DORA dans la finance : entités financières concernées

02L'essentiel

Ce qu'il faut retenir

Entreprises d'investissement, gestionnaires de fonds, contreparties centrales, dépositaires centraux, agences de notation : le champ de DORA est volontairement large. La catégorie d'entité conditionne le périmètre des exigences et le superviseur de référence en France.

03En détail

Ce que le règlement implique ici

Le champ d'application de DORA a été pensé large à dessein : il vise un grand nombre de catégories d'entités financières, des établissements de crédit aux agences de notation, en passant par les entreprises d'investissement, les gestionnaires de fonds, les contreparties centrales et les dépositaires centraux de titres, ainsi que leurs prestataires tiers critiques de services TIC.

La première étape pratique consiste à identifier précisément sa catégorie : elle détermine l'étendue des obligations, l'autorité compétente (ACPR ou AMF en France) et l'application du principe de proportionnalité, qui exempte les microentreprises de certaines exigences.

Cette qualification n'est pas toujours évidente pour les cas limites. En cas de doute sur le rattachement d'une entité ou d'une activité, la référence reste le texte du règlement et l'appréciation de l'autorité compétente, plutôt qu'une lecture rapide d'un tableau de synthèse.

Un champ d'application pensé large, bien au-delà des banques

L'une des particularités de DORA est l'étendue de son périmètre. Le règlement (UE) 2022/2554 ne vise pas seulement les établissements de crédit : il couvre un grand nombre de catégories d'entités financières. On y trouve notamment les établissements de paiement et de monnaie électronique, les entreprises d'investissement, les gestionnaires de fonds et sociétés de gestion, les entreprises d'assurance et de réassurance, les contreparties centrales, les dépositaires centraux de titres, les agences de notation de crédit ou encore les administrateurs d'indices de référence. À cette liste s'ajoutent les prestataires tiers critiques de services TIC, soumis à un régime de supervision dédié.

Cette ouverture est délibérée. En traitant la résilience opérationnelle numérique à l'échelle de tout le secteur financier, le législateur européen cherche à réduire la vulnérabilité de l'ensemble de la chaîne de valeur, et pas seulement de ses acteurs les plus visibles. Pour une entité, la première question pratique n'est donc pas « suis-je une banque ? » mais « dans quelle catégorie d'entité financière est-ce que je me situe ? ». Cette qualification commande à la fois l'étendue des obligations et l'autorité compétente de référence. La démarche de mise en conformité DORA commence par cette identification, et le point sur les entités concernées par DORA en précise les contours.

La proportionnalité : des obligations modulées selon le profil

Un périmètre large ne signifie pas des exigences uniformes. Le règlement intègre un principe de proportionnalité : les obligations s'appliquent en tenant compte de la taille, du profil de risque et de la nature des activités de chaque entité. Concrètement, une grande infrastructure de marché et une structure de taille modeste ne sont pas tenues au même niveau de formalisme pour mettre en œuvre le dispositif.

Ce principe va jusqu'à exempter les microentreprises de certaines exigences. Le détail des seuils et des allègements relève du texte lui-même et des normes techniques qui le précisent : il faut s'y reporter pour déterminer ce qui s'applique réellement à une entité donnée, plutôt que de présumer une dispense. Pour les cas limites de rattachement comme pour l'appréciation des exemptions, la référence reste le règlement (UE) 2022/2554 et la position de l'autorité compétente, et non une lecture rapide d'un tableau de synthèse.

Un socle commun à toutes les entités financières

Par-delà la diversité des catégories visées, DORA repose sur un socle unique. Les cinq piliers du règlement structurent le dispositif de chaque entité concernée : la gestion du risque lié aux TIC, la gestion et la notification des incidents, les tests de résilience opérationnelle numérique, la maîtrise du risque lié aux prestataires tiers de services TIC, et le partage volontaire d'informations sur les cybermenaces. Ce cadre commun est ce qui permet de parler d'une approche transversale du secteur financier, là où les régimes antérieurs étaient souvent fragmentés par type d'acteur.

