Sous-traitance TIC : clauses contractuelles DORA

Le quatrieme pilier du reglement DORA impose aux entites financieres un cadre rigoureux de gestion des risques lies aux prestataires tiers de services TIC. L’article 28 et les articles suivants du reglement definissent les obligations en matiere d’evaluation prealable, de clauses contractuelles obligatoires, de surveillance continue et de strategie de sortie. La sous-traitance TIC sous DORA va bien au-dela des pratiques contractuelles habituelles : elle impose une structuration complete de la relation prestataire, de la selection au desengagement.

Pour les entites financieres qui ont construit leur architecture informatique sur des services cloud et des solutions tierces, la mise en conformite des contrats TIC constitue un chantier considerable, impliquant la renegociation de dizaines voire de centaines de contrats.

L’evaluation prealable des prestataires TIC

L’analyse de risques avant contractualisation

Avant toute externalisation de services TIC, l’entite financiere doit realiser une analyse de risques couvrant la criticite des fonctions supportees par le service externalise (fonctions critiques ou importantes versus fonctions non critiques), la reputation et la solidite financiere du prestataire, les competences techniques et les certifications du prestataire, la localisation geographique des donnees et des centres de traitement, le risque de concentration (dependance excessive a un prestataire unique), et la capacite du prestataire a respecter les exigences reglementaires applicables.

Cette evaluation doit etre documentee et integree dans le cadre de gestion des risques TIC de l’entite. Pour les services supportant des fonctions critiques ou importantes, l’evaluation est renforcee et doit etre validee par l’organe de direction.

La due diligence prestataire

La due diligence prestataire doit couvrir la gouvernance et l’organisation du prestataire, les politiques de securite de l’information, les dispositifs de continuite d’activite et de reprise apres sinistre, la gestion des vulnerabilites et des incidents, la conformite reglementaire (DORA, RGPD, NIS2 le cas echeant), et les rapports d’audit (SOC 2, ISO 27001, rapports d’audit interne).

Les clauses contractuelles obligatoires

Les clauses minimales pour tous les contrats TIC

L’article 30 du reglement DORA impose un socle de clauses contractuelles minimales pour l’ensemble des contrats de services TIC :

La description precise des services : nature, perimetre, niveaux de service, indicateurs de performance. La description doit etre suffisamment detaillee pour permettre un suivi effectif de l’execution.

Les obligations en matiere de disponibilite, authenticite, integrite et confidentialite des donnees : le prestataire doit garantir la protection des donnees qu’il traite pour le compte de l’entite financiere.

Les obligations de notification des incidents : le prestataire doit notifier a l’entite financiere, dans les meilleurs delais, tout incident TIC affectant les services fournis. Cette obligation est essentielle pour permettre a l’entite de respecter ses propres obligations de notification des incidents.

Les droits d’acces, d’inspection et d’audit : l’entite financiere et son autorite de supervision doivent disposer de droits d’acces aux locaux, systemes et donnees du prestataire. Ces droits doivent etre effectifs et exercables sans restriction disproportionnee.

Les obligations de cooperation avec les autorites de supervision : le prestataire doit cooperer pleinement avec les autorites de supervision de l’entite financiere.

Les conditions de resiliation : les conditions dans lesquelles l’entite financiere peut resilier le contrat, incluant la resiliation pour non-conformite aux obligations de securite.

Les clauses renforcees pour les fonctions critiques ou importantes

Pour les contrats portant sur des fonctions critiques ou importantes, DORA impose des clauses supplementaires :

Les niveaux de service (SLA) detailles : definition precise des objectifs de disponibilite, des temps de reponse, des temps de resolution, et des penalites en cas de non-respect.

Les plans de sortie (exit plans) : le contrat doit prevoir les conditions de transfert des services et des donnees a un autre prestataire ou de reinternalisation, incluant les delais de transition, les formats de donnees, l’assistance a la migration, et les conditions financieres de la sortie.

La sous-traitance en cascade : le prestataire doit informer l’entite financiere de tout recours a des sous-traitants pour l’execution des services. L’entite doit avoir la possibilite de s’opposer a certains sous-traitants ou de resilier le contrat si la sous-traitance en cascade compromet sa capacite a respecter ses obligations reglementaires.

La localisation des donnees : le contrat doit preciser la localisation des donnees et des traitements. Toute modification de la localisation doit faire l’objet d’une notification prealable a l’entite financiere.

Les obligations de continuite : le prestataire doit disposer de plans de continuite d’activite et de reprise apres sinistre adaptes aux exigences de l’entite financiere.

L’articulation avec le RGPD

Le contrat de sous-traitance article 28 RGPD

Lorsque le prestataire TIC traite des donnees personnelles pour le compte de l’entite financiere, un contrat de sous-traitance conforme a l’article 28 du RGPD doit etre conclu, en complement des clauses DORA. Les exigences du RGPD couvrent les instructions du responsable de traitement, les mesures de securite, la sous-traitance ulterieure, l’assistance dans l’exercice des droits des personnes, la notification des violations de donnees, et la restitution ou suppression des donnees en fin de contrat.

