Convergence DORA + RGPD

Gérez la conformité DORA et RGPD sur une seule plateforme, sans dupliquer le travail entre vos entités

Mis à jour le 2026-06-23
Points clés : Priverion est une plateforme hébergée en Suisse qui unifie la gestion des risques TIC de DORA et la conformité RGPD en matière de protection des données pour les organisations financières multi-entités.

Les entités financières doivent satisfaire aux obligations DORA en matière de risques TIC et aux obligations RGPD de protection des données, souvent pour des dizaines d'entités et de juridictions. Priverion offre à votre équipe protection des données une plateforme unique pour gérer les deux, sans dupliquer le travail ni perdre les pistes d'audit.

Réserver une démo axée sur DORA

« Dans les six mois suivant le déploiement de Priverion, la recertification du registre des traitements était entièrement automatisée. J'ai enfin du temps pour un travail stratégique sur la protection des données plutôt que pour la maintenance de tableurs. »

Déléguée à la protection des données, constructeur aéronautique

60 % de temps administratif de conformité en moins, sur les 6 premiers mois

DORA (règlement (UE) 2022/2554) introduit des exigences de gestion des risques TIC, de notification d'incidents, de supervision des tiers et de tests de résilience qui recoupent directement les programmes de protection des données existants. Les équipes protection des données dans la banque, l'assurance et les services financiers doivent désormais démontrer comment leurs AIPD, leurs évaluations de prestataires et leurs processus de réponse aux violations s'alignent sur DORA, en plus de tout ce qu'elles gèrent déjà au titre du RGPD. La question n'est pas de savoir si ces exigences se recoupent. Elle est de savoir si vos outils peuvent gérer ce recouvrement sans créer un chaos opérationnel.

Infrastructure hébergée en Suisse La confiance d'équipes protection des données gérant plus de 50 entités Sécurité de niveau entreprise
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Comment Priverion résout ce problème

Une seule plateforme pour les exigences DORA en matière de protection des données, pour chaque entité

Chaque fonctionnalité ci-dessous répond directement à un point de friction que votre équipe gère déjà. La différence : vous cessez de jongler entre des systèmes parallèles et commencez à exécuter un processus unique et auditable.

Processus de réponse aux incidents unifiés

Gérez la classification des incidents TIC de DORA et les notifications de violation RGPD à partir d'un seul enregistrement d'incident. Priverion identifie automatiquement le moment où un incident TIC déclenche des obligations liées à une violation de données à caractère personnel, achemine les notifications vers les bonnes autorités selon l'entité et la juridiction, et conserve une piste d'audit complète, afin que votre équipe n'ait plus jamais à réconcilier deux processus parallèles.

60 % de temps de coordination de réponse aux incidents en moins

Par rapport à la gestion des processus d'incidents DORA et RGPD dans des systèmes parallèles

Évaluations intégrées des risques liés aux tiers et à la protection des données

Menez le devoir de diligence sur les tiers TIC imposé par DORA, parallèlement aux analyses d'impact des transferts (TIA) et aux examens des sous-traitants ultérieurs, dans un seul processus. Reliez les fiches prestataires directement aux activités de traitement de votre registre des traitements afin que rien ne passe entre les mailles du filet lorsque les régulateurs demandent la preuve d'une supervision coordonnée dans les deux cadres.

100 % de couverture d'évaluation des risques prestataires

Un établissement de santé a atteint une couverture intégrale de ses prestataires grâce au processus d'évaluation unifié de Priverion

Modèles d'AIPD pré-mappés aux scénarios DORA

Priverion inclut des modèles d'AIPD assistés par IA qui tiennent compte des activités de traitement propres à DORA : tests de résilience, tests d'intrusion fondés sur la menace au titre de l'article 26, gestion des changements TIC et cartographie des fonctions critiques. Votre équipe n'a pas à les créer de zéro, et chaque projet généré par IA est revu par un humain avant de devenir un enregistrement de conformité.

Lancez des AIPD alignées sur DORA en quelques heures, pas en semaines

Rédaction assistée par IA avec supervision humaine, aucune donnée client utilisée pour l'entraînement des modèles

Recertification automatisée du registre des traitements pour toutes les entités du groupe

DORA ne modifie pas vos obligations relatives au registre des traitements, il les étend. De nouvelles activités de traitement liées à la gestion des risques TIC, à la journalisation des incidents et à la surveillance des tiers doivent toutes être consignées. Les processus de recertification automatisés de Priverion poussent les mises à jour vers chaque entité concernée simultanément, éliminant la course à travers les unités opérationnelles.