Ces piliers ne s'appliquent pas de façon mécanique et identique partout. Ils se déclinent selon le profil de risque et la catégorie de l'entité : une société de gestion, un établissement de paiement et une contrepartie centrale ne mobiliseront pas les mêmes priorités opérationnelles, même si la logique d'ensemble est la même. Comprendre cette architecture commune avant d'entrer dans le détail de sa propre situation aide à éviter les angles morts. Notre présentation des cinq piliers de DORA en donne une vue d'ensemble, complétée par les repères sur la mise en conformité DORA.

Calendrier et échéances : un texte déjà applicable

Pour situer sa démarche, il faut avoir en tête les dates clés du règlement (UE) 2022/2554. Le texte a été adopté le 14 décembre 2022, puis il est entré en vigueur le 27 décembre 2022, vingt jours après sa publication au Journal officiel de l'Union européenne. Une période a ensuite été ménagée avant son entrée en application, fixée au 17 janvier 2025. Cette distinction n'est pas une subtilité de juriste : un règlement entré en vigueur fixe le cadre, mais c'est sa date d'application qui marque le moment à partir duquel les entités financières concernées doivent effectivement respecter ses exigences.

Concrètement, DORA n'est donc plus une échéance à venir : le règlement est applicable. Pour les entités qui visent encore leur dispositif, la question n'est plus de se préparer à une date future mais de mesurer et de combler un écart par rapport à un texte déjà en vigueur. Cette réalité de calendrier rend d'autant plus utile une évaluation documentée de sa situation, point de départ d'une trajectoire de mise en conformité priorisée que détaille la démarche de conformité DORA.

Le règlement ne vit pas seul : il est précisé par un corpus de normes techniques de réglementation (RTS) et de normes techniques d'exécution (ITS), élaborées sous l'égide des autorités européennes de surveillance. Ces normes détaillent des points opérationnels comme les outils de gestion du risque lié aux TIC, la classification et la notification des incidents, ou la conduite de la supervision. Ce corpus s'est construit progressivement et continue d'être complété : il convient de se référer aux publications officielles des autorités pour suivre l'état exact de ce cadre, plutôt que de s'appuyer sur une liste figée.

Les autorités compétentes selon le type d'entité

Savoir à quelle catégorie d'entité financière on appartient ne sert pas qu'à mesurer ses obligations : cette qualification désigne aussi l'autorité chargée de superviser l'application de DORA. En France, deux autorités se partagent ce rôle selon une logique de principe calquée sur leurs périmètres habituels de supervision. L'Autorité de contrôle prudentiel et de résolution (ACPR), adossée à la Banque de France, supervise notamment les banques et les organismes d'assurance. L'Autorité des marchés financiers (AMF) supervise notamment les entreprises d'investissement, les sociétés de gestion et les infrastructures de marché.

Cette répartition est utile pour s'orienter, mais elle reste un partage de principe. Certaines entités exercent des activités à cheval sur plusieurs régimes, et la détermination de l'autorité de référence peut demander un examen au cas par cas. Pour ces situations limites, mieux vaut se rapprocher de l'autorité concernée plutôt que de trancher sur la seule base d'un schéma général. Le fait de relever de l'ACPR ou de l'AMF a des conséquences pratiques : c'est l'autorité compétente qui reçoit les notifications d'incidents majeurs et le registre d'information des accords avec les prestataires de services TIC.

Au niveau européen, ce dispositif s'appuie sur les trois autorités européennes de surveillance : l'Autorité bancaire européenne (EBA) pour le secteur bancaire, l'Autorité européenne des assurances et des pensions professionnelles (EIOPA) pour l'assurance, et l'Autorité européenne des marchés financiers (ESMA) pour les marchés. Ces autorités élaborent les normes techniques qui précisent DORA et participent à la désignation des prestataires tiers critiques de services TIC, soumis à un régime de supervision dédié à l'échelle de l'Union. La logique du règlement est ainsi d'articuler un cadre européen commun avec une supervision exercée au plus près des entités par les autorités nationales.

