Conformité DORA

Gestion du risque lié aux tiers TIC selon DORA : le cadre que les entités financières ne peuvent se permettre d'ignorer

Mis à jour le 2026-06-22
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui opérationnalise la gestion du risque lié aux tiers TIC selon DORA dans les groupes financiers multi-entités.

Le règlement sur la résilience opérationnelle numérique impose aux entités financières d'identifier, d'évaluer, de surveiller et de gérer le risque lié aux tiers TIC pour chaque relation fournisseur et chaque entité du groupe. Voici ce que cela signifie concrètement pour votre organisation, et comment l'opérationnaliser sans le chaos des tableurs.

Télécharger la checklist du risque lié aux tiers TIC selon DORA

Gratuit. Aucun entretien commercial requis. Utilisé par les équipes de conformité de plus de 50 institutions financières européennes.

Hébergé en Suisse | Aligné sur ISO 27001 | Plébiscité par les équipes de conformité de banques, d'assureurs et de gestionnaires d'actifs dans toute l'UE
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Principales fonctionnalités du produit

Comment Priverion opérationnalise la gestion du risque lié aux tiers TIC selon DORA

Des tableurs fournisseurs fragmentés à un cadre unique et auditable pour chaque entité et chaque juridiction : voici ce qui change lorsque vous confiez votre conformité à une plateforme conçue à cet effet.

Registre d'informations centralisé

Tenez un registre unique et toujours à jour de tous les accords contractuels conclus avec des tiers TIC, pour chaque entité du groupe, exactement comme l'exige l'article 28, paragraphe 3, de DORA. Classez les prestataires selon leur criticité, rattachez-les aux fonctions opérationnelles et générez à la demande des exports prêts pour le régulateur, au lieu de courir après les données lorsque l'autorité compétente les réclame.

100 % de couverture de l'évaluation des risques fournisseurs

Atteint par Zurzach Care pour l'ensemble de ses accords avec des tiers dans les 6 mois suivant la mise en œuvre

Recertification automatisée et surveillance continue

DORA n'accepte pas les évaluations ponctuelles. Priverion automatise le cycle de recertification en déclenchant de nouvelles évaluations lors du renouvellement des contrats, en cas de modifications importantes ou de dépassement des seuils de risque. Fini de relancer les référents conformité des filiales pour des mises à jour oubliées depuis trois mois.

100 % de taux de recertification du registre des traitements, entièrement automatisé

Atteint par AXA grâce à des flux de recertification automatisés dans toutes les entités du groupe

Visibilité du risque de concentration au niveau du groupe

L'article 29 de DORA impose d'évaluer le risque de concentration TIC au niveau du groupe, et non entité par entité. Priverion cartographie les dépendances fournisseurs dans toutes les filiales : vous voyez instantanément si 70 % de vos fonctions critiques reposent sur les trois mêmes prestataires. Des tableaux de bord prêts pour le conseil d'administration rendent visible l'invisible.

60 % de temps administratif de conformité en moins

Constructeur aéronautique, 6 premiers mois, en passant d'un suivi manuel à une surveillance automatisée inter-entités

Notation des risques et due diligence assistées par l'IA

La due diligence préalable à la contractualisation, prévue à l'article 28, paragraphe 4, exige d'évaluer les normes de sécurité de l'information, le risque de concentration et la résilience opérationnelle de chaque prestataire TIC. La notation des risques assistée par l'IA accélère ce processus en faisant ressortir les lacunes et en signalant les accords à haut risque, tandis que votre équipe conserve l'entière autorité décisionnelle. L'IA assiste, les humains décident.

Plus de 200 heures gagnées en préparation de la conformité

Medtec, lors de la préparation à ISO 27001 grâce à la documentation et aux flux d'évaluation des risques assistés par l'IA

Analyse des écarts contractuels pour la conformité à l'article 30

DORA impose des clauses contractuelles précises : droits d'audit, stratégies de sortie, contrôle de la sous-traitance, exigences de localisation des données, obligations de notification d'incident. Le module de gestion des fournisseurs de Priverion identifie les contrats conformes et ceux qui présentent des lacunes, afin que votre équipe juridique priorise la remédiation au lieu de réexaminer chaque accord de zéro.