100 % de taux de recertification du registre des traitements, entièrement automatisé

Un assureur suisse a atteint une recertification entièrement automatisée grâce à Priverion

Rapports et documentation adaptés à chaque juridiction

Générez une documentation de conformité DORA et des rapports de protection des données adaptés à l'autorité nationale compétente et à l'autorité de protection des données de chaque entité. Priverion cartographie les exigences réglementaires par juridiction afin que votre équipe produise le bon rapport pour le bon régulateur, à chaque fois, sans suivre manuellement les transpositions nationales divergentes.

40 % de temps de préparation des rapports en moins

Par rapport à la génération manuelle de rapports propres à chaque juridiction au sein de groupes multi-entités

Souveraineté des données suisse, intégrée et non rapportée

Chaque élément de données de conformité DORA et de protection des données, enregistrements d'incidents, évaluations de prestataires, AIPD, registres des traitements, reste au sein de l'infrastructure suisse. Dans un monde post-Schrems II où les régulateurs financiers examinent de près les dépendances aux fournisseurs cloud, l'hébergement suisse n'est pas une case marketing à cocher. C'est le fondement juridique de la confiance dans les transferts transfrontaliers de données.

Résidence des données en Europe garantie

Tout le traitement des données au sein de l'infrastructure suisse. Conçu et hébergé en Suisse

Réserver une démo axée sur DORA Découvrir les fonctionnalités DORA dans votre tableau de bord

200+

Heures gagnées sur la gestion du registre des traitements

Une entreprise de technologie médicale a réaffecté plus de 200 heures du suivi manuel du registre des traitements à la préparation de la certification ISO 27001 dès sa première année sur Priverion

60%

Coût total inférieur par rapport à OneTrust

D'après les comparaisons de tarifs publiés pour des organisations mid-market gérant plus de 10 entités avec une couverture de modules équivalente

92%

Score de satisfaction client

D'après une enquête client du 1er trimestre 2025, auprès d'organisations gérant des programmes de protection des données multi-entités

Priverion vs. OneTrust

Une gestion de la protection des données de niveau entreprise, sans les tracas qui vont avec

Les organisations mid-market ont besoin de profondeur de conformité, pas de surcharge de fonctionnalités. Voici pourquoi les équipes protection des données gérant plusieurs entités dans plusieurs juridictions européennes font le pas.

L'expérience OneTrust

Une tarification qui pénalise la croissance

Une tarification par utilisateur et par module fait gonfler les coûts à mesure que vous intégrez des filiales. Ajouter cinq utilisateurs à une nouvelle entité ? C'est une nouvelle négociation de poste budgétaire.

Infrastructure hébergée aux États-Unis

Les données traitées sur une infrastructure américaine restent soumises à la juridiction américaine. Dans un monde post-Schrems II, cela crée un risque de transfert que votre équipe juridique doit documenter et défendre.

Conçu pour le Fortune 500

Des centaines de fonctionnalités couvrant GRC, ESG, éthique et consentement aux cookies. Puissant, mais les équipes mid-market rapportent des implémentations de plusieurs mois et des fonctionnalités qu'elles n'utiliseront jamais.

Plus de 200 intégrations superficielles

Une longue liste d'intégrations fait bonne figure sur une matrice comparative. Mais des connecteurs qui ne remontent que des données partielles ou exigent une maintenance constante créent plus de travail, pas moins.

Un déploiement complexe

Des calendriers d'implémentation entreprise qui se comptent en mois, avec des chefs de projet dédiés et des budgets de services professionnels en plus du coût de licence.

L'expérience Priverion

Une tarification prévisible et tout compris

Une tarification basée sur le nombre de sociétés et la taille de l'organisation, et non par utilisateur ou par module. Ajoutez autant d'utilisateurs que nécessaire dans chaque filiale sans renégocier votre contrat.

Conçu en Suisse, hébergé en Suisse

Tout le traitement des données a lieu au sein de l'infrastructure suisse, l'une des rares juridictions disposant d'une décision d'adéquation de l'UE. La résidence des données en Europe n'est pas une case à cocher ; c'est notre architecture.

