Quel est le prix de la non-conformité à DORA ? La réponse varie selon les États membres — et c'est justement l'un des points les plus discutés du règlement. Contrairement à NIS2 qui fixe des planchers européens de sanctions, DORA laisse aux législateurs nationaux le soin de définir les mesures administratives et pénalités applicables. Résultat : un patchwork en formation, avec des niveaux de sanction potentiellement très différents d'un pays à l'autre.
Ce flou relatif ne doit pas tromper. Les pouvoirs d'intervention des autorités compétentes sont, eux, bien définis dans le texte. Et ils sont sérieux.
Les deux régimes de sanctions DORA
DORA prévoit deux circuits de sanctions distincts, selon que l'entité concernée est une entité financière ou un prestataire ICT critique.
| Critère | Entités financières | Prestataires ICT critiques |
|---|---|---|
| Autorité compétente | Autorité nationale (ACPR, AMF en France) | Superviseur principal (EBA, EIOPA ou ESMA) |
| Base légale sanctions | Droit national (article 50) | Règlement DORA directement (articles 35-36) |
| Types de mesures | Injonctions, astreintes, amendes, retrait d'agrément | Recommandations, astreintes (1% CA journalier) |
| Harmonisation | Non — varie par État membre | Oui — cadre européen unifié |
Sanctions pour les entités financières — le cadre national
L'article 50 — le renvoi aux États membres
L'article 50 de DORA impose aux États membres de définir des règles relatives aux mesures administratives et aux sanctions applicables en cas de violation du règlement. Ces mesures doivent être "effectives, proportionnées et dissuasives". Au-delà de cette formule standard en droit européen, DORA ne fixe ni montant minimum ni maximum.
C'est une différence notable avec NIS2, qui impose des planchers : jusqu'à 10 millions d'euros ou 2% du CA mondial pour les entités essentielles. DORA ne va pas aussi loin, ce qui crée une incertitude et potentiellement des disparités entre États membres.
Les pouvoirs des autorités compétentes (article 50-51)
DORA liste les mesures que les autorités compétentes doivent pouvoir prendre au minimum :
Injonctions de mise en conformité. L'autorité ordonne à l'entité de corriger les manquements dans un délai défini. C'est la mesure la moins sévère mais la plus fréquente en début de cycle réglementaire.
Sanctions pécuniaires. Amendes dont le montant est défini par le droit national. En France, l'ACPR peut prononcer des sanctions pécuniaires allant jusqu'à 100 millions d'euros (article L. 612-39 du Code monétaire et financier). L'AMF dispose de pouvoirs similaires pour les entités sous sa supervision.
Astreintes. Pénalités journalières pour chaque jour de non-conformité persistante. Un outil puissant pour accélérer la remédiation.
Publication de la décision. "Name and shame" — la décision de sanction est publiée, sauf si la publication risquerait de perturber les marchés financiers ou de causer un préjudice disproportionné.
Retrait d'agrément. L'arme nucléaire. Rarement utilisée mais théoriquement disponible pour les manquements les plus graves et persistants.
La situation en France — ACPR et AMF
En France, les deux autorités compétentes sont l'ACPR (banques, assurances, établissements de paiement) et l'AMF (marchés financiers, sociétés de gestion, prestataires crypto). Les deux disposent déjà de pouvoirs de sanction importants en vertu du Code monétaire et financier.
L'ACPR a indiqué dans ses orientations de supervision 2025 que DORA serait un axe prioritaire de contrôle. Les premiers contrôles sur place intègrent des vérifications DORA — notamment sur la gouvernance ICT, le registre d'informations et les processus de notification d'incidents.
Faut-il s'attendre à des sanctions dès 2025 ? Probablement pas pour des écarts mineurs. Les régulateurs ont généralement une approche graduée : observations, recommandations, mises en demeure, puis sanctions formelles. Mais un manquement flagrant — absence totale de cadre de gestion des risques ICT, incapacité de produire le registre d'informations — pourrait accélérer le processus.
Astreintes pour les prestataires ICT critiques — le cadre européen
Pour les prestataires ICT désignés comme critiques, le régime de sanctions est unifié au niveau européen et défini directement par DORA. Le superviseur principal dispose de l'arme des astreintes.
