DORA pour les assurances : conformité des assureurs

02L'essentiel

Ce qu'il faut retenir

Le secteur de l'assurance est explicitement visé par DORA. La supervision relève de l'ACPR. Les cinq piliers s'appliquent : gouvernance du risque TIC, incidents, tests, registre des prestataires TIC et partage d'informations, avec le principe de proportionnalité du règlement.

03En détail

Ce que le règlement implique ici

Les entreprises d'assurance et de réassurance font partie des catégories d'entités financières couvertes par DORA. Pour elles comme pour les autres, le règlement est d'application directe depuis le 17 janvier 2025 : il n'y a pas eu de transposition nationale à attendre, contrairement à une directive.

En France, l'ACPR est l'autorité compétente pour le secteur de l'assurance. Au niveau européen, l'EIOPA (autorité européenne des assurances et des pensions professionnelles) participe à l'élaboration des normes techniques (RTS/ITS) qui précisent les obligations du règlement.

Pour un assureur, les chantiers les plus structurants portent souvent sur le risque lié aux prestataires tiers TIC (registre d'information, clauses contractuelles, criticité) et sur la gouvernance du risque TIC, à calibrer selon la taille de l'entité et le principe de proportionnalité prévu par le texte.

Un secteur explicitement nommé dans le périmètre

Les entreprises d'assurance et de réassurance ne relèvent pas de DORA par extension ou par interprétation : elles figurent parmi les catégories d'entités financières que le règlement (UE) 2022/2554 vise nommément. Cette inclusion explicite a une conséquence pratique. Un assureur ne peut pas considérer la résilience opérationnelle numérique comme un sujet réservé aux banques ou aux acteurs de marché : il est concerné au premier chef, au même titre que les autres entités financières, depuis l'entrée en application du texte le 17 janvier 2025.

Pour un assureur, le point de départ utile est rarement le texte brut, mais l'état des dispositifs déjà en place. Les obligations prudentielles du secteur, notamment celles issues de Solvabilité II, ont déjà acculturé les organismes à la gestion des risques et au contrôle interne. La démarche de mise en conformité DORA consiste largement à relire ces dispositifs sous l'angle du risque lié aux technologies de l'information et de la communication, puis à combler les écarts plutôt qu'à repartir d'une page blanche.

Continuité des fonctions critiques : une exigence familière, un cadre renouvelé

L'activité d'assurance repose sur des chaînes de traitement qui ne tolèrent pas l'interruption prolongée : souscription, gestion des sinistres, versement des prestations, relation avec les assurés. DORA demande à l'organisme d'identifier ses fonctions critiques ou importantes, de cartographier leur dépendance aux systèmes et aux prestataires TIC, et de tenir des plans de continuité d'activité et de reprise après incident, testés et actualisés.

Cette logique de continuité n'est pas étrangère au métier : un assureur sait modéliser des scénarios défavorables. Le règlement déplace toutefois l'objet de l'analyse vers la défaillance technique et numérique, et impose de la démontrer. Plusieurs chantiers en découlent :

• cartographier les fonctions critiques ou importantes et leurs dépendances aux applications, infrastructures et prestataires TIC ;
• relier ces fonctions à des scénarios de perturbation numérique, au-delà des seuls scénarios assurantiels classiques ;
• tester périodiquement les plans de continuité et de reprise, et tracer les enseignements de ces tests.

Le dimensionnement de ces travaux dépend de la taille de l'organisme : le principe de proportionnalité prévu par le règlement allège certaines exigences pour les plus petites structures.

Supervision : l'ACPR en France, l'EIOPA au niveau européen

En France, le secteur de l'assurance est supervisé par l'ACPR au titre de DORA : c'est elle qui contrôle l'application du règlement aux organismes assureurs et qui reçoit leurs déclarations. Cette continuité avec le superviseur prudentiel habituel du secteur est un repère utile : l'interlocuteur ne change pas, le cadre s'élargit.

Au niveau européen, l'EIOPA, l'autorité européenne des assurances et des pensions professionnelles, contribue à l'élaboration des normes techniques (RTS et ITS) qui précisent les obligations du règlement pour le secteur. Il faut distinguer les deux plans : l'EIOPA participe à la fabrique des règles communes à l'échelle de l'Union, tandis que l'ACPR exerce le contrôle au quotidien sur les organismes français. Pour un assureur, suivre les travaux de l'EIOPA aide à anticiper la précision des attentes, sans déplacer la relation de supervision, qui reste nationale.

Deux obligations concrètes se traduisent par des livrables vérifiables par le superviseur. D'une part, la notification des incidents : l'organisme doit détecter, documenter et classer ses incidents liés aux TIC selon leur gravité, puis notifier les incidents majeurs à l'autorité compétente dans les délais imposés par le règlement, ce qui suppose une chaîne de remontée éprouvée. D'autre part, la maîtrise du risque lié aux prestataires tiers de services TIC, qui se matérialise par le registre d'information, communiqué à l'ACPR au moins une fois par an et souvent dispersé entre métiers chez un assureur. Notre guide du registre des prestataires TIC détaille la construction de ce livrable.

Calendrier et échéances pour un assureur

Le règlement (UE) 2022/2554 est entré en vigueur le 27 décembre 2022, vingt jours après sa publication au Journal officiel de l'Union européenne. Il est entré en application le 17 janvier 2025. Cette distinction compte pour un assureur : entre les deux dates, le secteur disposait d'une fenêtre pour mettre à niveau sa gouvernance du risque lié aux technologies de l'information et de la communication. Depuis l'application, le cadre n'est plus une cible à préparer mais une exigence opposable, contrôlée par l'ACPR.

