Sanctions DORA : que risque-t-on en cas de non-conformité ?

Quelles sont les sanctions en cas de non-conformité avec DORA ? Le règlement (UE) 2022/2554 prévoit que des sanctions et des mesures administratives soient prononcées par les autorités compétentes, dont les modalités sont définies au niveau de chaque État membre. Mais réduire DORA à une grille de pénalités, c'est passer à côté du risque réel : pour une entité financière, le danger immédiat est moins l'amende que l'incident non maîtrisé et l'incapacité à en faire la preuve devant son superviseur.

Avant d'examiner ce que prévoit le texte, une précision de vocabulaire : DORA est un règlement (UE) 2022/2554, pas une directive, une norme ou une loi nationale. Il s'applique directement depuis le 17 janvier 2025. Cette qualification compte, car elle conditionne qui surveille et qui sanctionne.

Des sanctions définies par les autorités compétentes

Le règlement charge les autorités compétentes de disposer des pouvoirs de surveillance, d'enquête et de sanction nécessaires pour faire respecter ses obligations. Concrètement, le texte renvoie aux États membres et à leurs autorités le soin de fixer le régime des sanctions et mesures administratives applicables, ainsi que les conditions de leur mise en œuvre. Il s'agit d'un cadre, pas d'un barème uniforme avancé ici comme un chiffre.

Les mesures envisagées par ce type de cadre dépassent d'ailleurs la seule pénalité financière : injonction de cesser un comportement, demande de mise en conformité, publication de la décision, mesures correctrices. Pour connaître la nature et la portée exacte des sanctions applicables à une situation précise, il faut se reporter au texte et aux décisions des autorités compétentes, et non à une estimation.

En France : la supervision de l'ACPR et de l'AMF

En France, les autorités compétentes pour la supervision de l'application de DORA sont l'ACPR (Autorité de contrôle prudentiel et de résolution) et l'AMF (Autorité des marchés financiers), chacune sur le périmètre des entités qu'elle supervise. Par principe, l'ACPR couvre notamment les banques et les assurances, tandis que l'AMF couvre notamment les entreprises d'investissement, les sociétés de gestion et les infrastructures de marché.

Ce sont donc ces autorités qui exercent le contrôle, demandent des comptes et, le cas échéant, engagent les suites prévues par le cadre. La qualification exacte d'une entité et de l'autorité dont elle relève peut comporter des cas limites : c'est aux autorités qu'il revient de trancher, pas à une lecture rapide du périmètre.

Le vrai risque est opérationnel avant d'être financier

Se concentrer sur la sanction administrative fait oublier l'essentiel. DORA existe parce qu'un incident TIC mal géré dans le secteur financier a des conséquences directes : interruption de service, perte de données, atteinte aux clients, contagion à la chaîne de valeur. Le premier risque d'une non-conformité, c'est de subir cet incident sans dispositif de détection, de continuité et de reprise à la hauteur. La pénalité, si elle vient, arrive après le dommage déjà encaissé.

À cela s'ajoute le risque de preuve. DORA n'attend pas seulement qu'une entité réagisse à un incident, mais qu'elle démontre que sa gouvernance du risque, ses tests et sa maîtrise des prestataires tiers fonctionnent. Face à un superviseur, un cadre théorique non documenté équivaut à un défaut de preuve. Le registre d'information des accords avec les prestataires TIC, communiqué chaque année à l'autorité compétente, en est une illustration : ce qui n'est pas tenu et opposable est, en pratique, réputé absent.

Le coût réputationnel

Dans un secteur où la confiance est le fonds de commerce, l'exposition réputationnelle pèse souvent plus lourd que la mesure administrative elle-même. La publication d'une décision, la médiatisation d'un incident majeur ou un signalement aux autorités laissent une trace auprès des clients, des contreparties et des partenaires. Pour une entité financière, c'est un actif difficile à reconstituer, et que nul montant de sanction ne résume.

Anticiper plutôt que subir

La meilleure réponse à la question des sanctions n'est pas de les chiffrer, mais de réduire la probabilité d'y être exposé. Cela passe par une lecture honnête de son écart au texte, une trajectoire de remise à niveau priorisée sur les fonctions critiques, et une documentation opposable à chaque étape. C'est exactement la logique d'une démarche de mise en conformité DORA menée en amont : transformer une obligation subie en jalons maîtrisés, pour que l'incident, le contrôle et le superviseur ne trouvent jamais l'entité prise au dépourvu.

Poursuivre la lecture

Poursuivre la lecture