Registre accords TIC : obligation DORA et modèle
Registre des accords TIC sous DORA : contenu obligatoire, modèle pratique et bonnes pratiques de tenue du registre.
L’article 28(3) du règlement DORA impose à chaque entité financière de tenir et de maintenir à jour un registre de l’ensemble des accords contractuels conclus avec des prestataires tiers de services TIC. Ce registre constitue un outil fondamental de pilotage des dépendances technologiques et de gestion du risque de concentration. Il doit être accessible aux autorités de supervision sur demande et fait l’objet de normes techniques (ITS) définissant son format et son contenu.
La tenue de ce registre n’est pas une simple formalité administrative. Elle traduit une exigence de visibilité exhaustive sur l’ensemble de l’écosystème technologique de l’entité financière – une visibilité qui, dans de nombreuses organisations, était jusqu’alors fragmentée entre différents services et outils.
Le cadre réglementaire
L’obligation de l’article 28(3)
L’article 28(3) de DORA dispose que les entités financières tiennent et mettent à jour, au niveau de l’entité et au niveau sous-consolidé et consolidé, un registre d’informations relatif à tous les accords contractuels portant sur l’utilisation de services TIC fournis par des prestataires tiers de services TIC.
Ce registre doit être communique à l’autorité compétente au moins une fois par an, ou sur demande. L’autorité peut utiliser ces informations pour évaluer le profil de risque de l’entité en matière de dépendances technologiques.
Les normes techniques (ITS)
Les autorités européennes de surveillance (AES) ont adopté des normes techniques d’exécution (ITS) précisant le format et le contenu du registre. Ces ITS définissent les modèles de tables a utiliser, les champs obligatoires et facultatifs, les classifications et nomenclatures, et les modalités de transmission aux autorités.
Le format défini par les ITS comprend plusieurs tables liées entre elles, formant une base de données relationnelle couvrant les prestataires, les contrats, les services, les fonctions supportees et les sous-traitants en cascade.
Le contenu obligatoire du registre
Les informations sur l’entité financière
Le registre doit d’abord contenir les informations d’identification de l’entité financière elle-même : dénomination sociale, identifiant LEI (Legal Entity Identifier), type d’entité (établissement de crédit, entreprise d’investissement, société de gestion, etc.), autorité compétente, et le cas échéant, groupe de consolidation.
Les informations sur les prestataires TIC
Pour chaque prestataire tiers de services TIC, le registre doit contenir la dénomination sociale et l’identifiant du prestataire, le pays d’établissement, le type de prestataire (fournisseur cloud, éditeur de logiciels, prestataire d’infrastructure, etc.), et le cas échéant, la désignation comme prestataire TIC critique au sens de l’article 31.
Les informations sur les contrats
Pour chaque accord contractuel, le registre doit documenter la référence du contrat, la date de début et la date de fin (ou le caractère indéterminé), la nature des services fournis (description détaillée), le montant du contrat (ou les modalités de tarification), et les conditions de renouvellement et de résiliation.
Les informations sur les services et fonctions
Le registre doit établir le lien entre les services TIC fournis par chaque prestataire et les fonctions de l’entité financière qu’ils supportent. Pour chaque service, il faut indiquer si le service supporte une fonction critique ou importante, les données traitées par le prestataire dans le cadre du service, la localisation des données et des traitements, et l’existence d’une sous-traitance en cascade.
Les informations sur la sous-traitance en cascade
Lorsque le prestataire TIC recourt à des sous-traitants pour l’exécution des services, le registre doit documenter l’identité des sous-traitants, le pays d’établissement, la nature des services sous-traités, et le cas échéant, les sous-traitants de rang supérieur.
La structuré du registre : modèle pratique
Table 1 – Identification de l’entité
| Champ | Description |
|---|---|
| Identifiant entité (LEI) | Code LEI de l’entité financière |
| Denomination sociale | Nom complet de l’entité |
| Type d’entité | Classification DORA |
| Autorité compétente | ACPR, AMF, Banque de France |
| Groupe de consolidation | Le cas échéant |
Table 2 – Prestataires TIC
| Champ | Description |
|---|---|
| Identifiant prestataire | Code unique (LEI si disponible) |
| Denomination sociale | Nom complet du prestataire |
| Pays d’établissement | Code ISO |
| Type de prestataire | Cloud, éditeur, infrastructure, etc. |
| Prestataire TIC critique | Oui/Non |
Table 3 – Contrats
| Champ | Description |
|---|---|
| Reference contrat | Numéro unique |
| Identifiant prestataire | Lien avec Table 2 |
| Date de début | JJ/MM/AAAA |
| Date de fin | JJ/MM/AAAA ou indéterminé |
| Nature des services | Description |
| Montant annuel | Euros |
| Fonction critique | Oui/Non |
| Localisation données | Pays |
| Sous-traitance cascade | Oui/Non |
Table 4 – Fonctions supportees
| Champ | Description |
|---|---|
| Reference contrat | Lien avec Table 3 |
| Fonction supportee | Description de la fonction métier |
| Criticite | Critique / Importante / Autre |
| Données traitées | Catégories de données |
| Données personnelles | Oui/Non |
Table 5 – Sous-traitants en cascade
| Champ | Description |
|---|---|
| Reference contrat | Lien avec Table 3 |
| Identifiant sous-traitant | Code unique |
| Denomination | Nom du sous-traitant |
| Pays | Code ISO |
| Services sous-traités | Description |
Les bonnes pratiques de tenue du registre
La centralisation
Le registre doit être centralisé dans un outil unique, accessible aux équipes concernées (direction, risques, conformité, achats, DSI). La fragmentation du registre entre plusieurs fichiers Excel ou bases de données rend la maintenance difficile et augmenté le risque d’incohérences.
