Le quatrième pilier de DORA — le risque lié aux tiers TIC (Art. 28–44) — est celui que la plupart des entités financières ressentent le plus concrètement, car presque toutes externalisent quelque chose. Deux obligations dominent le quotidien : tenir un registre d’information sur chaque contrat TIC, et mettre en place les bonnes clauses contractuelles. Ce guide détaille les deux. Pour la relation entre DORA et NIS2, voir DORA vs NIS2.
En bref
- L’externalisation ne transfère jamais la responsabilité — vous restez pleinement responsable (Art. 28(1)(a)).
- Tenez un registre d’information sur tous les contrats TIC (Art. 28(3)).
- Les contrats exigent des clauses minimales pour chaque service (Art. 30(2)) et des clauses supplémentaires pour les fonctions critiques ou importantes (Art. 30(3)).
- « Fonction critique ou importante » est un terme défini (Art. 3(22)) — c’est le déclencheur du régime renforcé.
- Les calendriers de remise sont fixés au niveau UE/national — les premières remises nationales aux ESA étaient dues pour le 30 avril 2025.
Le principe : vous restez responsable (Art. 28)
Le point de départ de DORA est sans détour : une entité qui recourt à des tiers TIC « reste pleinement responsable » du respect de ses obligations à tout moment (Art. 28(1)(a)). La proportionnalité s’applique (Art. 28(1)(b)), mais les devoirs sont réels : adopter une stratégie de risque tiers incluant une politique sur les services TIC soutenant des fonctions critiques ou importantes (Art. 28(2)) ; mener une évaluation pré-contractuelle — criticité, due diligence, risque de concentration, conflits d’intérêts (Art. 28(4)) ; ne contracter qu’avec des prestataires respectant des normes de sécurité de l’information appropriées (Art. 28(5)) ; sécuriser des droits d’audit et de résiliation (Art. 28(6)–(7)) ; et maintenir des stratégies de sortie documentées et testées pour les services critiques ou importants (Art. 28(8)).
Le registre d’information (Art. 28(3))
Vous devez tenir et mettre à jour — au niveau de l’entité, sous-consolidé et consolidé — un registre de tous les accords contractuels portant sur des services TIC fournis par des tiers. Caractéristiques clés :
- Distinguer les contrats soutenant des fonctions critiques ou importantes de ceux qui ne le font pas.
- Reporting annuel à votre autorité compétente sur les nouveaux accords, les catégories de prestataires, les types de contrats et les services/fonctions concernés.
- Le fournir sur demande — le registre complet ou les sections demandées — à l’autorité.
- Informer l’autorité à l’avance des accords prévus soutenant une fonction critique ou importante, ou lorsqu’une fonction le devient.
Les autorités européennes de surveillance (ESA) ont publié des modèles standardisés (normes techniques d’exécution) pour le registre, de sorte que le format est harmonisé dans toute l’UE. En pratique, le registre est aussi l’exercice de collecte le plus difficile de DORA : il impose un inventaire précis et structuré de chaque dépendance TIC — raison pour laquelle il faut commencer tôt.
Clauses contractuelles : Art. 30(2) vs Art. 30(3)
DORA distingue deux niveaux de contenu contractuel obligatoire. Bien faire cette distinction est essentiel — appliquer la liste lourde à chaque contrat vous surcharge, tandis qu’appliquer seulement la liste légère à un service critique vous met en non-conformité.
| Art. 30(2) — chaque contrat TIC | Art. 30(3) — fonctions critiques/importantes (en plus) |
|---|---|
| Description claire des services ; conditions de sous-traitance | SLA complets avec cibles quantitatives & qualitatives précises |
| Lieux de traitement/stockage des données ; préavis de changement | Préavis du prestataire pour tout développement à impact matériel |
| Disponibilité, intégrité, confidentialité des données | Obligation d’implémenter & tester des plans de continuité |
| Accès, récupération et restitution des données en cas de sortie/insolvabilité | Pleine participation aux tests de pénétration fondés sur la menace (TLPT) de l’entité |
| Descriptions des niveaux de service ; assistance en cas d’incident | Droits d’accès, d’inspection et d’audit illimités (entité, tiers, autorité) |
| Coopération avec les autorités ; droits de résiliation & préavis | Stratégie de sortie avec une période de transition adéquate obligatoire |
Pour les micro-entreprises, certains droits d’audit de l’Art. 30(3) peuvent être délégués à un tiers indépendant. DORA encourage aussi l’usage de clauses contractuelles types élaborées par les autorités publiques (Art. 30(4)).
La « fonction critique ou importante » est le déclencheur (Art. 3(22))
C’est un terme juridique défini, pas un synonyme vague d’« important » : une fonction dont la perturbation altérerait matériellement la performance financière de l’entité, ou la solidité ou la continuité de ses services, ou son respect continu de ses conditions d’agrément. La classification est le pivot de tout le pilier — elle active les clauses de l’Art. 30(3), l’obligation de stratégie de sortie (Art. 28(8)), l’information préalable et l’évaluation renforcée du risque de concentration (Art. 29). Classez vos fonctions délibérément et documentez le raisonnement.
Prestataires tiers critiques (Art. 31 et suivants)
Séparément, les ESA désignent certains prestataires TIC comme prestataires tiers critiques (CTPP)au niveau de l’UE, les plaçant sous la surveillance directe d’un superviseur principal (Lead Overseer : EBA, ESMA ou EIOPA). À noter : vous ne désignez pas votre fournisseur comme critique — c’est une décision au niveau de l’UE fondée sur l’impact systémique et la substituabilité. Votre rôle est de gérer le risque de concentration ; la désignation CTPP est externe.
Échéances — lisez les petits caractères
DORA lui-même (Art. 64) a rendu le règlement applicable depuis le 17 janvier 2025, mais les dates de remise du registre proviennent de décisions UE/nationales, pas du texte du règlement. En vertu d’une décision conjointe des ESA du 8 novembre 2024, les autorités nationales compétentes devaient transmettre les registres collectés aux ESA pour le 30 avril 2025, avec une date de référence au 31 mars 2025 ; les autorités nationales ont fixé leurs propres délais de collecte en amont. Considérez le « 30 avril 2025 » comme une date opérationnelle, de niveau autorité — le délai imposé à votre entité est fixé par votre autorité nationale. Pour la Belgique, confirmez le calendrier en vigueur auprès de la BNB/FSMA.
Un plan de démarrage pragmatique
- Inventorier chaque contrat TIC — c’est l’ossature du registre et la tâche la plus longue.
- Classer les fonctions comme critiques/importantes ou non, avec un raisonnement documenté (Art. 3(22)).
- Vérifier les écarts des contrats par rapport à l’Art. 30(2) et, le cas échéant, à l’Art. 30(3) ; planifier les renégociations.
- Rédiger des stratégies de sortie pour les services critiques ou importants et les tester.
- Remplir le modèle ESA et l’aligner sur le calendrier de reporting de votre autorité.
Information générale fondée sur le Règlement (UE) 2022/2554, ne constituant pas un conseil juridique ; les normes de niveau 2 et les dates de remise évoluent — vérifiez les détails auprès de la BNB/FSMA. ICTLAB aide les entités financières belges à construire le registre, classer les fonctions et remédier aux contrats — découvrez nos services de cybersécurité ou contactez notre équipe.