Les clauses DORA et les clauses RGPD se completent mais ne se substituent pas les unes aux autres. Le contrat doit satisfaire aux exigences des deux reglementations. La gestion des incidents donnees personnelles fait l’objet d’obligations specifiques dans les deux cadres.

Les transferts de donnees hors UE

Si le prestataire TIC est etabli hors de l’Union europeenne ou transfere des donnees vers des pays tiers, les mecanismes de transfert du RGPD (decision d’adequation, clauses contractuelles types, regles d’entreprise contraignantes) doivent etre mis en place. DORA ajoute des exigences specifiques concernant la localisation des donnees et les risques juridiques lies aux legislations de pays tiers (acces aux donnees par des autorites etrangeres).

Le registre des accords contractuels

L’article 28(3) de DORA impose a chaque entite financiere de tenir un registre des accords TIC avec l’ensemble de ses prestataires de services TIC. Ce registre doit etre exhaustif, a jour et accessible aux autorites de supervision sur demande.

Le registre constitue un outil essentiel de pilotage de la relation prestataire et de gestion du risque de concentration. Il permet a l’entite et a ses autorites d’avoir une vue consolidee de l’ensemble des dependances technologiques.

La surveillance continue des prestataires

Le dispositif de suivi

La relation avec les prestataires TIC ne s’arrete pas a la signature du contrat. L’entite financiere doit mettre en place un dispositif de surveillance continue incluant le suivi des indicateurs de performance (SLA), le suivi des incidents et de leur resolution, des audits reguliers (internes ou externes), la revue periodique de l’analyse de risques, et le suivi de la conformite reglementaire du prestataire.

Les comites de pilotage

Pour les prestataires supportant des fonctions critiques, des comites de pilotage reguliers doivent etre tenus, associant les equipes operationnelles, les fonctions risques et conformite, et la direction de l’entite financiere. Ces comites examinent la performance du prestataire, les incidents survenus, les evolutions prevues et les risques identifies.

Les strategies de sortie

L’obligation de plan de sortie

DORA impose aux entites financieres de disposer de plans de sortie credibles pour les services TIC supportant des fonctions critiques ou importantes. Ces plans doivent etre elabores, documentes, testes et maintenus tout au long de la relation contractuelle.

Le plan de sortie doit preciser les scenarios de sortie (resiliation planifiee, resiliation d’urgence, defaillance du prestataire), les delais de transition, les modalites de transfert des donnees et des services, les ressources necessaires (humaines, techniques, financieres), les conditions de preservation de la continuite de service pendant la transition, et les tests de la strategie de sortie.

La portabilite des donnees

Le contrat doit garantir la portabilite des donnees dans des formats exploitables par l’entite financiere ou par un prestataire successeur. Cette exigence rejoint les obligations du Data Act en matiere de portabilite des donnees cloud et celles du RGPD en matiere de portabilite des donnees personnelles.

Les conditions de portabilite doivent etre definies des la signature du contrat, et non au moment de la sortie, moment ou le rapport de force est defavorable a l’entite financiere.

FAQ

Tous les contrats TIC d’une entite financiere doivent-ils etre mis en conformite avec DORA ?

Oui. Le reglement DORA s’applique a l’ensemble des accords contractuels entre une entite financiere et un prestataire tiers de services TIC, quelle que soit l’importance du service. Les clauses contractuelles minimales de l’article 30 s’appliquent a tous les contrats. Les clauses renforcees s’ajoutent pour les contrats portant sur des fonctions critiques ou importantes. L’ampleur du chantier de mise en conformite depend du nombre de contrats existants et de leur niveau actuel de structuration.

Un prestataire TIC peut-il refuser les droits d’audit prevus par DORA ?

Non. Le droit d’audit est une exigence reglementaire obligatoire. L’entite financiere doit disposer de droits d’acces, d’inspection et d’audit sur les systemes, locaux et operations du prestataire TIC. Si un prestataire refuse d’accorder ces droits, l’entite financiere ne peut pas conclure le contrat (ou doit resilier un contrat existant). En pratique, les modalites d’exercice du droit d’audit (frequence, preavis, mutualisation entre clients) peuvent etre negociees, mais le principe du droit d’audit est non negociable.

Comment gerer la sous-traitance en cascade (sous-traitants du prestataire) ?

DORA exige que l’entite financiere soit informee de toute sous-traitance en cascade pour les services supportant des fonctions critiques ou importantes. Le contrat doit prevoir l’obligation du prestataire d’informer l’entite de tout recours a un sous-traitant, le droit de l’entite de s’opposer a un sous-traitant, les conditions dans lesquelles la sous-traitance est autorisee, et la responsabilite du prestataire pour les actes de ses sous-traitants. En pratique, les grands fournisseurs cloud recourent massivement a la sous-traitance en cascade, ce qui rend cette obligation particulierement complexe a mettre en oeuvre.