DORA face aux autres réglementations financières

DORA ne remplace pas les obligations existantes : il s'ajoute à elles. Une entité financière déjà soumise à des exigences sectorielles ou à des règles transversales doit continuer de les respecter, tout en intégrant le dispositif de résilience opérationnelle numérique du règlement (UE) 2022/2554. Cette logique cumulative est essentielle à comprendre pour ne pas opposer, à tort, DORA à d'autres textes qui poursuivent des objectifs différents.

Le rapprochement le plus fréquent concerne le RGPD, le règlement (UE) 2016/679 sur la protection des données personnelles. Les deux textes sont des règlements européens, mais leurs finalités diffèrent : le RGPD protège les données à caractère personnel, tandis que DORA vise la résilience opérationnelle numérique et la maîtrise du risque lié aux TIC dans le secteur financier. Les périmètres sont distincts et cumulatifs : se conformer à l'un ne dispense pas de l'autre. La comparaison entre DORA et le RGPD revient en détail sur cette distinction de principe.

L'autre point de comparaison récurrent oppose DORA à NIS2, la directive (UE) 2022/2555 sur la cybersécurité. Deux différences structurent l'analyse. D'une part, DORA est un règlement d'application directe, là où NIS2 est une directive qui appelle une transposition nationale. D'autre part, DORA est un texte sectoriel, propre au secteur financier : par sa spécialité, il a vocation à primer, au principe, sur le régime général pour les entités financières qui entrent dans son champ. Cette articulation mérite d'être appréciée au cas par cas selon la situation de chaque entité ; la comparaison entre DORA et NIS2 en pose les repères.

Questions fréquentes

DORA ne concerne-t-il que les banques ?

Non. Le champ d'application de DORA est volontairement large et dépasse largement les seuls établissements de crédit. Le règlement vise un grand nombre de catégories d'entités financières, parmi lesquelles les établissements de paiement et de monnaie électronique, les entreprises d'investissement, les gestionnaires de fonds et sociétés de gestion, les entreprises d'assurance et de réassurance, les contreparties centrales, les dépositaires centraux de titres ou encore les agences de notation, ainsi que les prestataires tiers critiques de services TIC.

DORA est-il un règlement ou une directive ?

DORA est un règlement, le règlement (UE) 2022/2554. Cette qualification est importante : un règlement s'applique directement dans tous les États membres, sans transposition en droit national. Les formulations « directive DORA », « norme DORA » ou « loi DORA » sont donc juridiquement impropres. Cette différence distingue notamment DORA de NIS2, qui est une directive nécessitant une transposition.

Existe-t-il un principe de proportionnalité pour les petites entités ?

Oui. Le règlement intègre un principe de proportionnalité : les obligations s'appliquent en tenant compte de la taille, du profil de risque et de la nature des activités de l'entité. Ce principe va jusqu'à exempter les microentreprises de certaines exigences. Le détail des seuils et des allègements relève toutefois du texte et des normes techniques qui le précisent : il faut s'y reporter pour déterminer ce qui s'applique réellement à une entité donnée, plutôt que de présumer une dispense.

Depuis quand DORA est-il applicable ?

DORA est entré en vigueur le 27 décembre 2022 et est entré en application le 17 janvier 2025. Le règlement est donc aujourd'hui applicable : pour les entités concernées, l'enjeu n'est plus de se préparer à une échéance future mais de mesurer et de combler leur écart par rapport à un texte déjà en vigueur.

04Aller plus loin

Cadrer votre conformité

Pour mesurer votre écart au règlement (UE) 2022/2554 et obtenir une trajectoire priorisée pilier par pilier, un diagnostic de conformité DORA pose le point de départ documenté de votre démarche.