
Article IT et données personnelles | 21/11/22 | 11 min. | Mahasti Razavi Antoine Boullet
Le 10 novembre 2022, le Parlement européen a adopté le règlement sur la résilience opérationnelle informatique du secteur financier (« DORA » ou « Digital Operational Resilience Act »).
Ce règlement a pour objet d’harmoniser et renforcer les règles en matière de gestion des risques liés aux nouvelles technologies pesant sur les entités financières de l’Union Européenne.
Il entrera en vigueur le 17 janvier 2025, laissant un délai très court aux entreprises concernées pour ajuster leurs process internes et les relations contractuelles, y compris existantes.
DORA a un impact significatif pour l’ensemble des entités financières et leurs partenaires technologiques, puisque le règlement DORA impose de :
DORA prévoit des dispositions contractuelles impératives minimales quelle que soit la criticité des prestations – notamment en termes de description des niveaux de service, de droit d’audit ou de résiliation – ainsi que des dispositions supplémentaires pour les contrats portant sur des fonctions critiques ou importantes.
Le règlement impose également la mise en place d’un cadre de supervision des prestataires IT critiques, qui seront soumis à une évaluation renforcée en matière de gestion des risques.
Présentation générale
Le règlement DORA a un champ d’application très large et englobe la quasi-totalité du secteur financier. Il s’étend ainsi à vingt-et-une catégories d’entités parmi lesquelles les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les entreprises d’assurance, ou les sociétés de gestion. Il s’applique également directement aux tiers prestataires de services informatiques.
D’une manière générale, DORA a pour objectif d’améliorer la résilience opérationnelle informatique des entités financières, ce qui se traduit en particulier par :
Ces obligations entrainent nécessairement des transformations internes des entités financières concernées mais ont également un impact majeur pour leurs partenaires technologiques.
Focus sur l’encadrement des risques liés aux prestataires de services informatiques tiers
Le règlement DORA encadre les risques liés aux prestataires IT de deux manières :
Selon l’article 28 du règlement, des principes généraux doivent être respectés par les entités financières dans les relations qu’elles nouent avec des tiers prestataires de services informatiques, se traduisant en particulier par :
DORA énonce également une liste d’éléments devant a minima figurer dans tous les contrats conclus entre une entité financière et un prestataire IT, parmi lesquels :
Pour les services IT soutenant des fonctions critiques ou importantes, d’autres obligations s’appliquent notamment celles concernant :
Le règlement encourage par ailleurs le développement de clauses contractuelles types devant être élaborées pour des services particuliers par les autorités européennes de surveillance (AES) et adoptées par la Commission européenne.
Le règlement établit un cadre de supervision des prestataires critiques de services informatiques, qui seront désignés par les AES au regard d’un ensemble de critères : effet systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers, dépendance des entités financières, degré de substituabilité, etc.
La supervision des prestataires critiques de services IT consiste en une évaluation des règles, procédures, mécanismes et dispositifs qu’ils ont mis en place pour gérer les risques informatiques qu’ils sont susceptibles de faire peser sur les entités financières. Dans ce cadre, les entités de supervision sont dotées de pouvoirs élargis, parmi lesquels le pouvoir de demander l’ensemble des informations et des documents pertinents, de mener des enquêtes et des inspections générales ou de formuler des recommandations.
Ce corpus de règles sera impactant de part et d’autre, tant d’un point de vue des process que des relations contractuelles, et devra être mis en œuvre dans un délai qui est finalement très court au regard de l’ampleur des taches à mener pour être en conformité à la date d’entrée en vigueur du règlement.