Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/DORA / Finance/DORA : qui est concerne par le règlement
DORA / Finance

DORA : qui est concerne par le règlement

DORA s'applique a 21 catégories d'entités financières et a leurs prestataires TIC critiques.

Par Thiébaut DevergrannePublie le 15 janvier 2026Mis a jour le 15 janvier 202611 min de lecture
Sommaire
  1. Introduction
  2. Les 21 catégories d’entités financières
  3. Synthèse des entités couvertes
  4. Les prestataires tiers de services TIC
  5. Le principe de proportionnalité
  6. Les exemptions
  7. Autorités de surveillance compétentes
  8. Comment déterminer si vous êtes concerne
  9. Conclusion

Introduction

Le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier, dit DORA (Digital Operational Resilience Act), est entre en application le 17 janvier 2025. Il impose un cadre harmonise de gestion des risques liés aux technologies de l’information et de la communication (TIC) pour l’ensemble du secteur financier européen.

L’une des premières questions que se pose toute organisation est celle de son assujettissement : mon entreprise est-elle concernée par DORA ? La réponse se trouvé dans l’article 2 du règlement, qui définit un périmètre d’application remarquablement large, couvrant 21 catégories d’entités financières et s’etendant aux prestataires tiers de services TIC considérés comme critiques. Pour une vue d’ensemble du règlement, consultez notre guide DORA.

Les 21 catégories d’entités financières

L’article 2, paragraphe 1, du règlement DORA énumère de manière exhaustive les entités financières soumises à ses dispositions. Cette liste couvre la quasi-totalité des acteurs du secteur financier européen.

Etablissements de crédit

Les établissements de crédit au sens du règlement (UE) n° 575/2013 sont les premiers visés. Cela inclut les banques commerciales, les banques de détail, les banques d’investissement et les établissements de crédit spécialisés. C’est le coeur du secteur financier, et le législateur européen a logiquement place ces acteurs en première ligne.

Etablissements de paiement

Les établissements de paiement agréés en vertu de la directive (UE) 2015/2366 (DSP2) sont concernés. Cela couvre les prestataires de services de paiement, y compris ceux proposant des services d’initiation de paiement et d’information sur les comptes. Les fintech, qui doivent concilier DORA, RGPD et DSP2, sont particulièrement impactées.

Prestataires de services de paiement exemptés

Les prestataires de services de paiement beneficiant d’une exemption au titre de l’article 32, paragraphe 1, de la directive DSP2 ne sont pas exemptés de DORA. Le règlement s’applique a eux, sauf disposition contraire expresse.

Etablissements de monnaie électronique

Les établissements de monnaie électronique au sens de la directive 2009/110/CE sont inclus dans le périmètre. Les emetteurs de monnaie électronique doivent donc se conformer aux exigences de résilience opérationnelle numérique.

Entreprises d’investissement

Les entreprises d’investissement au sens de la directive 2014/65/UE (MiFID II) sont couvertes. Cela inclut les sociétés de gestion de portefeuille, les courtiers, les entreprises de négociation pour compte propre et les conseillers en investissement agréés.

Prestataires de services sur crypto-actifs

Les prestataires de services sur crypto-actifs agréés au titre du règlement (UE) 2023/1114 (MiCA) et les emetteurs de jetons se referant à des actifs sont expressément visés par DORA. L’inclusion de ce secteur emergent témoigne de la volonté du législateur de couvrir l’ensemble de l’écosystème financier, y compris ses composantes les plus récentes.

Depositaires centraux de titres

Les dépositaires centraux de titres (DCT) au sens du règlement (UE) n° 909/2014 sont soumis à DORA. Ces infrastructures jouent un rôle systémique dans le règlement-livraison des transactions sur titres.

Contreparties centrales

Les contreparties centrales (CCP) au sens du règlement (UE) n° 648/2012 (EMIR) sont couvertes. En tant qu’infrastructures de marché d’importance systémique, elles sont naturellement au coeur des préoccupations de résilience opérationnelle.

Plates-formes de négociation

Les plates-formes de négociation – marchés réglementés, systèmes multilateraux de négociation (MTF) et systèmes organises de négociation (OTF) – sont visées en tant qu’opérateurs d’infrastructures de marché.

Referentiels centraux

Les référentiels centraux (trade repositories) au sens du règlement EMIR sont également concernés. Ces entités centralisent les données relatives aux contrats dérives et jouent un rôle clé dans la transparence des marchés.

Sociétés de gestion

Les sociétés de gestion d’organismes de placement collectif en valeurs mobilières (OPCVM) au sens de la directive 2009/65/CE et les gestionnaires de fonds d’investissement alternatifs (AIFM) au sens de la directive 2011/61/UE sont inclus.

Entreprises d’assurance et de reassurance

Les entreprises d’assurance et de reassurance au sens de la directive 2009/138/CE (Solvabilite II) sont soumises à DORA. L’ensemble du secteur assurantiel européen est donc concerne.