Opérationnel en quelques semaines, pas en quelques mois

Délai moyen avant valeur rapporté par les clients de Priverion lors de l'onboarding

Souveraineté des données suisse. Intégrée, pas ajoutée après coup

Pour les entités financières qui gèrent des données sensibles de prestataires TIC dans plusieurs juridictions, l'endroit où résident ces données compte. Priverion est conçu et hébergé en Suisse. Tout le traitement des données demeure au sein de l'infrastructure suisse. Dans un environnement réglementaire post-Schrems II, ce n'est pas un simple atout : c'est le socle de la confiance dans les transferts transfrontaliers de données, à la fois sous DORA et sous le RGPD.

Aucune donnée client utilisée pour l'entraînement de modèles d'IA

Engagement de transparence IA de Priverion : tous les résultats de l'IA sont revus avant de devenir des enregistrements de conformité

200+

Heures gagnées sur la gestion du registre des traitements

Medtec a récupéré plus de 200 heures auparavant consacrées à la documentation manuelle lors de la préparation à ISO 27001, du temps réorienté vers des initiatives stratégiques en matière de protection des données.

60%

Coût inférieur par rapport aux plateformes historiques

Sur la base du modèle tarifaire par entreprise de Priverion, comparé à la tarification par utilisateur et par module de plateformes telles qu'OneTrust pour les déploiements multi-entités de plus de 10 filiales.

3 mois

D'avance sur le calendrier ISO 27001

Medtec a accéléré de trois mois son calendrier de certification ISO 27001 grâce aux dossiers de preuves prêts pour l'audit et aux flux de documentation automatisés de Priverion.

Acheteurs avertis de la concurrence

Pourquoi les équipes du mid-market quittent OneTrust

Vous n'avez pas besoin d'une plateforme conçue pour la complexité du Fortune 50, ni de son tarif. Il vous faut une solution adaptée à la réalité des programmes de protection des données multi-entités.

L'expérience OneTrust

Tarification par utilisateur et par module

Les coûts explosent à mesure que vous ajoutez des filiales, des utilisateurs ou des modules. Les directions financières redoutent la discussion annuelle du renouvellement.

Infrastructure hébergée aux États-Unis

Dans un paysage post-Schrems II, le traitement des données aux États-Unis crée un risque de transfert que votre équipe juridique doit couvrir par des CCT supplémentaires.

Une complexité d'entreprise dont vous n'avez pas besoin

Des mises en œuvre qui s'étalent sur des mois. Des consultants pour configurer les flux de travail. Des fonctionnalités conçues pour les exigences du Fortune 50 qui prennent la poussière dans votre instance.

Plus de 200 intégrations superficielles

Des centaines de connecteurs qui impressionnent dans une grille de fonctionnalités, jusqu'à ce que vous réalisiez que la plupart restent en surface et nécessitent une maintenance sur mesure.

Gestion des cookies incluse d'office

Vous payez pour la gestion du consentement aux cookies, les lignes d'alerte éthique et les modules ESG, que vous les utilisiez ou non.

L'expérience Priverion

Tarification prévisible, par entreprise

Fondée sur le nombre d'entités et la taille de l'organisation, et non par utilisateur ou par module. Ajoutez des membres d'équipe sans voir les coûts s'envoler.

Conçu et hébergé en Suisse

Toutes les données sont traitées au sein de l'infrastructure suisse. Résidence des données européenne garantie. Dans un monde post-Schrems II, ce n'est pas une case marketing : c'est un avantage juridique.

Opérationnel en quelques semaines, pas en quelques mois

Une expérience utilisateur claire, pensée pour les DPD qui gèrent la conformité au quotidien, et non pour des consultants qui facturent des heures de mise en œuvre. Un constructeur aéronautique avait mis en place la recertification automatisée dès ses 6 premiers mois.

