Guides & Ressources pratiques
Achat d'un local commercial : murs, fonds de commerce et points juridiques clés
Règlementation DORA : définition, périmètre et obligations pour les directions juridiques
Points clés de l'article
- Le règlement DORA (UE 2022/2554) impose depuis le 17 janvier 2025 un cadre harmonisé de résilience opérationnelle numérique à l'ensemble du secteur financier européen.
- Plus de 22 000 entités financières et prestataires TIC critiques sont concernés : banques, assureurs, gestionnaires d'actifs, plateformes de paiement.
- Le texte repose sur 5 piliers : gestion des risques TIC, notification des incidents, tests de résilience, gestion des tiers et partage d'informations.
- Les contrats avec les prestataires TIC critiques doivent intégrer des clauses obligatoires sur les audits, la localisation des données, les plans de sortie et les niveaux de service.
- Les sanctions peuvent atteindre 10 millions d'euros ou 5 % du chiffre d'affaires annuel, et les prestataires TIC critiques s'exposent à des astreintes de 1 % du CA quotidien mondial.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Règlementation DORA : définition et objectifs
Entités concernées : banques, assurances, prestataires TIC critiques
Calendrier d'application et entrée en vigueur du 17 janvier 2025
Les 5 piliers DORA : gestion des risques, incidents, tests, tiers, partage
Obligations contractuelles avec les prestataires TIC tiers
Sanctions et risques en cas de non-conformité
Mise en œuvre opérationnelle : feuille de route pour le directeur juridique
Règlementation DORA : définition et objectifs
La règlementation DORA (Digital Operational Resilience Act) désigne le règlement européen 2022/2554, adopté le 14 décembre 2022 par le Parlement européen et le Conseil. Son objectif : imposer un cadre unifié de résilience opérationnelle numérique à l'ensemble du secteur financier de l'Union européenne.
Avant DORA, chaque État membre appliquait ses propres exigences en matière de risques informatiques. Les directives NIS et les orientations de l'ABE (Autorité bancaire européenne) couvraient partiellement le sujet, sans harmonisation sectorielle. DORA comble cette lacune en créant un socle réglementaire unique, directement applicable dans les 27 États membres sans transposition nationale.
Le texte part d'un constat factuel : la dépendance du secteur financier aux technologies de l'information et de la communication (TIC) crée un risque systémique. Une panne chez un prestataire cloud hébergeant les systèmes de plusieurs banques peut paralyser simultanément des dizaines d'établissements. DORA vise à garantir que chaque entité financière puisse résister, répondre et se rétablir face à toute perturbation numérique.
Pour le directeur juridique, DORA n'est pas un texte purement technique. Il impose des obligations contractuelles précises, un cadre de gouvernance documenté et des responsabilités directes pour l'organe de direction.
Entités concernées : banques, assurances, prestataires TIC critiques
Le périmètre de DORA couvre 21 catégories d'entités financières. Le règlement s'applique notamment aux :
- Établissements de crédit (banques commerciales, banques en ligne)
- Entreprises d'assurance et de réassurance
- Sociétés de gestion d'actifs (asset management) et OPCVM
- Établissements de paiement et établissements de monnaie électronique
- Entreprises d'investissement et plateformes de négociation
- Contreparties centrales et dépositaires centraux de titres
Au total, plus de 22 000 entités financières dans l'UE entrent dans le champ d'application, selon les estimations de la Commission européenne.
DORA introduit une catégorie inédite : les prestataires tiers de services TIC critiques. Les autorités européennes de surveillance (AES) désignent ces prestataires selon des critères précis : caractère systémique, degré de substituabilité, nombre d'entités financières dépendantes. Les grands fournisseurs de cloud (AWS, Microsoft Azure, Google Cloud) et certains éditeurs de logiciels bancaires sont directement visés.
| Catégorie | Exemples | Soumis à DORA |
|---|---|---|
| Banques et établissements de crédit | BNP Paribas, Société Générale | Oui |
| Assureurs et réassureurs | AXA, SCOR | Oui |
| Gestionnaires d'actifs | Amundi, Carmignac | Oui |
| Prestataires TIC critiques | AWS, Microsoft Azure | Oui (supervision directe AES) |
| Microentreprises (< 10 salariés) | Petits courtiers | Régime proportionnel allégé |
La sécurisation des relations avec les prestataires TIC critiques suppose une expertise juridique spécialisée en cybersécurité et en droit du numérique.
Découvrir les avocats spécialisés en cybersécurité sur Swim Legal
Calendrier d'application et entrée en vigueur du 17 janvier 2025
Le règlement DORA est entré en vigueur le 16 janvier 2023, avec une période de mise en conformité de 2 ans. L'application effective date du 17 janvier 2025. Depuis cette date, toutes les entités concernées doivent respecter l'intégralité des obligations.
