Qui doit se conformer à DORA ? Périmètre et applicabilité
DORA s'applique à 20 catégories d'entités financières opérant au sein de l'Union européenne, ainsi qu'aux prestataires de services TIC tiers qui les soutiennent. Comprendre si votre organisation entre dans le périmètre est la première étape vers la conformité.
Contrairement à certaines réglementations qui utilisent des seuils de chiffre d'affaires ou d'effectifs pour déterminer l'applicabilité, DORA adopte une approche sectorielle. Si votre organisation appartient à l'une des catégories définies et opère dans l'UE, DORA s'applique quelle que soit votre taille, bien que le principe de proportionnalité permette une mise en œuvre adaptée à votre profil de risque.
Points clés
| Point | Résumé |
|---|---|
| 20 catégories | DORA liste explicitement 20 types d'entités financières dans son périmètre |
| Pas de seuil de taille | DORA s'applique selon la classification sectorielle, pas la taille de l'entreprise |
| Proportionnalité applicable | Les entités plus petites peuvent mettre en œuvre des mesures proportionnées à leur profil de risque |
| Prestataires TIC concernés | Les prestataires de services tiers sont indirectement soumis via les exigences contractuelles |
| Prestataires critiques | Les prestataires tiers TIC critiques désignés font face à une surveillance directe de l'UE |
Réponse rapide : DORA s'applique aux banques, établissements de paiement, entreprises d'investissement, assureurs, prestataires de services sur crypto-actifs, et 15 autres catégories d'entités financières opérant dans l'UE. Bien qu'il n'y ait pas de seuil de taille minimum, les entités plus petites peuvent mettre en œuvre des mesures proportionnées. Les prestataires de services TIC servant ces entités doivent respecter les exigences contractuelles imposées par leurs clients.
Entités financières couvertes par DORA
L'article 2 de DORA liste explicitement les entités financières dans son périmètre. Voici la liste complète :
| Catégorie | Exemples |
|---|---|
| Établissements de crédit | Banques, sociétés de crédit immobilier |
| Établissements de paiement | Prestataires de services de paiement agréés |
| Prestataires de services d'information sur les comptes | Agrégateurs bancaires (open banking) |
| Établissements de monnaie électronique | Émetteurs de monnaie électronique |
| Entreprises d'investissement | Courtiers, gestionnaires de patrimoine |
| Prestataires de services sur crypto-actifs | Plateformes d'échange crypto, dépositaires, fournisseurs de wallets |
| Émetteurs de jetons référencés sur des actifs | Émetteurs de stablecoins |
| Dépositaires centraux de titres | Infrastructure de règlement-livraison de titres |
| Contreparties centrales | Chambres de compensation |
| Plateformes de négociation | Bourses, MTF, OTF |
| Référentiels centraux | Déclaration des transactions sur dérivés |
| Gestionnaires de fonds d'investissement alternatifs | Gestionnaires de hedge funds, gestionnaires de private equity |
| Sociétés de gestion (OPCVM) | Gestionnaires de fonds communs de placement |
| Prestataires de services de communication de données | ARM, APA, CTP |
| Entreprises d'assurance | Assureurs vie et non-vie |
| Entreprises de réassurance | Réassureurs |
| Intermédiaires d'assurance | Courtiers en assurance (au-dessus du seuil) |
| Institutions de retraite professionnelle | Fonds de pension |
| Agences de notation de crédit | Fournisseurs de notations |
| Administrateurs d'indices de référence critiques | Administrateurs de benchmarks |
| Prestataires de services de financement participatif | Plateformes de crowdfunding en capital et en prêt |
Seuil pour les intermédiaires d'assurance
Les intermédiaires d'assurance, les intermédiaires de réassurance et les intermédiaires d'assurance à titre accessoire ne sont inclus que s'ils ne sont pas des microentreprises. L'article 2(3) de DORA exclut les intermédiaires d'assurance qualifiés de microentreprises (moins de 10 employés et chiffre d'affaires annuel ou bilan inférieur à 2 millions d'euros), offrant un allègement pour les petits courtiers.
