Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 28 mars 2026
Accueil/DORA / Finance/DORA : qui est concerne par le reglement
DORA / Finance

DORA : qui est concerne par le reglement

DORA s'applique a 21 categories d'entites financieres et a leurs prestataires TIC critiques.

Par Thiebaut DevergrannePublie le 15 janvier 2026Mis a jour le 15 janvier 202611 min de lecture
Sommaire
  1. Introduction
  2. Les 21 categories d’entites financieres
  3. Synthese des entites couvertes
  4. Les prestataires tiers de services TIC
  5. Le principe de proportionnalite
  6. Les exemptions
  7. Autorites de surveillance competentes
  8. Comment determiner si vous etes concerne
  9. Conclusion

Introduction

Le reglement (UE) 2022/2554 sur la resilience operationnelle numerique du secteur financier, dit DORA (Digital Operational Resilience Act), est entre en application le 17 janvier 2025. Il impose un cadre harmonise de gestion des risques lies aux technologies de l’information et de la communication (TIC) pour l’ensemble du secteur financier europeen.

L’une des premieres questions que se pose toute organisation est celle de son assujettissement : mon entreprise est-elle concernee par DORA ? La reponse se trouve dans l’article 2 du reglement, qui definit un perimetre d’application remarquablement large, couvrant 21 categories d’entites financieres et s’etendant aux prestataires tiers de services TIC consideres comme critiques. Pour une vue d’ensemble du reglement, consultez notre guide DORA.

Les 21 categories d’entites financieres

L’article 2, paragraphe 1, du reglement DORA enumere de maniere exhaustive les entites financieres soumises a ses dispositions. Cette liste couvre la quasi-totalite des acteurs du secteur financier europeen.

Etablissements de credit

Les etablissements de credit au sens du reglement (UE) n° 575/2013 sont les premiers vises. Cela inclut les banques commerciales, les banques de detail, les banques d’investissement et les etablissements de credit specialises. C’est le coeur du secteur financier, et le legislateur europeen a logiquement place ces acteurs en premiere ligne.

Etablissements de paiement

Les etablissements de paiement agrees en vertu de la directive (UE) 2015/2366 (DSP2) sont concernes. Cela couvre les prestataires de services de paiement, y compris ceux proposant des services d’initiation de paiement et d’information sur les comptes.

Prestataires de services de paiement exemptes

Les prestataires de services de paiement beneficiant d’une exemption au titre de l’article 32, paragraphe 1, de la directive DSP2 ne sont pas exemptes de DORA. Le reglement s’applique a eux, sauf disposition contraire expresse.

Etablissements de monnaie electronique

Les etablissements de monnaie electronique au sens de la directive 2009/110/CE sont inclus dans le perimetre. Les emetteurs de monnaie electronique doivent donc se conformer aux exigences de resilience operationnelle numerique.

Entreprises d’investissement

Les entreprises d’investissement au sens de la directive 2014/65/UE (MiFID II) sont couvertes. Cela inclut les societes de gestion de portefeuille, les courtiers, les entreprises de negociation pour compte propre et les conseillers en investissement agrees.

Prestataires de services sur crypto-actifs

Les prestataires de services sur crypto-actifs agrees au titre du reglement (UE) 2023/1114 (MiCA) et les emetteurs de jetons se referant a des actifs sont expressement vises par DORA. L’inclusion de ce secteur emergent temoigne de la volonte du legislateur de couvrir l’ensemble de l’ecosysteme financier, y compris ses composantes les plus recentes.

Depositaires centraux de titres

Les depositaires centraux de titres (DCT) au sens du reglement (UE) n° 909/2014 sont soumis a DORA. Ces infrastructures jouent un role systemique dans le reglement-livraison des transactions sur titres.

Contreparties centrales

Les contreparties centrales (CCP) au sens du reglement (UE) n° 648/2012 (EMIR) sont couvertes. En tant qu’infrastructures de marche d’importance systemique, elles sont naturellement au coeur des preoccupations de resilience operationnelle.

Plates-formes de negociation

Les plates-formes de negociation – marches reglementes, systemes multilateraux de negociation (MTF) et systemes organises de negociation (OTF) – sont visees en tant qu’operateurs d’infrastructures de marche.

Referentiels centraux

Les referentiels centraux (trade repositories) au sens du reglement EMIR sont egalement concernes. Ces entites centralisent les donnees relatives aux contrats derives et jouent un role cle dans la transparence des marches.

Societes de gestion

Les societes de gestion d’organismes de placement collectif en valeurs mobilieres (OPCVM) au sens de la directive 2009/65/CE et les gestionnaires de fonds d’investissement alternatifs (AIFM) au sens de la directive 2011/61/UE sont inclus.

Entreprises d’assurance et de reassurance

Les entreprises d’assurance et de reassurance au sens de la directive 2009/138/CE (Solvabilite II) sont soumises a DORA. L’ensemble du secteur assurantiel europeen est donc concerne.

