Espace Banque & Droit

La supervision des prestataires tiers critiques de services TIC au titre de DORA : cadre réglementaire et premiers enseignements

Créé le

30.03.2026

-

Mis à jour le

21.04.2026

Cet article rappelle les contours du cadre de supervision auquel sont désormais assujettis les prestataires informatiques critiques fournissant des services aux entités financières de l’Union européenne et apporte un aperçu des premiers enseignements pratiques.

La supervision des prestataires tiers critiques de services TIC au titre de DORA : cadre réglementaire et premiers enseignements
Camille Hervé
  • Avocate Spitz Poulle Kannan
Jean-Baptiste Poulle
  • Avocat Spitz Poulle Kannan

Le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 relatif à la résilience opérationnelle numérique du secteur financier (DORA) instaure un régime spécifique de supervision, par les autorités européennes de surveillance (AES), des prestataires de services TIC1 considérés comme critiques pour la stabilité du secteur financier : les prestataires tiers critiques (Critical Third-Party Providers – CTPP).

C’est la première fois que les AES sont chargées de la supervision d’entités non financières et les enjeux sont importants. Ce cadre de supervision constitue en effet un élément central du dispositif prévu par DORA pour répondre aux risques soulevés par la dépendance des entités financières à l’égard de leurs prestataires tiers de services TIC.

Cet article rappelle les objectifs poursuivis par DORA concernant la supervision des CTPP (I), le calendrier (II) et les contours principaux du cadre de supervision (III). Il propose ensuite un aperçu des premiers enseignements tirés de la mise en œuvre du régime de supervision, à la suite de la publication de la liste des CTPP le 18 novembre 2025 (IV).

Répondre aux risques liés à la dépendance des entités financières aux CTPP. Les entités financières de l’UE sont très dépendantes d’un nombre restreint de prestataires tiers de services TIC, à tel point que des auteurs ont pu évoquer une « hyper-dépendance »2.

Cette concentration concerne notamment des services essentiels à leurs activités tels que le cloud et certains logiciels spécialisés3 fournis par quelques acteurs dont le centre de gravité est situé, pour la plupart, en dehors de l’UE (e.g., Amazon Web Services, Microsoft ou Google Cloud)4.

Dans ce contexte, le rapport de force entre les entités financières et leurs prestataires tiers a progressivement évolué en faveur de ces prestataires informatiques, faisant apparaître un déséquilibre.

Certes, plusieurs textes sectoriels de niveau 15, de niveau 26 et de niveau 37 encadrent déjà les relations entre les entités financières et les prestataires de services TIC. Toutefois, ces dispositifs reposent essentiellement sur des obligations pesant sur les seules entités financières et leur mise en œuvre peut s’avérer, dans certaines situations, délicate en pratique8. Les régulateurs ont notamment observé que les entités financières n’assurent pas toujours un contrôle approprié de leurs prestataires tiers car elles se heurtent parfois à des difficultés pour accéder à toutes les informations relatives aux fonctions et activités sous-traitées9.

Répondre au risque de crise systémique. Malgré les réformes engagées à la suite de la crise financière de 2008, ayant conduit à l’instauration d’un cadre prudentiel solide, la Commission européenne a reconnu que la résilience opérationnelle numérique avait été reléguée au second plan de l’agenda réglementaire alors même que la mauvaise gestion des risques liés aux prestataires informatiques est susceptible de compromettre la stabilité financière et l’intégrité du secteur financier européen. En particulier, il a été relevé qu’une défaillance d’un prestataire critique pourrait engendrer une contagion, à l’échelle de l’UE10, susceptible de paralyser la fourniture de services financiers.

Au cours des dernières années, les services fournis par les entités financières de l’UE ont d’ailleurs été significativement perturbés à plusieurs reprises, notamment en raison de défaillances affectant leurs prestataires tiers de services TIC. On peut citer la panne informatique mondiale du 19 juillet 2024 impliquant CrowdStrike et Microsoft11, ou encore l’incident survenu en octobre 2025 et affectant les services d’Amazon Web Services12.

Dans ce contexte, DORA prévoit de soumettre les prestataires tiers de services TIC critiques à la supervision directe de l’une des AES. Le CTPP désigné relève ainsi de la supervision d’un superviseur principal (lead overseer) qui est soit l’Autorité bancaire européenne (EBA), soit l’Autorité européenne des marchés financiers (ESMA), soit l’Autorité européenne des assurances et des pensions professionnelles (EIOPA) selon le secteur dans lequel l’importance du prestataire est la plus significative (i. e., bancaire, financier ou assurantiel)13.

