Espace Banque & Droit

DORA : où est la carte ? La mise
en œuvre du volet contractuel

Créé le

28.02.2025

Cet article donne un aperçu des principaux défis, notamment liés au calendrier ou à la mise
en œuvre de certaines dispositions de DORA,
auxquels sont confrontées les institutions
financières dans le cadre de leur mise
en conformité sur le volet contractuel.

Camille Hervé
  • Avocate Spitz Poulle Kannan
Jean-Baptiste Poulle
  • Avocat Spitz Poulle Kannan
Lise Wantier
  • Avocate Spitz Poulle Kannan

La conformité « est comme un livre, chaque jour une nouvelle page, chaque chapitre une épreuve »1. Le travail de mise en conformité de la documentation contractuelle au regard des dispositions prévues par DORA s’avère plus délicat qu’anticipé. Les entités financières doivent mener plusieurs chantiers : la réalisation de la cartographie du stock des contrats concernés par DORA2, leur qualification – afin de déterminer notamment si les fonctions concernées sont critiques ou importantes –, puis leur déclinaison contractuelle.

La plupart des entités financières ont bien anticipé les enjeux liés aux obligations prévues par DORA et ont entrepris en conséquence leurs travaux de mise en conformité depuis plusieurs mois. Toutefois, le volet contractuel du chantier DORA ne peut pas encore être complètement finalisé par les établissements car des questions et difficultés demeurent.

Celles-ci sont principalement liées au calendrier (I.) et aux zones d’incertitude concernant certaines obligations prévues par DORA (II.).

DORA entrera en application le 17 janvier 2025. À cette date, toutes les institutions financières entrant dans le champ d’application du règlement3 devront appliquer ses dispositions. Cela signifie que tous les contrats existants devront avoir été modifiés et que tous les nouveaux contrats devront comprendre les stipulations requises.

Or, des questions subsistent concernant le calendrier d’application de DORA pour les entités dont le statut réglementé résulte d’une réglementation locale (e.g., en France : les sociétés de financement, les IOBSP4 ou les CIF5) (1.). En outre, les textes précisant les dispositions de DORA ne sont pas encore tous finalisés ou adoptés (2.), ce qui complexifie le travail de mise en conformité des institutions financières.

Les institutions dont le statut n’est pas européen mais national ne figurent pas parmi la liste des entités soumises à DORA. Pour ces dernières, l’application du dispositif prévu par DORA dépendra de chaque État. En France, les textes permettant de déterminer si ces entités sont soumises aux dispositions de DORA et les dispositions qui leur sont applicables tardent à être finalisées.

À titre d’exemple, le projet de loi de transposition de la directive NIS II6 qui prévoit d’étendre l’application de DORA aux sociétés de financement n’a toujours pas été adopté (compte tenu de la récente dissolution de l’Assemblée nationale). Ce projet a été discuté en conseil des ministres le 15 octobre 2024 (soit seulement trois mois avant l’entrée en application de DORA)7 et n’est pour l‘heure toujours pas adopté8.

Si l’extension du champ d’application de DORA aux sociétés de financement laisse peu de place au doute9, les contours de certains points structurants pour ces entités demeurent flous, comme le délai supplémentaire qui devrait être octroyé aux plus petites sociétés de financement pour se mettre en conformité10. Les incertitudes sur ces aspects ne facilitent pas les travaux de mise en conformité des entités, tant pour les sociétés de financement concernées que pour les groupes bancaires dont certaines filiales peuvent être des sociétés de financement de « petite taille et non complexes »11.

Il est également possible de s’interroger sur l’éventuelle extension de DORA à d’autres entités disposant de statuts réglementés prévus uniquement par le droit français, tels que les IOBSP ou encore les CIF. À ce jour, ce sujet ne semble pas encore avoir été envisagé par le législateur.

