DORA : un projet devenu réalité légale le 10 novembre 2022
DORA a (enfin) été voté au Parlement de l’UE le 10 novembre 2022. Les fondements du présent article sont susceptibles d’évoluer (probablement à la marge) à la date de publication du texte au JO de l’Union Européenne annoncée pour décembre 2022.
L’article 64 de DORA version Parlement UE prévoit un délai de (seulement) 24 mois avant entrée effective en application.
En clair ? les entités financières devront être conformes aux obligations de DORA en décembre 2024, sauf à vouloir encourir les sanctions des autorités nationales de contrôle (à suivre dans notre épisode #DORA 12/12).
La course contre la montre démarre aujourd’hui.
Vous trouverez ci-dessous quelques explications rédigées avec la participation (active, mais oui !) de Jean-Philippe GAULIER de CYBERZEN, qui, dans une vie professionnelle antérieure au sein d’un (très) grand groupe français, a beaucoup lu ce type de contrats…
Vous avez raté les précédents épisodes de DORA ? Il n'est pas trop tard pour vous mettre à la page !
Si vous avez manqué un des épisodes précédents, nous vous conseillons de les prendre dans l’ordre (car il y a une logique dans les 12 travaux d’Hercule de notre étude sur le projet DORA).
Alors, nous avons vu (épisode 01) pourquoi DORA, puis (épisode 02) qui est concerné.
Après l’identification de la menace et ses définitions légales (épisode 03), nous avons évoqué (épisode 04) les analyses de risque et les politiques de sécurité à mettre en œuvre par les entités financières.
Dora va donc imposer au secteur des mesures techniques obligatoires de sécurité (épisode 05).
Le cœur du dispositif technique et légal de DORA ? Ce sont les tests de résilience (épisode 06).
Seuls les « testeurs » DORA compliant pourront procéder à ces tests opérationnels (épisode 07).
Focus dans l’épisode 08 sur l’obligation de détection des vulnérabilités et de notification des incidents de sécurité.
Qui dit « incident majeur » de sécurité, dit nécessairement gestion de crise et communication (épisode 09).
Voici comment on en arrive à l’épisode 10/12 de notre saga consacrée à la résilience opérationnelle du secteur financier selon DORA. Ce que doivent techniquement faire les entités financières devra se refléter dans TOUS les contrats de service IT.
Vous êtes prévenu(e), le sujet du jour est… roboratif et concerne autant les opérationnel(le)s du secteur financier que les juristes qui vont devoir travailler de concert pour viser la mise en place d’une compliance DORA à finaliser pour décembre 2024.
"Dompter le taureau de Minos": l'obligation DORA de suivi du risque lié aux prestataires IT
D’expérience, les professionnel(le)s n’aiment pas lire les contrats qui encadrent la sécurité des systèmes d’information de leur business (trop longs, trop compliqués, trop engageants, etc.).
Il serait pourtant dommage de ne pas attirer leur attention à propos des nouvelles contraintes que l’UE va apporter dans la rédaction des contrats (licences on premises, contrat de service cloud, etc.).
Car le projet DORA prévoit (articles 25 à 27) toute une série de dispositions, très détaillées, relatives au « suivi rigoureux du risque » lié aux prestataires IT, pour permettre un « suivi complet » de ce risque lors de la « conclusion du contrat, [de] son exécution, [de] sa résiliation et [de] la phase post-contractuelle » .
Pour réviser dans la mythologie comment Héraklès (Hercule chez les romains) a dompté le taureau de Minos, cliquez sur ce lien.
DORA : une obligation de sélection rigoureuse (et continue) des prestataires IT
L’épreuve herculéenne qui sera imposée aux entreprises du secteur financier devra être menée « tout au long des processus de sélection et d’évaluation » des prestataires IT.
Ces entreprises devront faire preuve « de toute la diligence requise à l’égard des prestataires » , qui eux, devront présenter « les qualités requises » [par DORA].
Si vous veniez à douter du caractère obligatoire des process qui sous-tendent ce type de déclaration de principe, DORA précise que :
Dans un premier temps, et de manière généralisée, les entités financières devront documenter leur process de contractualisation, c’est-à-dire prouver de manière écrite avoir dument sélectionné leurs prestataires IT.
On parle ici déjà pour chaque prestataire de remplir – avant contrat – un questionnaire DORA compliance.
Si l’on veut pousser la paranoïa à son paroxysme, ces questionnaires seront à annexer aux futurs contrats avec les prestataires de services IT…
Dans un second temps, les entités financières devront prouver que les questionnaires seront « actualisés » .
D’ici là à anticiper des clauses de rupture contractuelle qui puissent se fonder sur des grilles de compliance, il n’y a qu’un pas, qu’une lecture excessivement prudente de DORA pourrait encourager le secteur financer à franchir;
La difficulté pour les rédactrices/rédacteurs de ce type de clauses sera d’en éviter le caractère potestatif, qui les rendraient nulles d’ordre public en droit français.
Une classification DORA obligatoire de la nature des services rendus
Une fois l’étape « sélection » franchie par chaque prestataire IT, DORA imposera aux entités financière de classer les services rendus selon deux critères :
Les entreprises du secteur bancaire en France manipulaient déjà une notion similaire depuis l’arrêté du 3 novembre 2014 « relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution » . Les juristes les plus pointilleux/ses auront à cœur d’aller aussi lire l’arrêté modificatif du 25 février 2021… Bref…
Le critère de distinction était contenu dans l’article 10 (r) : une « prestation de services ou autres tâches opérationnelles essentielles ou importantes » .
