C'est bien connu, des obligations sans sanction, ça ne sert à rien…
« Tuer les oiseaux du lac Stymphale » ? « Des oiseaux infestaient les bois près du lac Stymphale, en Arcadie. Ils tuaient leurs proies grâce à leurs plumes d’acier, piquantes et tranchantes, qu’ils utilisaient comme des flèches » (merci Wikipedia.fr).
Les oiseaux du lac Stymphale ? Ce sont les « entités financières » négligentes ou récalcitrantes auxquelles les autorités nationales (ou européennes, selon le cas) pourront s’attaquer pour les remettre dans le droit chemin de DORA.
Pour le cas (improbable) où vous n'auriez pas suivi les épisodes précédents, voici un petit récapitulatif
Les 12 travaux d’Hercule qui vont être imposés aux « 22.000 entités financières » de l’UE et à tous leurs prestataires IT vous sont présentés depuis le début dans un ordre logique:
(épisode 01) pourquoi DORA ?
(épisode 02) qui est concerné ?
(épisode 03) identification de la menace et ses définitions légales;
(épisode 04) analyses de risque et les politiques de sécurité à mettre en œuvre par les entités financières;
(épisode 05) les mesures techniques obligatoires de sécurité;
(épisode 06) les tests de résilience;
(épisode 07) les exigences légales applicables aux prestataires de tests de résilience;
(épisode 08) les obligations de détection de vulnérabilités et de notification des incidents;
(épisode 09) les obligations de gestion de crise cyber et de communication;
(épisode 10) l’énorme pavé des obligations contractuelles BtoB;
(épisode 11) les obligations de gouvernance d’hygiène et de formation.
Alors ? Des sanctions potentielles ? une date d’entrée en application ? Les deux mon Général…
L'option des sanctions pénales
En option, le Règlement DORA précise que les pays de l’UE pourront choisir d’adopter des sanctions pénales spécifiques DORA (ce que ne devrait pas manquer de faire la France pour rester fidèle à sa tradition en la matière).
Ceci dit, nous insisterons plutôt sur le régime de droit commun des pouvoirs d’enquête et de sanctions potentielles dans cet ultime épisode de notre saga consacrée aux obligation imposées par le Règlement UE « DORA » adopté par le Parlement UE le 10 novembre 2024.
De larges pouvoirs d'enquête pour les "autorités compétentes"
Les « autorités compétentes » de chaque pays de l’UE disposeront de pouvoirs de surveillance, d’enquête (inspections sur place, etc.) et de sanction (injonction, cessation temporaire ou définitive de toute pratique ou conduite jugée contraire à DORA, « tout type de mesure, y compris de nature pécuniaire, propre à garantir que les entités financières continueront à respecter leurs obligations légales » ) avec droit de publication des décisions de sanction sur leur site « internet » officiel. (tiens ! l’UE avait abandonné sa traditionnelle expression « site Internet » dans la V1 de DORA. Heureusement, la bêtise est rétablie dans la version votée par le Parlement UE. Ha, c’est compliqué d’utiliser les bons mots…).
QUESTION : qui sont les « autorités compétentes » concernées ?
REPONSE : impossible de les lister ici de manière exhaustive, chaque type d’entreprise du secteur financier disposant de son propre régulateur (en France : AMF, ACPR, etc.). Le problème est similaire pour la détermination juridique des « organes de direction » de chacune d’entre elles.
Des sanctions pécuniaires proportionnées
Comme pour l’appréciation du préjudice prévue dans la Directive UE 2016/943 dite « secrets d’affaires » ou le RGPD, DORA prévoit une série de critères pragmatiques et dérogatoires du droit commun de chaque État membre pour fixer le montant des éventuelles sanctions pécuniaires :
« dans quelle mesure la violation est intentionnelle ou résulte d’une négligence » ,
« l’assise financière de la personne responsable » ,
« l’importance des gains obtenus ou des pertes évitées » , etc.
Vous noterez qu’aucun plafond du type « 4% maximum du chiffre d’affaires mondial » n’est prévu dans DORA…
La réalité du pouvoir de sanction des autorités nationales de contrôle ?
Reprenons la liste des « entités financières » qui tombent dans le champs d’application de DORA.
Demandez aux juristes spécialisé(e)s de ces différentes entreprises : la plupart d’entre elles ne peuvent exercer leur activité qu’après avoir obtenu un agrément de leur autorité de tutelle / contrôle.
Alors, à votre avis ? Vous seriez une autorité de contrôle, vous feriez quoi pour vous assurer que vos « administrés » respectent bien la loi ?
A noter enfin que ces autorités compétentes pourront exiger « la communication de tout enregistrement d’échange de données détenu par un opérateur de télécommunications » .
Pour rappel, les « opérateurs de communications électroniques » sont, au sens du droit européen, les opérateurs de téléphonique fixe ou mobile et les fournisseurs d’accès à Internet.
L’utilisation de cette notion bien définie et encadrée par le droit de l’UE (Directive 2018/1972) aurait été préférable, mais bon…
Des astreintes salées pour les prestataires critiques récalcitrants
Les prestataires « critiques » récalcitrants pourront se voir imposer une astreinte « sur une base journalière » et pendant « six mois » égale à « 1 % du chiffre d’affaires quotidien moyen réalisé au niveau mondial » .
Faites vos calculs, et soyez assuré(e) que l’addition est prévue pour être extrêmement salée.
