Annexe DORA (Digital Operational Resilience Act)

L’Annexe DORA est un document contractuel qui formalise la conformité au règlement européen sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA), pleinement applicable depuis le 17 janvier 2025.

Elle s’inscrit dans un contexte où la digitalisation du secteur financier accroît les risques systémiques (cyberattaques, pannes, incidents informatiques), dont les conséquences peuvent dépasser les pertes financières directes.

Les exigences de DORA s’appliquent directement aux entités financières : 

• Banques, 
• Sociétés de gestion d’actifs,
• Assureurs, 
• Infrastructures de marché
• Prestataires de services de paiement ou plateformes financières. 

Ces entités doivent intégrer des clauses contractuelles, souvent regroupées dans une annexe au contrat principal appelée « Annexe DORA », pour encadrer leurs relations avec leurs prestataires de services TIC (Technologies de l’Information et de la Communication).

Parmi ces prestataires, ceux désignés comme tiers critiques par les autorités européennes (fournisseurs de cloud, logiciels bancaires, hardware essentiel) sont soumis à des obligations renforcées, y compris une surveillance directe par les régulateurs européens, en plus des obligations contractuelles.

Le document définit les exigences relatives à :

• la gestion des risques liés aux systèmes d’information (TIC) : identification, évaluation et mitigation des vulnérabilités, 
• la sécurité et la continuité des systèmes : mesures pour garantir la disponibilité et l’intégrité des services, 
• la gestion des incidents et les tests de résilience opérationnelle : procédures de réponse aux incidents et simulations régulières pour évaluer la robustesse des systèmes, 
• les obligations et relations avec les prestataires critiques : encadrement des responsabilités et des attentes vis-à-vis des tiers essentiels, 
• le partage d’informations sur les menaces et vulnérabilités : collaboration renforcée pour anticiper et contrer les risques émergents.

Il présente un double intérêt :

• Pour les prestataires, il clarifie leurs responsabilités et limite les risques liés à la dépendance opérationnelle vis-à-vis des entités financières.
• Pour les entités financières, il garantit la conformité réglementaire, renforce la sécurité des systèmes et améliore la résilience opérationnelle numérique.

L’Annexe DORA, en plus d’être un impératif pour les entités financières, est un outil clé pour sécuriser les relations contractuelles, prévenir les incidents critiques et renforcer la confiance entre les parties, tout en faisant de la résilience opérationnelle numérique un pilier stratégique pour l’avenir du secteur financier.

Le Registre de Traitement constitue un document interne obligatoire qui répertorie l’ensemble des traitements de données personnelles effectués par une entité. 

Conformément aux exigences du Règlement Général sur la Protection des Données (RGPD), ce registre offre une vue d’ensemble exhaustive des activités de traitement de données personnelles de l’entité concernée. 

Il détaille chaque traitement, notamment en précisant sa finalité, les catégories de données personnelles traitées, les destinataires des données, les éventuels transferts internationaux, ainsi que les mesures de sécurité mises en place pour protéger ces données. 

Le Registre de Traitement permet ainsi à l’entité de se conformer aux obligations de transparence et de responsabilité prévues par le RGPD, en assurant une gestion efficace et documentée des données personnelles. 

Il s’agit d’un outil essentiel pour garantir la conformité aux réglementations en matière de protection des données et pour démontrer l’engagement de l’entité envers le respect de la vie privée et des droits des individus.

En cas de contrôle par la Commission nationale de l’informatique et des libertés (CNIL), ce sera une des pièces impératives à présenter. 

Pour rappel, en 2023, les services de la CNIL ont ainsi instruit plus de 16 000 plaintes, procédé à 340 contrôles et, in fine, ce sont 168 mises en demeure et 42 sanctions qui ont été prononcées pour un montant total de 89 175 500 euros.