Vos contrats sont-ils « DORA-proof » ? (Loi Monard)

Auteur : Clément Claesens (Monard Law)

Le Règlement sur la résilience opérationnelle numérique pour le secteur financier est un règlement de l’UE (2022/2554) entré en vigueur le 16 janvier 2023 et applicable à partir du 17 janvier 2025. Il s’agit du Digital Operational Resilience Act, plus connu sous le nom de DORA. Elle s’applique aux entités financières telles que les établissements de crédit, les établissements de paiement et les entreprises d’investissement.

Ce règlement comble une lacune importante dans la réglementation européenne relative au secteur financier. Auparavant, les entités financières géraient les risques principalement en réservant du capital pour d’éventuelles pertes. Cependant, cela n’a pas fourni une protection complète contre des risques opérationnels spécifiques, notamment dans le domaine des technologies de l’information et de la communication (TIC). Le règlement souligne que les perturbations des TIC et le manque de résilience opérationnelle peuvent menacer la stabilité du système financier, même lorsque les exigences connues en matière de capitaux sont remplies.

DORA veut s’assurer que la résilience opérationnelle des entités financières ne dépend pas seulement des tampons financiers, mais également de la capacité à résister aux perturbations informatiques et à s’en remettre. Avec DORA, les entités financières sont donc tenues de suivre des directives strictes pour prévenir et traiter les incidents liés aux TIC. Cela comprend des mesures de prévention, de détection et de gestion des risques liés aux TIC, ainsi que de récupération et de réparation des incidents liés aux TIC. DORA introduit également des exigences concernant les tests de résilience opérationnelle et concernant la gestion des fournisseurs externes de services TIC.

Ce dernier point constitue un chapitre important du règlement DORA, dans la mesure où les entités financières s’appuient généralement sur des prestataires externes de services TIC. Ils doivent, entre autres :

sélectionner soigneusement les fournisseurs tiers potentiels de services TIC et évaluer si les services externalisés sont liés à des fonctions critiques ou importantes ; tenir et mettre à jour un registre d’informations concernant tous les accords contractuels concernant l’utilisation de services TIC fournis par des fournisseurs tiers ; rendre compte chaque année aux autorités compétentes (en Belgique, la BNB et la FSMA) du nombre de nouveaux accords sur l’utilisation de services TIC, des catégories de fournisseurs tiers de services TIC, du type d’accords contractuels et des services et fonctions TIC qui sont livrés ; garantir que ces accords pourront être résiliés dans certaines circonstances, sans perturbation de leurs activités commerciales.

DORA est tenue de consigner les accords avec des prestataires tiers dans « un seul document écrit ». Le contrat doit contenir un certain nombre de clauses obligatoires, notamment :

une description claire et complète de toutes les fonctions et services TIC à fournir par le fournisseur tiers de services TIC, indiquant s’il s’agit d’externalisation d’un service TIC qui prend en charge une fonction critique ou importante ; les droits des parties de résilier le contrat et les délais de préavis minimaux ; l’obligation du fournisseur tiers de services TIC de fournir une assistance à l’entité financière sans frais supplémentaires, ou à un coût prédéterminé, en cas d’incident lié au service TIC fourni à l’entité financière ; dans le cas de services TIC qui soutiennent une fonction critique ou importante, des dispositions spécifiques doivent être incluses, telles que des obligations de déclaration, des dispositions concernant la continuité des services et des mesures de sécurité.

DORA prévoit que les parties doivent prendre en compte l’utilisation de clauses contractuelles types élaborées par les agences gouvernementales pour des services spécifiques. Ces clauses contractuelles types seront publiées ultérieurement.

Bron : Loi Monard