Certains projets de normes techniques de réglementation (RTS) et de normes techniques d’exécution (ITS) n’ont été publiés que très récemment12. Parmi eux, certains n’ont pas encore été adoptés par la Commission européenne13 ou ont même été rejetés14. Or les RTS/ITS ont pour objectif d’apporter des précisions substantielles sur les obligations prévues par DORA, notamment en matière contractuelle.

Les institutions financières ont dû effectuer une analyse d’écarts afin d’identifier les éléments additionnels et les précisions apportées par ces RTS/ITS15. Certains RTS/ITS et les clauses types en matière de cloud16 n’ayant pas encore été adoptés par la Commission, une dernière mise à jour est d’ailleurs à anticiper, alors qu’il reste seulement deux mois avant l’entrée en application de DORA !

Le caractère tardif de ces publications nuit à la bonne préparation des institutions financières en les empêchant d’avancer efficacement dans leurs négociations avec les différents prestataires17. Ainsi, même si la plupart des institutions financières soumises à DORA ont engagé le travail de mise en conformité très en amont18 sur le volet contractuel, l’objectif d’une conformité parfaite au moment de l’entrée en application de DORA semble difficile à tenir.

Enfin, on relèvera que les institutions financières soumises aux dispositions de DORA n’ont pas toutes le même niveau de maturité et d’expérience. Les entités qui sont soumises aux Orientations et à l’Arrêté disposent déjà des procédures et de l’expérience contractuelle sur lesquelles s’appuyer dans le cadre de la mise en œuvre de DORA, contrairement à d’autres institutions financières auxquels ces textes ne sont pas applicables (e.g., les prestataires de services de financement participatif ou les prestataires de services sur crypto-actifs). Or ces entités ont des ressources plus limitées que les institutions plus importantes et, pour certaines, sont également en cours de mise en conformité avec d’autres textes structurants pour leurs activités (e.g., le Règlement MiCA19, le Règlement PSFP20, etc.). Si le régulateur a pu indiquer que le principe de proportionnalité serait mis en œuvre21, on peut s’interroger sur les modalités pratiques d’application de ce principe, en particulier sur les aspects contractuels.

Alors que la documentation contractuelle des institutions financières devrait déjà être finalisée pour servir de socle à la négociation avec les prestataires, certaines obligations prévues par DORA sont peu claires, abstraites ou complexes à mettre en œuvre (1.)22. L’articulation de DORA avec les textes préexistants ajoute par ailleurs une strate de complexité à un millefeuille réglementaire déjà conséquent (2.).

Certaines dispositions de DORA soulèvent des difficultés d’interprétation. À titre d’exemple, on peut citer l’obligation de prévoir, dans les contrats relatifs à l’utilisation de services TIC soutenant des fonctions critiques ou importantes (FCI) :

« le droit [pour l’entité soumise à DORA] d’assurer un suivi permanent des performances du prestataire tiers de services TIC, qui comprend [...] le droit de convenir d’autres niveaux d’assurance si les droits d’autres clients sont affectés »23.

Aucune précision ne figure dans DORA sur la signification des termes « niveaux d’assurance » ni sur les cas couverts par l’expression « si les droits d’autres clients sont affectés ». Dans ces conditions, on peut se demander comment les établissements assujettis pourront négocier avec les prestataires tiers une clause précise et pertinente sur ce point.

En outre, certaines dispositions de DORA couvrent des situations insuffisamment définies. Par exemple, les institutions financières :

– doivent avoir le « droit de prendre des copies des documents pertinents sur place s’ils sont essentiels aux activités du prestataire tiers de services TIC » 24 ; ou

– doivent être en mesure de résilier les accords contractuels en cas de « circonstances susceptibles d’altérer l’exécution des fonctions »25, ou encore de « faiblesses avérées liées à [leur] gestion globale du risque lié aux TIC »26.

Encore une fois, on peut s’interroger sur les situations concrètes visées par ces textes, sur lesquelles DORA n’apporte aucune précision.