Constructeur aéronautique, 6 premiers mois après la mise en œuvre

Des intégrations approfondies là où elles comptent

Des connexions conçues sur mesure avec les systèmes RH, achats et gestion des actifs informatiques, c'est-à-dire les systèmes qui alimentent réellement les flux de protection des données. Aucun connecteur superficiel générant une surcharge de maintenance.

Une plateforme de protection des données tout-en-un, sans le superflu

Registre des traitements, AIPD, évaluations des fournisseurs, traitement des demandes des personnes concernées, gestion des incidents, registre IA et reporting prêt pour l'audit : tout est inclus. Nous ne couvrons pas la gestion des cookies, l'ESG ni les lignes d'alerte éthique, car nous nous concentrons sur les véritables besoins des programmes de protection des données multi-entités.

Cessez de gérer la protection des données dans des tableurs

Découvrez à quoi ressemble vraiment la gestion de la protection des données à l'échelle du groupe

En 30 minutes, nous passerons en revue votre configuration multi-entités spécifique : comment la recertification automatisée du registre des traitements, les AIPD assistées par l'IA et la cartographie des données inter-entités fonctionnent pour des organisations comme la vôtre. Pas de diapositives. Pas de discours commercial. Juste la plateforme.

60%

de temps administratif de conformité en moins

Constructeur aéronautique, 6 premiers mois

200+

heures gagnées sur la préparation de l'audit

Medtec, ISO 27001

Semaines

pour le déploiement, pas des mois

Moyenne tous clients confondus

Réservez une démonstration de 30 minutes

Aucun engagement requis. Nous adapterons la session à votre structure d'entités et à vos priorités de conformité.

Conçu et hébergé en Suisse

|

Aucune tarification par utilisateur

|

Assisté par l'IA, décidé par l'humain

À propos de cette page — références, définitions et FAQ

Points clés — Gestion du risque lié aux tiers TIC selon DORA

Le règlement sur la résilience opérationnelle numérique (Règlement (UE) 2022/2554) impose aux entités financières des obligations contraignantes pour gérer le risque lié aux tiers TIC, tant au niveau de l'entité qu'au niveau du groupe. La conformité exige un registre d'informations centralisé, une évaluation continue du risque de concentration, des clauses contractuelles obligatoires et une due diligence préalable à la contractualisation pour chaque prestataire TIC. Priverion opérationnalise ces exigences au sein d'une plateforme unique hébergée en Suisse, remplaçant les tableurs fragmentés par une recertification automatisée, une notation des risques assistée par l'IA et des tableaux de bord prêts pour le conseil d'administration.

Qu'est-ce que DORA ?

DORA (le règlement sur la résilience opérationnelle numérique) est le Règlement (UE) 2022/2554 du Parlement européen et du Conseil. Il établit un cadre harmonisé pour la gestion du risque TIC, la notification des incidents, les tests de résilience opérationnelle numérique et la gestion du risque lié aux tiers TIC dans l'ensemble du secteur financier de l'UE. DORA est entré en vigueur le 16.01.2023 et s'applique depuis le 17.01.2025.

Qu'est-ce que le risque lié aux tiers TIC ?

Le risque lié aux tiers TIC est le risque qui découle de la dépendance d'une entité financière à l'égard de services TIC fournis par des tiers externes. Selon le règlement DORA, cela englobe les risques liés à la disponibilité des services, à l'intégrité des données, à la confidentialité et au potentiel de perturbation systémique lorsque des fonctions critiques sont concentrées entre les mains d'un petit nombre de prestataires.

Qu'est-ce que le risque de concentration TIC selon l'article 29 de DORA ?

Le risque de concentration TIC désigne l'exposition qui survient lorsque plusieurs fonctions critiques ou importantes dépendent du même prestataire tiers de services TIC. L'article 29 de DORA impose aux entités financières d'évaluer le risque de concentration tant au niveau de l'entité qu'au niveau du groupe. Les autorités européennes de surveillance (AES) ont souligné que l'évaluation du risque de concentration doit tenir compte de la substituabilité, de la portée géographique des prestataires et de l'impact potentiel d'une défaillance de prestataire. Voir le texte complet du règlement, article 29.

Que doit contenir un registre d'informations DORA ?

