La nécessaire mise en conformité des contrats IT pour le 17 janvier 2025 : la dernière ligne droite
Le règlement européen DORA doit être respecté par les entités financières et les prestataires IT à partir du 17 janvier 2025.
- Les entités financières et les prestataires IT doivent déterminer s’ils sont soumis aux obligations très strictes prévues par le règlement DORA (des exceptions sont en effet prévues pour certains intermédiaires d’assurances qui sont des PME, par exemple).
- Si tel est le cas, il incombe aux entités financières d’observer scrupuleusement les obligations du règlement en termes de gestion du risque lié aux TIC et de gestion des incidents éventuels. Le choix du prestataire IT et les obligations à convenir contractuellement sont également encadrées avec précision.
- Concrètement, un cadastre des contrats IT en cours doit être établi, pour s’assurer qu’ils sont conformes au règlement DORA. Le cas échéant, ils devront être revus, ce qui suppose de négocier les modifications nécessaires avec les prestataires IT, sous peine de lourdes sanctions.
1. Contexte et principaux objectifs de DORA
Le Règlement DORA
Les technologies de l’information et de la communication (TIC) sont utilisées à tous les niveaux opérationnels par les acteurs du système financier (paiements, banque, assurance, crédit, investissement, services de crypto-actifs, etc.). Si les avantages en termes d’efficacité sont indéniables, cette numérisation emporte également de nombreux risques, en exposant les entités financières et leurs clients aux dysfonctionnements, pannes informatiques, cyberattaques, etc. Compte tenu de la dépendance au numérique et du niveau élevé d’interconnexion entre les acteurs, les conséquences de tels incidents sont prises très au sérieux par les autorités compétentes et le secteur. Diverses initiatives ont d’ailleurs été prises au cours des dernières années, par le législateur ou les autorités de supervision (l’Autorité bancaire européenne ou la Banque nationale, notamment), pour assurer la résilience opérationnelle du secteur et la stabilité du système financier.
L’adoption du règlement (UE) 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA – Digital Operational Resilience Act) et de ses règlements délégués s’inscrit dans cette démarche.
Il est applicable à partir du 17 janvier 2025.
Gestion du risque et des incidents liés au TIC
Le règlement DORA impose de nombreuses obligations aux entités financières, en termes de gestion du risque lié aux TIC, avec la mise en place d’un cadre solide et documenté, comprenant notamment des mesures préventives (y compris les tests de résilience opérationnelle numérique) ainsi que des méthodes de restauration et de rétablissement permettant de préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données et des actifs numériques.
Des procédures de gestion des incidents et des cybermenaces doivent également être implémentées, pour identifier ceux-ci, les classer et, le cas échéant, les notifier aux autorités compétentes ainsi qu’aux personnes concernées.
Gestion des risques spécifiques liés aux prestataires IT
Vu la complexité et la nature évolutive des technologies, les entités financières font généralement appel à des prestataires tiers (souvent, il est ainsi question d’externalisation ou d’outsourcing).
Leurs services sont multiples et variés : stockage dans le cloud, fourniture de logiciels (également en mode SaaS), solutions CRM, services d’intégration, outils collaboratifs, méthodes de paiements électroniques, etc.
Les entités financières sont dépendantes de ces prestataires extérieurs et, s’agissant parfois d’acteurs d’envergure mondiale (comme Microsoft ou Amazon, pour le cloud), les marges de négociation sur le plan des obligations contractuelles peuvent être très étroites, voire inexistantes.
Pour tenter de pallier les risques, le règlement DORA impose des obligations avant de conclure le contrat avec le prestataire IT (cf. point 3), tout en réglementant le contenu dudit contrat (cf. point 4).
Par ailleurs, les entités financières, qui restent dans tous les cas responsables du respect du règlement DORA, doivent tenir un cadastre documenté et actualisé des contrats conclus avec les prestataires IT, tout en gérant les risques qui en résultent conformément au principe de proportionnalité (on n’aura pas les mêmes attentes à l’égard d’une grande banque ou d’un courtier en assurances). En ce sens, des exigences renforcées s’appliquent aux services TIC qui soutiennent des fonctions critiques (spécialement en termes de supervision).
Les règlements délégués
Pour assurer un niveau élevé de sécurité juridique, des normes techniques d’exécution ont été (ou devraient être) adoptées par la Commission[1], sur la base des projets proposés par les autorités européennes de supervision[2].
