Guide de conformité DORA

Exigences du registre d'informations DORA : ce que les entités financières doivent réellement déclarer

Mis à jour le 2026-06-22
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui automatise la conformité au registre d'informations DORA au sein des groupes financiers multi-entités, grâce à des modèles AES pré-cartographiés.

Le registre d'informations est l'obligation la plus complexe sur le plan opérationnel sous DORA. Il exige des données granulaires et structurées sur chaque accord de prestation TIC tiers à l'échelle de l'ensemble de votre groupe, réparties sur 15 modèles interconnectés aux taxonomies strictes. La plupart des organisations ne sont toujours pas prêtes. Voici précisément ce qu'exigent les modèles, quels champs de données sont obligatoires et comment combler l'écart avant votre prochaine échéance de soumission.

15

Modèles interconnectés

NTE des AES au titre de l'article 28(9) de DORA

20

Catégories d'entités financières concernées

EIOPA, règlement DORA (UE) 2022/2554

34 %

Citent la supervision des tiers comme l'exigence la plus difficile

Enquête Censuswide auprès d'organisations de services financiers EMEA, 2025

Télécharger la checklist gratuite de préparation au registre

Aucune démo requise. Accès immédiat à un outil d'auto-évaluation pratique.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Pourquoi le registre est si difficile

Pourquoi le registre d'informations DORA tient les équipes de conformité éveillées la nuit

Le registre n'est pas un simple exercice de tableur. C'est un défi de données structurées et multi-entités qui touche chaque recoin de votre organisation. Voici les cinq raisons pour lesquelles les équipes de conformité peinent.

Défi 01

Pas un seul registre : 15 modèles interconnectés

La plupart des organisations s'attendent à un simple document. La réalité : les normes techniques d'exécution des AES définissent des modèles interconnectés (B_01 à B_06, plus des sous-modèles) couvrant les informations sur les entités, les accords contractuels, les services TIC et les chaînes de prestataires. Chaque modèle comporte des dizaines de champs obligatoires aux taxonomies strictes, ainsi que 116 règles de validation de la qualité des données.

Taux de réussite de 6,5 % lors du test à blanc des AES

Rapport de synthèse du test à blanc DORA des AES 2024, décembre 2024

Défi 02

Une granularité au niveau de l'entité dans tout votre groupe

Chaque filiale, succursale et entité réglementée doit être cartographiée individuellement. En vertu de l'article 28(3) de DORA, les registres doivent être tenus aux niveaux de l'entité, sous-consolidé et consolidé. Pour un groupe financier comptant plus de 20 entités réparties sur plusieurs juridictions, cela représente des milliers de points de données reliés par des identifiants LEI, et non une vue consolidée unique.

Registres requis à 3 niveaux : entité, sous-consolidé, consolidé

Article 28(3) de DORA, règlement (UE) 2022/2554

Défi 03

Vos données vivent en silos (ou nulle part)

Les détails contractuels sont chez les achats. Les évaluations des risques fournisseurs résident dans les outils GRC. Les structures d'entités sont gérées par le service juridique. Les chaînes de sous-traitance n'existent souvent que dans des e-mails, voire pas du tout. Le registre oblige les organisations à connecter pour la première fois des données cloisonnées. Lors du test à blanc des AES, 86 % des erreurs provenaient d'informations obligatoires manquantes, telles que des identifiants uniques et des données sur la chaîne d'approvisionnement.

86 % des erreurs dues à des données obligatoires manquantes

Résultats du test à blanc DORA des AES 2024, rapportés par l'ABE

Défi 04

Une tenue continue, pas une déclaration ponctuelle

Le registre doit être tenu à jour en permanence et soumis annuellement aux autorités compétentes, avec la capacité de le fournir sur demande à tout moment. Les autorités nationales consolident et transmettent les registres aux AES en vue de la désignation des prestataires critiques. Ce n'est pas un exercice à un instant donné ; c'est un processus opérationnel continu qui exige une gouvernance des données permanente.

