Points clés — Exigences du registre d'informations DORA
Le registre d'informations DORA est l'obligation la plus complexe sur le plan opérationnel sous le règlement (UE) 2022/2554. Les entités financières doivent documenter chaque accord de prestation TIC tiers à travers 15 modèles AES interconnectés, tenus aux niveaux de l'entité, sous-consolidé et consolidé. Lors du test à blanc 2024 des AES, seuls 6,5 % des registres ont réussi l'ensemble des 116 contrôles de validation. La non-conformité peut déclencher des amendes pouvant atteindre 2 % du chiffre d'affaires annuel mondial. La soumission annuelle aux ANC est due au plus tard le 31 mars de chaque année.
Définitions
Qu'est-ce que le registre d'informations DORA ?
Le registre d'informations DORA est un registre structuré obligatoire requis en vertu de l'article 28(3) du règlement sur la résilience opérationnelle numérique (règlement (UE) 2022/2554). Il impose à toutes les entités financières concernées de tenir un relevé complet et à jour de tous les accords contractuels conclus avec des prestataires de services TIC tiers, structuré sur 15 modèles interconnectés définis par les normes techniques d'exécution des autorités européennes de surveillance.
Qu'est-ce que DORA (règlement sur la résilience opérationnelle numérique) ?
DORA est le règlement (UE) 2022/2554 du Parlement européen et du Conseil, établissant un cadre complet pour la résilience opérationnelle numérique dans le secteur financier de l'UE. Il est entré en vigueur le 16 janvier 2023 et s'applique depuis le 17 janvier 2025, couvrant 20 catégories d'entités financières, dont les banques, les assureurs, les entreprises d'investissement et les prestataires de services sur crypto-actifs.
Que sont les normes techniques d'exécution (NTE) des AES ?
Les normes techniques d'exécution des AES sont des règles techniques contraignantes élaborées conjointement par l'Autorité bancaire européenne (ABE), l'Autorité européenne des marchés financiers (AEMF) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP) au titre de l'article 28(9) de DORA. Elles définissent les modèles exacts, les champs de données, les taxonomies et les règles de validation du registre d'informations.
Qu'est-ce qu'un identifiant d'entité juridique (LEI) ?
Le LEI est un code alphanumérique de 20 caractères qui identifie de manière unique les entités juridiques participant à des transactions financières, tel que défini par la norme ISO 17442. Les codes LEI sont des identifiants obligatoires dans les modèles de registre DORA, servant à relier entités, prestataires et accords contractuels à travers le registre.
Foire aux questions
Qu'est-ce que le registre d'informations DORA ?
Le registre d'informations DORA est un registre structuré obligatoire requis en vertu de l'article 28(3) du règlement (UE) 2022/2554. Il impose aux entités financières de documenter tous les accords de prestation TIC tiers à travers 15 modèles interconnectés définis par les normes techniques d'exécution des AES. Le registre doit être tenu aux niveaux de l'entité, sous-consolidé et consolidé, couvrant les informations sur les entités, les accords contractuels, les services TIC et les chaînes d'approvisionnement des prestataires.
Combien de modèles le registre d'informations DORA comporte-t-il ?
Les normes techniques d'exécution des AES au titre de l'article 28(9) de DORA définissent 15 modèles interconnectés (B_01 à B_06, plus des sous-modèles). Chaque modèle contient des dizaines de champs obligatoires aux taxonomies strictes, ainsi que 116 règles de validation de la qualité des données. Les modèles couvrent l'identification des entités, les accords contractuels, les détails des services TIC, les évaluations des risques et les chaînes de sous-traitance.
Quel a été le taux de réussite lors du test à blanc DORA des AES ?
Selon le rapport de synthèse du test à blanc DORA de l'ABE publié en décembre 2024, seuls 6,5 % des registres soumis ont réussi l'ensemble des 116 contrôles de validation de la qualité des données. Près de 1'000 entités financières y ont participé à travers l'UE. Le rapport a constaté que 86 % des erreurs provenaient d'informations obligatoires manquantes, telles que des identifiants uniques et des données sur la chaîne d'approvisionnement, soulignant la complexité opérationnelle de l'exigence du registre.
Quelles sont les sanctions en cas de non-conformité au registre d'informations DORA ?
En vertu de l'article 50 de DORA du règlement (UE) 2022/2554, la non-conformité peut entraîner des amendes pouvant atteindre 2 % du chiffre d'affaires annuel mondial pour les entités financières. En outre, les autorités compétentes peuvent imposer des astreintes quotidiennes pouvant atteindre 1 % du chiffre d'affaires journalier moyen mondial pour contraindre à la mise en conformité. Les prestataires TIC tiers critiques sont soumis à des régimes de sanctions distincts au titre de l'article 35 de DORA.
