Ce registre, transmis annuellement aux autorités nationales, puis aux superviseurs européens, recense de manière exhaustive les accords conclus avec les fournisseurs de services informatiques, y compris intragroupe, soutenant potentiellement des fonctions critiques ou importantes de l’entreprise. Pour simplifier, il correspond à un gros tableur Excel réunissant environ 100 champs de données renseignés par contrat et répartis en quinze tableaux standardisés, qu’il faut transformer dans un format de reporting bancaire standard tel que défini par les superviseurs (XBRL-CSV).
Après un premier exercice de constitution du registre en 2024-2025 (y compris un dry run c’est-à-dire un test organisé par les autorités en 2024), les établissements financiers ont dû, pour beaucoup, courir un véritable sprint au printemps 2025 afin de soumettre leur registre d’information initial.
Comme l’a souligné Frédéric Hervo, secrétaire général adjoint de l’Autorité de contrôle prudentiel et de résolution (ACPR), , « cette première collecte de registres d’information a été difficile », car plus de 40 % des registres d’information transmis en 2025 n’ont pas pu être exploités au niveau européen. Désormais, un nouveau registre à jour doit être soumis d’ici fin mars 2026, dans le cadre de la collecte annuelle prévue par l’article 28 du règlement.
Les priorités du deuxième round
Comment les entités financières peuvent-elles aborder ce deuxième round de façon plus sereine et plus efficace et inscrire durablement cette obligation dans le fonctionnement courant de la gestion des risques tiers (TPRM) ? Voici les trois points clés à mettre en œuvre.
1. Fiabiliser le registre existant, soit consolider la base
La priorité est de pouvoir se reposer sur des fondations saines. Le registre d’information soumis l’année dernière, souvent dans l’urgence, doit être fiabilisé avant de servir de base à la version 2026. Cette étape de revue qualitative comporte schématiquement trois volets.
Le premier consiste à vérifier l’exhaustivité des données, il s’agit de s’assurer qu’aucun contrat pertinent n’a été omis et qu’aucune information obligatoire ne manque. Par exemple, le registre doit couvrir tous les accords contractuels en cours avec des prestataires TIC, y compris les sous-traitances en cascade et les prestations intragroupe, même si certaines ne concernent pas des fonctions critiques.
Le deuxième volet vise à contrôler la qualité et la cohérence des informations. Il ne suffit pas que les données soient présentes, encore faut-il qu’elles soient justes, exactes et cohérentes. Il est recommandé d’instaurer une batterie de contrôles de cohérence sur le registre 2025 afin de détecter les écarts ou anomalies éventuels.
Enfin, il s’agit de réviser les arbitrages et compléter les données manquantes. Sous la pression du délai initial, des arbitrages ont pu être faits. Par exemple, des champs non disponibles faute d’information à chaud (comme les codes d’identification LEI ou EUID de certains fournisseurs ou encore la liste des fonctions critiques ou importantes) ont parfois été remplis avec des valeurs provisoires. Ces points d’arbitrage doivent désormais être repris et corrigés.
Par ailleurs, l’intégrité globale du registre mérite une attention particulière. Il est utile de mobiliser des expertises transverses (équipe dédiée aux achats, équipes spécialisées dans les risques opérationnels, la conformité, la DSI, la RSSI) pour passer en revue le registre existant avec un œil critique.
2. Préparer le registre 2026 : anticiper les attentes du régulateur
Une fois le registre existant fiabilisé, le défi suivant est de le mettre à jour pour l’échéance du mois de mars 2026 en tenant compte tant des évolutions survenues depuis l’an dernier que des enseignements du premier exercice. Les autorités de supervision attendent cette fois un registre parfaitement au carré, transmis dans les délais et exploitable immédiatement.
Il est important de mettre en place un plan d’action avec calendrier et gouvernance interne, avec un mode opératoire clair pour la préparation du registre. Cela inclut la définition des responsabilités : qui pilote l’exercice (souvent la fonction Third Party Risk Management quand elle existe, ou un chef de projet DORA dédié) ? Qui collecte les données manquantes (référents métiers, acheteurs, owners de contrats) ? Qui consolide et vérifie (une petite task force centrale) ? Qui approuve en dernière instance ? Une gouvernance de projet doit être établie, avec des points de suivi réguliers.
Il est également possible d’outiller et d’automatiser cet exercice, si l’exercice 2025 s’est appuyé sur des fichiers Excel remplis manuellement. Il est pertinent aujourd’hui d’améliorer l’outillage. Un certain nombre d’éditeurs proposent d’ailleurs des solutions ayant déjà fait leurs preuves et qui pourraient être mises en place avec un réel bénéfice pour les banques.
Enfin, dernier conseil de préparation : ne pas sous-estimer les délais. L’expérience de 2025 l’a montré : compiler et vérifier un registre aussi détaillé prend du temps (plusieurs semaines à plein régime pour une grande banque).
3. Inscrire l’exigence dans le run : de l’exercice ponctuel à la routine durable
Ultime volet et peut-être le plus important à long terme : faire en sorte que le registre d’information cesse d’être perçu comme un projet exceptionnel pour devenir une composante intégrée des processus de gestion des risques des tiers TIC.
DORA exige des entités financières non seulement de soumettre un registre chaque année, mais aussi de le maintenir à jour en permanence. Cette obligation implique qu’à tout moment, l’établissement doit être en mesure de présenter un registre d’informations fiable, y compris en dehors des cycles annuels sur simple demande du superviseur. Pour atteindre ce niveau de préparation, la meilleure approche est d’intégrer les mises à jour du registre dans le cycle de vie fournisseur. Pour y parvenir, il est nécessaire de renforcer les processus et les outils et de les rapprocher des processus en amont. Cela passe par l’intégration avec l’outil de gestion des contrats ou des achats, des liaisons avec l’inventaire des actifs et des fournisseurs, etc. L’idéal est de disposer d’un référentiel central des tiers qui serve à la fois au suivi opérationnel (évaluation des risques, due diligences, suivi des plans d’actions, pilotage des renouvellements) et qui alimente le registre réglementaire (pour le périmètre des TIC).
L’un des leviers de pérennisation les plus efficaces reste l’automatisation. Au-delà de l’intégration dans les outils, il est possible de mettre en place des contrôles automatisés en continu et des indicateurs de qualité des données du registre. L’intelligence artificielle peut également surveiller la cohérence du registre ou même contribuer à sa complétude en remplaçant une partie de la collecte de certaines données non structurées auprès des opérationnels.
Inscrire le registre dans le run, c’est enfin changer de perspective : considérer que ce n’est plus seulement une contrainte réglementaire, mais aussi un outil utile pour l’institution elle-même. Un registre d’information tenu à jour offre une vision consolidée de l’exposition de l’entreprise à ses prestataires TIC.
Naissance d’une pratique standard
Le registre d’information DORA est en train de passer du statut de nouveauté réglementaire un peu lourde à celui de pratique standard de gestion des risques tiers. Après la course pour la mise en conformité initiale, l’année 2026 marque l’entrée dans un régime de croisière : fiabiliser ce qui a été fait, pérenniser le processus et en tirer parti pour renforcer la résilience numérique. Les entités financières ont tout intérêt à investir l’énergie nécessaire dès maintenant pour professionnaliser la gestion de ce registre. C’est aussi une opportunité d’améliorer sa propre maîtrise des risques : un registre bien tenu est un miroir de l’organisation, reflétant sa dépendance aux technologies externes. Savoir l’entretenir dans la durée contribuera à renforcer globalement la robustesse et la transparence de l’écosystème numérique financier, objectif ultime visé par le règlement DORA.