Ni les travaux préparatoires de DORA ni les questions soulevées par les institutions financières auprès des AES27 n’ont pu apporter les éléments de clarification nécessaires28. Par exemple, concernant le point relatif aux « niveaux d’assurance » mentionné ci-dessus, deux questions ont été posées à l’autorité européenne de supervision du secteur assurantiel. Ces deux questions ont été rejetées et aucune réponse n’a été apportée à ce jour.

DORA s’ajoute à un millefeuille réglementaire existant, ce qui constitue une source de complexité supplémentaire pour les institutions financières29.

En matière contractuelle, se pose plus particulièrement la question de l’articulation de DORA avec les Orientations et l’Arrêté. L’absence de clarification sur ce point de la part du régulateur a amené les institutions financières à opérer des choix pour préparer leur documentation contractuelle avec leurs prestataires.

Certaines institutions financières ont fait le choix de se doter à la fois (i) de clausiers (FCI/non FCI) couvrants DORA et les Orientations/l’Arrêté (lorsque le service concerné est à la fois une externalisation au sens des Orientations et de l’Arrêté et un service entrant dans le champ de DORA) et (ii) de clausiers (FCI/non FCI) ne contenant que les obligations prévues par DORA (pour le cas où le service confié entre dans le champ de DORA mais ne constitue pas une externalisation au sens des Orientations et de l’Arrêté). D’autres établissements ont privilégié un seul lot de clausiers (FCI/non FCI), qui sera utilisé pour tous les services TIC confiés à un prestataire tiers, qu’il s’agisse ou non d’une externalisation au sens des Orientations et de l’Arrêté. Quel que soit le choix opéré, l’articulation de ces différents textes pose un certain nombre de questions, en particulier d’un point de vue pratique.

Par ailleurs, les institutions financières se sont interrogées sur la nécessité de disposer de plusieurs registres d’information et de devoir les communiquer aux autorités à des temporalités différentes, notamment :

– un registre d’information permettant de se conformer aux Orientations et/ou à l’Arrêté (e.g., lorsque le service confié au prestataire est externalisé mais ne constitue pas un service TIC) ;

– un registre d’information complet (sur base individuelle et/ou sous-consolidée/consolidée) permettant de se conformer à DORA ; et

– un registre d’information simplifié (sur base individuelle et/ou sous-consolidée/consolidée) permettant de se conformer à DORA.

Enfin, la date de première communication du registre « complet » n’a pas encore été fixée et ne devrait pas pouvoir l’être tant que la Commission européenne n’aura pas adopté les ITS relatifs aux registres30.

Certaines obligations seront difficiles à mettre en œuvre. On peut citer par exemple les exigences très strictes de surveillance des sous-traitants qui fournissent des services TIC soutenant des FCI31. Même si les obligations des institutions financières en la matière ont été réduites à la suite de leur opposition au régime initialement prévu, les règles applicables dans cette hypothèse restent néanmoins contraignantes32.

Cela a amené les AES à indiquer : « The choice to use subcontracted services supporting its critical or important functions is a choice of the financial entity for which it should bear responsibility33. »

La supervision des sous-traitants est complexe à mettre en œuvre, en particulier car les institutions financières n’ont pas de relation contractuelle directe avec ces sous-traitants. Or ceux-ci peuvent être nombreux dans la chaîne de sous-traitance. On peut donc se demander si certaines institutions financières ne préféreront pas réinternaliser certains services TIC plutôt que de mobiliser des ressources importantes pour se conformer à ces obligations34. La question se posera d’autant plus si les prestataires décident d’augmenter leurs tarifs afin de répercuter les coûts de leur mise en conformité avec les dispositions de DORA.