Quelle est l'échéance de soumission du registre d'informations DORA ?
Les entités financières doivent soumettre leur registre d'informations à leur autorité nationale compétente (ANC) chaque année au plus tard le 31 mars. Le registre doit également être tenu en permanence et rester disponible pour examen prudentiel sur demande à tout moment. Les ANC consolident les soumissions et les transmettent aux autorités européennes de surveillance en vue de l'analyse de désignation des prestataires critiques.
Quelles entités financières sont concernées par le registre d'informations DORA ?
DORA s'applique à 20 catégories d'entités financières définies à l'article 2 du règlement (UE) 2022/2554. Celles-ci incluent les établissements de crédit, les entreprises d'investissement, les entreprises d'assurance et de réassurance, les établissements de paiement, les établissements de monnaie électronique, les dépositaires centraux de titres, les contreparties centrales, les plates-formes de négociation, les référentiels centraux, les gestionnaires de fonds d'investissement alternatifs, les sociétés de gestion, les prestataires de services de communication de données, les prestataires de services sur crypto-actifs et les prestataires de services de financement participatif.
Quels champs de données sont obligatoires dans les modèles de registre DORA ?
Les champs obligatoires couvrent l'identification des entités (codes LEI conformes à la norme ISO 17442), les détails des accords contractuels (dates de début, clauses de résiliation, droit applicable), les descriptions des services TIC (types de services selon les taxonomies des AES), les évaluations des risques (classifications de criticité ou d'importance), les chaînes de sous-traitance (identification de tous les sous-traitants) et les lieux de traitement des données. Le cadre de validation des AES applique 116 contrôles de qualité automatisés à travers ces champs.
En quoi le registre DORA diffère-t-il des registres d'externalisation existants ?
Contrairement aux orientations de l'ABE sur les accords d'externalisation (EBA/GL/2019/02), le registre DORA couvre tous les accords de prestation TIC tiers — et pas seulement l'externalisation — et exige des données structurées et lisibles par machine à travers 15 modèles, plutôt qu'une documentation en texte libre. Il impose une granularité au niveau de l'entité à l'échelle de groupes d'entreprises entiers, inclut la cartographie des chaînes de sous-traitance et applique 116 règles de validation automatisées. Le périmètre est également plus large, couvrant 20 catégories d'entités financières au-delà des seuls établissements de crédit.
Statistiques et sources
Selon le rapport de synthèse du test à blanc DORA de l'ABE (décembre 2024), seuls 6,5 % des registres soumis ont réussi l'ensemble des 116 contrôles de validation de la qualité des données, avec près de 1'000 entités financières participantes. Le rapport a constaté que 86 % des erreurs provenaient d'informations obligatoires manquantes. Une enquête Deloitte (enquête sur le règlement sur la résilience opérationnelle numérique, vague 3) a révélé que 46 % des institutions financières citent le registre d'informations comme l'exigence DORA la plus difficile, et que seules 50 % des institutions prévoyaient d'atteindre une conformité totale d'ici la fin 2025. Selon une enquête Censuswide auprès d'organisations de services financiers EMEA (2025), 34 % citent la supervision des tiers comme l'exigence DORA la plus difficile. L'article 50 de DORA du règlement (UE) 2022/2554 établit des amendes pouvant atteindre 2 % du chiffre d'affaires annuel mondial pour les entités financières non conformes.
Aperçu des modèles de registre DORA
| Modèle | Portée | Champs obligatoires clés |
|---|
| B_01.01 | Entité tenant le registre | LEI, nom de l'entité, type d'entité, autorité compétente |
| B_01.02 | Entités relevant du périmètre de consolidation | LEI, nom de l'entité, pays, type de relation |
| B_01.03 | Succursales des entités | Identifiant de la succursale, pays, LEI du siège |
| B_02.01 | Accords contractuels — général | Référence du contrat, date de début, droit applicable, droits de résiliation |
| B_02.02 | Accords contractuels — spécifique | Évaluation de la criticité, pays de traitement des données, substituabilité |
| B_03.01 | Prestataires de services TIC tiers | LEI du prestataire, nom du prestataire, pays de constitution, type de prestataire |
| B_03.02 | Prestataires de services TIC tiers — complémentaire | LEI de la société mère ultime, structure du groupe |
| B_04.01 | Services TIC — identification des fonctions | Nom de la fonction, criticité ou importance, ligne d'activité |
| B_05.01 | Sous-traitance — sous-traitants TIC | LEI du sous-traitant, nom du sous-traitant, description du service |
| B_05.02 | Sous-traitance — détails de la chaîne | Rang dans la chaîne, lieu de traitement des données, dispositifs de supervision |
| B_06.01 | Évaluation des services TIC | Stratégie de sortie, prestataires alternatifs, analyse d'impact |