Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/DORA / Finance/Prestataires TIC critiques : surveillance DORA
DORA / Finance

Prestataires TIC critiques : surveillance DORA

Prestataires TIC critiques sous DORA : désignation, surveillance directe et obligations des fournisseurs cloud et IT du secteur financier.

Par Thiébaut DevergrannePublie le 5 fevrier 2026Mis a jour le 5 fevrier 20268 min de lecture
Sommaire
  1. La désignation des prestataires TIC critiques
  2. Le cadre de surveillance directe
  3. Les obligations des prestataires TIC critiques
  4. Les implications pour les entités financières
  5. L’articulation avec NIS2
  6. L’impact sur le marché des services cloud financiers
  7. FAQ

Le règlement DORA introduit une innovation majeure dans la réglementation financière européenne : la surveillance directe des prestataires tiers de services TIC jugés critiques pour le secteur financier. Jusqu’à l’entrée en application de DORA, les autorités de supervision financière ne pouvaient réguler que les entités financières elles-mêmes, pas leurs fournisseurs technologiques. Cette lacune était devenue insupportable face à la concentration croissante des services cloud et IT critiques entre les mains d’un petit nombre d’acteurs (AWS, Microsoft Azure, Google Cloud, IBM, Oracle, SAP).

Les articles 31 à 44 du règlement DORA mettent en place un cadre de surveillance directe des prestataires TIC critiques, exercé au niveau européen par les autorités européennes de surveillance (AES).

La désignation des prestataires TIC critiques

Les critères de désignation

La désignation des prestataires TIC critiques relève du Comité conjoint des autorités européennes de surveillance, sur recommandation du forum de supervision (Oversight Forum). Les critères de désignation, définis à l’article 31 du règlement, incluent :

L’importance systémique du prestataire : évaluation fondée sur le nombre et la nature des entités financières qui dépendent du prestataire, la part de marché du prestataire dans la fourniture de services TIC au secteur financier, et le degré de substituabilite du prestataire (existence d’alternatives viables).

La criticite des services fournis : évaluation fondée sur la nature des fonctions critiques ou importantes supportees par les services du prestataire, et sur la dépendance des entités financières à l’égard de ces services pour la continuité de leurs activités.

L’impact potentiel en cas de défaillance : évaluation des conséquences d’une panne, d’une cyberattaque ou d’une défaillance du prestataire sur la stabilité du système financier européen.

Les prestataires désignés

En janvier 2025, les autorités européennes de surveillance ont publié la première liste de prestataires TIC désignés comme critiques. Sans surprise, les grands fournisseurs de services cloud figurent parmi les premiers désignés. La liste est revisee périodiquement et peut être étendue a de nouveaux prestataires en fonction de l’évolution du marché et des risques.

Un prestataire désigné comme critique peut contester cette désignation devant les juridictions compétentes. Le règlement prévoit une procédure de consultation préalable permettant au prestataire de faire valoir ses observations avant la désignation définitive.

Le cadre de surveillance directe

Le superviseur principal (Lead Overseer)

Chaque prestataire TIC critique se voit attribuer un superviseur principal, désigné parmi les trois autorités européennes de surveillance (EBA, ESMA, EIOPA) en fonction de la nature des entités financières qui dépendent principalement du prestataire. Le superviseur principal est assiste d’une équipe d’examen conjointe associant les autorités de surveillance nationales concernées.

Les pouvoirs du superviseur principal

Le superviseur principal dispose de pouvoirs d’investigation et de supervision étendus :

Le pouvoir de demander des informations : le superviseur peut exiger du prestataire la communication de toute information nécessaire à l’exercice de sa mission, y compris la documentation technique, les rapports d’audit, les journaux d’incidents, les contrats avec les entités financières, et les politiques de sécurité.

Le pouvoir d’inspection : le superviseur peut mener des inspections générales et des enquêtes sur site dans les locaux du prestataire, avec ou sans préavis. Ces inspections peuvent porter sur les systèmes d’information, les centres de données, les processus de gestion des risques, et les dispositifs de continuité d’activité.

Le pouvoir de recommandation : à l’issue de son évaluation, le superviseur principal adresse des recommandations au prestataire TIC critique, identifiant les lacunes constatées et les mesures correctives à mettre en oeuvre.

Les limites du pouvoir de surveillance

Il est important de noter que le superviseur principal ne dispose pas du pouvoir de sanctionner directement le prestataire TIC critique. En cas de non-respect des recommandations, les conséquences sont indirectes : les autorités de surveillance nationales peuvent exiger des entités financières qu’elles suspendent ou cessent l’utilisation des services du prestataire non conforme. Cette approche exercé une pression économique considérable sur le prestataire.

Les obligations des prestataires TIC critiques

La coopération avec le superviseur

Le prestataire TIC critique doit coopérer pleinement avec le superviseur principal. Cette obligation de coopération inclut la transmission des informations demandées dans les délais prescrits, l’accès aux locaux et systèmes pour les inspections, et la mise en oeuvre des recommandations dans les délais impartis.

