si une entité financière ne respecte pas les obligations de DORA, que risque cette entreprise ?
Et au sein de l’entité financière, qui porte le risque de ‘non-compliance‘ à l’égard de la législation DORA ? Le COMEX ? Les directeurs métiers ? Le RSSI ?
Le post de la semaine sera plus court que les 5 précédents, mais essentiel, vu le monceau de bêtises que l’on peut lire à ce sujet sur le web (même de la part de sociétés de conseil spécialisées, parfois tellement connues qu’elles ne prennent pas le temps de lire DORA…).
déchiffrer DORA #06 non-conformité - responsabilité - risque de sanction ? QUI devrait lire cette présentation ?
DORA, non-conformité et risque de sanction : 'QUI' peut être tenu pour responsable ?
Je vous le confirme, cette slide ne sert à rien si ce n’est à vous faire apprécier cette BD d’enfer (dont je n’ai pas modifié les phylactères).
LISEZ bien cette slide et allez relire les article 35 et 50 de DORA qui traitent des "sanctions administratives"
Très curieusement, vous lirez de ci, de là, qu’il existerait des sanctions type ‘RGPD’ en cas de non-respect de DORA.
Voici un exemple si vous cliquez sur ce lien (« Amendes administratives: Les institutions financières peuvent se voir infliger une amende pouvant aller jusqu’à 10 millions d’euros ou 5 % de leur chiffre d’affaires annuel total » ).
En voici un autre exemple, avec un autre montant de sanctions potentielles : « What do the fines look like? In relation to financial penalties, entities found to be in violation of the Act’s requirements may face fines of up to 2% of their total annual worldwide turnover or, in the case of an individual, a maximum fine of EUR 1,000,000 » .
Laissons le marketing de la peur à ces incompétents et lisons les textes.
L’article 44.4.c) de la proposition DORA de 2020 prévoyait, à propos des sanctions pécuniaires « …tout type de mesure, y compris de nature pécuniaire, propre à garantir que les entités financières continueront à respecter leurs obligations légales » .
Voici la citation de l’article 50.4 de la version publiée de DORA le 27 décembre 2022 à propos des sanctions potentielles :
« 4. Les États membres confèrent aux autorités compétentes le pouvoir d’appliquer au moins les sanctions administratives ou les mesures correctives suivantes en cas de violation du présent règlement:
a) | émettre une injonction ordonnant à la personne physique ou morale de mettre un terme au comportement qui constitue une violation du présent règlement et lui interdisant de le réitérer; |
b) | exiger la cessation temporaire ou définitive de toute pratique ou conduite que l’autorité compétente juge contraire aux dispositions du présent règlement et en prévenir la répétition; |
c) | adopter tout type de mesure, y compris de nature pécuniaire, propre à garantir que les entités financières continueront à respecter leurs obligations légales; |
d) | exiger, dans la mesure où le droit national le permet, les enregistrements d’échanges de données existants détenus par un opérateur de télécommunications, lorsqu’il est raisonnablement permis de suspecter une violation du présent règlement et que ces enregistrements peuvent être importants pour une enquête portant sur une violation du présent règlement; et |
e) | émettre des communications au public, y compris des déclarations publiques, indiquant l’identité de la personne physique ou morale et la nature de la violation. |
Si vous lisez des pourcentages de chiffre d’affaires annuel ou des sommes en millions d’euros, prévenez-moi que je change d’ophtalmo…
Vous pouvez vérifier qu’il en va de même dans la version anglaise de DORA (des fois que vous ayez encore un doute…).
Vous comprenez mieux l’émotion de notre personnage dans la slide ci-dessous…
SYNTHESE des sanctions possibles en cas de non-respect de DORA
Alloins plus loin pour comprendre comment ça marche : quelle responsabilité en cas de non-respect de DORA ?
Je ne surprendrais personne si j’écris que les entités financières doivent respecter la législation financière spécifique qui s’applique à leur activité.
DORA le rappelle à l’article 28.1.a) cité dans la slide ci-dessous.
Mais DORA va plus loin, beaucoup plus loin.
Il ne faut pas comprendre DORA seulement comme une législation ‘cyber-sécurité’ qui s’applique aux entités financières, en plus de la règlementation ‘banque’ ou ‘assurance’ : DORA fait partie intégrante de la législation ‘banque’ ou ‘assurance’, au même titre que les autres Directives ou Règlements applicables à ce secteur particulièrement réglementé.