Échéance de soumission annuelle : le 31 mars de chaque année aux ANC

AFM (autorité néerlandaise des marchés financiers), 2025

Défi 05

Se tromper a de réelles conséquences

Les autorités compétentes utilisent le registre pour évaluer le risque de concentration systémique et désigner les prestataires TIC tiers critiques. Des soumissions incomplètes ou inexactes déclencheront un examen prudentiel. La non-conformité peut entraîner des amendes pouvant atteindre 2 % du chiffre d'affaires annuel mondial pour les entités financières, auxquelles s'ajoutent des astreintes quotidiennes pouvant atteindre 1 % du chiffre d'affaires journalier moyen mondial pour forcer la mise en conformité.

Amendes pouvant atteindre 2 % du chiffre d'affaires annuel mondial

Article 50 de DORA, règlement (UE) 2022/2554

Défi 06

Le secteur peine : 46 % désignent le registre comme la partie la plus ardue

Vous n'êtes pas seul à trouver cela écrasant. Près de la moitié des institutions financières interrogées identifient le registre d'informations comme l'exigence DORA la plus difficile, loin devant la diligence raisonnable sur les prestataires TIC (17 %) et les tests de continuité d'activité (25 %). Seules 50 % des institutions prévoyaient d'atteindre une conformité totale d'ici la fin 2025, 38 % repoussant leur objectif à 2026.

46 % citent le registre comme l'exigence la plus difficile de DORA

Enquête Deloitte sur le règlement sur la résilience opérationnelle numérique, vague 3

Lors du test à blanc 2024 des AES, seuls 6,5 % des registres soumis ont réussi l'ensemble des 116 contrôles de qualité des données. Près de 1'000 entités financières y ont participé, et la grande majorité avait besoin d'améliorations significatives.

Source : Rapport de synthèse du test à blanc DORA de l'ABE, décembre 2024

La cartographie des données inter-entités de Priverion et ses flux de recertification automatisés sont conçus précisément pour ce type de défi de conformité multi-entités et multi-juridictions.

Des résultats concrets de clients réels

Les chiffres qui comptent pour votre équipe de conformité

200+

Heures gagnées sur la préparation à l'ISO 27001

Medtec a économisé plus de 200 heures sur sa préparation à l'ISO 27001 grâce aux dossiers de preuves prêts pour l'audit et aux mesures pré-cartographiées de Priverion.

Medtec, mesuré durant un projet de préparation à l'ISO 27001

60 %

Coût total inférieur par rapport aux acteurs établis

Les plateformes de protection des données pour grandes entreprises comme OneTrust peuvent coûter de plusieurs centaines de milliers à près d'un million par an pour des déploiements multi-modules. Priverion offre une gestion équivalente du programme de protection des données à une fraction de ce coût, avec une tarification prévisible par société et sans piège lié au nombre d'utilisateurs.

D'après les données d'achat Vendr 2026 sur la tarification des plateformes de protection des données pour grandes entreprises

3 mois

D'avance sur la préparation à l'ISO 27001

La certification ISO 27001 prend généralement de 6 à 12 mois. Grâce aux correspondances de mesures prédéfinies et à la collecte automatisée de preuves de Priverion, des clients comme Medtec compriment significativement ce délai, atteignant la préparation à l'audit des mois plus tôt.

Calendrier Medtec ; référence sectorielle issue des repères de certification ISO 27001 (ISMS.online, Vanta, 2026)

Découvrez comment ces chiffres se traduisent pour votre organisation
Priverion vs. OneTrust

Pourquoi les entreprises de taille intermédiaire passent à Priverion

OneTrust s'adresse aux organisations du Fortune 500 avec un périmètre GRC plus large. Priverion est conçu pour les organisations multi-entités qui ont besoin d'une conformité de niveau entreprise sans la lourdeur qui l'accompagne. Voici comment les deux se comparent sur les dimensions qui comptent le plus.

