Exigences contractuelles DORA : accords TIC tiers
L'article 30 de DORA spécifie les dispositions obligatoires qui doivent être incluses dans les contrats avec les prestataires de services TIC tiers. Ces exigences garantissent que les arrangements contractuels soutiennent la résilience opérationnelle numérique plutôt que de la compromettre.
Pour de nombreuses entités financières, les contrats existants devront être revus et amendés pour répondre aux standards DORA, notamment pour les services supportant des fonctions critiques ou importantes.
Points clés
| Point | Résumé |
|---|---|
| Dispositions obligatoires | Termes spécifiques requis dans tous les contrats de services TIC |
| Renforcées pour les fonctions critiques | Exigences supplémentaires pour le support des fonctions critiques/importantes |
| Droits d'audit | Droits illimités d'accès, d'inspection et d'audit obligatoires |
| Dispositions de sortie | Termes clairs de résiliation et de transition requis |
| Contrôles de sous-traitance | Visibilité et contrôles sur les sous-traitants |
Réponse rapide : DORA exige que tous les contrats de services TIC incluent des dispositions couvrant la description du service, la localisation des données, les niveaux de service, la notification des incidents, la coopération réglementaire et les droits de résiliation. Les contrats supportant des fonctions critiques ou importantes doivent également inclure des spécifications complètes des services, des conditions de sous-traitance, des droits de surveillance des performances, des droits illimités d'audit et d'accès, des exigences de continuité d'activité et des dispositions détaillées de sortie. Les contrats existants doivent être revus par rapport à ces exigences et amendés si nécessaire.
Exigences pour tous les contrats TIC
Éléments contractuels de base
Tous les contrats avec des prestataires de services TIC tiers doivent inclure :
| Disposition | Description |
|---|---|
| Description du service | Description claire des services à fournir |
| Localisations des services | Où les données seront traitées et stockées |
| Niveaux de service | Objectifs de performance quantitatifs et qualitatifs |
| Notification des incidents | Obligation du prestataire de notifier les incidents TIC |
| Obligation d'assistance | Support du prestataire pendant les incidents sans coût supplémentaire |
| Coopération réglementaire | Le prestataire doit coopérer avec les autorités compétentes |
| Droits de résiliation | Conditions et procédures de résiliation claires |
| Sortie et transition | Assistance du prestataire pendant la sortie ou transition |
Description du service
Le contrat doit clairement définir :
- Fonctions et services à exécuter
- Spécifications techniques le cas échéant
- Dépendances et interfaces
- Périmètre des services
Localisation des données
Spécifiez :
- Où les données seront traitées
- Où les données seront stockées
- Tout transfert de données entre localisations
- Modifications des localisations et exigences de notification
Accords de niveau de service
Les contrats doivent inclure des SLA mesurables couvrant :
| Aspect | Exemples |
|---|---|
| Disponibilité | Pourcentage de disponibilité, fenêtres de maintenance |
| Performance | Temps de réponse, débit |
| Support | Temps de réponse et de résolution |
| Reporting | Reporting régulier des performances |
Notification des incidents
Obligations du prestataire pour la notification des incidents :
- Notification rapide des incidents liés aux TIC
- Exigences de contenu de l'information
- Canaux de communication
- Procédures d'escalade
- Mises à jour continues pendant les incidents
Coopération réglementaire
Les prestataires doivent accepter de :
- Coopérer avec les autorités compétentes
- Fournir des informations sur demande
- Soutenir les examens réglementaires
- Se conformer aux exigences réglementaires
Droits de résiliation
Dispositions claires pour :
- Préavis de résiliation
- Motifs de résiliation
- Droits de résiliation immédiate (violation matérielle, exigence réglementaire)
- Effets de la résiliation
Exigences renforcées pour les fonctions critiques
Lorsque les services TIC supportent des fonctions critiques ou importantes, des dispositions supplémentaires sont requises.
Description complète du service
Au-delà de la description de base, spécifiez :
| Élément | Couverture |
|---|---|
| Périmètre complet du service | Spécification exhaustive de tous les services |
| Cartographie des fonctions critiques | Comment les services supportent les fonctions critiques |
| Dépendances | Toutes les dépendances techniques et opérationnelles |
| Critères de performance | Attentes de performance détaillées |
Conditions de sous-traitance
Contrôles sur la sous-traitance par le prestataire :
| Disposition | Description |
|---|---|
| Notification préalable | Préavis de sous-traitance matérielle |
| Droits d'approbation | Approbation requise pour les sous-traitants de fonctions critiques |
| Droits d'information | Visibilité sur les arrangements de sous-traitance |
| Exigences de cascade | Termes équivalents dans les sous-contrats |
| Déclencheurs de résiliation | Droits si la sous-traitance est inacceptable |
Droits de surveillance des performances
Le contrat doit prévoir :
| Droit | Description |
|---|---|
| Surveillance continue | Capacité de surveiller la performance en continu |
| Données de performance | Accès aux métriques et rapports de performance |
| Escalade des problèmes | Chemins d'escalade définis pour les problèmes |
| Remédiation | Obligations du prestataire de traiter les déficiences |
Droits d'audit et d'accès
DORA exige des « droits illimités d'accès, d'inspection et d'audit » :
| Droit | Périmètre |
|---|---|
| Accès | Accès aux locaux et systèmes du prestataire |
| Inspection | Capacité d'inspecter les opérations et contrôles |
| Audit | Droits d'auditer le prestataire (directement ou via un tiers) |
| Documentation | Droit de prendre des copies de la documentation pertinente |
| Accès réglementaire | Droits équivalents pour l'autorité compétente |
Ces droits ne peuvent être entravés par d'autres arrangements contractuels.
