Systèmes bancaires, compagnies d’assurance, services d’investissement, gestion d’actifs ou crypto-actifs… Le secteur financier européen est l’un des plus digitalisés et, de fait, l’un des plus exposés aux risques informatiques. Face à cette vulnérabilité croissante, l’Union européenne a adopté le règlement DORA (Digital Operational Resilience Act), qui impose aux acteurs financiers et à leurs partenaires technologiques un haut niveau d’exigence en matière de sécurité et résilience numérique.
Dans ce numéro estival de votre websérie Check-Up Conformité, on vous décrypte les grands principes du règlement DORA, à qui il s’adresse, et ce que ce nouveau cadre réglementaire change dans la relation entre les établissements financiers et leurs prestataires tiers de services numériques (comme Axeptio 👋).
Un règlement pour renforcer les défenses numériques des entités financières
DORA est un règlement européen qui s’inscrit dans le Digital Finance Package, un ensemble de mesures pour moderniser et sécuriser le secteur financier à l’ère numérique.
“Son objectif est clair : renforcer la résilience opérationnelle numérique des entités financières. En d’autres termes, garantir que même en cas de cyberattaque ou d’incident informatique majeur, l’activité puisse se poursuivre, les données rester protégées, et les services être rétablis sans grandes pertes systémiques.” — Eunice Amisi, Juriste en droit des affaires et données personnelles chez Axeptio.
Pour cela, le règlement DORA impose un large spectre d’obligations en matière de gestion des risques informatiques, de supervision, de notification des incidents, de continuité de l’activité, ou encore de gouvernance des relations contractuelles avec les prestataires TIC. On vous a perdu ? Pas de panique, on vous explique tout en détail un peu plus loin.
À qui s’adresse le règlement DORA ?
Le champ d’application du règlement DORA est assez large. Il concerne la quasi-totalité des acteurs du secteur financier opérant dans l’Union européenne.
Cela inclut les banques, les compagnies d’assurance, les entreprises d’investissement, les sociétés de gestion d’actifs ou de portefeuille, les infrastructures de marché, les prestataires de services sur crypto-actifs, ou encore les plateformes de financement participatif.
Mais le règlement DORA ne s’arrête pas là : il encadre également les relations avec les partenaires technologiques de ces acteurs, en particulier les prestataires tiers de services TIC, qu’ils soient fournisseurs de modèles infonuagiques, de solutions SaaS, de stockage de données, ou encore de services de gestion du consentement comme Axeptio.
Vous l’aurez donc compris : des milliers et des milliers d’entités à l’échelle européenne sont concernées par ce nouveau cadre réglementaire.
Les exigences contractuelles précises du règlement DORA
Dans l’article 28(5), le règlement DORA rappelle que les entités financières ne peuvent s’entourer que de prestataires numériques respectant des normes élevées en matière de sécurité de l’information. Cela vaut pour les modèles infonuagiques, les infrastructures, les solutions SaaS… et donc aussi pour les plateformes de gestion du consentement comme la nôtre.
“Le contrat devient un élément central de la conformité. Il doit notamment anticiper tous les scénarios : où les données sont stockées, si elles sont sous-traitées, dans quelles conditions elles peuvent être récupérées, ou encore comment le prestataire coopère avec les entités financières et leurs autorités de régulation dans le cadre d’incidents de sécurité, de contrôles et d’audits.” — Eunice Amisi, Juriste en droit des affaires et données personnelles chez Axeptio.
Concrètement, il s’agit avant tout de transparence : les services fournis doivent être décrits de manière exhaustive, sans ambiguïté sur leur nature ni sur la possibilité ou non de sous-traitance. Il s’agit aussi d’exprimer précisément les niveaux de service attendus et leurs modalités de mise à jour, pour éviter toute zone grise en cas de désaccord ou d’incident.
D’ailleurs, si un incident survient, le prestataire doit pouvoir assister rapidement l’entité financière, sans surcoût, dans la gestion de la crise. Dans la même logique, la coopération avec les autorités compétentes est aussi attendue. Les prestataires doivent s’y engager contractuellement, y compris dans le cadre d’enquêtes ou d’actions de résolution.
Le règlement DORA impose également un haut niveau de vigilance sur la qualité de la protection des données (disponibilité, authenticité, intégrité et confidentialité) mais aussi sur la capacité à restituer ces données dans un format lisible, en cas de fin de contrat, d’insolvabilité ou même de cessation d’activité du prestataire. En complément, du côté de la localisation: les entités financières doivent savoir où sont traitées et stockées leurs données.
Enfin, un dernier point révélateur de l’esprit de cette démarche : les prestataires sont invités à participer activement aux programmes de formation mis en place par les entités financières. Parce que la résilience numérique ne se décrète pas uniquement dans les clauses, elle se construit dans la durée par la sensibilisation des équipes.
Axeptio, un partenaire conforme au règlement DORA pour les acteurs financiers
Chez Axeptio, la conformité au règlement DORA n’est pas une ambition pour demain : c’est déjà notre quotidien. Et c’est ce qui nous permet aujourd’hui d’accompagner, en toute sécurité, des acteurs financiers exigeants dans la gestion de leurs données de consentement.
“Non seulement, c’est une condition sine qua non pour continuer à opérer dans ce secteur, mais surtout parce que cela reflète notre vision de la gestion du consentement. Cette transparence ne repose pas uniquement sur une interface agréable, une approche pédagogique ou un bon taux d’opt-in, mais aussi sur une exigence réglementaire tenue dans la durée.”
Christophe Landat Avocat au Barreau de Montpellier et Montréal, Directeur juridique et cofondateur d’Axeptio.
Vous êtes concernés par DORA et cherchez un partenaire technologique déjà aligné avec vos enjeux réglementaires ?