La procédure de désignation. La première liste des CTPP a été publiée le 18 novembre 2025. Elle contient 19 noms, principalement de grands acteurs mondiaux tels qu’Amazon Web Services, Microsoft, Bloomberg ou encore IBM.

Sur les 19 acteurs désignés, neuf sont américains14, deux sont asiatiques15 et deux sont britanniques16. Six acteurs européens17 figurent également sur cette liste. Chaque CTPP s’est vu attribuer un superviseur principal.

Les premiers échanges entre les CTPP et les AES ont débuté à l’été 2025 :

– fin juillet 2025, les prestataires concernés ont reçu une lettre de notification exposant l’analyse préliminaire des AES au regard des différents critères de désignation prévus par DORA ;

– ces prestataires ont, ensuite, été invités à présenter leurs observations dans un reasoned statement afin de leur permettre de discuter (voire contester), le cas échéant, l’analyse préliminaire des AES ; et

– à l’issue de l’examen de ces observations, les AES ont communiqué leur analyse finale ainsi que, le cas échéant, leur décision de désignation en tant que CTPP et l’identité du superviseur principal. Ces décisions ont été notifiées aux CTPP en novembre 2025, peu avant la publication officielle de la liste.

À la suite de cette désignation, les CTPP ont reçu une welcome letter de leur superviseur principal les informant du lancement des activités de supervision pour l’année 202618.

Les premiers mois de supervision. La welcome letter adressée aux CTPP contient un plan de supervision pour l’année 2026 ainsi qu’un calendrier. Les premiers mois de la supervision ont principalement été consacrés à une phase de « découverte » entre les prestataires désignés et les AES. Cette phase a notamment permis au superviseur principal d’acquérir une compréhension détaillée du modèle opérationnel de chaque CTPP, de son organisation et des services fournis aux entités financières. Celle-ci a précédé le lancement d’ateliers thématiques et de réunions techniques (deep dives), destinés à permettre une revue plus approfondie des activités et du dispositif de gestion des risques du CTPP.

Afin de garantir un contrôle effectif des prestataires quel que soit le lieu de leur siège social, les CTPP établis dans un pays tiers doivent établir une filiale dans l’UE dans un délai de douze mois à compter de leur désignation s’ils souhaitent continuer à fournir des services TIC aux entités financières européennes19. Les AES veilleront à ce que l’entité filiale présente un niveau minimal de substance (i. e., il ne devra pas s’agir d’une « coquille vide » ou d’une « société boîte aux lettres »).

Les AES attendent notamment que la filiale soit en mesure de fournir les informations pertinentes relatives aux services rendus aux entités financières, que les interlocuteurs désignés disposent de l’expertise nécessaire pour dialoguer avec le superviseur principal et que les locaux puissent accueillir, le cas échéant, leurs agents pour les besoins de contrôles sur place20. Il convient toutefois de noter que DORA n’impose pas aux CTPP de fournir leurs services TIC depuis l’UE21. Par ailleurs, la conduite d’inspections dans des pays tiers demeure subordonnée à l’accord du CTPP concerné et la non-objection de l’autorité nationale compétente22.

Le financement de la supervision par les CTPP. La mise en œuvre du dispositif de supervision s’accompagne également de la mise en place d’un mécanisme de financement. En effet, la supervision des CTPP par les AES est intégralement financée par les CTPP eux-mêmes23.

Le montant total des redevances de supervision est déterminé sur la base d’une estimation annuelle des coûts supportés par les AES pour la mise en œuvre du dispositif. Afin de répartir ces coûts entre les prestataires concernés, chaque CTPP doit communiquer à son superviseur principal son chiffre d’affaires lié à la fourniture de services TIC aux entités financières de l’UE24.

Pour les redevances de l’année 2026, chaque CTPP a dû transmettre son chiffre d’affaires de référence fin 2025 et payer la redevance calculée sur cette base au plus tard le 30 avril 2026. À titre transitoire, pour l’année 2025, le montant de la redevance a toutefois été réparti de manière égale entre les CTPP afin de couvrir les frais engagés par les AES dans le cadre de la procédure de désignation.

Les obligations des CTPP interprétées au regard des pouvoirs de supervision des AES. Le rôle du superviseur principal consiste à évaluer si chaque CTPP a mis en place un dispositif robuste, complet et efficace pour gérer le risque lié aux TIC qu’il est susceptible de faire peser sur les entités financières. Cette évaluation porte principalement sur les services TIC soutenant les fonctions critiques ou importantes (FCI) de ces entités, mais elle peut être étendue, si nécessaire, aux services TIC ne soutenant pas des FCI25.

