Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/DORA / Finance/Sous-traitance TIC : clauses contractuelles DORA
DORA / Finance

Sous-traitance TIC : clauses contractuelles DORA

Sous-traitance TIC sous DORA : clauses contractuelles obligatoires, droits d'audit, plans de sortie et gestion des prestataires.

Par Thiébaut DevergrannePublie le 3 fevrier 2026Mis a jour le 3 fevrier 20268 min de lecture
Sommaire
  1. L’évaluation préalable des prestataires TIC
  2. Les clauses contractuelles obligatoires
  3. L’articulation avec le RGPD
  4. Le registre des accords contractuels
  5. La surveillance continue des prestataires
  6. Les stratégies de sortie
  7. FAQ

Le quatrième pilier du règlement DORA impose aux entités financières un cadre rigoureux de gestion des risques liés aux prestataires tiers de services TIC. L’article 28 et les articles suivants du règlement définissent les obligations en matière d’évaluation préalable, de clauses contractuelles obligatoires, de surveillance continue et de stratégie de sortie. La sous-traitance TIC sous DORA va bien au-delà des pratiques contractuelles habituelles : elle impose une structuration complète de la relation prestataire, de la sélection au desengagement.

Pour les entités financières qui ont construit leur architecture informatique sur des services cloud et des solutions tierces, la mise en conformité des contrats TIC constitue un chantier considérable, impliquant la renegociation de dizaines voire de centaines de contrats.

L’évaluation préalable des prestataires TIC

L’analyse de risques avant contractualisation

Avant toute externalisation de services TIC, l’entité financière doit réaliser une analyse de risques couvrant la criticite des fonctions supportees par le service externalisé (fonctions critiques ou importantes versus fonctions non critiques), la réputation et la solidité financière du prestataire, les compétences techniques et les certifications du prestataire, la localisation géographique des données et des centres de traitement, le risque de concentration (dépendance excessive à un prestataire unique), et la capacité du prestataire à respecter les exigences réglementaires applicables.

Cette évaluation doit être documentée et intégrée dans le cadre de gestion des risques TIC de l’entité. Pour les services supportant des fonctions critiques ou importantes, l’évaluation est renforcée et doit être validée par l’organe de direction.

La due diligence prestataire

La due diligence prestataire doit couvrir la gouvernance et l’organisation du prestataire, les politiques de sécurité de l’information, les dispositifs de continuité d’activité et de reprise après sinistre, la gestion des vulnérabilités et des incidents, la conformité réglementaire (DORA, RGPD, NIS2 le cas échéant), et les rapports d’audit (SOC 2, ISO 27001, rapports d’audit interne).

Les clauses contractuelles obligatoires

Les clauses minimales pour tous les contrats TIC

L’article 30 du règlement DORA impose un socle de clauses contractuelles minimales pour l’ensemble des contrats de services TIC :

La description précise des services : nature, périmètre, niveaux de service, indicateurs de performance. La description doit être suffisamment détaillée pour permettre un suivi effectif de l’exécution.

Les obligations en matière de disponibilité, authenticité, intégrité et confidentialité des données : le prestataire doit garantir la protection des données qu’il traité pour le compte de l’entité financière.

Les obligations de notification des incidents : le prestataire doit notifier à l’entité financière, dans les meilleurs délais, tout incident TIC affectant les services fournis. Cette obligation est essentielle pour permettre à l’entité de respecter ses propres obligations de notification des incidents.

Les droits d’accès, d’inspection et d’audit : l’entité financière et son autorité de supervision doivent disposer de droits d’accès aux locaux, systèmes et données du prestataire. Ces droits doivent être effectifs et exercables sans restriction disproportionnée.

Les obligations de coopération avec les autorités de supervision : le prestataire doit coopérer pleinement avec les autorités de supervision de l’entité financière.

Les conditions de résiliation : les conditions dans lesquelles l’entité financière peut résilier le contrat, incluant la résiliation pour non-conformité aux obligations de sécurité.

Les clauses renforcées pour les fonctions critiques ou importantes

Pour les contrats portant sur des fonctions critiques ou importantes, DORA impose des clauses supplémentaires :

Les niveaux de service (SLA) détaillés : définition précise des objectifs de disponibilité, des temps de réponse, des temps de resolution, et des pénalités en cas de non-respect.

Les plans de sortie (exit plans) : le contrat doit prévoir les conditions de transfert des services et des données à un autre prestataire ou de reinternalisation, incluant les délais de transition, les formats de données, l’assistance à la migration, et les conditions financières de la sortie.

La sous-traitance en cascade : le prestataire doit informer l’entité financière de tout recours à des sous-traitants pour l’exécution des services. L’entité doit avoir la possibilité de s’opposer à certains sous-traitants ou de résilier le contrat si la sous-traitance en cascade compromet sa capacité à respecter ses obligations réglementaires.

La localisation des données : le contrat doit préciser la localisation des données et des traitements. Toute modification de la localisation doit faire l’objet d’une notification préalable à l’entité financière.

Les obligations de continuité : le prestataire doit disposer de plans de continuité d’activité et de reprise après sinistre adaptés aux exigences de l’entité financière.