Le piège des grandes entreprises

Ce que vivent les équipes de taille intermédiaire avec OneTrust

Une tarification opaque et croissante

OneTrust ne publie pas de tarifs catalogue. Selon les données de tarification agrégées rapportées par les acheteurs, les déploiements de taille intermédiaire vont couramment de plusieurs dizaines de milliers à plus de cent mille par an, les services de mise en œuvre étant facturés séparément. Source : tarification agrégée rapportée par les acheteurs Vendr et Enzuzo, consultée le 18.05.2026.

Source : analyse tarifaire Enzuzo, mars 2026

Une courbe d'apprentissage abrupte

Les utilisateurs de taille intermédiaire rapportent systématiquement avoir besoin de semaines de configuration et de formation dédiée. Comme l'a noté un évaluateur G2, l'interface « peut sembler encombrée » et la mise en place exige beaucoup de temps et d'efforts, en particulier pour les petites équipes.

Source : avis d'utilisateurs vérifiés G2 et Capterra, 2025

Une dérive des coûts par module

Chaque module est facturé selon sa propre métrique : visiteurs, administrateurs, inventaire des actifs. Votre facture peut croître dans des directions que vous n'aviez pas anticipées à mesure que votre équipe ou votre empreinte de données s'élargit.

Source : intelligence d'achat Vendr, février 2026

Une infrastructure hébergée aux États-Unis

Même les offres de « cloud souverain » de fournisseurs américains ne peuvent garantir la souveraineté des données européennes. Le CLOUD Act américain permet aux autorités de demander l'accès aux données indépendamment de l'endroit où elles sont stockées.

Source : livre blanc CMS Law sur le CLOUD Act américain face à la souveraineté des données européennes, février 2026

Conçu pour la taille intermédiaire

Ce que Priverion offre à la place

Une tarification prévisible et transparente

Une tarification fondée sur le nombre de sociétés et la taille de l'organisation. Ni par utilisateur, ni par module. Aucun piège lié à l'expansion, aucune hausse surprise au renouvellement. Vous savez ce que vous paierez avant de signer.

Modèle de tarification Priverion

Opérationnel en quelques semaines, pas en quelques mois

Une expérience utilisateur claire et intuitive, conçue pour les DPD et les responsables conformité, pas pour les consultants. Un constructeur aéronautique a réduit son temps d'administration de la conformité de 60 % au cours de ses six premiers mois.

Constructeur aéronautique, 6 premiers mois

Une plateforme tout-en-un, un seul prix

Gestion du registre des traitements, automatisation des AIPD, évaluations des risques fournisseurs, traitement des demandes des personnes concernées, gestion des incidents et tableaux de bord de conformité. Tout est inclus. Aucune montée en gamme par module.

Capacités essentielles de Priverion

Une souveraineté des données suisse garantie

Conçu en Suisse. Hébergé en Suisse. Tout le traitement des données se fait au sein de l'infrastructure suisse. Non soumis au CLOUD Act américain. Dans un monde post-Schrems II où les États membres de l'UE ont signé la Déclaration pour la souveraineté numérique européenne en novembre 2025, ce n'est pas une simple case marketing. C'est un avantage juridique et stratégique.

Infrastructure Priverion ; Déclaration de Berlin, novembre 2025

7,1 Md+

Amendes RGPD cumulées (EUR)

Enquête RGPD DLA Piper, janvier 2026

443

Notifications de violation par jour en Europe

DLA Piper, hausse de 22 % sur un an, janvier 2026

60 %

De temps d'administration de la conformité en moins

Constructeur aéronautique, 6 premiers mois avec Priverion

100 %

Taux de recertification du registre des traitements, automatisé

AXA, entièrement automatisé avec Priverion

Modèle gratuit

Registre d'informations DORA : votre modèle de départ pour la conformité

En vertu de l'article 28(3) de DORA, chaque entité financière concernée doit tenir un registre complet documentant tous les accords contractuels avec des prestataires TIC tiers. Les normes techniques d'exécution des AES précisent 15 modèles interconnectés que vous devez compléter. Ce modèle de départ gratuit vous aide à organiser les points de données clés avant de commencer le reporting officiel.