Les contrôles des régulateurs (notamment de l’ACPR et de la BCE) en lien avec l’externalisation se sont intensifiés ces dernières années. Les griefs très précis soulevés lors des procédures disciplinaires témoignent de l’attention toute particulière accordée à ce sujet. On peut anticiper que cette attention sera également portée sur le recours à des prestataires tiers de services TIC. Par ailleurs, les publications des régulateurs en lien avec DORA ou des sujets connexes35 ainsi que les réunions de place se multiplient, et témoignent de l’importance du sujet. Si une période de tolérance durant la première partie de l’année 2025 a été annoncée par certains régulateurs, bien conscients des difficultés pour les entités financières36, il convient de rappeler que, d’un point de vue strictement juridique, DORA est un règlement directement applicable dans tous les États membres.

La finalisation de la mise en conformité avec DORA est d’autant plus nécessaire que les institutions financières, mais aussi les régulateurs, doivent également se préparer à l’entrée en application de l’IA Act37, dont les effets seront principalement déployés à compter de la seconde moitié de l’année 2026. n

À retrouver dans la revue
Banque et Droit NºHS-2025-1
Notes :
1 « La vie est comme un livre, chaque jour une nouvelle page, chaque chapitre une épreuve », Cicéron.
2 Afin de distinguer :
– parmi les contrats d’externalisation, ceux portant sur des services liés à l’utilisation des technologies de l’information et de la communication (TIC) (qui pourraient rester soumis aux orientations de l’Autorité bancaire européenne sur l’externalisation (« Orientations ») et le cas échéant à l’arrêté du 3 novembre 2014 sur le contrôle interne (« Arrêté ») et être, en plus, soumis à DORA) et ceux ne portant pas sur des services TIC (qui resteront soumis aux Orientations mais ne seront pas soumis à DORA) ;
– parmi les contrats qui ne constituent pas une externalisation, ceux portant sur des services TIC (qui ne sont pas actuellement soumis aux Orientations et à l’Arrêté mais qui seront soumis à DORA) et ceux ne portant pas sur des services TIC (qui ne sont/seront soumis ni aux Orientations et à l’Arrêté ni à DORA).
3 La liste des institutions financières concernées par DORA est prévue par son article 2. Il s’agit, notamment, des établissements de crédit, des établissements de paiement et de monnaie électronique, des entreprises d’investissement, des dépositaires centraux de titres mais également des prestataires de services sur crypto-actifs, de certains intermédiaires d’assurance ou encore des prestataires de services de communication de données et des prestataires de services d’information sur les comptes.
4 I.e., les intermédiaires en opérations de banque et en services de paiement.
5 I.e., les conseillers en investissements financiers.
6 La Directive 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union. Sur les « textes gigognes » dont font partie DORA et NIS II, voir notamment Emmanuel Jouffin, « DORA, le texte de référence en matière de cyber-résilience des entités financières », Banque et Droit n° 207, janvier 2023.
7 La directive NIS II devait être transposée avant le 17 octobre 2024.
8 Cet article a été rédigé en octobre 2024.
9 Dans son avis relatif au projet de loi, le Conseil d’État a indiqué que l’extension du champ d’application de DORA aux sociétés de financement « se justifie au regard de l’objectif poursuivi, dans la mesure où ces sociétés sont confrontées aux mêmes risques en matière de sécurité des systèmes d’information. De plus, cette application [...] apparaît cohérente avec les choix déjà effectués en matière de règlementation prudentielle, visant à traiter ces sociétés de la même manière que les établissements de crédit, bien qu’elles soient souvent de taille inférieure. »
10 Le nouveau projet prévoit effectivement de donner plus de temps aux sociétés de financement de « petite taille et non complexes » pour se mettre en conformité avec DORA.
11 Notamment, l’éventuelle application aux petites sociétés de financement d’un régime simplifié (comme cela est le cas pour les petites entreprises d’investissement) ne semble pas encore avoir été abordé.