Le calendrier réglementaire se décompose ainsi :
| Date | Étape |
|---|---|
| 14 décembre 2022 | Adoption du règlement par le Parlement et le Conseil |
| 16 janvier 2023 | Entrée en vigueur (publication au JOUE) |
| 17 juillet 2024 | Publication des normes techniques de réglementation (RTS) finales par les AES |
| 17 janvier 2025 | Application obligatoire pour toutes les entités visées |
| 2025-2026 | Désignation des prestataires TIC critiques et début de la supervision directe |
Les normes techniques de réglementation (RTS) et d'exécution (ITS), adoptées par la Commission européenne sur proposition des AES, précisent les exigences opérationnelles. Elles couvrent la classification des incidents, le contenu des registres d'information et les modalités des tests de pénétration.
Pour les directions juridiques, le 17 janvier 2025 constitue la date butoir. Les contrats non conformes, les cadres de gouvernance incomplets et les registres d'information absents exposent l'entité à des sanctions immédiates.
Les 5 piliers DORA : gestion des risques, incidents, tests, tiers, partage
DORA s'articule autour de 5 piliers complémentaires, chacun portant des obligations distinctes :
Pilier 1 : Gestion des risques liés aux TIC
Chaque entité doit mettre en place un cadre de gestion des risques TIC documenté, approuvé par l'organe de direction. Ce cadre inclut l'identification des actifs TIC, l'évaluation des risques, les mesures de protection et les plans de continuité d'activité. L'organe de direction porte une responsabilité personnelle sur la stratégie de résilience numérique.
Pilier 2 : Notification des incidents TIC
Les incidents TIC qualifiés de « majeurs » doivent être notifiés à l'autorité compétente dans des délais stricts : notification initiale dans les 4 heures suivant la classification, rapport intermédiaire sous 72 heures, rapport final sous 1 mois. Les critères de classification (durée, périmètre, impact financier) sont définis par les RTS.
Pilier 3 : Tests de résilience opérationnelle numérique
Les entités réalisent des tests de résilience au moins une fois par an (tests de vulnérabilité, analyses de code source). Les entités identifiées comme significatives doivent en outre conduire des tests de pénétration fondés sur la menace (Threat-Led Penetration Testing, TLPT) tous les 3 ans, encadrés par le référentiel TIBER-EU.
Pilier 4 : Gestion des risques liés aux tiers TIC
Ce pilier impose un registre d'information exhaustif de tous les contrats avec des prestataires TIC. Il prévoit des clauses contractuelles obligatoires et un cadre de supervision directe des prestataires TIC critiques par les AES.
Pilier 5 : Partage d'informations
DORA encourage le partage volontaire de renseignements sur les cybermenaces entre entités financières, dans un cadre sécurisé et conforme au RGPD.
Obligations contractuelles avec les prestataires TIC tiers
Le pilier 4 de DORA transforme la relation contractuelle entre les entités financières et leurs prestataires TIC. L'article 30 du règlement liste les clauses contractuelles obligatoires que chaque contrat doit intégrer :
- Description précise des services : fonctions TIC couvertes, niveaux de service (SLA) mesurables, localisation du traitement et du stockage des données
- Droits d'audit : l'entité financière (ou un tiers mandaté) doit pouvoir auditer le prestataire, y compris sur site
- Obligations de notification : le prestataire doit signaler tout incident TIC affectant les services fournis
- Plans de sortie (exit plans) : stratégies de transition documentées permettant de migrer vers un autre prestataire sans interruption de service
- Clauses de résiliation : droit de résiliation en cas de manquement aux obligations de sécurité
- Sous-traitance : encadrement strict de la chaîne de sous-traitance, avec droit d'opposition de l'entité financière
Pour les fonctions TIC qualifiées de critiques ou importantes, des exigences renforcées s'ajoutent : le prestataire doit participer aux tests de résilience, garantir la portabilité des données et respecter des obligations de continuité d'activité.
Le directeur juridique doit cartographier l'ensemble des contrats TIC existants, identifier ceux portant sur des fonctions critiques et renégocier les clauses non conformes. Le registre d'information prévu par DORA recense chaque contrat avec ses caractéristiques (prestataire, fonction couverte, criticité, localisation des données, chaîne de sous-traitance).
La revue contractuelle des accords TIC nécessite une double compétence en droit du numérique et en cybersécurité réglementaire.
