LuxOps Sovereign IT Operator
Accueil Infrastructure Souveraineté Sécurité Infogérance IA souveraine Applications Actualités Le groupe Indépendance Contact Espace client ·
← Toutes les actualités
Conformité

DORA : la sous-traitance informatique ne s’arrête plus au fournisseur direct

Pour une entité financière, connaître son fournisseur direct ne suffit plus. DORA impose une maîtrise contractuelle et opérationnelle de la chaîne qui contribue aux fonctions critiques ou importantes.

Article rédigé automatiquement par une intelligence artificielle, à titre informatif. Il peut contenir des imprécisions et ne constitue pas un conseil juridique.

Le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier, dit DORA, est applicable depuis le 17 janvier 2025. Il vise d’abord les entités financières. Mais une part substantielle de ses exigences atteint les fournisseurs informatiques par les contrats, les questionnaires de diligence, les audits et les obligations de notification. La sous-traitance concentre une difficulté particulière : un service peut dépendre d’un hébergeur, d’un opérateur réseau, d’un prestataire de support ou d’un composant logiciel exploité par un tiers. Le fournisseur direct reste l’interlocuteur contractuel, mais il ne peut plus traiter cette chaîne comme une boîte noire.

Une obligation qui descend par le contrat

DORA distingue la responsabilité réglementaire de l’entité financière et les obligations du prestataire. Sauf cas particulier, un fournisseur informatique ordinaire ne devient pas automatiquement une entité réglementée par DORA. Il doit néanmoins fournir à son client les informations et les droits nécessaires au respect du règlement. Les articles 28 et 30 du règlement (UE) 2022/2554 structurent cette transmission. Ils couvrent notamment l’évaluation préalable du risque, le registre des accords contractuels, la localisation des services et des données, la sécurité, la continuité, l’assistance en cas d’incident, l’audit, la résiliation et la réversibilité. Pour les services soutenant une fonction critique ou importante, le niveau d’exigence augmente. Le contrat doit permettre une surveillance effective, pas seulement afficher une clause générale de conformité.

Ce que le fournisseur doit pouvoir démontrer

  • Une chaîne identifiée. Le fournisseur doit savoir quelles prestations sont sous-traitées, par quelle catégorie d’acteur, dans quels lieux elles sont exécutées et où les données sont traitées ou stockées. Une cartographie limitée au premier rang ne permet pas toujours d’évaluer une dépendance réelle. L’enjeu n’est pas d’accumuler des organigrammes, mais de relier chaque dépendance aux fonctions, aux données et aux mécanismes de continuité concernés.
  • Des changements maîtrisés. L’ajout ou le remplacement d’un sous-traitant peut modifier la localisation des données, le régime juridique applicable, le profil de sécurité ou les possibilités d’audit. Le fournisseur doit donc disposer d’un processus de qualification, d’approbation et de notification des changements matériels. Informer le client après la migration, lorsque le changement est devenu irréversible, vide le contrôle contractuel de sa substance.
  • Des droits transmissibles. Un fournisseur ne peut accorder à son client davantage de droits qu’il n’en détient lui-même. Les engagements relatifs à l’accès, à l’inspection, à l’audit, à la coopération avec les autorités, à la conservation des preuves et à la restitution des données doivent donc être répercutés dans la chaîne. Une certification ou un rapport d’assurance peut contribuer au contrôle, mais ne remplace pas automatiquement les droits prévus par le contrat et par DORA.
  • Une sortie techniquement praticable. La résiliation ne se réduit pas à l’arrêt de la facturation. Il faut pouvoir extraire les données dans un format exploitable, transférer les éléments nécessaires, maintenir le service pendant une transition convenue et supprimer les copies résiduelles selon des règles vérifiables. Si un sous-traitant contrôle seul les outils d’exportation, les journaux ou les clés indispensables, le plan de sortie dépend de droits qui doivent avoir été négociés en amont.
  • Des incidents remontés sans rupture. Le fournisseur direct doit organiser la transmission des informations provenant de ses sous-traitants : nature de l’incident, services touchés, chronologie, mesures de confinement et éléments utiles à l’analyse. Les délais réglementaires de l’entité financière ne sont pas suspendus parce qu’un acteur de rang inférieur tarde à répondre. Les circuits d’escalade, les responsabilités et les formats de preuve doivent donc être testés avant la crise.

Le registre révèle les angles morts

DORA impose aux entités financières de tenir un registre d’informations sur leurs accords contractuels relatifs aux services informatiques fournis par des tiers. Pour le fournisseur, cette exigence se traduit par des demandes structurées et régulièrement mises à jour. Une réponse fiable suppose un inventaire interne versionné, avec une source responsable et une date de validité. Les réponses dispersées entre les équipes commerciales, juridiques, techniques et sécurité produisent vite des contradictions : un lieu de traitement annoncé dans le contrat, un autre dans la documentation d’exploitation, et une troisième réalité dans la chaîne de support. La bonne pratique consiste à rattacher les informations déclarées à la configuration effectivement déployée et à conserver l’historique des changements. Ce qui ne peut pas être reproduit lors d’un contrôle n’est pas réellement démontré.

Trois tests avant de signer

Un fournisseur peut éprouver son dispositif avec trois questions simples. Peut-il produire une vue à jour des sous-traitants qui contribuent au service concerné, sans lancer une enquête improvisée ? Peut-il démontrer que les obligations essentielles sont répercutées dans les contrats de rang inférieur ? Peut-il remplacer ou quitter un sous-traitant sans perdre l’accès aux données, aux journaux et aux éléments nécessaires à la continuité ? Une réponse négative n’interdit pas nécessairement la relation, mais elle signale une dépendance à qualifier et à traiter. Les formulations vagues telles que « sous-traitants de confiance » ou « standards du marché » ne constituent ni une cartographie, ni une preuve, ni un mécanisme de sortie.

DORA n’impose pas un modèle unique de chaîne de sous-traitance et n’interdit pas, par principe, le recours à plusieurs niveaux de prestataires. Il exige que les risques restent évaluables et que les droits contractuels demeurent exerçables. L’analyse dépend de la nature du service, des fonctions soutenues et du statut des parties. Elle doit être articulée, selon les cas, avec le RGPD, les règles sectorielles, les obligations de secret et les législations nationales applicables. Cet article présente des principes généraux et ne constitue pas un conseil juridique personnalisé.

Une question que cela soulève chez vous ? Parlez à l'ingénieur qui concevra votre architecture — pas à une équipe commerciale.

Parler à un ingénieur →
Signaler un problème sur ce site