L'une des innovations majeures du règlement DORA (EU) 2022/2554 est l'instauration d'une supervision directe des tiers prestataires TIC critiques par les autorités européennes de surveillance. Pour la première fois dans le droit financier européen, une autorité de régulation peut superviser directement une entreprise technologique — non financière — en raison de son rôle systémique dans le secteur financier.
La Désignation des Tiers Critiques
L'article 31 du règlement DORA définit les critères pour désigner un tiers prestataire TIC comme 'critique'. Les autorités européennes de surveillance (EBA, EIOPA, ESMA) évaluent conjointement les prestataires selon : l'impact systémique potentiel en cas de défaillance, le degré de substituabilité (facilité à changer de prestataire), le niveau d'interconnexion avec les entités financières de l'UE, et le nombre et l'importance systémique des entités financières clientes.
Procédure de Désignation
La désignation est réalisée conjointement par les trois AES (EBA, EIOPA, ESMA) après consultation de l'ESRB (European Systemic Risk Board) et des autorités nationales compétentes. Le prestataire concerné est informé avant la désignation officielle et peut présenter des observations. La liste des prestataires critiques désignés est publiée au Journal officiel de l'UE.
Obligation de Filiale UE
Un prestataire TIC critique établi hors UE doit créer une filiale dans l'Union européenne pour rester éligible à fournir des services aux entités financières européennes. Cette exigence vise à assurer que le superviseur principal dispose d'une prise juridique sur le prestataire. Les grands fournisseurs cloud américains (AWS, Azure, GCP) ont tous des filiales européennes qui peuvent satisfaire à cette exigence.
Le Lead Overseer : Rôle et Désignation
Pour chaque prestataire TIC critique, un 'superviseur principal' (Lead Overseer) est désigné parmi les trois AES. Le critère de désignation est la part prédominante des services fournis : si la majorité des services du prestataire critique va aux banques, l'EBA est le Lead Overseer ; si c'est les assurances, c'est l'EIOPA ; si ce sont les marchés, c'est l'ESMA. Un Joint Oversight Network (JON) coordonne les trois AES pour assurer la cohérence.
Pouvoirs du Lead Overseer
Le superviseur principal dispose de pouvoirs étendus sur les tiers critiques. Il peut demander toute information et documentation, réaliser des inspections sur place et à distance, formuler des recommandations, exiger la mise en conformité dans des délais définis. En cas de non-conformité persistante, le Lead Overseer peut recommander aux autorités nationales d'interdire temporairement au prestataire de conclure de nouveaux contrats avec des entités financières de l'UE — une sanction extrêmement lourde.
Conclusion
Le système de supervision directe des tiers critiques par le Lead Overseer représente un changement de paradigme dans la régulation des Big Tech fournisseurs du secteur financier. Pour les entités financières, cette supervision crée une protection supplémentaire : si leur fournisseur cloud critique est lui-même supervisionné et contraint aux exigences DORA, les risques de défaillance sont mieux maîtrisés.
Questions fréquentes
AWS est-il déjà désigné prestataire TIC critique sous DORA ?
La désignation formelle des premiers prestataires TIC critiques est attendue pour 2025-2026. Les autorités européennes ont entamé le processus d'évaluation. AWS, Microsoft Azure et Google Cloud Platform sont largement considérés comme susceptibles d'être désignés critiques en raison de leur omniprésence dans l'infrastructure financière européenne.
Un prestataire TIC critique peut-il refuser la supervision ?
Non. Une fois désigné critique, le prestataire est légalement tenu de coopérer avec le Lead Overseer. Le refus de coopération constitue une violation du règlement DORA et peut entraîner l'interdiction de fournir des services aux entités financières de l'UE.