DORA énumère ainsi les missions du superviseur principal et précise les informations qu’il peut exiger26. Sur ce seul fondement, les CTPP ont dû effectuer une analyse précise afin d’anticiper les conséquences de ces pouvoirs sur leur gouvernance, leur cadre de gestion des risques liés aux TIC (e.g., leur politique de gestion des risques, leurs plans de réponse et de rétablissement des TIC, etc.) ou encore la sécurité et la qualité des services TIC fournis aux entités financières (e.g., en termes de disponibilité, d’extensibilité, de continuité, de capacité à maintenir des normes élevées de disponibilité, authenticité, intégrité ou confidentialité des données, de gestion de leur chaîne de sous-traitance, etc.).

On peut anticiper que le superviseur principal sera attentif à ce que les entités financières puissent exercer efficacement leurs droits de résiliation (e.g., grâce à la portabilité des données et des applications et aux mécanismes d’interopérabilité du CTPP) et que les CTPP puissent démontrer la qualité de leur dispositif de sécurité physique des TIC (e.g., la sécurité des locaux, des installations ou encore des centres de données), de leur dispositif de gestion des incidents liés aux TIC (e.g., leur détection, suivi, notification aux entités financières et résolution) et de leurs dispositifs de tests et audits des TIC.

Les pouvoirs de sanction du superviseur principal. DORA confère aux AES les moyens nécessaires à la supervision effective des CTPP27. Le superviseur principal d’un CTPP peut ainsi solliciter la communication de toute information qu’il estime pertinente, diligenter des enquêtes générales ou encore procéder à des inspections sur pièces ou sur place.

L’exercice de ces prérogatives peut conduire le superviseur principal à formuler des recommandations contraignantes, qui viseront à imposer la mise en œuvre de mesures correctives destinées à remédier aux insuffisances ou aux risques identifiés.

Enfin, le superviseur principal pourra prononcer des astreintes visant à contraindre le CTPP à se conformer aux recommandations émises.

La phase de désignation des CTPP. La désignation des CTPP a été effectuée à l’issue d’une évaluation tenant compte de critères listés dans DORA28, dont les sous-critères ont été précisés dans un règlement délégué29.

Lorsque les AES ont appliqué les critères de désignation, l’approche suivante a été suivie :

– elles ont évalué si le prestataire remplissait tous les sous-critères de « l’étape 1 » (i. e., des critères quantitatifs) ; et

– elles ont soumis les prestataires qui remplissent tous les sous-critères « étape 1 » à une évaluation à l’aune des sous-critères « étape 2 » (i. e., des critères qualitatifs).

Les prestataires remplissant tous les sous-critères « étape 1 » et pour lequel l’évaluation réalisée au regard des sous-critères « étape 2 » a donné un « résultat positif » ont été désignés en tant que CTPP.

Les critères qui ont été pris en compte sont les suivants :

– l’effet systémique du prestataire sur la stabilité, la continuité ou la qualité de la fourniture de services financiers (i. e., les conséquences qu’aurait une défaillance opérationnelle à grande échelle du prestataire compte tenu du nombre d’entités financières et de la valeur totale des actifs des entités financières auxquelles le prestataire fournit des services) ;

– le caractère ou l’importance systémique des entités financières qui dépendent du prestataire (e.g., a été pris en compte le nombre d’établissements d’importance systémique mondiale ou d’autres établissements d’importance systémique qui dépendent du prestataire) ;

– la criticité ou l’importance des fonctions soutenues par les services TIC fournis par le prestataire ; et

– le degré de substituabilité du prestataire. L’évaluation de la substituabilité a notamment tenu compte (i) de l’absence de réelles solutions de substitution (e.g., en raison du nombre limité de prestataires actifs sur un marché donné, de la part de marché du prestataire tiers de services TIC concerné, ou encore de la complexité ou du degré de sophistication technique des services fournis) et (ii) des difficultés liées à la migration partielle ou totale des données et des charges de travail pertinentes du prestataire vers un autre.

L’analyse de ces critères de désignation s’est quasiment exclusivement fondée sur les données renseignées dans les registres d’information transmis par les entités financières à leurs autorités lors du premier exercice de collecte (i. e., en avril-mai 2025).

En pratique, les entités financières accusant du retard dans la mise en œuvre de DORA, ces registres ont pu paraître incomplets ou mal renseignés30. Or, les CTPP n’ont pas accès aux registres des entités financières. Par conséquent, il n’était pas possible de vérifier la fiabilité des données prises en compte par les AES.