Pour réaliser combien le secteur est régulé par l’UE, il suffit de prendre quelques unes des définitions de DORA. Extraits de l’article 3 « définitions » :
3.31) | «établissement de crédit» [désigne] un établissement de crédit au sens de l’article 4, paragraphe 1, point 1), du règlement (UE) n° 575/2013; |
3.32) | «établissement exempté en vertu de la directive 2013/36/UE» [désigne] une entité visée à l’article 2, paragraphe 5, points 4) à 23), de la directive 2013/36/UE; |
3.33) | «entreprise d’investissement» [désigne] une entreprise d’investissement au sens de l’article 4, paragraphe 1, point 1), de la directive 2014/65/UE; |
3.34) | «petite entreprise d’investissement non interconnectée» [désigne] une entreprise d’investissement qui répond aux conditions énoncées à l’article 12, paragraphe 1, du règlement (UE) 2019/2033; |
3.35) | «établissement de paiement» [désigne] un établissement de paiement au sens de l’article 4, point 4), de la directive (UE) 2015/2366; |
3.36) | «établissement de paiement exempté en vertu de la directive (UE) 2015/2366» [désigne] un établissement de paiement bénéficiant d’une exemption au titre de l’article 32, paragraphe 1, de la directive (UE) 2015/2366; |
3.37) | «prestataires de services d’information sur les comptes» [désigne] un prestataire de services d’information sur les comptes visé à l’article 33, paragraphe 1, de la directive (UE) 2015/2366; |
3.38) | «établissement de monnaie électronique» [désigne] un établissement de monnaie électronique au sens de l’article 2, point 1), de la directive 2009/110/CE; |
Si une entité financière met en péril les fonctions critiques ou importantes de son activité, elle met en péril... son agrément d'exercice !
Ici encore, ce n’est pas moi qui l’invente, c’est écrit dans DORA.
Il suffit d’aller lire l’article 3.22 cité dans la slide ci-dessous.
Donc, si une entité financière ne respecte pas les conditions de son agrément d'exercice (dont fait partie DORA) ?
Une peine de suspension d’agrément, ça peut être prononcé de manière temporaire et avec sursis.
C’est la seule bonne nouvelle de ce post…
Un extrait de l'article 50 de DORA ? Pour voir comment est envisagée la responsabilité personnelle des dirigeants d'une entité financière qui ne respecterait pas DORA ?
Lisez le résumé dans la slide ci-dessous.
Personnellement, je ne crois pas un instant à la mise en oeuvre de ce type de sanction contre des dirigeants personnes physiques.
Je ne crois pas non plus à l’adoption en France de sanctions pénales spécifiques qui viendraient à remplacer les « sanctions pécuniaires » prévues dans DORA.
Vu la matière, vous pensez que notre Parlement sera saisi d’un projet de loi pénale « spéciale DORA » ?
Mais bon, mettez-vous à la place des fonctionnaires de la Commission de Bruxelles : ne pas le prévoir aurait été dommage…
Je ne crois pas utile de m’étendre plus sur le sujet, sauf à sombrer à mon tour dans le marketing de la peur…
Si vous sentez qu'il est temps pour vous de passer à l'étape IMPLEMENTER DORA, vous pouvez cliquer sur l'image ci-dessous
vous pouvez aussi cliquer sur ce lien !
J'aime bien cette slide, le personnage y donne vraiment envie de poser une question...
![des questions ? REPLAY webinar « DORA synthèse et détection des vulnérabilités » avec PATROWL [14 novembre 2023]](https://technique-et-droit-du-numerique.fr/wp-content/uploads/2024/11/514-dechiffrer-DORA-05-detection-des-vulnerabilites-PATROWL-©-Ledieu-Avocats-10-11-2023.047.jpeg)
Merci - encore et encore - à Sébastien Le Foll et aux éditions Delcourt Soleil pour les illustrations en BD ayant servi pour cette présentation. Des commentaires que je reçois, le monde de la cyber apprécie beaucoup !
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« Hercule » série complète (et proprement remarquable) en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017
« Milady 3000 » one shot © [le Grand] Magnus 1985 © éditions Ansaldi Bruxelles – de la pure SF des années 80 !