Ce que vous obtiendrez :

  • + Une trame d'inventaire pré-structurée couvrant tous les prestataires de services TIC tiers, les détails contractuels et les évaluations de criticité, alignée sur le cadre de reporting EBA 4.0
  • + Des indications champ par champ pour documenter la portée, la nature, la durée du service et les risques associés, tels qu'exigés par l'article 28(3) et le règlement d'exécution (UE) 2024/2956 de la Commission
  • + Une section de cartographie des sous-traitants pour suivre la chaîne d'approvisionnement des services TIC, incluant les prestataires directs (rang 1) et les sous-traitants soutenant des fonctions critiques ou importantes
  • + Une checklist de risque de concentration pour aider votre organe de direction à identifier et examiner les dépendances envers les prestataires TIC tiers critiques avant les soumissions prudentielles annuelles

Le reporting annuel du registre est désormais une obligation récurrente. Les autorités compétentes transmettent les registres collectés aux AES avant la fin du premier trimestre de chaque année, en vue de la désignation des PTSC et de l'analyse du risque de concentration. Bien constituer votre registre interne dès maintenant vous évite des reprises importantes par la suite.

Obtenez le modèle de registre DORA gratuit

Saisissez votre adresse e-mail professionnelle et nous vous l'enverrons directement dans votre boîte de réception.

PDF gratuit. Aucune démo requise. Nous vous l'enverrons dans votre boîte de réception.

DORA (règlement (UE) 2022/2554) est applicable depuis le 17.01.2025. Les exigences relatives au registre d'informations sont définies à l'article 28(3) et dans le règlement d'exécution (UE) 2024/2956 de la Commission. Ce modèle est destiné à la préparation interne et ne remplace pas les soumissions officielles au format xBRL-CSV à votre autorité nationale compétente.

Le paysage de la conformité s'accélère

Arrêtez de gérer la conformité à la protection des données dans des tableurs. Recommencez à dormir sur vos deux oreilles.

Les amendes RGPD ont dépassé 7,1 milliards d'euros en janvier 2026, dont 1,2 milliard d'euros prononcés rien qu'en 2025, selon l'enquête DLA Piper sur les amendes RGPD et les violations de données. Les régulateurs européens reçoivent désormais 443 notifications de violation par jour. Pour les organisations multi-entités, la marge pour une conformité manuelle a disparu.

60 %

de réduction du temps d'administration de la conformité

Constructeur aéronautique, 6 premiers mois

200+

heures gagnées sur la préparation à l'audit

Medtec, ISO 27001

100 %

taux de recertification du registre des traitements

AXA, entièrement automatisé

Conçu en Suisse. Hébergé en Suisse. Assisté par l'IA avec une supervision humaine complète.

À propos de cette page — références, définitions et FAQ

Points clés — Exigences du registre d'informations DORA

Le registre d'informations DORA est l'obligation la plus complexe sur le plan opérationnel sous le règlement (UE) 2022/2554. Les entités financières doivent documenter chaque accord de prestation TIC tiers à travers 15 modèles AES interconnectés, tenus aux niveaux de l'entité, sous-consolidé et consolidé. Lors du test à blanc 2024 des AES, seuls 6,5 % des registres ont réussi l'ensemble des 116 contrôles de validation. La non-conformité peut déclencher des amendes pouvant atteindre 2 % du chiffre d'affaires annuel mondial. La soumission annuelle aux ANC est due au plus tard le 31 mars de chaque année.