Conçu spécialement pour la protection des données multi-entités

Chaque fonctionnalité existe pour résoudre la gestion d'un programme de protection des données à l'échelle du groupe : registre des traitements, AIPD, risques prestataires, demandes des personnes concernées, processus de violation et cartographie des données inter-entités, rien de superflu.

Des intégrations approfondies là où ça compte

Des connexions significatives aux systèmes RH, d'achats et de gestion des actifs informatiques, les processus qui font réellement avancer la conformité en matière de protection des données. Moins de connecteurs, des données plus riches.

Opérationnel en quelques semaines

Un constructeur aéronautique est passé de la signature du contrat à la recertification automatisée du registre des traitements pour plusieurs filiales. Pas d'implémentation de six mois. Pas de mauvaise surprise sur les services professionnels.

D'après le déploiement chez un constructeur aéronautique, 60 % de temps administratif de conformité en moins sur les 6 premiers mois

En toute transparence : nous ne couvrons pas l'ESG, les lignes d'alerte éthique ni le consentement aux cookies. Si vous en avez besoin, OneTrust est un bon choix. Si vous avez besoin d'une gestion ciblée et multi-entités de votre programme de protection des données avec résidence des données en Europe, c'est exactement ce que nous avons conçu.

Ce que disent les praticiens

Des résultats obtenus par des équipes protection des données comme la vôtre

« Nous passions la majeure partie de notre temps administratif de conformité à relancer les unités opérationnelles de plusieurs filiales pour mettre à jour le registre des traitements. Dans les six mois suivant le déploiement de Priverion, la recertification était entièrement automatisée. J'ai enfin du temps pour un travail stratégique sur la protection des données plutôt que pour la maintenance de tableurs. »

Délégué à la protection des données, constructeur aéronautique

60 % de temps administratif de conformité en moins, sur les 6 premiers mois

« Les dossiers de preuves prêts pour l'audit de Priverion nous ont fait gagner plus de 200 heures de préparation. Nous avons accéléré notre certification ISO 27001 de trois mois, et la qualité de la documentation était supérieure à ce que nous produisions manuellement. »

Responsable conformité chez une entreprise de technologie médicale

Plus de 200 heures gagnées sur la préparation ISO 27001

« Avant Priverion, nous avions des lacunes dans nos évaluations des risques prestataires, nous n'avions tout simplement pas la capacité de couvrir chaque tiers. Aujourd'hui, nous avons une couverture de 100 % avec un processus unifié qui gère à la fois les exigences de protection des données et de risque TIC. »

Responsable de la protection des données chez un établissement de santé

100 % de couverture d'évaluation des risques prestataires atteinte

Guide gratuit

DORA rencontre le RGPD : les exigences de protection des données que votre entité financière ne peut ignorer

DORA a introduit des obligations en matière de risques TIC qui recoupent, et parfois entrent en conflit avec, les cadres de protection des données existants. Ce guide cartographie chaque point d'intersection afin que votre DPD et votre RSSI ne dupliquent pas le travail ni ne laissent de lacunes.

Au sommaire :

  • Une mise en correspondance clause par clause des articles 5 à 15 de DORA avec les exigences du RGPD, montrant où les obligations se recoupent, où elles divergent et où se cachent les lacunes
  • Les exigences de gestion des risques liés aux tiers TIC au titre de DORA et comment elles modifient vos évaluations de protection des données des prestataires et vos obligations en matière de CCT
  • Les délais de notification d'incidents comparés côte à côte : la notification initiale de 4 heures de DORA face à la fenêtre de 72 heures du RGPD, et comment construire un processus unique qui satisfait les deux
  • Une liste de contrôle pratique pour un déploiement à l'échelle du groupe pour plusieurs entités et juridictions, élaborée à partir de véritables programmes de conformité multi-filiales

PDF gratuit. Aucune démo requise. Nous vous l'envoyons par e-mail.

FAQ

Conformité DORA en matière de protection des données : questions fréquentes

DORA remplace-t-il le RGPD pour les entités financières ?

Non. DORA et le RGPD sont des réglementations complémentaires aux champs d'application distincts. DORA porte sur la gestion des risques TIC et la résilience opérationnelle numérique des entités financières, tandis que le RGPD régit la protection des données à caractère personnel. Les entités financières doivent se conformer aux deux simultanément. La difficulté tient au fait que de nombreuses exigences DORA, en particulier autour de la notification d'incidents, de la gestion des risques liés aux tiers et de la sécurité de l'information, recoupent directement les obligations du RGPD. Priverion vous aide à gérer les deux ensembles d'exigences dans un seul processus afin d'éviter les doublons et les lacunes.

