DORA : qui est concerné par le règlement ?

Le règlement (UE) 2022/2554, dit DORA, applicable depuis le 17 janvier 2025, ne vise pas que les banques. Son champ d'application a été volontairement dessiné large, pour couvrir un large périmètre de catégories d'entités financières et, fait nouveau, leurs prestataires tiers de services TIC. Savoir si l'on est dans le périmètre est la toute première question de conformité.

La confusion la plus répandue consiste à réduire DORA à un sujet bancaire. Le texte raisonne en réalité par chaîne de valeur numérique du secteur financier : ce qui compte n'est pas tant la taille de l'entité que sa nature et sa dépendance aux technologies de l'information et de la communication (TIC).

Un champ d'application bien au-delà des banques

DORA s'adresse à un large périmètre de catégories d'entités financières. Le règlement énumère, parmi elles, les établissements de crédit, les établissements de paiement et de monnaie électronique, les entreprises d'investissement, les gestionnaires de fonds, les entreprises d'assurance et de réassurance, les contreparties centrales, les dépositaires centraux de titres, les agences de notation ou encore les administrateurs d'indices de référence.

Cette liste, non exhaustive ici, illustre une intention claire : couvrir l'écosystème financier dans sa diversité, et pas seulement les acteurs les plus visibles. Une société de gestion, un établissement de paiement ou un assureur relèvent du même cadre, même si leurs activités et leurs modèles n'ont rien de commun avec ceux d'une banque de détail.

Les prestataires tiers de services TIC dans le périmètre

La grande nouveauté de DORA est d'étendre son regard au-delà des entités financières elles-mêmes. Le règlement vise aussi les prestataires tiers critiques de services TIC, c'est-à-dire les fournisseurs technologiques dont dépendent les acteurs financiers (hébergement, cloud, logiciels, infogérance, etc.).

Concrètement, le risque porté par un prestataire est traité comme une partie intégrante du risque TIC de l'entité financière qui l'emploie. Cela se traduit par des clauses contractuelles obligatoires, une évaluation de la criticité des prestataires, et la tenue d'un registre d'information des accords contractuels conclus avec eux, communiqué chaque année à l'autorité compétente. Les fournisseurs jugés critiques font par ailleurs l'objet d'un cadre de supervision dédié au niveau européen.

Cette extension change la logique de cartographie : être conforme suppose de connaître non seulement ses propres systèmes, mais aussi la chaîne de sous-traitance numérique sur laquelle on s'appuie.

Le principe de proportionnalité et les microentreprises

Champ large ne signifie pas exigences identiques pour tous. DORA intègre un principe de proportionnalité : les obligations s'appliquent en tenant compte de la taille, du profil de risque et de la nature des activités de chaque entité. À ce titre, les microentreprises sont exemptées de certaines exigences du règlement.

Ce principe évite d'imposer à une très petite structure le même dispositif qu'à un acteur systémique, mais il ne dispense pas de la conformité : il en module l'intensité. Le détail des seuils et des exemptions n'est pas reproduit ici et doit être lu directement dans le texte, car la qualification précise d'une entité peut dépendre de critères propres à sa catégorie.

Comment savoir si l'on est concerné

En pratique, la question se résout en deux temps. D'abord, déterminer si l'entité figure dans l'une des catégories financières visées par le règlement. Ensuite, pour les prestataires technologiques, vérifier s'ils interviennent dans la chaîne de services TIC d'acteurs financiers et à quel degré de criticité.

Les cas limites existent, et la qualification exacte d'une entité relève en dernier ressort des autorités compétentes. En France, l'ACPR supervise notamment les banques et les assurances, tandis que l'AMF supervise notamment les entreprises d'investissement, les sociétés de gestion et les infrastructures de marché. C'est vers elles, et vers le texte du règlement, qu'il faut se tourner pour trancher une situation précise.

Une fois le périmètre établi, le vrai travail commence : traduire ces obligations en jalons concrets et en preuves opposables. C'est l'objet d'une démarche de mise en conformité DORA structurée, qui part du périmètre réel de l'entité plutôt que d'une lecture générique du règlement.

Poursuivre la lecture

Poursuivre la lecture