L'échéance unique du 17 janvier 2025 ne ferme pourtant pas le calendrier réglementaire. Les normes techniques de réglementation (RTS) et les normes techniques d'exécution (ITS), élaborées sous l'égide des autorités européennes de surveillance, forment un corpus en construction qui précise progressivement les obligations du règlement : outils de gestion du risque TIC, classification et notification des incidents, conduite de la supervision. Pour le secteur de l'assurance, l'EIOPA contribue à cette fabrique des règles communes. Concrètement, un assureur conforme au 17 janvier 2025 doit maintenir une veille sur ces textes d'application et ajuster ses dispositifs à mesure qu'ils se précisent, plutôt que de considérer sa conformité comme figée. La démarche de conformité DORA se pilote ainsi dans la durée, et non comme un projet à date unique.

Détecter, classer et notifier un incident côté assureur

La gestion des incidents liés aux TIC constitue l'un des cinq piliers du règlement et l'un des plus exigeants à outiller pour un organisme assureur. Le dispositif attendu se lit comme une chaîne : détecter l'incident, le documenter, le classer selon sa gravité au regard des critères du règlement, puis notifier les incidents qualifiés de majeurs à l'autorité compétente dans les délais imposés. Chaque maillon doit pouvoir être démontré, car c'est l'ensemble de la chaîne, et non la seule survenue d'un incident, que le superviseur examine.

Chez un assureur, la difficulté tient moins à la définition qu'à la mise en œuvre transverse. Un incident affectant la souscription en ligne, la plateforme de gestion des sinistres ou le versement des prestations doit remonter vers une fonction capable de le classer et de décider de la notification, dans des délais courts. Cela suppose des prérequis tangibles :

• une définition partagée de ce qui constitue un incident majeur, alignée sur les critères du règlement et non sur une appréciation interne au cas par cas ;
• une voie de remontée identifiée, depuis l'exploitation TIC et les métiers jusqu'à la fonction qui notifie l'autorité ;
• une traçabilité documentaire permettant de reconstituer la chronologie de l'incident et la décision de classification.

Cette mécanique d'incident s'articule directement avec la continuité des fonctions critiques : un incident majeur déclenche les plans de continuité d'activité et de reprise, qui doivent eux-mêmes être testés et actualisés. Notifier et maintenir le service sont les deux faces d'un même dispositif de résilience, et le superviseur attend de pouvoir vérifier les deux.

DORA et les autres obligations de l'assureur

DORA ne se substitue à aucun cadre existant : il s'ajoute. Un organisme assureur reste tenu de ses obligations prudentielles et de protection des données, et le règlement (UE) 2022/2554 vient s'empiler sur cet ensemble sans en dispenser. Confondre les périmètres conduit à des angles morts, alors que chaque texte poursuit un objet propre.

La distinction la plus utile à poser est celle avec le RGPD. Le règlement général sur la protection des données protège les données personnelles des assurés ; DORA vise la résilience opérationnelle numérique et la maîtrise du risque lié aux technologies de l'information et de la communication. Les périmètres sont distincts et cumulatifs : se mettre en conformité DORA ne règle pas les obligations RGPD, et inversement. Pour situer les deux régimes l'un par rapport à l'autre, notre comparaison entre DORA et le RGPD détaille ce partage.

Une seconde articulation concerne NIS2. Là où DORA est un règlement d'application directe, propre au secteur financier, NIS2 est une directive à portée plus générale qui requiert une transposition nationale. Pour les entités financières dans son champ, DORA opère comme un cadre sectoriel spécialisé. La frontière exacte entre les deux régimes relève d'une analyse au cas par cas que ce contenu ne tranche pas ; notre guide DORA face à NIS2 en pose les principes pour un assureur cherchant à clarifier son exposition.

Questions fréquentes

DORA est-il un règlement ou une directive ?

DORA est un règlement européen, le règlement (UE) 2022/2554. Cette qualification a une portée pratique : un règlement s'applique directement dans tous les États membres, sans transposition nationale, contrairement à une directive comme NIS2. Les formulations « directive DORA » ou « loi DORA » sont donc impropres.

Depuis quand DORA s'applique-t-il aux assureurs ?

Le règlement est entré en vigueur le 27 décembre 2022 et est entré en application le 17 janvier 2025. Depuis cette dernière date, ses exigences sont opposables aux entreprises d'assurance et de réassurance comme aux autres entités financières de son champ.

Qui supervise l'application de DORA pour le secteur de l'assurance ?

En France, l'ACPR est l'autorité compétente pour le secteur de l'assurance. Au niveau européen, l'EIOPA, l'autorité européenne des assurances et des pensions professionnelles, contribue à l'élaboration des normes techniques qui précisent les obligations du règlement.

Les microentreprises sont-elles concernées par DORA ?

Le règlement prévoit un principe de proportionnalité : les microentreprises sont exemptées de certaines exigences. Le périmètre et les seuils précis relèvent du texte et des normes techniques ; il est prudent de vérifier sa situation au regard du règlement plutôt que de présumer une exemption générale.

04Aller plus loin

Cadrer votre conformité

Pour mesurer votre écart au règlement (UE) 2022/2554 et obtenir une trajectoire priorisée pilier par pilier, un diagnostic de conformité DORA pose le point de départ documenté de votre démarche.