[1] Cf. par ex. le règlement délégué (UE) 2024/1773 de la Commission du 13 mars 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant le contenu détaillé de la politique relative aux accords contractuels sur l’utilisation de services TIC soutenant des fonctions critiques ou importantes fournis par des prestataires tiers de services TIC (J.O., L, 2024/1773 du 25 juin 2024) ou le règlement délégué (UE) 2024/1502 de la Commission du 22 février 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par la définition des critères de désignation de prestataires tiers de services TIC comme critiques pour les entités financières (J.O., L, 2024/1502 du 30 mai 2024).
[2] Cf. par ex. https://www.eba.europa.eu/activities/direct-supervision-and-oversight/digital-operational-resilience-act ou https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en.
2. Les entités financières
Les entités financières soumises à DORA sont énumérées à l’article 2 du Règlement. Il s’agit notamment des établissements de crédit, des établissements de paiement, des entreprises d’investissement, des sociétés de gestion, des entreprises d’assurance et de réassurance, des intermédiaires d’assurance ou des institutions de retraite professionnelle.
On estime leur nombre à plus de 22.000 dans l’Union européenne.
3. Exigences à respecter avant de conclure (ou de renouveler) le contrat avec le prestataire tiers
Les prestataires IT doivent être choisis avec soin par les entités financières.
Le règlement DORA leur impose ainsi, entre autres obligations, d’identifier au préalable les risques auxquels l’accord contractuel envisagé les expose, y compris en termes de concentration informatique lorsque les services soutiennent des fonctions critiques ou importantes.
Le processus de sélection et d’évaluation doit être mené avec attention, pour s’assurer que les prestataires présentent les qualités requises, en lien notamment avec le respect des normes en matière de sécurité de l’information (pour les fonctions critiques ou importantes, il doit s’agir des normes les plus actualisées et les plus élevées).
Les entités financières se feront en pratique assister par des consultants et devront particulièrement veiller à documenter le processus.
4. Que faut-il prévoir dans le contrat ?
Le règlement DORA détaille les nombreux éléments à inclure dans le contrat écrit conclu entre l’entité financière et le prestataire IT.
Des obligations renforcées s’appliquent aux services qui soutiennent des fonctions critiques ou importantes.
Sans prétendre à l’exhaustivité, les principales obligations contractuelles doivent :
- décrire les services de manière claire et exhaustive ;
- indiquer les lieux de fourniture de ceux-ci (ce qui peut avoir une incidence en termes de protection des données, notamment) ;
- comporter des garanties relatives à la disponibilité, l’authenticité, l’intégrité et la confidentialité des données ;
- autoriser ou pas (et à quelles conditions) la sous-traitance de certaines activités (s’agissant des fonctions critiques ou importantes)
- inclure un service level agreement ;
- prévoir la fourniture d’un support en cas d’incident ;
- déterminer les circonstances et les modalités de résiliation ou de fin du contrat (y compris en cas d’insolvabilité), tout en prévoyant in tempore non suspecto des stratégies de sortie (exit plan) leur permettant de se retirer sans porter atteinte à la continuité des services fournis à leurs clients ;
- pour les fonctions critiques ou importantes, octroyer un droit illimité d’accès, d’inspection et d’audit, accompagné du droit de prévoir des niveaux d’assurance différents si d’autres entités sont affectées ;
- pour les fonctions critiques ou importantes, imposer au prestataire IT de mettre en place et de tester des plans d’urgence ;
- etc.
Vu les exigences déjà imposées par ailleurs par la législation financière (solvency II, par exemple) ou certaines règlementations transversales (en matière de protection des données avec le RGPD, par exemple), certains contrats avec les prestataires IT devraient déjà être conformes à de nombreux égards.
Le champ d’application de DORA étant toutefois assez large, sur le plan personnel et matériel, tous les acteurs potentiellement impliqués doivent vérifier s’ils sont soumis aux dispositions du règlement DORA et, dans l’affirmative, s’assurer que toutes les exigences précitées ont été correctement intégrées dans les accords contractuels, sous peine de s’exposer aux sanctions administratives et/ou pénales prévues par la législation nationale.
Pour davantage d'informations, n'hésitez pas à contacter Hervé Jacquemin.
Suivez nos dernières publications sur LinkdIn