Intermediaires d’assurance et de reassurance

Les intermédiaires d’assurance, les intermédiaires de reassurance et les intermédiaires d’assurance à titre accessoire sont visés, à condition qu’ils atteignent certains seuils d’activité définis par le règlement.

Institutions de retraite professionnelle

Les institutions de retraite professionnelle (IRP) au sens de la directive (UE) 2016/2341 sont couvertes par DORA.

Agences de notation de crédit

Les agences de notation de crédit au sens du règlement (CE) n° 1060/2009 sont incluses dans le périmètre.

Administrateurs d’indices de référence

Les administrateurs d’indices de référence critiques au sens du règlement (UE) 2016/1011 sont soumis à DORA.

Prestataires de services de financement participatif

Les prestataires de services de financement participatif (crowdfunding) au sens du règlement (UE) 2020/1503 sont concernés.

Referentiels de titrisation

Les référentiels de titrisation au sens du règlement (UE) 2017/2402 sont également visés.

Synthèse des entités couvertes

# Catégorie Texte de référence
1 Etablissements de crédit CRR (575/2013)
2 Etablissements de paiement DSP2 (2015/2366)
3 Prestataires de paiement exemptés DSP2 art. 32
4 Etablissements de monnaie électronique DME2 (2009/110)
5 Entreprises d’investissement MiFID II (2014/65)
6 Prestataires de services sur crypto-actifs MiCA (2023/1114)
7 Emetteurs de jetons se referant à des actifs MiCA (2023/1114)
8 Depositaires centraux de titres CSDR (909/2014)
9 Contreparties centrales EMIR (648/2012)
10 Plates-formes de négociation MiFID II (2014/65)
11 Referentiels centraux EMIR (648/2012)
12 Sociétés de gestion d’OPCVM UCITS (2009/65)
13 Gestionnaires de FIA AIFMD (2011/61)
14 Entreprises d’assurance Solvabilite II (2009/138)
15 Entreprises de reassurance Solvabilite II (2009/138)
16 Intermediaires d’assurance DDA (2016/97)
17 Institutions de retraite professionnelle IORP II (2016/2341)
18 Agences de notation de crédit CRA (1060/2009)
19 Administrateurs d’indices de référence BMR (2016/1011)
20 Prestataires de financement participatif ECSP (2020/1503)
21 Referentiels de titrisation Titrisation (2017/2402)

Les prestataires tiers de services TIC

Un périmètre étendu aux fournisseurs

L’une des innovations majeures de DORA est l’extension de son périmètre aux prestataires tiers de services TIC. Le règlement ne se limite pas aux entités financières elles-mêmes : il couvre également les entreprises qui leur fournissent des services technologiques.

Un prestataire tiers de services TIC est défini à l’article 3, point 21, comme toute entreprise fournissant des services TIC à une entité financière. Cela inclut, sans s’y limiter :

  • Les fournisseurs de services cloud (IaaS, PaaS, SaaS).
  • Les éditeurs de logiciels financiers (core banking, trading, risk management).
  • Les prestataires de services d’infrastructure (hébergement, réseau, centres de données).
  • Les fournisseurs de services de sécurité informatique (SOC, SIEM, IAM).
  • Les prestataires de services de données (flux de données de marché, référence data).
  • Les prestataires de services de communication (SWIFT, réseaux de paiement).

Le régime de surveillance des prestataires TIC critiques

DORA instaure un cadre de surveillance directe par les autorités européennes de surveillance (AES) pour les prestataires TIC désignés comme critiques. Les trois AES – l’EBA (banque), l’EIOPA (assurance) et l’ESMA (marchés) – désignent conjointement les prestataires TIC critiques selon des critères définis à l’article 31 du règlement :

  • L’importance systémique du prestataire pour le secteur financier.
  • Le degré de dépendance des entités financières vis-à-vis du prestataire.
  • Le caractère substituable ou non du service fourni.
  • Le nombre et la taille des entités financières clientes.
  • L’impact potentiel d’une défaillance du prestataire sur la stabilité financière.

Les prestataires TIC critiques sont soumis à un régime de surveillance comprenant des inspections, des demandes d’information et des recommandations. En cas de non-conformité persistante, les AES peuvent imposer des astreintes.

Obligations contractuelles

Même pour les prestataires TIC non désignés comme critiques, DORA impose aux entités financières des exigences contractuelles renforcées (article 30). Les contrats avec les prestataires TIC doivent notamment comporter :

  • Une description précise des services fournis.
  • Les niveaux de service attendus.
  • Les obligations en matière de sécurité de l’information.
  • Les droits d’audit de l’entité financière et des autorités de surveillance.
  • Les conditions de résiliation et de portabilité des données.
  • L’obligation de notification des incidents.

Le principe de proportionnalité

Application graduée

L’article 4 de DORA posé le principe de proportionnalité. Les exigences du règlement s’appliquent en tenant compte de la taille de l’entité financière, de la nature, de l’échelle et de la complexité de ses services, activités et opérations, ainsi que de son profil de risque global.

