Le règlement (UE) 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (« DORA ») est entré en application effective depuis le 17 janvier 2025. Parmi les nombreuses obligations introduites par ce nouveau Règlement, les entités du secteur financier et assurantiel ont aujourd’hui l’obligation de mettre en place un cadre de gestion des risques liés « aux prestataires tiers de services TIC ».
Pourquoi DORA transforme vos contrats clients-fournisseurs ?
Les cyberattaques visant la supply chain explosent, exploitant les failles et autres vulnérabilités des prestataires pour atteindre les institutions financières. Dans ce contexte, DORA impose un cadre contractuel renforcé, intégrant des obligations précises en matière de gouvernance, sécurité, reporting et surveillance des prestataires tiers de services TIC.
Les obligations clés à intégrer dès maintenant
- Identification des fonctions critiques et importantes au sein de votre organisation : cartographie des risques et sélection rigoureuse des prestataires.
- Clauses contractuelles obligatoires (art. 30 DORA) : gouvernance, gestion des changements, sécurité des données, audits réguliers et clauses de sortie adaptées.
- Gestion des risques liés aux tiers : suivi renforcé, obligation de reporting annuel aux autorités de contrôle, mise en place de stratégies de sortie en cas de défaillance du prestataire.
Comment anticiper et sécuriser vos contrats ?
Assurer votre conformité à DORA implique de contrôler l’ensemble du cycle de vie contractuel :
- En amont de la contractualisation : audit interne, définition des objectifs de sécurité et mise à jour de votre PSSI, élaboration de questionnaires et clausiers types DORA.
- Pendant la négociation : intégration des stipulations contractuelles exigées par DORA, tout en veillant à préserver un certain équilibre contractuel.
- Durant l’exécution : mise en place d’un dispositif de contract management pour suivre la bonne exécution des engagements et limiter le risque de sanctions.
Faites appel à notre expertise
Thibaud Le Conte Des Floris assiste et conseille des clients français et étrangers sur leurs problématiques de droit des données à caractère personnel (audits de conformité au RGPD, gouvernance des données, méthodologies et procédures internes, contrats de sous-traitance, politiques de confidentialité, contrôles CNIL, etc.). Il intervient plus généralement en droit de l’informatique, aussi bien en conseil qu’en contentieux. Contactez notre expert dès maintenant pour maintenant pour auditer, adapter et sécuriser vos contrats IT afin de garantir votre conformité et votre résilience face aux nouvelles exigences réglementaires.