La mise à jour continue
Le registre doit être mis à jour à chaque évènement significatif : conclusion d’un nouveau contrat, modification d’un contrat existant, résiliation, changement de prestataire, ajout ou suppression d’un sous-traitant en cascade, modification de la localisation des données.
Un processus de gouvernance doit définir les responsabilités de mise à jour (qui est responsable de chaque catégorie d’informations), les circuits de validation, et la fréquence des revues complètes.
L’articulation avec le registre des traitements RGPD
Le registre des accords TIC DORA presente des recoupements significatifs avec le registre des traitements impose par l’article 30 du RGPD. Les deux registres documentent les prestataires (sous-traitants au sens du RGPD, prestataires TIC au sens de DORA), les données traitées, et la localisation des données. Il est pertinent d’articuler les deux registres pour éviter les doublons et garantir la cohérence. La conformité RGPD des contrats TIC impose de documenter les mêmes prestataires dans les deux registres.
L’analyse du risque de concentration
Le registre permet de réaliser une analyse du risque de concentration en identifiant les prestataires dont dependend un nombre critique de fonctions, les prestataires non substituables, les concentrations géographiques (dépendance à un pays ou une région), et les chaînes de sous-traitance longues ou opaques.
Cette analyse doit être présentée régulièrement au comité de risques et à l’organe de direction, conformément aux exigences de gestion des risques TIC de DORA.
La communication aux autorités
La transmission annuelle
Le registre doit être transmis à l’autorité compétente au moins une fois par an, dans le format défini par les ITS. En France, les modalités pratiques de transmission sont définies par l’ACPR et l’AMF. La transmission peut être effectuée via les plateformes de reporting existantes ou via un mécanisme spécifique mis en place par les autorités.
Les demandes ponctuelles
L’autorité compétente peut demander communication du registre à tout moment, notamment dans le cadre de contrôles sur place, d’évaluations prudentielles, ou de la surveillance des prestataires TIC critiques. L’entité financière doit être en mesure de fournir le registre dans un délai raisonnable.
L’utilisation par les autorités
Les autorités utilisent les registres pour cartographier les dépendances technologiques du système financier, identifier les risques de concentration au niveau sectoriel, alimenter le processus de désignation des prestataires TIC critiques, et cibler les actions de supervision et de contrôle. Le règlement DORA fait du registre un instrument central de la surveillance macroprudentielle des risques technologiques.
Les écueils à éviter
L’incomplétude
Le registre doit couvrir l’ensemble des accords contractuels TIC, sans exception. Les contrats de faible montant, les services gratuits, les licences logicielles et les accords informels doivent être inclus s’ils portent sur des services TIC. L’incomplétude du registre est un manquement fréquemment relève lors des contrôles.
L’obsolescence
Un registre non mis à jour perd rapidement sa pertinence. Les contrats resilies non supprimes, les sous-traitants modifiés non actualises, et les fonctions reattribuees non documentées faussent l’analyse des risques et peuvent induire les autorités en erreur.
La confusion avec un inventaire IT
Le registre des accords TIC DORA n’est pas un inventaire des actifs informatiques. Il porte sur les accords contractuels avec des prestataires tiers, pas sur les systèmes internes. Les deux exercices sont complémentaires mais distincts.
FAQ
Toutes les entités financières doivent-elles tenir un registre des accords TIC ?
Oui. L’obligation de tenir un registre des accords TIC s’appliqué à toutes les entités financières soumises à DORA, sans exception liée à la taille ou à la nature de l’activité. Les micro-entreprises financières bénéficient d’un cadre simplifié pour certaines obligations de DORA, mais le registre reste obligatoire. Le niveau de détail peut être adapte à la complexité de l’organisation et au nombre de prestataires.
Le registre doit-il inclure les contrats avec des éditeurs de logiciels ?
Oui. Le registre couvre l’ensemble des prestataires tiers de services TIC, y compris les éditeurs de logiciels (licences logicielles, maintenance, support), les fournisseurs de services cloud, les prestataires d’hébergement, les fournisseurs de réseaux de communication, et tout autre prestataire fournissant des services technologiques à l’entité financière. La définition de “services TIC” dans DORA est large et couvre l’ensemble des services numériques et technologiques.
Peut-on utiliser un tableur Excel pour tenir le registre ?
Techniquement oui, mais cette approche est déconseillée pour les entités disposant de nombreux contrats. Un tableur Excel peut rapidement devenir ingerable (doublons, incohérences, perte d’historique) et ne permet pas facilement la production des rapports dans le format ITS impose par les autorités. Des solutions spécialisées de gestion des risques tiers (third-party risk management) offrent des fonctionnalités adaptées : base de données relationnelle, workflows de mise à jour, génération automatique des rapports, et intégration avec les autres outils de gestion des risques. Pour les petites entités avec un nombre limite de prestataires, un tableur structuré et rigoureusement maintenu peut néanmoins suffire.