Ne soyez pas rassuré(e) avec l’arrivée de DORA : même si un prestataire IT n’est ni en position de force vis-à-vis de son client, ni en mesure de rendre un service « critique » pour une entité financière, il faudra néanmoins pour ce prestataire respecter l’ensemble des dispositions de DORA.
Il faut espérer de ces deux critères imposés par DORA que les conséquences contractuelles pourront se décliner en une version light et une version longue…
Le risque spécifique de "dépendance" au sens de DORA
Insistons sur le focus tout à fait particulier de DORA sur l’analyse « continue » des éventuelles « relations de dépendance » entre chaque entreprise du secteur financier et ses prestataires, qui devra tenir compte « de la criticité ou de l’importance des services, processus ou fonctions » faisant l’objet d’un contrat.
Les entités financières devront procéder « à une « évaluation minutieuse de toute incidence potentielle » d’une perturbation de leur système d’information suite à une négligence ou une attaque « sur la continuité et la qualité des services financiers au niveau individuel et au niveau du groupe » …
Ami(e)s juristes, bon courage…
Un encadrement détaillé du contenu de chaque contrat de service IT
Pas besoin de décrire ce qui est prévu dans DORA au titre du contenu obligatoire des contrats à conclure, une citation suffit :
DORA va encadrer les clauses de résiliation ??? oui...
DORA prévoit une série d’obligations spécifiques relatives aux clauses de résiliation des contrats de service IT.
D’abord, DORA impose trois principes relatifs à toute cessation des relations contractuelles avec chaque prestataire.
DORA précise que les entités financières doivent « veiller à ce qu’elles puissent se retirer des accords contractuels » .
Mais surtout, DORA impose une série de cas de résiliation obligatoire qu’il faudra intégrer dans tous les contrats de service online ou on premises conclus par une entité financière.
L’exercice est suffisamment inédit pour que nous choisissions de citer in extenso les 4 cas prévus (mes commentaires directement avec des ??? dans le texte du projet DORA):
1) [sans surprise] « le prestataire a enfreint les dispositions législatives, réglementaires ou contractuelles applicables » ;
2) « le suivi des risques liés aux prestataires a révélé l’existence de circonstances (???) susceptibles d’altérer (???) l’exécution des fonctions prévues par l’accord contractuel, y compris des changements significatifs qui affectent l’accord (???) ou la situation du prestataire » ;
3) « le prestataire présente des faiblesses avérées (???) dans sa gestion globale des risques informatiques et, en particulier, dans la manière dont il assure la sécurité et l’intégrité des données confidentielles, personnelles ou autrement sensibles ou des informations non personnelles » [en clair, de tout type de données confiées pour traitement];
4) « il existe des circonstances (???) dans lesquelles l’autorité compétente ne peut plus surveiller efficacement (???) l’entité financière en raison de l’accord contractuel en question » .
DORA va imposer (aussi) des solutions de substitution et des plans de transition
Ici encore, le principe est suffisamment inédit pour ne nécessiter qu’une citation de DORA :
Évidemment, les solutions IT fournies par des prestataires hors UE sont jugées particulièrement sensibles et les contrats avec les entités financières de l’UE devront permettre « de changer de prestataire » ou « de recourir à des solutions sur site, en fonction de la complexité du service fourni » .
Un "registre d’informations" contractuelles !!! oui... encore un registre obligatoire...
Comme pour le registre des traitements de données personnelles, l’UE va imposer aux entités financières la tenue d’un « registre d’informations » (obligatoire, donc) de « tous les accords contractuels portant sur l’utilisation des services informatiques fournis par des prestataires » .
Bienvenue à la future fonction de Chief Contract Compliance Officer ?
Un régime de responsabilité DORA simple, classique et efficace...
A noter que l’article 25 du projet DORA coupe court à toute future velléité pour les entreprises du secteur financier de plaider le classique c’est pas de ma faute, c’est la faute de mon prestataire IT, en imposant le principe – juridiquement assez classique – selon lequel « les entités financières restent, à tout moment, pleinement responsables du respect et de l’exécution de toutes les obligations découlant [de DORA] et de la législation applicable aux services financiers » .
Les futures négociations contractuelles BtoB avec les entreprises du secteur financier s’annoncent joyeuses…
à suivre DORA épisode 11/12 : Gouvernance ? Hygiène numérique ? Formations (obligatoires) ?
Une analyse technique et juridique de DORA ?
Avec Jean-Philippe GAULIER de CYBERZEN, nous avons travaillé en collaboration pour vous livrer notre analyse et des explications qui devraient éclairer à la fois les opérationnel(le)s et les juristes qui gèrent les problématiques de sécurité des systèmes d’information.
Bon, pour commenter le juridique des contrat de service BtoB, Jean-Philippe en a un peu bavé… (c’est la vengeance du juriste ?).
DORA illustré en BD avec un Hercule très futuriste
Il fallait au moins le mythique Hercule pour vous accompagner dans les explications sur ces 12 travaux de sécurisation des systèmes d’information imposés aux entreprises du secteur financier ?
Les illustrations sont toutes issues de l’incroyable série « Hercule » en 3 tomes par Jean-David Morvan au scénario, Vivien « Looky » Chauvet au dessin et Olivier Thill à la couleur.
Il vous reste 2 travaux herculéens à accomplir…
Merci aux éditions Delcourt Soleil !
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« Hercule » série complète en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017
![Ordre des Avocats de Paris PSSI et analyse des risques ISO 27001 [11 avril 2024]](https://technique-et-droit-du-numerique.fr/wp-content/uploads/2025/04/547-Ordre-des-Avocats-de-Paris-PSSI-et-analyse-des-risques-ISO-27001-11-avril-2024-©-Ledieu-Avocats-2024.001.jpeg)
