Par Julie Jacob, avocate experte en RGPD,
data, IA, cyber et propriété intellectuelle.
La transformation numérique du secteur financier, déjà largement entamée, a été catalysée par la pandémie et les exigences croissantes des consommateurs. Mais cette numérisation accélérée n’est pas exempte de défis majeurs : cyberattaques sophistiquées, dépendance technologique accrue, et complexité des systèmes interconnectés.
Dans ce contexte, le Digital Operational Resilience Act (DORA),
adopté par l’Union européenne, marque un tournant réglementaire essentiel pour
le secteur financier. Plus qu’un cadre technique, DORA pose des questions
juridiques fondamentales sur la gestion des risques numériques et la
responsabilité des acteurs face aux nouvelles obligations.
DORA : Une régulation
nécessaire et ambitieuse
DORA s’inscrit dans une
volonté de l’Union européenne d’harmoniser les normes en matière de gestion des
risques liés aux technologies de l’information et de la communication (TIC). Ce
règlement, qui deviendra pleinement applicable en janvier 2025, s’adresse à une
vaste palette d’acteurs : banques, compagnies d’assurance, sociétés de gestion
d’actifs, et même prestataires de services TIC. Il impose des obligations
strictes dans cinq domaines clés : gestion des risques TIC, notification des
incidents, tests de résilience, surveillance des prestataires de services TIC,
et partage d’informations en cybersécurité.
L’objectif premier de
ce Règlement est le renforcement de la résilience opérationnelle numérique, qui
désigne la capacité d'une organisation à continuer d'offrir ses services malgré
des perturbations liées à des incidents technologiques, informatiques ou des
cyberattaques, et de protéger les infrastructures et populations européennes.
Si l’objectif est
louable, il pose également des défis juridiques inédits. DORA ne se contente
pas de demander aux entreprises de se protéger : il leur impose une
transparence accrue, une rigueur organisationnelle, et une gestion proactive
des tiers, le tout sous la supervision d’autorités européennes aux pouvoirs
renforcés.
Un renforcement des
responsabilités juridiques
L’un des aspects les
plus marquants de DORA réside dans la responsabilité accrue des organes de
direction des entités concernées. Ces derniers doivent non seulement valider
les politiques de gestion des risques liés aux TIC, mais aussi superviser
activement leur mise en œuvre. Le règlement exige également une formation
continue des dirigeants sur ces enjeux techniques, plaçant de facto la
cybersécurité et la résilience numérique au cœur des préoccupations
stratégiques.
D’un point de vue
juridique, cela soulève plusieurs questions :
- Quelle est l’étendue exacte de la responsabilité des dirigeants en cas de non-conformité ou d’incident majeur ?
- Comment articuler
cette responsabilité avec celle des prestataires de services TIC, souvent
impliqués dans la chaîne de valeur numérique ?
Les entreprises devront
intégrer ces nouvelles exigences dans leurs politiques internes et leurs
contrats. En particulier, les clauses avec les prestataires devront être revues
pour inclure des garanties de conformité à DORA, des mécanismes de reporting,
et des obligations de coopération en cas d’incident.
Des convergences avec
le RGPD et d’autres réglementations
DORA ne fonctionne pas
dans un vide réglementaire. Il s’inscrit dans un écosystème juridique où
d’autres textes comme le RGPD (Règlement général sur la protection des données)
jouent déjà un rôle central. Si le RGPD se concentre sur la protection des données
personnelles, DORA élargit la perspective en ciblant la continuité
opérationnelle et la sécurité des infrastructures.
Les interactions entre
ces deux régulations sont nombreuses. Par exemple, un incident TIC peut
impliquer une violation de données personnelles, nécessitant une double
notification : à l’autorité compétente sous DORA et à l’autorité de protection
des données sous le RGPD. Cette situation met en lumière la nécessité pour les
entreprises de coordonner leurs efforts de conformité et de se doter de
mécanismes de gouvernance unifiés.