Comment le délai de notification d'incidents de DORA interagit-il avec la notification de violation de 72 heures du RGPD ?

DORA impose une notification initiale d'incident TIC dans les 4 heures suivant sa classification, suivie de rapports intermédiaires et finaux. Le RGPD exige une notification à l'autorité de contrôle dans les 72 heures suivant la prise de connaissance d'une violation de données à caractère personnel. Lorsqu'un incident TIC concerne également des données à caractère personnel, les deux délais courent en parallèle, et vous devez notifier différentes autorités avec différentes informations. Le processus d'incident unifié de Priverion identifie automatiquement le moment où un incident TIC déclenche des obligations de violation RGPD et achemine les bonnes notifications vers chaque autorité selon l'entité et la juridiction.

Priverion peut-il gérer la conformité DORA pour des organisations comptant plus de 50 entités ?

Oui. Priverion est spécifiquement conçu pour la gestion de programmes de protection des données à l'échelle du groupe, pour plusieurs entités et juridictions. Nous servons des organisations comptant plus de 50 entités, en fournissant une cartographie des données inter-entités, une recertification automatisée du registre des traitements pour toutes les filiales, et des rapports adaptés à chaque juridiction. La tarification repose sur le nombre de sociétés et la taille de l'organisation, et non par utilisateur, de sorte que la montée en charge entre entités ne réserve pas de mauvaises surprises de coût.

Comment l'hébergement suisse aide-t-il à la conformité DORA et RGPD ?

La Suisse bénéficie d'une décision d'adéquation de l'UE, ce qui signifie que les transferts de données vers la Suisse sont traités comme équivalents aux transferts intra-UE au titre du RGPD. Pour les entités financières soumises aux exigences de DORA en matière de risque lié aux tiers TIC, y compris l'examen des dépendances aux fournisseurs cloud et de la résidence des données, une infrastructure hébergée en Suisse offre un fondement juridiquement défendable. Toutes les données de conformité dans Priverion restent au sein de l'infrastructure suisse, éliminant le risque de transfert transfrontalier inhérent aux solutions hébergées aux États-Unis.

Priverion utilise-t-il l'IA pour la conformité DORA ? Est-ce sûr ?

Priverion utilise des capacités assistées par IA pour la rédaction d'AIPD, l'évaluation des risques et la cartographie réglementaire, y compris pour des scénarios propres à DORA. Tous les résultats de l'IA sont revus par un humain avant de devenir des enregistrements de conformité. Aucune donnée client n'est utilisée pour l'entraînement des modèles. Tout le traitement des données a lieu au sein de l'infrastructure suisse. L'IA assiste la prise de décision de votre équipe ; elle ne la remplace jamais.

Que ne couvre pas Priverion ?

Nous nous concentrons exclusivement sur la gestion des programmes de protection des données. Nous ne couvrons pas le reporting ESG, les lignes d'alerte éthique ni la gestion du consentement aux cookies. Nous ne sommes pas non plus conçus pour les organisations mono-entité, notre force réside dans la gestion à l'échelle du groupe pour plusieurs filiales et juridictions. Si vous avez besoin d'une plateforme GRC large qui couvre tout, OneTrust ou des outils similaires conviendront peut-être mieux. Si vous avez besoin d'une conformité protection des données ciblée et multi-entités avec résidence des données en Europe, c'est exactement ce que nous avons conçu.

Votre équipe conformité mérite de meilleurs outils

Arrêtez de gérer le recouvrement DORA et RGPD dans des tableurs. Commencez à le gérer en 30 minutes.

Découvrez comment des organisations comme ce constructeur aéronautique ont réduit leur temps administratif de conformité de 60 % au cours de leurs six premiers mois, grâce à la recertification automatisée du registre des traitements, aux AIPD assistées par IA et à une visibilité à l'échelle du groupe sur chaque filiale et juridiction.

Conçu en Suisse. Hébergé en Suisse. Une tarification prévisible sans piège par utilisateur. Une seule démonstration suffit pour voir la différence.

Réserver une démo axée sur DORA

Aucun engagement requis. Aucun argumentaire de vente, juste un aperçu guidé de la façon dont Priverion gère la protection des données multi-entités, pour que vous puissiez décider si cela convient à votre programme.

