DORA pour les sociétés de gestion et entreprises d'investissement

02L'essentiel

Ce qu'il faut retenir

Ce segment est au cœur de la supervision AMF. Les cinq piliers du règlement s'appliquent, avec une attention particulière au risque lié aux prestataires tiers TIC et à la résilience des fonctions critiques de marché. L'ESMA participe aux normes techniques côté marchés.

03En détail

Ce que le règlement implique ici

Les entreprises d'investissement, les sociétés de gestion de portefeuille et les infrastructures de marché (contreparties centrales, dépositaires centraux de titres) font partie des entités financières couvertes par DORA. En France, l'AMF est l'autorité compétente pour ce segment.

Au niveau européen, l'ESMA (autorité européenne des marchés financiers) contribue à l'élaboration des normes techniques (RTS/ITS) qui précisent les obligations du règlement pour les acteurs de marché, aux côtés de l'EBA et de l'EIOPA pour les autres secteurs.

Pour une société de gestion, les chantiers structurants portent souvent sur la cartographie des fonctions critiques (dont la dépendance aux prestataires de données et d'exécution), le registre d'information des prestataires TIC, et la notification des incidents. Le principe de proportionnalité module les exigences selon la taille.

Quels acteurs des marchés relèvent de DORA

Le champ d'application du règlement (UE) 2022/2554 dépasse largement les banques. Côté marchés financiers, il couvre notamment les entreprises d'investissement, les sociétés de gestion de portefeuille et les infrastructures de marché telles que les contreparties centrales et les dépositaires centraux de titres. Ces entités traitent, exécutent ou conservent des opérations dont la continuité repose entièrement sur des systèmes d'information : plateformes de négociation, outils de gestion d'actifs, chaînes de règlement-livraison.

Pour ces acteurs, la résilience opérationnelle numérique n'est pas un sujet périphérique. Une interruption de la chaîne de négociation ou de gestion peut affecter la qualité d'exécution, la valorisation et, pour les infrastructures, le bon dénouement des transactions. La démarche de mise en conformité DORA consiste à relire l'organisation existante à l'aune des cinq piliers du règlement, sans repartir de zéro lorsqu'un dispositif de contrôle interne est déjà en place.

Supervision : l'AMF en France, l'ESMA au niveau européen

En France, l'AMF (Autorité des marchés financiers) est l'autorité compétente pour la supervision de l'application de DORA aux acteurs de marché qu'elle surveille : entreprises d'investissement, sociétés de gestion et infrastructures de marché. Ce partage de principe répond à celui de l'ACPR, compétente pour les banques et les assurances. Pour la qualification exacte d'une entité au cas par cas, il convient de se référer aux autorités elles-mêmes.

Au niveau européen, l'ESMA (Autorité européenne des marchés financiers) contribue à l'élaboration des normes techniques de réglementation (RTS) et des normes techniques d'exécution (ITS) qui précisent les obligations du règlement pour le secteur des marchés, aux côtés de l'EBA pour la banque et de l'EIOPA pour l'assurance. Ces normes techniques forment un corpus qui complète le texte de base sur des points opérationnels : outils de gestion du risque TIC, classification et notification des incidents, conduite de la supervision. Les obligations DORA applicables à ce segment se lisent donc à deux niveaux, règlement et normes techniques.

Les chantiers concrets pour une société de gestion

Pour une entreprise d'investissement ou une société de gestion, la mise en conformité se traduit par des travaux structurants qui mobilisent au-delà de la seule direction informatique :

• cartographier les fonctions critiques ou importantes et leurs dépendances aux systèmes et aux prestataires TIC, y compris la dépendance aux fournisseurs de données de marché et d'exécution ;
• maîtriser le risque lié aux prestataires tiers de services TIC : clauses contractuelles obligatoires, évaluation de la criticité de chaque prestataire et tenue d'un registre d'information communiqué à l'autorité compétente au moins une fois par an ;
• organiser la détection, la classification et la notification des incidents majeurs liés aux TIC dans les délais imposés par le règlement, et mener un programme de tests de résilience.

Le risque prestataires tiers est souvent le chantier le plus exigeant pour ce segment, du fait du recours fréquent à des fournisseurs technologiques externalisés. Les cinq piliers du règlement donnent le cadre d'ensemble dans lequel ces travaux s'articulent. Le principe de proportionnalité prévu par le règlement module enfin les exigences selon la taille de l'entité, certaines obligations étant allégées pour les plus petites structures.

Calendrier et échéances pour les acteurs de marché

Le règlement (UE) 2022/2554 est entré en vigueur le 27 décembre 2022, vingt jours après sa publication au Journal officiel de l'Union européenne. Sa date d'entrée en application est le 17 janvier 2025 : depuis cette date, les obligations du texte s'imposent aux entreprises d'investissement, sociétés de gestion et infrastructures de marché concernées. Pour ce segment supervisé par l'AMF, il n'existe pas de phase d'adaptation supplémentaire propre aux marchés : la mise en conformité est attendue dès l'application du règlement.