Intermediaires d’assurance et de reassurance

Les intermediaires d’assurance, les intermediaires de reassurance et les intermediaires d’assurance a titre accessoire sont vises, a condition qu’ils atteignent certains seuils d’activite definis par le reglement.

Institutions de retraite professionnelle

Les institutions de retraite professionnelle (IRP) au sens de la directive (UE) 2016/2341 sont couvertes par DORA.

Agences de notation de credit

Les agences de notation de credit au sens du reglement (CE) n° 1060/2009 sont incluses dans le perimetre.

Administrateurs d’indices de reference

Les administrateurs d’indices de reference critiques au sens du reglement (UE) 2016/1011 sont soumis a DORA.

Prestataires de services de financement participatif

Les prestataires de services de financement participatif (crowdfunding) au sens du reglement (UE) 2020/1503 sont concernes.

Referentiels de titrisation

Les referentiels de titrisation au sens du reglement (UE) 2017/2402 sont egalement vises.

Synthese des entites couvertes

# Categorie Texte de reference
1 Etablissements de credit CRR (575/2013)
2 Etablissements de paiement DSP2 (2015/2366)
3 Prestataires de paiement exemptes DSP2 art. 32
4 Etablissements de monnaie electronique DME2 (2009/110)
5 Entreprises d’investissement MiFID II (2014/65)
6 Prestataires de services sur crypto-actifs MiCA (2023/1114)
7 Emetteurs de jetons se referant a des actifs MiCA (2023/1114)
8 Depositaires centraux de titres CSDR (909/2014)
9 Contreparties centrales EMIR (648/2012)
10 Plates-formes de negociation MiFID II (2014/65)
11 Referentiels centraux EMIR (648/2012)
12 Societes de gestion d’OPCVM UCITS (2009/65)
13 Gestionnaires de FIA AIFMD (2011/61)
14 Entreprises d’assurance Solvabilite II (2009/138)
15 Entreprises de reassurance Solvabilite II (2009/138)
16 Intermediaires d’assurance DDA (2016/97)
17 Institutions de retraite professionnelle IORP II (2016/2341)
18 Agences de notation de credit CRA (1060/2009)
19 Administrateurs d’indices de reference BMR (2016/1011)
20 Prestataires de financement participatif ECSP (2020/1503)
21 Referentiels de titrisation Titrisation (2017/2402)

Les prestataires tiers de services TIC

Un perimetre etendu aux fournisseurs

L’une des innovations majeures de DORA est l’extension de son perimetre aux prestataires tiers de services TIC. Le reglement ne se limite pas aux entites financieres elles-memes : il couvre egalement les entreprises qui leur fournissent des services technologiques.

Un prestataire tiers de services TIC est defini a l’article 3, point 21, comme toute entreprise fournissant des services TIC a une entite financiere. Cela inclut, sans s’y limiter :

  • Les fournisseurs de services cloud (IaaS, PaaS, SaaS).
  • Les editeurs de logiciels financiers (core banking, trading, risk management).
  • Les prestataires de services d’infrastructure (hebergement, reseau, centres de donnees).
  • Les fournisseurs de services de securite informatique (SOC, SIEM, IAM).
  • Les prestataires de services de donnees (flux de donnees de marche, reference data).
  • Les prestataires de services de communication (SWIFT, reseaux de paiement).

Le regime de surveillance des prestataires TIC critiques

DORA instaure un cadre de surveillance directe par les autorites europeennes de surveillance (AES) pour les prestataires TIC designes comme critiques. Les trois AES – l’EBA (banque), l’EIOPA (assurance) et l’ESMA (marches) – designent conjointement les prestataires TIC critiques selon des criteres definis a l’article 31 du reglement :

  • L’importance systemique du prestataire pour le secteur financier.
  • Le degre de dependance des entites financieres vis-a-vis du prestataire.
  • Le caractere substituable ou non du service fourni.
  • Le nombre et la taille des entites financieres clientes.
  • L’impact potentiel d’une defaillance du prestataire sur la stabilite financiere.

Les prestataires TIC critiques sont soumis a un regime de surveillance comprenant des inspections, des demandes d’information et des recommandations. En cas de non-conformite persistante, les AES peuvent imposer des astreintes.

Obligations contractuelles

Meme pour les prestataires TIC non designes comme critiques, DORA impose aux entites financieres des exigences contractuelles renforcees (article 30). Les contrats avec les prestataires TIC doivent notamment comporter :

  • Une description precise des services fournis.
  • Les niveaux de service attendus.
  • Les obligations en matiere de securite de l’information.
  • Les droits d’audit de l’entite financiere et des autorites de surveillance.
  • Les conditions de resiliation et de portabilite des donnees.
  • L’obligation de notification des incidents.

Le principe de proportionnalite

Application graduee

L’article 4 de DORA pose le principe de proportionnalite. Les exigences du reglement s’appliquent en tenant compte de la taille de l’entite financiere, de la nature, de l’echelle et de la complexite de ses services, activites et operations, ainsi que de son profil de risque global.