Concrètement, cela signifie que :

  • Une grande banque d’importance systémique sera soumise à l’ensemble des exigences, y compris les tests de penetration fondés sur la menace (TLPT).
  • Une petite entreprise d’investissement pourra appliquer un cadre de gestion des risques TIC simplifié.
  • Un intermédiaire d’assurance de taille modeste ne sera pas tenu aux mêmes niveaux d’exigence qu’un assureur de premier plan.

Cadre simplifié pour les petites entités

L’article 16 de DORA prévoit un cadre de gestion des risques TIC simplifié pour certaines catégories d’entités :

  • Les petites entreprises d’investissement non interconnectées.
  • Les établissements de paiement exemptés au titre de la DSP2.
  • Les établissements exemptés au titre de la directive sur la monnaie électronique.
  • Les petites institutions de retraite professionnelle.

Ce cadre simplifié allegre certaines exigences de documentation et de gouvernance, tout en maintenant les obligations essentielles en matière de sécurité, de tests et de gestion des incidents.

Les exemptions

Entites exclues du périmètre

L’article 2, paragraphe 3, de DORA exclut certaines entités de son champ d’application :

  • Les gestionnaires de FIA qui gerent des fonds dont le total des actifs ne dépasse pas certains seuils définis par la directive AIFMD et qui ne sont pas enregistrés.
  • Les intermédiaires d’assurance et de reassurance qui sont des micro-entreprises ou des petites entreprises.
  • Les institutions de retraite professionnelle qui gerent des régimes de retraite ne comptant pas plus de 15 membres au total.

Ces exemptions sont strictement delimitees. En cas de doute sur l’applicabilité de l’exemption, il est recommande de consulter l’autorité de surveillance nationale compétente.

Entites partiellement exemptés

Certaines entités sont soumises à DORA mais bénéficient d’allegements spécifiques. C’est le cas des entités relevant du cadre simplifié mentionné ci-dessus (article 16), qui doivent respecter les obligations de DORA mais selon des modalités adaptées à leur taille et à leur profil de risque.

Autorités de surveillance compétentes

Le contrôle du respect de DORA relève des autorités de surveillance nationales et européennes :

  • En France, l’ACPR (Autorité de contrôle prudentiel et de resolution) est compétente pour les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les entreprises d’assurance et de reassurance.
  • L’AMF (Autorité des marchés financiers) est compétente pour les entreprises d’investissement, les sociétés de gestion, les plates-formes de négociation et les prestataires de services sur crypto-actifs.
  • Au niveau européen, les AES (EBA, EIOPA, ESMA) exercent la surveillance des prestataires TIC critiques et coordonnent l’application du règlement.

Comment déterminer si vous êtes concerne

Pour déterminer si votre organisation est soumise à DORA, suivez cette méthodologie :

  1. Identifiez votre activité. Votre entreprise exercé-t-elle une activité relevant de l’une des 21 catégories listées à l’article 2 ? Si oui, vous êtes en principe soumis à DORA.

  2. Vérifiez les exemptions. Votre entreprise relève-t-elle de l’une des exemptions prévues à l’article 2, paragraphe 3 ? Si oui, vous n’êtes pas soumis à DORA (ou seulement partiellement).

  3. Évaluez la proportionnalité. Quelle est la taille de votre entreprise, la complexité de vos opérations et votre profil de risque ? Cela determinera le niveau d’exigence applicable (cadre complet ou cadre simplifié).

  4. Évaluez votre rôle de prestataire TIC. Si vous n’êtes pas une entité financière mais que vous fournissez des services TIC à des entités financières, vous êtes concerne par DORA en tant que prestataire tiers. Vos clients vous imposeront des obligations contractuelles conformes au règlement.

  5. Vérifiez la désignation comme prestataire critique. Si vous êtes un prestataire TIC majeur du secteur financier, vous pourriez être désigné comme prestataire critique par les AES et soumis à une surveillance directe.

Conclusion

DORA dessine un périmètre d’application délibérément large. Les 21 catégories d’entités financières couvrent la quasi-totalité du secteur, des banques aux prestataires de crowdfunding, en passant par les assureurs, les entreprises d’investissement et les prestataires de services sur crypto-actifs. L’extension aux prestataires TIC, et en particulier le régime de surveillance des prestataires critiques, constitue une avancée majeure dans la régulation du risque opérationnel numérique.

Le principe de proportionnalité offre une flexibilité bienvenue pour les petites entités, mais il ne dispense personne d’évaluer sa situation et de se mettre en conformité. Chaque organisation doit déterminer avec précision son statut au regard de DORA et engager les actions nécessaires. Pour un guide complet de mise en conformité, consultez notre guide DORA.

Articles lies

DORA / Finance

Tests de résilience DORA : TLPT et obligations

12 mars 2026 · 13 min
DORA / Finance

Gestion des risques TIC sous DORA : cadre et exigences

26 fevrier 2026 · 14 min
DORA / Finance

DORA et NIS2 : articulation et double conformité financière

12 fevrier 2026 · 12 min