L’articulation avec le RGPD

Le contrat de sous-traitance article 28 RGPD

Lorsque le prestataire TIC traité des données personnelles pour le compte de l’entité financière, un contrat de sous-traitance conforme à l’article 28 du RGPD doit être conclu, en complement des clauses DORA. Les exigences du RGPD couvrent les instructions du responsable de traitement, les mesures de sécurité, la sous-traitance ultérieure, l’assistance dans l’exercice des droits des personnes, la notification des violations de données, et la restitution ou suppression des données en fin de contrat.

Les clauses DORA et les clauses RGPD se completent mais ne se substituent pas les unes aux autres. Le contrat doit satisfaire aux exigences des deux réglementations. La gestion des incidents données personnelles fait l’objet d’obligations spécifiques dans les deux cadres.

Les transferts de données hors UE

Si le prestataire TIC est établi hors de l’Union européenne ou transfère des données vers des pays tiers, les mécanismes de transfert du RGPD (décision d’adéquation, clauses contractuelles types, règles d’entreprise contraignantes) doivent être mis en place. DORA ajouté des exigences spécifiques concernant la localisation des données et les risques juridiques liés aux legislations de pays tiers (accès aux données par des autorités étrangères).

Le registre des accords contractuels

L’article 28(3) de DORA impose à chaque entité financière de tenir un registre des accords TIC avec l’ensemble de ses prestataires de services TIC. Ce registre doit être exhaustif, à jour et accessible aux autorités de supervision sur demande.

Le registre constitue un outil essentiel de pilotage de la relation prestataire et de gestion du risque de concentration. Il permet à l’entité et à ses autorités d’avoir une vue consolidée de l’ensemble des dépendances technologiques.

La surveillance continue des prestataires

Le dispositif de suivi

La relation avec les prestataires TIC ne s’arrêté pas à la signature du contrat. L’entité financière doit mettre en place un dispositif de surveillance continue incluant le suivi des indicateurs de performance (SLA), le suivi des incidents et de leur resolution, des audits réguliers (internes ou externes), la revue périodique de l’analyse de risques, et le suivi de la conformité réglementaire du prestataire.

Les comites de pilotage

Pour les prestataires supportant des fonctions critiques, des comites de pilotage réguliers doivent être tenus, associant les équipes opérationnelles, les fonctions risques et conformité, et la direction de l’entité financière. Ces comites examinent la performance du prestataire, les incidents survenus, les évolutions prévues et les risques identifiés.

Les stratégies de sortie

L’obligation de plan de sortie

DORA impose aux entités financières de disposer de plans de sortie credibles pour les services TIC supportant des fonctions critiques ou importantes. Ces plans doivent être elabores, documentés, testes et maintenus tout au long de la relation contractuelle.

Le plan de sortie doit préciser les scénarios de sortie (résiliation planifiee, résiliation d’urgence, défaillance du prestataire), les délais de transition, les modalités de transfert des données et des services, les ressources nécessaires (humaines, techniques, financières), les conditions de préservation de la continuité de service pendant la transition, et les tests de la stratégie de sortie.

La portabilité des données

Le contrat doit garantir la portabilité des données dans des formats exploitables par l’entité financière ou par un prestataire successeur. Cette exigence rejoint les obligations du Data Act en matière de portabilité des données cloud et celles du RGPD en matière de portabilité des données personnelles.

Les conditions de portabilité doivent être définies des la signature du contrat, et non au moment de la sortie, moment où le rapport de force est défavorable à l’entité financière.

FAQ

Tous les contrats TIC d’une entité financière doivent-ils être mis en conformité avec DORA ?

Oui. Le règlement DORA s’appliqué à l’ensemble des accords contractuels entre une entité financière et un prestataire tiers de services TIC, quelle que soit l’importance du service. Les clauses contractuelles minimales de l’article 30 s’appliquent à tous les contrats. Les clauses renforcées s’ajoutent pour les contrats portant sur des fonctions critiques ou importantes. L’ampleur du chantier de mise en conformité dépend du nombre de contrats existants et de leur niveau actuel de structuration.

Un prestataire TIC peut-il refuser les droits d’audit prévus par DORA ?

Non. Le droit d’audit est une exigence réglementaire obligatoire. L’entité financière doit disposer de droits d’accès, d’inspection et d’audit sur les systèmes, locaux et opérations du prestataire TIC. Si un prestataire refusé d’accorder ces droits, l’entité financière ne peut pas conclure le contrat (ou doit résilier un contrat existant). En pratique, les modalités d’exercice du droit d’audit (fréquence, préavis, mutualisation entre clients) peuvent être negociees, mais le principe du droit d’audit est non négociable.

Comment gérer la sous-traitance en cascade (sous-traitants du prestataire) ?

DORA exige que l’entité financière soit informée de toute sous-traitance en cascade pour les services supportant des fonctions critiques ou importantes. Le contrat doit prévoir l’obligation du prestataire d’informer l’entité de tout recours à un sous-traitant, le droit de l’entité de s’opposer à un sous-traitant, les conditions dans lesquelles la sous-traitance est autorisée, et la responsabilité du prestataire pour les actes de ses sous-traitants. En pratique, les grands fournisseurs cloud recourent massivement à la sous-traitance en cascade, ce qui rend cette obligation particulièrement complexe à mettre en oeuvre.

Articles lies

DORA / Finance

Tests de résilience DORA : TLPT et obligations

12 mars 2026 · 13 min
DORA / Finance

Gestion des risques TIC sous DORA : cadre et exigences

26 fevrier 2026 · 14 min
DORA / Finance

DORA et NIS2 : articulation et double conformité financière

12 fevrier 2026 · 12 min