En vertu de l'article 28, paragraphe 3, de DORA, les entités financières doivent tenir et maintenir à jour un registre d'informations couvrant tous les accords contractuels relatifs au recours à des services TIC fournis par des prestataires tiers de services TIC. Ce registre doit classer les prestataires selon leur criticité, les rattacher aux fonctions opérationnelles qu'ils soutiennent et être mis à disposition de l'autorité compétente sur demande. Au niveau du groupe, l'entreprise mère doit compiler un registre consolidé couvrant l'ensemble des filiales.

Quelles clauses contractuelles l'article 30 de DORA exige-t-il ?

L'article 30 de DORA impose que les contrats conclus avec des prestataires tiers de services TIC comportent des dispositions portant sur : la description complète des niveaux de service, la localisation et le traitement des données, les droits d'audit et d'accès pour l'entité financière et son autorité compétente, les obligations de notification d'incident, les stratégies de sortie et les plans de transition, ainsi que le contrôle de la sous-traitance. Les contrats soutenant des fonctions critiques ou importantes sont soumis à des exigences supplémentaires, notamment des objectifs de performance et des droits de résiliation. Le texte du règlement les détaille précisément.

En quoi l'hébergement en Suisse soutient-il la conformité à DORA et au RGPD ?

La Suisse bénéficie d'une décision d'adéquation de la Commission européenne en matière de protection des données, ce qui signifie que les données à caractère personnel peuvent circuler de l'UE vers la Suisse sans garanties supplémentaires. Pour les entités financières qui gèrent des données sensibles de prestataires TIC dans plusieurs juridictions, une infrastructure hébergée en Suisse évite les complexités liées aux transferts transfrontaliers apparues après l'arrêt Schrems II de la Cour de justice de l'UE (affaire C-311/18). Priverion traite toutes les données au sein de l'infrastructure suisse, offrant une résidence des données européenne assortie d'une stabilité juridique.

Combien d'entités financières DORA couvre-t-il ?

DORA s'applique à plus de 22'000 entités financières et prestataires de services TIC opérant dans l'UE, selon le Règlement (UE) 2022/2554, considérant 3. Cela comprend les établissements de crédit, les entreprises d'investissement, les entreprises d'assurance, les établissements de paiement, les prestataires de services sur crypto-actifs et leurs prestataires tiers critiques de services TIC.

Statistiques et contexte sectoriel

Selon le rapport ENISA Threat Landscape 2023, les attaques de la chaîne d'approvisionnement représentaient une part croissante des incidents cyber touchant le secteur financier, ce qui renforce la justification des dispositions de DORA sur le risque lié aux tiers. L'Autorité bancaire européenne a relevé que les accords d'externalisation TIC ont fortement augmenté, de nombreuses institutions s'appuyant sur un petit nombre de fournisseurs de services cloud pour des fonctions critiques. Une analyse Gartner de 2024 prévoyait que, d'ici 2025, 45 % des organisations dans le monde auront subi des attaques sur leurs chaînes d'approvisionnement logicielles, soit une multiplication par trois par rapport à 2021.

Risque lié aux tiers TIC selon DORA — comparaison des principaux articles

Article de DORAObligationChamp d'applicationExigence clé
Article 28Registre d'informationsEntité et groupeTenir un registre à jour de tous les accords contractuels avec des tiers TIC, classés selon leur criticité
Article 29Risque de concentrationNiveau du groupeÉvaluer le risque de concentration TIC en tenant compte de la substituabilité, de la portée géographique et de l'impact systémique
Article 30Clauses contractuellesTous les contrats TICInclure les droits d'audit, les stratégies de sortie, la localisation des données, la notification d'incident et le contrôle de la sous-traitance
Article 28, par. 4Due diligence préalable à la contractualisationNiveau de l'entitéÉvaluer les normes de sécurité de l'information, la résilience opérationnelle et le risque de concentration avant de contracter
Article 31Cadre de supervisionPrestataires TIC critiquesDésignation d'un superviseur principal pour les prestataires tiers critiques de services TIC au niveau de l'UE