Continuité d'activité
Obligations du prestataire pour la résilience :
| Exigence | Description |
|---|---|
| Plans de continuité | Le prestataire doit avoir et maintenir des plans de continuité |
| Tests | Tests réguliers des arrangements de continuité |
| Partage des résultats | Partage des résultats des tests avec l'entité financière |
| Coordination | Alignement avec la propre planification de continuité de l'entité |
Participation aux tests
Pour les tests de résilience :
- Le prestataire doit participer au programme de tests de l'entité
- Inclut la participation au TLPT le cas échéant
- Coopération avec les activités de tests
- Remédiation des problèmes identifiés
Dispositions de sortie
Exigences détaillées de sortie et de transition :
| Disposition | Description |
|---|---|
| Période de transition | Temps adéquat pour une transition ordonnée |
| Assistance | Support du prestataire pendant la transition |
| Accès aux données | Accès continu aux données pendant la transition |
| Restitution des données | Restitution des données dans un format utilisable |
| Continuité du service | Continuation des services pendant la transition |
| Transfert de connaissances | Transfert des connaissances opérationnelles |
Négocier des contrats conformes à DORA
Approche pour les contrats existants
Revoyez les contrats existants par rapport aux exigences DORA :
| Type d'écart | Approche |
|---|---|
| Dispositions manquantes | Négociez des amendements ou avenants |
| Dispositions incomplètes | Complétez avec des termes supplémentaires |
| Dispositions contradictoires | Modifiez pour aligner avec DORA |
| Droits absents | Ajoutez les droits requis |
Négociations de nouveaux contrats
Pour les nouveaux contrats :
- Utilisez les exigences DORA comme base
- Incluez toutes les dispositions obligatoires dès le départ
- Envisagez des dispositions renforcées pour les fonctions critiques
- Documentez les résultats des négociations
Défis avec les grands prestataires
Les grands fournisseurs cloud et technologiques résistent souvent aux termes contractuels personnalisés :
| Défi | Approche |
|---|---|
| Termes standards uniquement | Poussez pour des avenants ou suppléments DORA |
| Négociation limitée | Escaladez via la gestion de compte |
| Restrictions d'audit | Demandez des assurances alternatives (certifications, rapports) |
| Limitations de responsabilité | Documentez l'acceptation des risques si nécessaire |
De nombreux grands prestataires ont développé des amendements ou avenants spécifiques à DORA.
Priorisation basée sur les risques
Priorisez la remédiation des contrats :
| Priorité | Focus |
|---|---|
| Haute | Prestataires de fonctions critiques |
| Moyenne | Prestataires de fonctions importantes |
| Inférieure | Autres prestataires TIC |
Documenter la conformité contractuelle
Registres de revue des contrats
Documentez pour chaque contrat :
- Date de revue et réviseur
- Dispositions DORA présentes
- Écarts identifiés
- Actions de remédiation
- Acceptation des risques le cas échéant
Suivi des écarts
Maintenez le suivi de :
- Contrats revus
- Écarts identifiés
- Statut de remédiation
- Problèmes en suspens
- Décisions d'acceptation des risques
Preuves pour les régulateurs
Soyez préparé à démontrer :
- Processus systématique de revue des contrats
- Efforts de remédiation entrepris
- Statut de conformité actuel
- Gestion des risques là où des écarts existent
Questions fréquentes
Tous les contrats existants doivent-ils être amendés ?
Revoyez tous les contrats de services TIC par rapport aux exigences DORA. Les contrats supportant des fonctions critiques sont la plus haute priorité pour la remédiation. Là où des écarts existent, poursuivez les amendements. Là où les prestataires n'acceptent pas, documentez votre évaluation des risques et les contrôles compensatoires.
Que faire si les prestataires refusent d'inclure les dispositions requises ?
Documentez vos tentatives de négociation et la position du prestataire. Évaluez les risques de continuer sans les dispositions. Envisagez des prestataires alternatifs. Si vous continuez, documentez votre acceptation des risques et tout contrôle compensatoire.
Comment gérer les termes standards des fournisseurs cloud ?
Les grands fournisseurs cloud offrent de plus en plus des avenants DORA. Engagez-vous avec les équipes compte sur les termes spécifiques à DORA. Là où les termes standards sont insuffisants, documentez votre évaluation des risques et tout contrôle compensatoire. Considérez comment les certifications et attestations des prestataires répondent aux exigences.
Les accords verbaux sont-ils acceptables ?
Non. Les exigences DORA doivent être documentées dans des arrangements contractuels écrits. Les accords verbaux ne sont pas suffisants pour démontrer la conformité.
À quelle fréquence les contrats doivent-ils être revus ?
Revoyez les contrats au renouvellement, lors de changements significatifs, et périodiquement (au moins annuellement pour les prestataires de fonctions critiques). Une surveillance continue de la conformité des prestataires est également requise.
Comment Bastion peut vous aider
Bastion accompagne les entités financières pour atteindre la conformité contractuelle DORA :
- Revue des contrats : Évaluation des contrats existants par rapport à l'article 30 de DORA
- Analyse des écarts : Identification des dispositions manquantes ou inadéquates
- Support aux amendements : Rédaction d'amendements et avenants contractuels
- Conseils de négociation : Support pour les négociations avec les prestataires
- Documentation des risques : Documentation de l'acceptation des risques si nécessaire
- Surveillance continue : Cadres pour la surveillance de la conformité contractuelle
Prêt à revoir vos contrats de services TIC ? Parlez à notre équipe
Sources
- Article 30 de DORA - Dispositions contractuelles clés
- Articles 28-29 de DORA - Principes généraux et évaluation préliminaire
- RTS des AES sur les risques tiers - Normes techniques sur les exigences contractuelles