Par exemple, le degré de substituabilité du prestataire a été évalué sur la base de deux sous-critères quantitatifs : le premier mesurait la proportion d’entités financières assujetties pour lesquelles il n’existe aucun autre prestataire disposant de la capacité requise pour fournir des services TIC équivalents et, le second, mesurait la proportion d’entités pour lesquelles une substitution serait extrêmement difficile en pratique.

Or, de manière quasi systématique dans leur registre, de nombreuses entités financières ont indiqué que les prestations fournies étaient « extrêmement difficilement substituables » et les AES n’ont pas nécessairement effectué d’analyse du marché pour déterminer si la substituabilité était réellement « extrêmement difficile ».

Dans ce contexte, des recours de la part de certains prestataires contre la décision les ayant désignés comme CTPP ne peuvent pas être exclus.

La mise en œuvre des obligations organisationnelles. Les CTPP doivent mobiliser leurs équipes internes (e.g., équipes juridiques, opérationnelles, etc.) afin de cartographier les documents existants (e.g., politiques, procédures, plans, etc.) puis réaliser une analyse d’écarts précise entre les pratiques existantes et les attentes anticipées du superviseur principal.

Il convient de souligner que les CTPP ne sont pas, par nature, des acteurs financiers et n’ont donc pas l’habitude d’être soumis à la supervision directe d’une autorité publique ni de transmettre des informations sensibles à un régulateur31.

Les négociations contractuelles. L’un des objectifs de la supervision des CTPP est de rééquilibrer les relations entre les entités financières et leurs prestataires.

Les AES devraient prêter une attention toute particulière à la conformité des contrats aux exigences prévues par DORA et ses nombreux règlements délégués (non seulement les contrats conclus entre les CTPP et les entités financières, mais aussi ceux conclus par les CTPP avec leurs sous-traitants importants). C’est pourquoi la documentation contractuelle devrait faire l’objet de l’un des premiers ateliers thématiques organisés par le superviseur principal.

La supervision par les AES des CTPP devrait en principe faciliter les négociations avec les entités financières. En effet, on peut anticiper que les AES auront connaissance, le cas échéant, des difficultés de contractualisation des entités financières.

Pour l’instant, on peut observer que les négociations de ces contrats demeurent parfois difficiles, en particulier :

– les contrats entre les entités financières et les CTPP et notamment les clauses d’audit, de résiliation, de réversibilité ou encore de recours à des sous-traitants, font l’objet de longues négociations32 ; et

– certains sous-traitants qui sont par ailleurs CTPP sont réticents à conclure des contrats conformes au règlement délégué (UE) 2025/532 sur la sous-traitance.

L’ACPR a d’ailleurs invité les entités financières à signaler les difficultés rencontrées à leur contrôleur et, si le prestataire concerné a été qualifié de CTPP, à les porter directement à l’attention des AES33.

Dans ce contexte, les publications des AES à l’issue de la première année de supervision seront particulièrement attendues. Enfin, on peut se demander si certains CTPP prendront l’initiative de contester leur désignation et si la liste des CTPP évoluera en 2027. n