Le texte de base ne vit pas seul. Il est précisé par des normes techniques de réglementation (RTS) et des normes techniques d'exécution (ITS) élaborées sous l'égide des autorités européennes de surveillance, l'ESMA pour le secteur des marchés aux côtés de l'EBA et de l'EIOPA. Ce corpus de normes techniques est en construction continue et complète le règlement sur des points opérationnels. Une société de gestion qui structure sa démarche a donc intérêt à raisonner à deux niveaux, le règlement d'un côté, les normes techniques de l'autre, plutôt qu'à attendre un texte unique et figé. La démarche de mise en conformité DORA intègre cette lecture évolutive en s'appuyant sur le cadre stable des cinq piliers.

Enjeux organisationnels pour une société de gestion

Au-delà des obligations prises une à une, DORA déplace la résilience opérationnelle numérique vers la gouvernance. La responsabilité du dispositif de gestion du risque lié aux TIC remonte à l'organe de direction, qui doit comprendre, valider et superviser le cadre mis en place. Pour une société de gestion, cela suppose que le risque TIC cesse d'être un sujet strictement technique pour devenir une composante du contrôle interne et de la gestion des risques au même titre que le risque de marché ou le risque opérationnel classique.

Le premier chantier structurant est la cartographie des fonctions critiques ou importantes et de leurs dépendances. Pour ce segment, les fonctions sensibles couvrent typiquement la gestion d'actifs, le passage et l'exécution des ordres, la valorisation et la chaîne de règlement-livraison, ainsi que la dépendance aux fournisseurs de données de marché et d'exécution. Identifier ces fonctions, c'est savoir où une défaillance des systèmes d'information se traduirait en risque pour les clients et pour le bon fonctionnement du marché.

Sur cette base se construisent la continuité d'activité et la reprise après incident, qui doivent être non seulement documentées mais testées et actualisées. La maîtrise des prestataires tiers de services TIC vient ensuite : clauses contractuelles obligatoires, évaluation de la criticité de chaque prestataire, et tenue d'un registre d'information des accords contractuels communiqué à l'autorité compétente au moins une fois par an. Pour un acteur de marché qui externalise une part importante de sa technologie, ce registre d'information est à la fois une exigence formelle et un outil de pilotage du risque de concentration. Le détail de ces obligations est exposé dans la présentation des cinq piliers du règlement.

DORA et NIS2 pour les acteurs de marché

Les acteurs de marché s'interrogent souvent sur l'articulation entre DORA et NIS2, deux textes européens consacrés à la sécurité numérique mais de nature juridique différente. DORA est un règlement, le règlement (UE) 2022/2554 : il s'applique directement dans tous les États membres, sans transposition nationale. NIS2 est une directive, qui doit au contraire être transposée dans le droit de chaque État membre avant de produire ses effets. Cette différence de forme a des conséquences concrètes sur le calendrier et sur le texte de référence à consulter.

Sur le fond, DORA est un texte sectoriel dédié au secteur financier. En vertu de sa spécialité, il a vocation à primer, comme régime spécial, sur le cadre général pour les entités financières qui entrent dans son champ. Pour une entreprise d'investissement ou une société de gestion, cela signifie en pratique que la résilience opérationnelle numérique se lit d'abord à travers DORA. L'articulation fine entre les deux régimes dépend de la situation de chaque entité et de la transposition nationale de NIS2 ; elle mérite une analyse au cas par cas plutôt qu'une règle générale appliquée mécaniquement. La comparaison détaillée des deux textes est traitée dans le guide DORA et NIS2.

Questions fréquentes

Les sociétés de gestion sont-elles concernées par DORA ?

Oui. Le champ d'application du règlement (UE) 2022/2554 dépasse largement les banques et couvre un large périmètre de catégories d'entités financières, parmi lesquelles les entreprises d'investissement, les sociétés de gestion de portefeuille et les infrastructures de marché. Une société de gestion entre donc dans le champ du règlement, sous réserve du principe de proportionnalité qui module les exigences selon la taille de l'entité.

Qui supervise l'application de DORA à ce segment, l'AMF ou l'ESMA ?

Les deux interviennent, mais à des niveaux distincts. En France, l'AMF est l'autorité compétente pour la supervision de l'application de DORA aux acteurs de marché qu'elle surveille : entreprises d'investissement, sociétés de gestion et infrastructures de marché. Au niveau européen, l'ESMA contribue à l'élaboration des normes techniques côté marchés, aux côtés de l'EBA et de l'EIOPA pour les autres secteurs. L'AMF supervise, l'ESMA participe au cadre normatif.

Le principe de proportionnalité s'applique-t-il aux sociétés de gestion ?

Le règlement prévoit un principe de proportionnalité, et certaines exigences sont allégées pour les plus petites structures, les microentreprises étant exemptées de certaines obligations. Le détail des seuils n'est pas reproduit ici : il convient de se référer au texte du règlement et, pour une qualification précise, aux autorités compétentes.

Le registre d'information des prestataires TIC est-il obligatoire ?

Oui. Les entités financières concernées doivent tenir un registre d'information à jour de leurs accords contractuels conclus avec les prestataires de services TIC et le communiquer à l'autorité compétente au moins une fois par an. Pour un acteur de marché recourant à des fournisseurs technologiques externalisés, ce registre constitue l'un des chantiers les plus exigeants de la démarche de mise en conformité DORA.

04Aller plus loin

Cadrer votre conformité

Pour mesurer votre écart au règlement (UE) 2022/2554 et obtenir une trajectoire priorisée pilier par pilier, un diagnostic de conformité DORA pose le point de départ documenté de votre démarche.