12 Par exemple, le Règlement délégué 2024/1774 complétant DORA par des normes techniques de règlementation précisant les outils, méthodes, processus et politiques de gestion du risque lié aux TIC et le cadre simplifié de gestion du risque lié aux TIC ainsi que le Règlement délégué 2024/1773 complétant DORA par des normes techniques de règlementation précisant le contenu détaillé de la politique relative aux accords contractuels sur l’utilisation de services TIC soutenant des fonctions critiques ou importantes fournis par des prestataires tiers de services TIC n’ont été publiés au Journal Officiel de l’UE que le 25 juin 2024.
13 Cela est le cas, par exemple, des RTS relatifs à la sous-traitance ainsi que des RTS relatifs aux tests de pénétration fondés sur la menace. Ces textes, qui n’ont été finalisés qu’en juillet 2024 (soit six mois avant l’entrée en application de DORA), n’ont pas encore été adoptés par la Commission européenne alors même qu’ils ont des impacts très importants sur les aspects contractuels.
14 Par exemple, l’ITS sur le registre a été rejeté par la Commission et des discussions supplémentaires vont être nécessaires pour permettre son adoption.
15 Alors même qu’une première analyse d’écarts avait déjà été effectuée pour identifier les différences entre les Orientations, l’Arrêté et DORA, une seconde a dû être réalisée afin d’identifier les apports précis des RTS/ITS.
16 En cours d’élaboration par le groupe d’experts constitué par la Commission.
17 Certaines institutions financières (notamment les plus petites) sont par ailleurs dans l’attente de la communication éventuelle d’un clausier qui leur serait imposé par les principaux prestataires (comme cela avait été le cas pour la mise en conformité des contrats avec les Orientations).
18 Voir Grant Thornton, Enquête 2024 DORA, Vers une cyber résilience globalisée, Clotilde Marchetti, 4 avril 2024.
19 Le Règlement 2023/1114 du 31 mai 2023 sur les marchés de crypto-actifs.
20 Le Règlement 2020/1503 du 7 octobre 2020 relatif aux prestataires européens de services de financement participatif pour les entrepreneurs.
21 Cf. la réunion de place sur DORA qui s’est tenue le 9 octobre 2024.
22 Les incertitudes ne portent d’ailleurs pas que sur l’aspect contractuel des obligations prévues par DORA, mais également sur les exigences organisationnelles (e.g., mesures de prévention et de gestion des conflits d’intérêts, exigences et modalités pratiques de formation du personnel des institutions financières, des dirigeants et du personnel des prestataires, etc.).
23 Article 30, 3 (e) de DORA.
24 Article 30, 3 (i) de DORA.
25 Article 28, 7 (b) de DORA.
26 Article 28, 7 (c) de DORA.
27 Les autorités européennes de surveillance (AES) sont (i) l’Autorité bancaire européenne, (ii) l’Autorité européenne des assurances et des pensions professionnelles et (iii) l’Autorité européenne des marchés financiers.
28 Pour l’instant, nous avons pu relever que les AES rejettent de nombreuses questions qui leurs sont posées dans le cadre des « Q&A ». Par exemple, dans le « Register of the Joint Q&As » qui regroupe les questions posées aux AES, nous relevons que, pour DORA, sur 102 questions, 45 ont été rejetées, 6 ont eu une réponse, 2 ont été supprimées et 49 sont encore en cours de revue.
29 Nous ne disposons pas d’informations précises quant à une modification éventuelle par l’ABE des Orientations pour prendre en compte les nouvelles obligations prévues par DORA. Il semble qu’une lettre d’intention ait été transmise par la BCE aux établissements de crédit les plus importants afin de leur indiquer qu’ils n’auront pas à produire les registres dus au titre des Orientations pour l’année 2025 concernant les services TIC fournis par un prestataire tiers (c’est ce qui a été indiqué lors de la réunion de place sur la mise en œuvre de DORA qui a été organisée le 9 octobre 2024 par l’ACPR).
30 Voir ESAs, FAQ, DORA 2024 Dry Run exercise on reporting of registers of information, (page 8): « The timeline for the first reporting also depends on the timeline for the adoption by the EU Commission and the publication in the EU Official Journal of the Implementing Regulation on the registers of information. »