Le principe de proportionnalité
DORA reconnaît qu'une startup fintech de 10 personnes ne devrait pas faire face aux mêmes exigences qu'une banque d'importance systémique. L'article 4 intègre explicitement la proportionnalité :
« Les entités financières mettent en œuvre les exigences prévues par le présent règlement conformément au principe de proportionnalité, en tenant compte de leur taille et de leur profil de risque global, ainsi que de la nature, de l'ampleur et de la complexité de leurs services, activités et opérations. »
En pratique, cela signifie :
| Facteur | Impact sur la mise en œuvre |
|---|---|
| Taille de l'entité | Les entités plus petites peuvent mettre en œuvre des cadres plus simples |
| Profil de risque | Les activités à risque plus élevé justifient des contrôles plus robustes |
| Complexité des services | Des modèles d'affaires simples peuvent justifier des approches allégées |
| Importance systémique | Les institutions d'importance systémique font face à des exigences renforcées |
Cependant, la proportionnalité ne signifie pas exemption. Toutes les entités concernées doivent traiter chacune des exigences fondamentales de DORA ; c'est la profondeur et la sophistication de la mise en œuvre qui varient.
Cadre simplifié de gestion des risques TIC
DORA prévoit un cadre simplifié de gestion des risques TIC pour certaines entités plus petites :
- Petites entreprises d'investissement non interconnectées
- Établissements de paiement exemptés en vertu de l'article 32(1) de la DSP2
- Établissements de monnaie électronique exemptés en vertu de l'article 9(1) de la DME2
- Petites institutions de retraite professionnelle
Ces entités peuvent mettre en œuvre une version allégée du cadre de gestion des risques TIC, bien qu'elles doivent maintenir des mesures proportionnées pour le signalement des incidents et la gestion des risques tiers.
Microentreprises
Les microentreprises (moins de 10 employés et chiffre d'affaires annuel ou bilan inférieur à 2 millions d'euros) bénéficient d'une flexibilité supplémentaire :
- Exigences simplifiées du cadre de gestion des risques TIC
- Peuvent ne pas avoir besoin d'un responsable dédié à la sécurité TIC (les responsabilités peuvent être combinées)
- Exigences de tests proportionnées
Cependant, les microentreprises restent soumises aux obligations de signalement des incidents et doivent gérer leurs relations avec les prestataires TIC tiers de manière appropriée.
Prestataires de services TIC tiers
Bien que DORA ne réglemente pas directement les prestataires de services TIC, ses exigences leur parviennent via les entités financières qu'ils servent.
Réglementation indirecte
Les entités financières doivent s'assurer que leurs contrats avec les prestataires TIC incluent des dispositions spécifiques requises par l'article 30 de DORA :
- Accords de niveau de service alignés sur l'appétit au risque
- Droits d'audit et d'accès pour l'entité financière et les régulateurs
- Obligations de notification des incidents
- Dispositions relatives à la stratégie de sortie
- Exigences de continuité d'activité
Cela signifie que même si vous êtes un fournisseur cloud, un éditeur de logiciels ou un prestataire d'externalisation IT non directement réglementé par DORA, vos clients du secteur financier exigeront des termes contractuels conformes à DORA.
Prestataires tiers TIC critiques (CTPP)
DORA établit un processus de désignation pour les prestataires de services TIC jugés critiques pour le secteur financier. Une fois désigné comme CTPP, un prestataire fait face à :
| Exigence | Détails |
|---|---|
| Surveillance directe | Équipes d'examen conjointes dirigées par les AES |
| Filiale UE | Doit établir une présence dans l'UE dans les 12 mois suivant la désignation |
| Recommandations | Doit répondre aux recommandations de l'autorité de surveillance |
| Sanctions potentielles | Jusqu'à 5 millions d'euros pour non-conformité |
Les critères de désignation prennent en compte le caractère systémique des services, le nombre d'entités financières dépendant du prestataire, et l'impact potentiel d'une interruption de service sur la stabilité financière.
Entreprises non européennes
La portée de DORA s'étend au-delà des frontières de l'UE de plusieurs façons :
Entités financières non européennes
Si une entité financière non européenne opère au sein de l'UE (via des succursales, filiales ou prestation de services), elle relève du périmètre de DORA pour ces activités européennes. Cela inclut :
- Les succursales de pays tiers de banques opérant dans l'UE
- Les entreprises d'investissement non européennes fournissant des services à des clients de l'UE
- Les prestataires de services sur crypto-actifs non européens servant des clients de l'UE
Prestataires TIC non européens
Les entreprises technologiques non européennes servant des entités financières de l'UE feront face à des exigences contractuelles de la part de leurs clients. Un fournisseur cloud américain, par exemple, peut ne pas être directement réglementé par DORA, mais ses clients du secteur financier européen doivent s'assurer que les contrats respectent les standards DORA.