The Privacy Compliance Briefing

Des analyses mensuelles sur l'application du RGPD, les actualités de la nouvelle loi sur la protection des données (nLPD) et les stratégies d'automatisation pour les DPD et les équipes conformité.

Pas de spam. Désabonnement à tout moment.

À propos de cette page — références, définitions et FAQ

Points clés — Exigences DORA en matière de protection des données

Les entités financières de l'UE doivent se conformer simultanément à DORA (règlement (UE) 2022/2554) et au RGPD. Les deux cadres présentent un recouvrement important en matière de notification d'incidents, de gestion des risques liés aux tiers et d'analyses d'impact. Priverion est une plateforme GRC hébergée en Suisse, conçue spécialement pour les organisations multi-entités qui doivent gérer à la fois les obligations DORA de résilience TIC et les obligations RGPD de protection des données à partir d'un processus unique et auditable — éliminant les efforts dupliqués entre filiales et juridictions.

Qu'est-ce que DORA (Digital Operational Resilience Act) ?

DORA — le Digital Operational Resilience Act — est le règlement (UE) 2022/2554, qui établit un cadre complet de gestion des risques TIC pour les entités financières de l'UE. Il couvre la gouvernance des risques TIC, la classification et la notification d'incidents, les tests de résilience opérationnelle numérique (y compris les tests d'intrusion fondés sur la menace), la supervision des prestataires tiers de services TIC et les dispositifs de partage d'informations. DORA s'applique depuis le 17.01.2025.

Qu'est-ce qu'une AIPD au titre du RGPD ?

Une analyse d'impact relative à la protection des données (AIPD) est requise au titre de l'article 35 du RGPD dès lors qu'un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». De nombreuses activités imposées par DORA — comme les tests d'intrusion fondés sur la menace au titre de l'article 26 et la cartographie des fonctions critiques — impliquent un traitement de données à caractère personnel qui déclenche ce seuil.

Qu'est-ce que l'obligation de registre des traitements ?

Le registre des activités de traitement (registre des traitements) est imposé par l'article 30 du RGPD. Les responsables du traitement et les sous-traitants doivent tenir un registre écrit de toutes les activités de traitement. DORA élargit le champ des activités de traitement à documenter, notamment les journaux de gestion des risques TIC, les enregistrements d'incidents et les activités de surveillance des tiers.

Statistiques : le paysage de la conformité DORA et RGPD

Selon le rapport ENISA Threat Landscape 2024, le secteur financier représentait environ 9 % de tous les incidents cyber signalés dans l'UE, ce qui souligne la nécessité d'une gestion unifiée des incidents TIC et de protection des données. Le rapport IAPP-EY 2023 sur la gouvernance de la protection des données a révélé que 60 % des organisations gèrent encore leur conformité en matière de protection des données à l'aide de tableurs ou de processus manuels, créant un risque important de lacunes lorsque des cadres qui se recoupent comme DORA et le RGPD doivent être traités simultanément. Le Comité européen de la protection des données a noté dans ses lignes directrices 01/2021 sur des exemples de notification de violation de données que les incidents TIC dans les services financiers concernent fréquemment des données à caractère personnel, exigeant une notification coordonnée dans le respect des délais à la fois de DORA et du RGPD.

Comment la notification d'incidents DORA recoupe-t-elle la notification de violation RGPD ?

DORA impose aux entités financières de classer et de notifier les incidents majeurs liés aux TIC à leur autorité nationale compétente selon un calendrier structuré. Lorsque le même incident concerne des données à caractère personnel, l'article 33 du RGPD exige une notification à l'autorité de contrôle dans les 72 heures. Les organisations doivent tenir un enregistrement d'incident unique qui satisfait les deux cadres afin d'éviter des délais contradictoires et des déclarations dupliquées. Le processus d'incident unifié de Priverion identifie automatiquement le moment où un incident TIC déclenche des obligations liées à une violation de données à caractère personnel et achemine les notifications en conséquence.

Qui doit se conformer à DORA ?

DORA s'applique aux établissements de crédit, aux entreprises d'investissement, aux entreprises d'assurance et de réassurance, aux établissements de paiement, aux établissements de monnaie électronique, aux dépositaires centraux de titres, aux prestataires de services sur crypto-actifs, ainsi qu'à leurs prestataires tiers de services TIC critiques. Le champ d'application complet est défini à l'article 2 du règlement (UE) 2022/2554. La quasi-totalité des entités financières réglementées de l'UE entre dans le champ.

