTS publiés concernent la gestion des risques TIC, la classification des incidents, les tests de pénétration TLPT, la supervision des tiers critiques et le registre des contrats. Ils sont juridiquement contraignants dès leur adoption par la Commission européenne.

Articulation avec les Textes Européens Existants

Le règlement DORA ne remplace pas NIS2 mais s'y superpose avec une lex specialis pour le secteur financier. En cas de conflit entre les deux textes, DORA prévaut pour les entités financières. Le règlement modifie par ailleurs six directives et règlements existants : MiFID II, MiFIR, Solvabilité II, DICI OPCVM, EMIR et MiCA. Ces modifications visent à supprimer les doublons réglementaires et assurer la cohérence du cadre européen.

Sanctions Prévues par le Règlement DORA

L'article 50 du règlement DORA habilite les États membres à définir les sanctions administratives et pénales. En France, l'ACPR et l'AMF sont désignées autorités compétentes. Les sanctions peuvent atteindre 10 millions d'euros ou 5 % du chiffre d'affaires annuel total pour les personnes morales. Pour les personnes physiques dirigeant les entités, les sanctions peuvent atteindre 5 millions d'euros. À titre de comparaison, l'ACPR a déjà infligé 3 millions d'euros d'amende à la Société Marseillaise de Crédit en 2022 pour des lacunes dans son dispositif de lutte contre le blanchiment — un signal clair que le régulateur n'hésite pas à sanctionner lourdement. Le règlement prévoit également des sanctions pour les manquements dans la supervision des tiers prestataires TIC, et un mécanisme de "name and shame" via la publication des décisions.

Proportionnalité et PME Financières

Le règlement DORA intègre un principe de proportionnalité explicite à son article 4. Les microentreprises — entités employant moins de 10 personnes et dont le chiffre d'affaires annuel n'excède pas 2 millions d'euros — bénéficient d'un régime allégé sur plusieurs obligations. Elles ne sont notamment pas soumises aux exigences de tests TLPT et peuvent adapter leur cadre de gestion des risques TIC à leur taille réelle. Cette proportionnalité s'applique également aux petites entités non interconnectées définies à l'article 3.

Conclusion

Le règlement (EU) 2022/2554 constitue une refonte majeure du cadre réglementaire de la résilience numérique financière en Europe. Sa lecture croisée avec les RTS et ITS de niveau 2 est indispensable pour une conformité complète. Les entités financières françaises doivent traiter ce texte non comme une contrainte ponctuelle mais comme un cadre de gouvernance permanent de leur résilience opérationnelle numérique.