S'il est désigné comme prestataire tiers TIC critique, une entreprise non européenne doit établir une filiale dans l'UE dans les 12 mois suivant la désignation.
Relation avec d'autres réglementations
Les entités soumises à DORA peuvent également relever d'autres cadres réglementaires :
| Réglementation | Relation |
|---|---|
| NIS 2 | DORA est lex specialis pour le secteur financier ; les exigences NIS 2 ne s'appliquent pas là où DORA prévoit des règles équivalentes ou plus strictes |
| RGPD | S'applique en parallèle ; les incidents TIC impliquant des données personnelles nécessitent une notification de violation RGPD en plus du signalement DORA |
| DSP2/DSP3 | DORA complète la réglementation des services de paiement avec des exigences spécifiques aux TIC |
| MiFID II | Les entreprises d'investissement doivent se conformer aux deux cadres de résilience opérationnelle |
| Solvabilité II | Les assureurs font face aux exigences TIC de DORA en plus des obligations prudentielles |
Questions fréquentes
DORA s'applique-t-il aux entreprises britanniques après le Brexit ?
DORA ne s'applique pas directement aux entreprises basées au Royaume-Uni puisque celui-ci n'est plus un État membre de l'UE. Cependant, les entreprises britanniques peuvent être affectées de deux façons : si elles fournissent des services TIC à des entités financières de l'UE, elles feront face aux exigences contractuelles DORA de ces clients ; et si elles fournissent des services financiers à des clients de l'UE (via des succursales ou des arrangements transfrontaliers), ces activités européennes relèvent du périmètre de DORA.
DORA s'applique-t-il aux petites fintechs ?
Oui. Contrairement à certaines réglementations avec des seuils de chiffre d'affaires ou d'effectifs, DORA s'applique selon la classification sectorielle. Une startup de paiement de 5 personnes relève du périmètre tout comme une grande banque. Cependant, la proportionnalité signifie que la startup peut mettre en œuvre des cadres plus simples, appropriés à sa taille et son profil de risque.
Qu'en est-il des entreprises crypto ?
Les prestataires de services sur crypto-actifs autorisés en vertu de MiCA et les émetteurs de jetons référencés sur des actifs sont explicitement inclus dans le périmètre de DORA. Cela inclut les plateformes d'échange crypto, les dépositaires et les fournisseurs de wallets opérant dans l'UE.
Les courtiers en assurance sont-ils couverts ?
Les intermédiaires d'assurance sont inclus dans le périmètre de DORA, mais avec une exemption pour les microentreprises. Les courtiers en assurance plus importants doivent se conformer aux exigences DORA.
Devons-nous nous conformer si nous avons uniquement des clients dans l'UE mais sommes basés hors de l'UE ?
Si vous fournissez des services financiers à des clients de l'UE, vous relevez probablement du périmètre pour ces activités. De plus, si vous êtes un prestataire TIC servant des entités financières de l'UE, vous ferez face à des exigences contractuelles même sans application réglementaire directe.
Comment savoir si nous serons désignés comme prestataire tiers TIC critique ?
Les AES désigneront les CTPP sur la base de critères incluant le caractère systémique des services, le risque de concentration, et l'impact potentiel sur la stabilité financière. Les grands fournisseurs cloud, les processeurs de paiement et les éditeurs de logiciels bancaires de base servant plusieurs institutions financières sont plus susceptibles d'être désignés.
Comment Bastion peut vous aider
Bastion aide les organisations à comprendre et naviguer l'applicabilité de DORA :
- Évaluation du périmètre. Nous déterminons si et comment DORA s'applique à votre organisation
- Analyse de proportionnalité. Nous aidons à identifier les niveaux de mise en œuvre appropriés en fonction de votre taille et profil de risque
- Revue contractuelle. Pour les prestataires TIC, nous évaluons et mettons à jour les contrats clients pour répondre aux exigences DORA
- Feuille de route de conformité. Nous développons un parcours priorisé vers la conformité adapté à votre situation
Prêt à comprendre vos obligations DORA ? Parlez à notre équipe
Sources
- Article 2 de DORA - Périmètre - Texte officiel définissant les entités concernées
- Article 4 de DORA - Proportionnalité - Dispositions relatives au principe de proportionnalité
- Autorité bancaire européenne - Q&R DORA - Orientations réglementaires sur les questions de périmètre