À retrouver dans la revue
Banque et Droit Nº226
Notes :
1 Technologies de l’information et de la communication.
2 Bertrand Bréhier, « Un riche panorama 2024 des évolutions législatives, réglementaires et judiciaires », Revue Banque n° 899-900, 23 décembre 2024.
3 Voir notamment les constats dressés par la Commission européenne dans le rapport d’analyse d’impact accompagnant la proposition du règlement DORA. Par exemple, il a été constaté que toutes les banques européennes de premier rang font appel aux services d’Amazon, de Microsoft ou de Google.
4 Les enjeux liés au marché oligopolistique du cloud bancaire ainsi qu’aux relations avec les pays tiers ont notamment été analysés par le Haut Comité Juridique de la Place Financière de Paris dans le rapport sur le cloud bancaire publié en mai 2021.
5 Voir par exemple l’article 49 de la directive 2009/138/CE sur l’accès aux activités de l’assurance et de la réassurance et de leur exercice (Solvabilité 2) ainsi que les articles 19 et 20 de la directive (UE) 2015/2366 concernant les services de paiement (DSP 2).
6 Voir par exemple l’article 274 du règlement délégué (UE) 2015/35 complétant Solvabilité 2 et les articles 30 et suivants du règlement délégué (UE) 2017/565 complétant la directive 2014/65/UE (MiFID 2) en ce qui concerne les exigences organisationnelles et les conditions d’exercice applicables aux entreprises d’investissement.
7 Voir par exemple les orientations relatives à l’externalisation du 25 février 2019 (EBA/GL/2019/02) ou encore les orientations relatives à la sous-traitance à des prestataires de services en nuage (EIOPA-BoS-20-002 – supprimées à la suite de l’entrée en application de DORA).
8 Marc Andries et Noémie Dentu, « L’approche des superviseurs concernant le cloud computing », Banque et Droit n° HS-1-2021, 10 février 2021. Les propos de Marc Andries, alors chargé du risque informatique au sein de l’autorité de contrôle prudentiel et de résolution (ACPR) et désormais directeur de la supervision des CTPP attestent que les régulateurs étaient conscients de ces difficultés depuis plusieurs années.
9 ACPR, « Externalisation : l’ACPR rappelle les parties prenantes au respect de leurs obligations », communiqué de presse du 22 juillet 2021.
10 Voir notamment l’analyse et les constats de la Commission européenne dans la proposition du règlement DORA et dans le rapport d’analyse d’impact accompagnant la proposition du règlement DORA.
11 Aurélie Abadie, « La résilience des banques au risque cyber reste un motif d’inquiétude », Agefi, 28 juillet 2024.
12 Capucine Cousin, « Une panne du cloud d’Amazon a paralysé de nombreux services numériques dans le monde », Agefi, 20 octobre 2025.
13 Voir l’article 31(1) de DORA.
14 Il s’agit par exemple d’AWS, de Bloomberg L.P., de Google Cloud, d’IBM, de Microsoft et d’Oracle Corporation.
15 Il s’agit de NTT Data Inc. et de Tata Consultancy Services.
16 Il s’agit de Colt Technology Services et de LSEG Data and Risk Limited.
17 Il s’agit par exemple de Capgemini SE et Deutsche Telekom AG.
18 Les prestataires ont pu répondre à cette lettre afin d’attirer l’attention de leur superviseur principal sur certains enjeux opérationnels, notamment les incidences potentielles des activités de supervision sur leurs clients qui ne sont pas des entités financières et qui ne relèvent donc pas du champ d’application de DORA.
19 Voir l’article 31(12) de DORA. Il faut néanmoins relever qu’en pratique, beaucoup d’entités originaires de pays tiers disposaient déjà de filiales dans l’UE avant même d’être désignées en tant que CTPP (e.g., Amazon Web Services EMEA Sarl, Google Cloud EMEA Limited, Microsoft Ireland Operations Limited, etc.).
20 Certaines de ces attentes figurent dans le guide publié par les AES (ESA, Guide on oversight activities).
21 Le considérant 82 de DORA précise expressément que « l’obligation de créer une filiale dans l’Union ne devrait pas empêcher le prestataire tiers critique de services TIC de fournir des services TIC et un appui technique connexe à partir d’installations et d’infrastructures situées en dehors de l’Union ».
22 Voir l’article 36(1) et (2) de DORA. Dans ce contexte, un Memorandum of Understanding a été signé entre les AES et les autorités britanniques le 14 janvier 2026.
23 Voir le considérant 96 et l’article 43 de DORA.
24 Les modalités de calcul et de paiement des redevances de supervision sont fixées par le règlement délégué (UE) 2024/1505 complétant DORA en déterminant le montant des redevances de supervision à percevoir par le superviseur principal auprès des prestataires tiers critiques de services TIC et les modalités de paiement de ces redevances.
25 Voir l’article 33(2) de DORA.
26 Voir les articles 33, 35 et 37 de DORA et le règlement délégué (UE) 2025/295 complétant DORA par des normes techniques de réglementation relatives à l’harmonisation des conditions permettant l’exercice des activités de supervision.
27 Voir les articles 35 à 39 de DORA.
28 Voir l’article 31(2) de DORA.
29 Il s’agit du règlement délégué (UE) 2024/1502 complétant DORA par la définition des critères de désignation de prestataires tiers de services TIC comme critiques pour les entités financières.
30 En ce sens, voir par exemple les constats de l’ACPR dressés dans son webinaire dédié à DORA (organisé le 23 janvier 2026) ou encore la réunion de place sur les entreprises d’investissement (organisée le 17 février 2026).
31 À l’exception de ceux qui sont par ailleurs soumis à une supervision en application d’une autre règlementation sectorielle (e.g., la directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union).
32 Certaines obligations contractuelles sont très exigeantes et certains prestataires tiers pourraient ne pas être suffisamment préparés pour que leurs services soient, en pratique, « conformes » à DORA (e.g., s’agissant du stockage des données non personnelles, de l’identification des sous-traitants, des plans de réversibilité, etc.).
33 Voir la FAQ publiée par l’ACPR à la suite de son webinaire du 23 janvier 2026.