Définitions

Qu'est-ce que le registre d'informations DORA ?

Le registre d'informations DORA est un registre structuré obligatoire requis en vertu de l'article 28(3) du règlement sur la résilience opérationnelle numérique (règlement (UE) 2022/2554). Il impose à toutes les entités financières concernées de tenir un relevé complet et à jour de tous les accords contractuels conclus avec des prestataires de services TIC tiers, structuré sur 15 modèles interconnectés définis par les normes techniques d'exécution des autorités européennes de surveillance.

Qu'est-ce que DORA (règlement sur la résilience opérationnelle numérique) ?

DORA est le règlement (UE) 2022/2554 du Parlement européen et du Conseil, établissant un cadre complet pour la résilience opérationnelle numérique dans le secteur financier de l'UE. Il est entré en vigueur le 16 janvier 2023 et s'applique depuis le 17 janvier 2025, couvrant 20 catégories d'entités financières, dont les banques, les assureurs, les entreprises d'investissement et les prestataires de services sur crypto-actifs.

Que sont les normes techniques d'exécution (NTE) des AES ?

Les normes techniques d'exécution des AES sont des règles techniques contraignantes élaborées conjointement par l'Autorité bancaire européenne (ABE), l'Autorité européenne des marchés financiers (AEMF) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP) au titre de l'article 28(9) de DORA. Elles définissent les modèles exacts, les champs de données, les taxonomies et les règles de validation du registre d'informations.

Qu'est-ce qu'un identifiant d'entité juridique (LEI) ?

Le LEI est un code alphanumérique de 20 caractères qui identifie de manière unique les entités juridiques participant à des transactions financières, tel que défini par la norme ISO 17442. Les codes LEI sont des identifiants obligatoires dans les modèles de registre DORA, servant à relier entités, prestataires et accords contractuels à travers le registre.

Foire aux questions

Qu'est-ce que le registre d'informations DORA ?

Le registre d'informations DORA est un registre structuré obligatoire requis en vertu de l'article 28(3) du règlement (UE) 2022/2554. Il impose aux entités financières de documenter tous les accords de prestation TIC tiers à travers 15 modèles interconnectés définis par les normes techniques d'exécution des AES. Le registre doit être tenu aux niveaux de l'entité, sous-consolidé et consolidé, couvrant les informations sur les entités, les accords contractuels, les services TIC et les chaînes d'approvisionnement des prestataires.

Combien de modèles le registre d'informations DORA comporte-t-il ?

Les normes techniques d'exécution des AES au titre de l'article 28(9) de DORA définissent 15 modèles interconnectés (B_01 à B_06, plus des sous-modèles). Chaque modèle contient des dizaines de champs obligatoires aux taxonomies strictes, ainsi que 116 règles de validation de la qualité des données. Les modèles couvrent l'identification des entités, les accords contractuels, les détails des services TIC, les évaluations des risques et les chaînes de sous-traitance.

Quel a été le taux de réussite lors du test à blanc DORA des AES ?

Selon le rapport de synthèse du test à blanc DORA de l'ABE publié en décembre 2024, seuls 6,5 % des registres soumis ont réussi l'ensemble des 116 contrôles de validation de la qualité des données. Près de 1'000 entités financières y ont participé à travers l'UE. Le rapport a constaté que 86 % des erreurs provenaient d'informations obligatoires manquantes, telles que des identifiants uniques et des données sur la chaîne d'approvisionnement, soulignant la complexité opérationnelle de l'exigence du registre.

Quelles sont les sanctions en cas de non-conformité au registre d'informations DORA ?

En vertu de l'article 50 de DORA du règlement (UE) 2022/2554, la non-conformité peut entraîner des amendes pouvant atteindre 2 % du chiffre d'affaires annuel mondial pour les entités financières. En outre, les autorités compétentes peuvent imposer des astreintes quotidiennes pouvant atteindre 1 % du chiffre d'affaires journalier moyen mondial pour contraindre à la mise en conformité. Les prestataires TIC tiers critiques sont soumis à des régimes de sanctions distincts au titre de l'article 35 de DORA.