Pourquoi l'hébergement suisse compte-t-il pour la conformité DORA et RGPD ?

La Suisse bénéficie d'une décision d'adéquation de l'UE (décision 2000/518/CE), ce qui signifie que les transferts de données à caractère personnel de l'UE vers la Suisse ne nécessitent pas de garanties supplémentaires telles que les clauses contractuelles types. Dans le contexte post-Schrems II, où la CJUE a invalidé le Privacy Shield UE-États-Unis, une infrastructure hébergée en Suisse offre un fondement juridiquement solide pour la résidence des données en Europe — particulièrement important pour les entités financières dont les régulateurs examinent de près les dépendances aux fournisseurs cloud.

Quelle est la relation entre la supervision des tiers DORA et la gestion des sous-traitants RGPD ?

Le chapitre V de DORA établit un cadre complet de gestion des prestataires tiers de services TIC, incluant l'évaluation des risques, les exigences contractuelles et un cadre de supervision à l'échelle de l'UE pour les prestataires critiques. L'article 28 du RGPD impose des obligations parallèles aux sous-traitants, notamment la gestion des sous-traitants ultérieurs et les droits d'audit. Les organisations qui gèrent ces évaluations dans des systèmes distincts risquent des fiches prestataires incohérentes et des lacunes d'audit. Priverion relie les fiches de risque prestataire directement aux activités de traitement du registre des traitements, garantissant une supervision coordonnée dans les deux cadres.

DORA vs. RGPD — Comparaison du recouvrement des exigences

Domaine de conformitéExigence DORAExigence RGPDRecouvrement
Notification d'incidentsNotifier les incidents TIC majeurs à l'autorité compétente (art. 19)Notifier l'autorité de contrôle dans les 72 heures d'une violation de données à caractère personnel (art. 33)Élevé — les incidents TIC concernent fréquemment des données à caractère personnel
Supervision des tiersCadre de gestion des risques liés aux tiers TIC (chapitre V)Devoir de diligence sur les sous-traitants et garanties contractuelles (art. 28)Élevé — les mêmes prestataires sont évalués dans les deux cadres
Analyses d'impactTests de résilience, TLPT (art. 26)AIPD pour les traitements à risque élevé (art. 35)Moyen — les activités de test DORA peuvent déclencher une AIPD
Tenue de registresDocumentation de la gestion des risques TIC (art. 6)Registre des activités de traitement (art. 30)Moyen — DORA élargit les activités de traitement à documenter
GouvernanceResponsabilité de l'organe de direction pour les risques TIC (art. 5)Principe de responsabilité du responsable du traitement (art. 5, par. 2)Élevé — responsabilité au niveau du conseil dans les deux cas
Coordination transfrontalièreNotification à l'autorité nationale compétente par entitéAutorité de contrôle chef de file + notifications aux autorités locales de protection des donnéesÉlevé — les groupes multi-entités font face à des déclarations parallèles

DORA exige-t-il une analyse d'impact relative à la protection des données ?

DORA n'impose pas explicitement d'AIPD. Toutefois, de nombreuses activités de traitement imposées par DORA — y compris les tests d'intrusion fondés sur la menace (TLPT) au titre de l'article 26, la gestion des changements TIC et la cartographie des fonctions critiques — impliquent un traitement de données à caractère personnel d'une manière susceptible d'engendrer un risque élevé pour les personnes. Au titre de l'article 35 du RGPD, cela déclenche une AIPD obligatoire. Priverion inclut des modèles d'AIPD assistés par IA pré-mappés à ces scénarios propres à DORA.

Comment les sanctions DORA sont-elles appliquées ?

L'application de DORA est assurée par les autorités nationales compétentes (par ex. la BaFin en Allemagne, l'ACPR en France, des organismes équivalents à la FINMA). Les sanctions varient selon l'État membre mais peuvent inclure des amendes administratives, des blâmes publics et des injonctions de cesser les activités non conformes. Pour les prestataires tiers de services TIC critiques, l'organe de supervision principal au niveau de l'UE (l'une des autorités européennes de surveillance) peut imposer des astreintes pouvant atteindre 1 % du chiffre d'affaires mondial journalier moyen, comme le précise l'article 35, paragraphe 8, de DORA.