Trouver un avocat spécialisé en cybersécurité
Sanctions et risques en cas de non-conformité
DORA confie aux autorités nationales compétentes (en France, l'ACPR et l'AMF) le pouvoir de sanctionner les manquements. Le règlement prévoit un arsenal gradué :
| Type de sanction | Plafond |
|---|---|
| Amende administrative pour les entités financières | Jusqu'à 10 millions d'euros ou 5 % du CA annuel |
| Astreinte pour les prestataires TIC critiques | Jusqu'à 1 % du CA quotidien mondial par jour de manquement, pendant 6 mois maximum |
| Mesures administratives complémentaires | Injonctions de mise en conformité, suspension d'activité, publication des décisions (name and shaming) |
Au-delà des amendes, les risques opérationnels sont concrets. Un incident numérique non maîtrisé peut entraîner une interruption de service, une perte de données clients et un préjudice réputationnel durable. Les autorités de surveillance peuvent également exiger le retrait d'un prestataire TIC jugé non conforme, ce qui impose une migration technique coûteuse et complexe.
Pour les prestataires TIC critiques, la supervision directe par les AES constitue une nouveauté. L'autorité principale de supervision (Lead Overseer) peut conduire des inspections, formuler des recommandations contraignantes et, en dernier recours, demander aux entités financières de suspendre ou résilier leurs contrats avec le prestataire défaillant.
Mise en œuvre opérationnelle : feuille de route pour le directeur juridique
La mise en conformité DORA mobilise le directeur juridique sur plusieurs chantiers simultanés. Voici une feuille de route structurée en 6 étapes :
Cartographie des prestataires TIC : recenser l'ensemble des contrats TIC, identifier les fonctions critiques ou importantes, constituer le registre d'information exigé par DORA.
Analyse d'écart (gap analysis) : comparer les clauses contractuelles existantes avec les exigences de l'article 30. Identifier les contrats à renégocier en priorité.
Renégociation contractuelle : intégrer les clauses obligatoires (audit, notification, exit plans, sous-traitance, localisation des données). Prioriser les contrats portant sur des fonctions critiques.
Gouvernance interne : formaliser le cadre de gestion des risques TIC, s'assurer que l'organe de direction valide la stratégie de résilience numérique, documenter les rôles et responsabilités.
Coordination avec les équipes techniques : collaborer avec la DSI et le RSSI pour les tests de résilience, la classification des incidents et les plans de continuité.
Veille réglementaire continue : suivre les RTS et ITS complémentaires, les désignations de prestataires TIC critiques par les AES et les décisions des autorités nationales.
Le directeur juridique joue un rôle pivot : il assure la conformité contractuelle, coordonne la gouvernance et constitue l'interface entre les exigences réglementaires et leur traduction opérationnelle.
FAQ
Quelle est la différence entre DORA et la directive NIS 2 ?
DORA est un règlement sectoriel ciblant exclusivement le secteur financier, directement applicable sans transposition. NIS 2 est une directive transversale couvrant de nombreux secteurs (énergie, transports, santé, numérique) et nécessitant une transposition nationale. Pour une entité financière soumise aux deux textes, DORA prévaut en tant que lex specialis sur les dispositions de NIS 2 relatives à la gestion des risques TIC et à la notification des incidents.
Les PME du secteur financier sont-elles soumises à DORA ?
Oui, mais DORA applique un principe de proportionnalité. Les microentreprises (moins de 10 salariés et moins de 2 millions d'euros de CA) bénéficient d'un régime allégé : cadre de gestion des risques simplifié, exemption des tests de pénétration TLPT. Les obligations contractuelles avec les prestataires TIC restent toutefois applicables.
Quels contrats TIC doivent être révisés en priorité ?
Les contrats portant sur des fonctions critiques ou importantes sont prioritaires. Il s'agit des services TIC dont l'interruption compromettrait la continuité des activités financières, le respect des obligations prudentielles ou la protection des clients. Les contrats de cloud computing, d'hébergement de données et de core banking sont généralement concernés.
DORA impose-t-il des obligations aux prestataires TIC non européens ?
Oui. Tout prestataire TIC fournissant des services à une entité financière européenne entre dans le champ contractuel de DORA, quelle que soit sa localisation. Les prestataires TIC critiques non européens doivent en outre établir une filiale dans l'UE pour être soumis à la supervision directe des AES.
Quel est le rôle de l'organe de direction dans le cadre de DORA ?
L'organe de direction (conseil d'administration, directoire) est personnellement responsable de la définition, de l'approbation et du suivi du cadre de gestion des risques TIC. Il doit valider la stratégie de résilience numérique, allouer les ressources nécessaires et suivre une formation spécifique sur les risques TIC. Cette responsabilité ne peut pas être déléguée.
Pour aller plus loin
Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique - EUR-Lex
Digital Operational Resilience Act (DORA) - ACPR Banque de France
Le règlement DORA - AMF France
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
