ACPR et DORA : rôle du superviseur français

En France, l'application du règlement (UE) 2022/2554, dit DORA, n'est pas surveillée par une autorité unique. Deux superviseurs nationaux se partagent ce rôle : l'ACPR, Autorité de contrôle prudentiel et de résolution, et l'AMF, Autorité des marchés financiers. Comprendre qui contrôle quoi est la première étape pour situer ses propres obligations.

L'ACPR, autorité compétente pour DORA en France

L'ACPR est l'une des deux autorités compétentes désignées en France pour superviser l'application de DORA aux entités qu'elle contrôle. Adossée à la Banque de France, elle assure le contrôle prudentiel du secteur. À ce titre, elle veille à ce que les entités relevant de son périmètre mettent bien en œuvre les exigences du règlement en matière de gestion du risque lié aux technologies de l'information et de la communication (TIC), de notification des incidents et de maîtrise des prestataires tiers.

Répartition de principe entre l'ACPR et l'AMF

Le partage entre les deux autorités suit une logique de principe, calquée sur leurs périmètres habituels. L'ACPR supervise notamment les banques et les assurances. L'AMF supervise notamment les entreprises d'investissement, les sociétés de gestion et les infrastructures de marché. Cette répartition donne un repère utile, mais elle reste une présentation de principe. La qualification exacte, entité par entité, dépend du statut précis de chaque acteur ; pour les cas limites, il convient de se rapprocher des autorités elles-mêmes plutôt que de trancher seul à partir du seul secteur d'activité.

Le rôle du superviseur dans le dispositif DORA

En tant qu'autorité compétente, l'ACPR ne se limite pas à un contrôle ponctuel. Elle est destinataire des notifications d'incidents majeurs liés aux TIC et reçoit, au titre de DORA, le registre d'information des accords contractuels conclus avec les prestataires de services TIC. Le superviseur s'inscrit dans un cadre européen plus large, animé par les trois autorités européennes de surveillance (EBA, EIOPA, ESMA), qui élaborent les normes techniques précisant les obligations du règlement.

Le cas particulier du TLPT

Pour les tests de pénétration fondés sur la menace (TLPT), exigés des seules entités présentant une importance pour la stabilité financière, la logique est différente. La liste des entités concernées n'est pas publique. C'est l'autorité compétente, en France la Banque de France, l'ACPR et l'AMF, ainsi que la Banque centrale européenne pour les établissements de crédit importants, qui contacte bilatéralement les entités identifiées, par une lettre d'identification. Une entité ne s'auto-désigne donc pas : elle attend, le cas échéant, d'être sollicitée.

Savoir de quel superviseur on relève

Identifier son autorité de référence conditionne la lecture concrète de ses obligations : interlocuteur pour les notifications, canal de transmission du registre d'information, éventuelle inclusion dans le périmètre TLPT. La détermination dépend du statut réglementaire exact de l'entité, qui relève en dernier ressort des autorités. Une fois ce repère posé, l'étape suivante consiste à confronter ses pratiques aux exigences du texte et à engager une démarche de mise en conformité DORA ajustée à ses écarts réels.

Poursuivre la lecture

Poursuivre la lecture