31 Par exemple, les institutions financières vont devoir identifier les sous-traitants fournissant des services TIC soutenant des FCI et les référencer dans leur(s) registres(s), surveiller la fourniture du service TIC tout au long de la chaîne de sous-traitance, s’assurer que leur prestataire est lui-même en capacité de superviser ses sous-traitants efficacement, etc.
32 Initialement, le projet de RTS prévoyait que les institutions financières devaient superviser l’intégralité de la chaîne de sous-traitance d’une FCI. Cette rédaction a fait l’objet d’oppositions majeures de la part des institutions financières, notamment exprimées dans les réponses à la consultation menée par les AES sur le projet de RTS relatif à la sous-traitance (voir par exemple Final report on draft RTS on subcontracting, 26 juillet 2024, page 47 : « A majority of respondents consider that monitoring the entire ICT subcontracting chain by FE imposes an unreasonable a disproportionate burden on financial entities and ICT providers. Several respondents consider that it is impractical to expect a FE to directly assess and manage every risk across each element of the supply chain without application of the principle of proportionality, and stress that dispositions should reflect the intention in the DORA legislative text for a proportionate approach to ICT third-party risk management. Several respondents stress that review of contractual documentation would consume lot of time and resources of the outsourcer/financial entity ».)
33 Final report on draft RTS on subcontracting, 26 juillet 2024, page 47.
34 On peut par ailleurs se demander si cela n’était pas l’un des objectifs (politique) de DORA.
35 La BCE a par exemple publié (i) un guide relatif à l’externalisation à des prestataires tiers de services cloud et (ii) les priorités prudentielles pour 2024-2026 dans laquelle elle explique ses attentes en lien avec les TIC à l’égard des membres exécutifs et non exécutifs des entités qu’elle supervise.
En France, l’ACPR a notamment publié le résultat de son enquête sur l’externalisation des activités critiques ou importantes par les assureurs ainsi qu’une étude relative au développement des big techs dans le secteur financier afin d’analyser les risques et réponses règlementaires. L’AMF a quant à elle publié la synthèse de ses contrôles SPOT relatifs au dispositif de cybersécurité des sociétés de gestion de portefeuille.
36 Voir notamment le propos des représentants de l’ACPR durant la conférence organisée par PWC, « DORA : quels sont les leviers clés pour faciliter et accélérer votre mise en conformité ? », 12 mars 2024. À titre de comparaison, lorsque les Orientations ont été publiées :
– durant les deux premières années, les régulateurs ont effectué de la pédagogie afin d’expliquer comment appliquer ces Orientations ;
– durant la troisième année, les régulateurs ont accompagné les acteurs dans leur mise en conformité et ont formulé des bonnes et mauvaises pratiques ; et
– la quatrième année, les régulateurs ont déclenché des contrôles (tant au niveau de la BCE que de l’ACPR).
Même s’il peut être anticipé que ce temps sera plus court s’agissant de DORA (notamment au regard de la force juridique d’un règlement, de l’importance du sujet et du fait que la pédagogie a déjà commencé), une période de tolérance de plusieurs mois de la part des régulateurs semble nécessaire.
37 Le Règlement 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle. Voir notamment : ACPR, « Intelligence artificielle : quel impact à l’ACPR ? », Revue de l’ACPR, juillet 2024 : « L’ACPR doit donc se préparer à exercer ces nouvelles missions, rendues nécessaires par l’accroissement de l’usage de l’IA dans le secteur financier. Or, contrôler efficacement les systèmes d’IA suppose, en premier lieu, d’acquérir une bonne maîtrise de la technologie. En plus de se doter des compétences adaptées, l’ACPR aura besoin de développer une méthodologie ad-hoc pour l’audit des systèmes d’IA. [...] En second lieu, l’ACPR doit communiquer sur ses attentes et exigences auprès du secteur financier. »