Si l’astreinte est potentiellement astronomique, c’est que l’UE ne cherche pas à privilégier la sanction, mais bien le rétablissement de la situation, c’est à dire le respect des règles communes aux 27 pays de l’UE.
Une entrée en application prévisible ? A quelle date ?
Un rappel en 1 slide du parcours législatif de DORA (adopté en 28 mois ! un record !!!)
Le Règlement DORA a été adopté officiellement par le Parlement UE le 10 novembre 2022.
Je vous rappelle qu’un Règlement UE est d’application directe dans chacun des Etats membres de l’UE, sans loi nationale de transposition…
La publication officielle au Journal Officiel de l’UE est prévue pour décembre 2022.
L’article 64 de DORA version Parlement UE est sans ambiguïté :
« Article 64 Entrée en vigueur et application
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Il s’applique à partir du … [24 mois à compter de la date d’entrée en vigueur du présent règlement].
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre. »
Vous avez maintenant 24 mois pour mettre effectivement en œuvre les contraintes juridiques, techniques et organisationnelles de #DORA…
ça veut dire que les autorités de contrôle pourront exercer leur pouvoirs de contrôle dès janvier 2025.
Ne faites pas comme pour le RGPD, n’attendez pas janvier 2018 (genre 5 mois avant…) pour attaquer le chantier…
*** SUPER BONUS *** une version MARK UP "compared" entre DORA v1 (septembre 2020) et la version finale votée par le Parlement UE (10 novembre 2022)
Quel est l’intérêt de ce document [en format .docx] que vous trouverez ci-dessous en téléchargement libre ?
Ben… nous sommes nombreux(ses) à avoir épluché la version initiale de DORA du 24 septembre 2020.
ET pour celles et ceux qui se sont livré(e)s à cet exercice, la lecture d’une version « compared » en MARK UP fera gagner beaucoup de temps…
Comme j’ai fait l’exercice, je vous en fait profiter.
ATTENTION : cette version « compared » est un document de travail. Je n’y a fait apparaitre que les changements que j’ai estimé interessants ou significatifs, ne faisant pas apparaitre les (nombreuses) modifications notamment de pur style.
Vous allez voir, c’est assez éclairant quand même, surtout si vous aimez l’acronyme « TIC »…
DORA illustré en BD avec un Hercule très futuriste
Il n’y avait que le mythique Hercule pour vous accompagner dans les explications sur ces 12 travaux de sécurisation des systèmes d’information imposés aux entreprises du secteur financier.
Les illustrations sont toutes issues de l’incroyable série « Hercule » en 3 tomes par Jean-David Morvan au scénario, Vivien « Looky » Chauvet au dessin et Olivier Thill à la couleur.
Le générique des BD ayant servi d'illustration à cette présentation (merci aux éditions Delcourt / Soleil !)
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« Les 5 Terres » première série complète en 6 tomes par « Lewelyn » (David Chauvel, Andoryss et Patrick Wong) et Jérome Lereculey © éditions Delcourt 2019-2022
« Arctica » 12 tomes par Daniel Pecqueur et Boyan Kovačević © éditions Delcourt 2007-2022
« Au-delà des merveilles » série complète en 3 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune 2004-2022
« Badlands » série complète en 3 tomes par Eric Corbeyran et Piotr Kowalski © éditions Soleil 2014-2018
« Carmen mc Callum » 18 tomes (tome 1 par Fred Duval + Olivier Vatine + Fred Blanchard + Stéphane « Gess » et tomes 2 et 3 par Fred Duval et Stéphane « Gess ») © éditions Delcourt 1995-2020
« Le Crépuscule des Dieux » série complète en 9 tomes par Nicolas Jarry et Jean-François « Djief » © éditions Soleil 2007-2016
« lE dERNIER tROYEN » série complète en 6 tomes + 1 intégrale par Valérie Mangin et Thierry Démarez © éditions Soleil 2004-2012
« Excalibur-Chroniques » (époustouflante) série complète en 5 tomes + 1 intégrale par Jean-Luc Istin et Alain Brion © éditions Soleil 2012-2019
« Hercule » série complète en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017
« Horologiom » série complète en 7 tomes + intégrale en 2 tomes par Stéphane Lebeault © éditions Delcourt 1994-2021
« Neandertal » série complète en 3 tomes par Emmanuel Roudier © éditions Delcourt 2007-2011
« La nef des Fous » 11 tomes + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2021
« Odin » série complète en 2 tomes par Nicolas Jarry et Erwan Seure-Le Bihan © éditions Soleil 2010-2012
« L’Oeil de la Nuit » série complète en 3 tomes par Serge Lehman et Stéphane « Gess » © éditions Delcourt 2015-2016
« Olympus Mons » première série complète en 7 tomes par Christophe Bec et Stefano Raffaele © éditions Soleil 2017-2022
« Les portes de Shamballah » série complète en 4 tomes par Mazuer + Romano + Taranzano © éditions Clair de Lune 2007-2016
« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018
« Sur les terres d’Horus » série complète en 8 tomes par Isabelle Dethan © éditions Delcourt 2001-2015
« Universal War One » série complète en 6 tomes (absolument remarquables) par Denis Bajram © éditions Soleil 1998-2006
« Yiu Premières missions » série complète en 7 tomes + intégrale en 2 tomes par Thierry « Téhy » + Jeanne « JM Vee » + Vincent « Vax » © éditions Soleil 2003-2010