En parallèle, les
exigences de DORA rappellent celles d’autres initiatives européennes, telles
que la directive NIS2 sur la sécurité des réseaux et des systèmes
d’information. Une approche cohérente est donc indispensable pour éviter les
doublons et maximiser l’efficacité des investissements en cybersécurité.
Une opportunité pour
l’innovation contractuelle
DORA offre également
une occasion de repenser les pratiques contractuelles dans le secteur
financier. En imposant une surveillance accrue des prestataires tiers, il
invite à la création de contrats plus équilibrés et transparents. Ces derniers
devront intégrer des clauses précises sur la sécurité des données, les
responsabilités en cas d’incident, et les modalités de résiliation en cas de
non-conformité.
À terme, cela pourrait
encourager la création de standards contractuels européens, créant un terrain
stable propice à faciliter la négociation entre les acteurs financiers et leurs
prestataires tout en renforçant la sécurité juridique au sein de l’espace
européen.
Les prestataires de
services TIC, souvent des géants technologiques, devront accepter de nouvelles
formes de contrôle et de reporting. Cela pourrait redéfinir l’équilibre des
pouvoirs entre les acteurs financiers et leurs partenaires technologiques. Pour
les entreprises européennes, cela constitue également une opportunité de
valoriser des fournisseurs locaux, potentiellement plus réactifs et alignés sur
les exigences réglementaires européennes.
Anticiper pour mieux se
conformer
La date limite de mise
en conformité - janvier 2025 - peut sembler lointaine, mais le chantier est
vaste. Les entreprises devront effectuer une analyse d’impact juridique et
organisationnelle pour identifier les écarts entre leur situation actuelle et
les exigences de DORA. Cette démarche passera par :
- L’audit du SI et des
pratiques de gestion des risques TIC.
- La cartographie des
prestataires TIC et la mise à jour des contrats avec ces derniers.
- La surveillance et
l’évaluation régulière des prestataires critiques pour assurer leur conformité
et la vôtre.
- La formation des
équipes juridiques et techniques.
- La mise en place de
mécanismes de reporting et de gestion des incidents.
- La mise à jour des
politiques et documentations relatives à la sécurité (PSSI, PCA, PRA, etc.)
L’approche proactive
sera ici la clé. Les entreprises qui anticiperont leur mise en conformité
pourront non seulement éviter des sanctions potentielles, mais aussi tirer
parti de DORA comme un levier de compétitivité. En renforçant leur résilience
numérique et en inspirant confiance à leurs clients, elles se positionneront
comme des leaders dans un marché en mutation.
Un cadre pour une
résilience juridique et technique
DORA représente une
avancée majeure pour la résilience numérique du secteur financier, mais il ne
doit pas être perçu comme une contrainte.
C’est une opportunité
pour repenser la gestion des risques numériques sous un prisme juridique, où la
conformité devient un levier stratégique.
Pour les acteurs
concernés, l’enjeu sera de naviguer dans cette complexité réglementaire avec
agilité et pragmatisme. Avec DORA, l’Union européenne envoie un message clair :
la sécurité numérique n’est pas seulement une question technique, mais un
impératif stratégique et juridique. À l’heure où les menaces cybernétiques ne
cessent de croître, c’est une révolution nécessaire, et peut-être salutaire.
Bien que le règlement
DORA soit d’application directe dans l’ensemble des États membres de l’Union
européenne, la France a initié une adaptation législative par le biais de la
loi dite "Résilience", présentée en Conseil des ministres le 15 octobre
2024. Cette loi introduit certaines spécificités dans le cadre de l’application
nationale du règlement, notamment en matière de sanctions. Le texte prévoit en
effet un montant maximum d’amende pouvant atteindre 2% du chiffre d’affaires
annuel mondial ou 10 millions d’euros, le montant le plus élevé étant retenu.
Cette transposition vise également à préciser les modalités pratiques de mise en œuvre de DORA sur le territoire français, en renforçant notamment la coordination entre les autorités nationales compétentes et les entreprises assujetties.