La gestion des risques

Bien que DORA n’impose pas directement un cadre de gestion des risques TIC aux prestataires (ce cadre s’appliqué aux entités financières), le superviseur principal evalue la robustesse des pratiques de sécurité et de résilience du prestataire. Les évaluations portent notamment sur la sécurité des systèmes et des données, les capacités de détection et de réponse aux incidents, les plans de continuité d’activité et de reprise après sinistre, la gestion des vulnérabilités et les processus de mise à jour, et la protection des données hébergées pour le compte des entités financières.

Les notifications d’incidents

Les prestataires TIC critiques doivent notifier les incidents majeurs affectant les services fournis aux entités financières. Cette obligation est distincte de l’obligation de notification des entités financières elles-mêmes. Lorsque l’incident affecte des données personnelles, les obligations du RGPD s’ajoutent, conformément à l’analyse des incidents données personnelles sous DORA.

Les implications pour les entités financières

Le registre des accords contractuels

Les entités financières doivent tenir un registre des accords TIC avec l’ensemble de leurs prestataires, y compris les prestataires TIC critiques. Ce registre doit contenir des informations détaillées sur la nature des services, les fonctions critiques supportees, et les conditions contractuelles.

Les clauses contractuelles renforcées

La sous-traitance TIC sous DORA impose des clauses contractuelles spécifiques dans les contrats avec les prestataires TIC critiques. Ces clauses doivent couvrir les droits d’audit et d’accès, les obligations de notification des incidents, les exigences de localisation des données, les plans de sortie et la portabilité, et les garanties de continuité de service.

La stratégie de concentration

Les entités financières doivent évaluer le risque de concentration lié à leur dépendance à l’égard d’un ou plusieurs prestataires TIC critiques. Le règlement DORA exige que les entités tiennent compte du risque de concentration dans leur cadre de gestion des risques TIC et qu’elles disposent de stratégies de sortie credibles.

En pratique, cela suppose d’identifier les fonctions critiques dependantes d’un prestataire unique, d’évaluer la substituabilite des services (délai et coût de migration), de maintenir des plans de sortie réalistes et testes, et d’envisager des architectures multi-cloud ou des solutions de secours.

L’articulation avec NIS2

Le cadre de surveillance des prestataires TIC critiques sous DORA s’articule avec la directive NIS2, qui impose ses propres obligations de cybersécurité aux fournisseurs de services numériques. Un prestataire cloud désigné comme critique sous DORA et comme entité essentielle sous NIS2 sera soumis aux deux régimes simultanément. L’articulation entre DORA et NIS2 a été conçue pour éviter les doublons, le règlement DORA prévalant pour les entités financières et leurs prestataires.

Les fournisseurs cloud qui sont également concernés par le Cyber Resilience Act pour leurs produits logiciels font face à un environnement réglementaire triple qu’il convient de maîtriser de manière intégrée.

L’impact sur le marché des services cloud financiers

La mise en place de la surveillance directe des prestataires TIC critiques à des conséquences significatives sur le marché. Les grands fournisseurs cloud investissent dans des offres spécifiques au secteur financier (régions cloud souveraines, certifications sectorielles, équipes dédiées). Les fournisseurs de taille intermédiaire voient une opportunité de se positionner comme alternatives aux hyperscalers, réduisant le risque de concentration. Les entités financières renforcent leurs équipes de gestion des prestataires et de pilotage des risques tiers.

FAQ

Comment savoir si mon prestataire cloud est désigné comme critique sous DORA ?

La liste des prestataires TIC critiques est publiée par les autorités européennes de surveillance (AES). Les entités financières peuvent consulter cette liste sur les sites de l’EBA, de l’ESMA et de l’EIOPA. Les prestataires désignés sont également tenus d’en informer leurs clients. Si votre prestataire cloud principal figure sur cette liste, vous devez intégrer les implications dans votre cadre de gestion des risques tiers et dans vos obligations de reporting.

Quelles conséquences si un prestataire TIC critique ne suit pas les recommandations du superviseur ?

Si un prestataire TIC critique ne met pas en oeuvre les recommandations du superviseur principal, celui-ci peut demander aux autorités nationales de surveillance d’exiger des entités financières qu’elles cessent partiellement ou totalement l’utilisation des services du prestataire non conforme. Cette mesure extrême n’est utilisée qu’en dernier recours, mais son existence exercé une pression significative sur les prestataires pour qu’ils cooperent.

Les prestataires TIC critiques doivent-ils se conformer au RGPD en plus de DORA ?

Oui. Le règlement DORA ne se substitue pas au RGPD. Les prestataires TIC critiques qui traitent des données personnelles pour le compte des entités financières sont des sous-traitants au sens de l’article 28 du RGPD et doivent satisfaire à l’ensemble des obligations de ce texte (contrat de sous-traitance, mesures de sécurité, notification des violations). La surveillance DORA vient s’ajouter aux contrôles de la CNIL en matière de protection des données.

Articles lies

DORA / Finance

Tests de résilience DORA : TLPT et obligations

12 mars 2026 · 13 min
DORA / Finance

Gestion des risques TIC sous DORA : cadre et exigences

26 fevrier 2026 · 14 min
DORA / Finance

DORA et NIS2 : articulation et double conformité financière

12 fevrier 2026 · 12 min