Le calcul des astreintes
L'article 35(6) prévoit des astreintes journalières pouvant atteindre 1% du chiffre d'affaires mondial journalier moyen du prestataire au cours de l'exercice précédent. Ces astreintes s'appliquent pendant un maximum de six mois.
Faisons le calcul pour un hyperscaler :
| Scénario | CA annuel mondial | CA journalier moyen | Astreinte max/jour (1%) | 6 mois max |
|---|---|---|---|---|
| Grand cloud provider | 80 Mds $ | ~219 M $ | ~2,19 M $ | ~400 M $ |
| Éditeur core banking | 5 Mds $ | ~13,7 M $ | ~137 K $ | ~25 M $ |
| Fournisseur spécialisé | 500 M $ | ~1,37 M $ | ~13,7 K $ | ~2,5 M $ |
Ces montants sont dissuasifs, même pour les plus gros acteurs. Et ils s'ajoutent aux éventuelles conséquences réputationnelles d'une sanction publique par une autorité européenne.
Les facteurs aggravants et atténuants
L'article 51 liste les éléments que les autorités doivent prendre en compte dans la détermination des sanctions :
Facteurs aggravants
Gravité et durée du manquement. Répétition — les récidivistes seront traités plus sévèrement. Impact sur les clients et sur la stabilité financière. Gain financier tiré du manquement (si démontrable). Obstruction à l'enquête ou refus de coopérer.
Facteurs atténuants
Bonne foi et coopération avec l'autorité. Mesures correctives prises spontanément et rapidement. Signalement proactif du manquement par l'entité elle-même. Premier manquement sans antécédent. Impact limité et absence de préjudice pour les clients.
Comparaison avec les sanctions d'autres réglementations
| Réglementation | Sanction maximale | Harmonisation UE |
|---|---|---|
| DORA (entités financières) | Selon droit national | Non |
| NIS2 (entités essentielles) | 10 M€ ou 2% CA mondial | Oui (plancher) |
| RGPD | 20 M€ ou 4% CA mondial | Oui (plafond) |
| DORA (prestataires critiques) | 1% CA journalier (astreintes) | Oui |
| MiCA | Selon catégorie + droit national | Partiellement |
Stratégie de mitigation — minimiser le risque de sanctions
Au-delà de la conformité complète — l'objectif évident — quelques principes pour réduire le risque et la sévérité d'éventuelles sanctions :
Documenter les efforts de conformité. Même si vous n'êtes pas encore 100% conforme, démontrer un plan crédible et une exécution en cours atténue considérablement le risque. Le régulateur distingue l'entité qui travaille activement de celle qui ignore le sujet.
Coopérer proactivement. En cas de contrôle, la coopération est un facteur atténuant explicite. Fournir les informations demandées rapidement et complètement.
Signaler ses propres manquements. Découvrir un écart et le signaler soi-même à l'autorité avant qu'elle ne le découvre est un facteur atténuant fort.
Corriger rapidement. La durée du manquement est un facteur aggravant. Plus vite vous corrigez, plus la sanction sera proportionnée.
FAQ — Sanctions DORA
Un dirigeant peut-il être personnellement sanctionné ?
DORA ne prévoit pas explicitement de sanctions personnelles contre les dirigeants. Mais les droits nationaux peuvent le prévoir, et la responsabilité du board en matière de risque ICT (article 5) crée une base pour d'éventuelles poursuites en cas de faute de gouvernance caractérisée.
Les sanctions DORA sont-elles cumulables avec les sanctions NIS2 ?
En principe, le principe de lex specialis devrait éviter la double sanction pour le même fait. Mais si les manquements sont distincts — par exemple un défaut de notification DORA et un défaut de mesure de sécurité NIS2 — des sanctions distinctes sont théoriquement possibles. Consultez notre comparatif DORA vs NIS2 pour les détails d'articulation.
Existe-t-il un délai de prescription ?
DORA ne fixe pas de délai de prescription uniforme — il renvoie au droit national. En France, les poursuites disciplinaires de l'ACPR se prescrivent par six ans à compter du fait générateur.
Les sanctions DORA ne sont pas une abstraction théorique. Les régulateurs financiers européens ont l'habitude de sanctionner et les montants peuvent être significatifs. Le meilleur investissement reste la conformité proactive plutôt que la gestion de crise post-sanction. Pour le cadre complet, consultez notre guide DORA.