DORA vs RGPD : périmètres et obligations comparés

On confond parfois DORA et le RGPD parce que les deux sont des règlements européens qui touchent au numérique. Ce sont pourtant deux textes aux objectifs distincts, qui s'appliquent en plus l'un de l'autre. Une entité financière relevant de DORA reste tenue au RGPD, et inversement : ni l'un ni l'autre ne dispense de respecter le second.

Comprendre cette distinction de principe évite une erreur courante, celle de croire qu'une conformité RGPD déjà en place couvre les exigences de DORA, ou que se mettre en règle avec DORA suffirait à traiter la protection des données personnelles.

Deux règlements, deux objectifs

Le RGPD, c'est le règlement (UE) 2016/679. Il protège les données personnelles : il encadre la façon dont les organisations collectent, traitent et conservent les informations relatives aux personnes physiques. Son centre de gravité est le droit des personnes sur leurs données.

DORA, c'est le règlement (UE) 2022/2554. Il vise la résilience opérationnelle numérique et la gestion du risque lié aux technologies de l'information et de la communication (TIC) dans le secteur financier. Son centre de gravité est la capacité d'une entité financière à résister, à réagir et à se rétablir face aux incidents et aux cybermenaces affectant ses systèmes.

Autrement dit, l'un protège les données des personnes, l'autre la solidité opérationnelle des systèmes financiers. Ce ne sont pas les mêmes objets.

Des périmètres distincts

Le RGPD a une portée transversale : il s'applique à toute organisation qui traite des données personnelles, quel que soit son secteur. Une PME, une association, une administration ou une banque y sont soumises dès qu'elles traitent de telles données.

DORA, à l'inverse, est un texte sectoriel. Il vise un large périmètre de catégories d'entités financières, ainsi que leurs prestataires tiers de services TIC. Une organisation hors du secteur financier n'entre pas dans le champ de DORA, mais peut tout à fait relever du RGPD.

• RGPD : objet centré sur les données personnelles, périmètre transversal à tous les secteurs.
• DORA : objet centré sur le risque TIC et la résilience opérationnelle, périmètre limité au secteur financier et à ses prestataires TIC.

Pourquoi les deux s'appliquent en même temps

Parce que leurs objets diffèrent, les deux textes peuvent peser simultanément sur une même entité, chacun pour ce qui le concerne. Pour une entité financière, traiter des données personnelles relève du RGPD, tandis que gérer le risque lié à ses systèmes et à ses prestataires TIC relève de DORA. Les obligations se cumulent : elles ne se remplacent pas.

Il faut rester prudent sur l'articulation fine entre les deux textes, car la manière dont leurs exigences se recoupent dans le détail dépend des situations et appelle, le cas échéant, une analyse propre. Ce qui est établi en revanche, et suffit à orienter une démarche de conformité, c'est le principe : les deux périmètres sont distincts et cumulatifs.

Une attention commune, des chantiers séparés

Les deux règlements partagent une attention pour la sécurité des systèmes d'information, mais ils ne l'abordent pas sous le même angle. Le RGPD s'intéresse à la sécurité des traitements comme garantie pour les personnes concernées. DORA s'intéresse à la résilience des systèmes comme condition de la stabilité opérationnelle du secteur financier.

En pratique, une entité financière a donc deux chantiers à mener de front, avec des logiques et des interlocuteurs propres. Confondre les deux conduit à des angles morts : croire qu'un registre de traitements RGPD tient lieu de registre d'information DORA, ou qu'une analyse d'impact sur les données couvre les tests de résilience opérationnelle, expose à des écarts réels.

Distinguer clairement ce que chaque texte attend est la première étape pour ne rien laisser de côté. C'est aussi le point de départ d'une mise en conformité au règlement DORA qui parte de l'écart réel, sans confondre les obligations héritées du RGPD avec celles, propres, de la résilience opérationnelle numérique.

Poursuivre la lecture

Poursuivre la lecture