Concretement, cela signifie que :

  • Une grande banque d’importance systemique sera soumise a l’ensemble des exigences, y compris les tests de penetration fondes sur la menace (TLPT).
  • Une petite entreprise d’investissement pourra appliquer un cadre de gestion des risques TIC simplifie.
  • Un intermediaire d’assurance de taille modeste ne sera pas tenu aux memes niveaux d’exigence qu’un assureur de premier plan.

Cadre simplifie pour les petites entites

L’article 16 de DORA prevoit un cadre de gestion des risques TIC simplifie pour certaines categories d’entites :

  • Les petites entreprises d’investissement non interconnectees.
  • Les etablissements de paiement exemptes au titre de la DSP2.
  • Les etablissements exemptes au titre de la directive sur la monnaie electronique.
  • Les petites institutions de retraite professionnelle.

Ce cadre simplifie allegre certaines exigences de documentation et de gouvernance, tout en maintenant les obligations essentielles en matiere de securite, de tests et de gestion des incidents.

Les exemptions

Entites exclues du perimetre

L’article 2, paragraphe 3, de DORA exclut certaines entites de son champ d’application :

  • Les gestionnaires de FIA qui gerent des fonds dont le total des actifs ne depasse pas certains seuils definis par la directive AIFMD et qui ne sont pas enregistres.
  • Les intermediaires d’assurance et de reassurance qui sont des micro-entreprises ou des petites entreprises.
  • Les institutions de retraite professionnelle qui gerent des regimes de retraite ne comptant pas plus de 15 membres au total.

Ces exemptions sont strictement delimitees. En cas de doute sur l’applicabilite de l’exemption, il est recommande de consulter l’autorite de surveillance nationale competente.

Entites partiellement exemptes

Certaines entites sont soumises a DORA mais beneficient d’allegements specifiques. C’est le cas des entites relevant du cadre simplifie mentionne ci-dessus (article 16), qui doivent respecter les obligations de DORA mais selon des modalites adaptees a leur taille et a leur profil de risque.

Autorites de surveillance competentes

Le controle du respect de DORA releve des autorites de surveillance nationales et europeennes :

  • En France, l’ACPR (Autorite de controle prudentiel et de resolution) est competente pour les etablissements de credit, les etablissements de paiement, les etablissements de monnaie electronique, les entreprises d’assurance et de reassurance.
  • L’AMF (Autorite des marches financiers) est competente pour les entreprises d’investissement, les societes de gestion, les plates-formes de negociation et les prestataires de services sur crypto-actifs.
  • Au niveau europeen, les AES (EBA, EIOPA, ESMA) exercent la surveillance des prestataires TIC critiques et coordonnent l’application du reglement.

Comment determiner si vous etes concerne

Pour determiner si votre organisation est soumise a DORA, suivez cette methodologie :

  1. Identifiez votre activite. Votre entreprise exerce-t-elle une activite relevant de l’une des 21 categories listees a l’article 2 ? Si oui, vous etes en principe soumis a DORA.

  2. Verifiez les exemptions. Votre entreprise releve-t-elle de l’une des exemptions prevues a l’article 2, paragraphe 3 ? Si oui, vous n’etes pas soumis a DORA (ou seulement partiellement).

  3. Evaluez la proportionnalite. Quelle est la taille de votre entreprise, la complexite de vos operations et votre profil de risque ? Cela determinera le niveau d’exigence applicable (cadre complet ou cadre simplifie).

  4. Evaluez votre role de prestataire TIC. Si vous n’etes pas une entite financiere mais que vous fournissez des services TIC a des entites financieres, vous etes concerne par DORA en tant que prestataire tiers. Vos clients vous imposeront des obligations contractuelles conformes au reglement.

  5. Verifiez la designation comme prestataire critique. Si vous etes un prestataire TIC majeur du secteur financier, vous pourriez etre designe comme prestataire critique par les AES et soumis a une surveillance directe.

Conclusion

DORA dessine un perimetre d’application deliberement large. Les 21 categories d’entites financieres couvrent la quasi-totalite du secteur, des banques aux prestataires de crowdfunding, en passant par les assureurs, les entreprises d’investissement et les prestataires de services sur crypto-actifs. L’extension aux prestataires TIC, et en particulier le regime de surveillance des prestataires critiques, constitue une avancee majeure dans la regulation du risque operationnel numerique.

Le principe de proportionnalite offre une flexibilite bienvenue pour les petites entites, mais il ne dispense personne d’evaluer sa situation et de se mettre en conformite. Chaque organisation doit determiner avec precision son statut au regard de DORA et engager les actions necessaires. Pour un guide complet de mise en conformite, consultez notre guide DORA.

Restez informe sur la conformite

Recevez nos analyses et guides pratiques sur le RGPD, NIS2, AI Act et plus. Rejoint par 52 000+ professionnels.

Articles lies

DORA / Finance

Tests de resilience DORA : TLPT et obligations

12 mars 2026 · 13 min
DORA / Finance

Gestion des risques TIC sous DORA : cadre et exigences

26 fevrier 2026 · 14 min
DORA / Finance

DORA et NIS2 : articulation et double conformite financiere

12 fevrier 2026 · 12 min