Quelle est l'échéance de soumission du registre d'informations DORA ?

Les entités financières doivent soumettre leur registre d'informations à leur autorité nationale compétente (ANC) chaque année au plus tard le 31 mars. Le registre doit également être tenu en permanence et rester disponible pour examen prudentiel sur demande à tout moment. Les ANC consolident les soumissions et les transmettent aux autorités européennes de surveillance en vue de l'analyse de désignation des prestataires critiques.

Quelles entités financières sont concernées par le registre d'informations DORA ?

DORA s'applique à 20 catégories d'entités financières définies à l'article 2 du règlement (UE) 2022/2554. Celles-ci incluent les établissements de crédit, les entreprises d'investissement, les entreprises d'assurance et de réassurance, les établissements de paiement, les établissements de monnaie électronique, les dépositaires centraux de titres, les contreparties centrales, les plates-formes de négociation, les référentiels centraux, les gestionnaires de fonds d'investissement alternatifs, les sociétés de gestion, les prestataires de services de communication de données, les prestataires de services sur crypto-actifs et les prestataires de services de financement participatif.

Quels champs de données sont obligatoires dans les modèles de registre DORA ?

Les champs obligatoires couvrent l'identification des entités (codes LEI conformes à la norme ISO 17442), les détails des accords contractuels (dates de début, clauses de résiliation, droit applicable), les descriptions des services TIC (types de services selon les taxonomies des AES), les évaluations des risques (classifications de criticité ou d'importance), les chaînes de sous-traitance (identification de tous les sous-traitants) et les lieux de traitement des données. Le cadre de validation des AES applique 116 contrôles de qualité automatisés à travers ces champs.

En quoi le registre DORA diffère-t-il des registres d'externalisation existants ?

Contrairement aux orientations de l'ABE sur les accords d'externalisation (EBA/GL/2019/02), le registre DORA couvre tous les accords de prestation TIC tiers — et pas seulement l'externalisation — et exige des données structurées et lisibles par machine à travers 15 modèles, plutôt qu'une documentation en texte libre. Il impose une granularité au niveau de l'entité à l'échelle de groupes d'entreprises entiers, inclut la cartographie des chaînes de sous-traitance et applique 116 règles de validation automatisées. Le périmètre est également plus large, couvrant 20 catégories d'entités financières au-delà des seuls établissements de crédit.

Statistiques et sources

Selon le rapport de synthèse du test à blanc DORA de l'ABE (décembre 2024), seuls 6,5 % des registres soumis ont réussi l'ensemble des 116 contrôles de validation de la qualité des données, avec près de 1'000 entités financières participantes. Le rapport a constaté que 86 % des erreurs provenaient d'informations obligatoires manquantes. Une enquête Deloitte (enquête sur le règlement sur la résilience opérationnelle numérique, vague 3) a révélé que 46 % des institutions financières citent le registre d'informations comme l'exigence DORA la plus difficile, et que seules 50 % des institutions prévoyaient d'atteindre une conformité totale d'ici la fin 2025. Selon une enquête Censuswide auprès d'organisations de services financiers EMEA (2025), 34 % citent la supervision des tiers comme l'exigence DORA la plus difficile. L'article 50 de DORA du règlement (UE) 2022/2554 établit des amendes pouvant atteindre 2 % du chiffre d'affaires annuel mondial pour les entités financières non conformes.

Aperçu des modèles de registre DORA

ModèlePortéeChamps obligatoires clés
B_01.01Entité tenant le registreLEI, nom de l'entité, type d'entité, autorité compétente
B_01.02Entités relevant du périmètre de consolidationLEI, nom de l'entité, pays, type de relation
B_01.03Succursales des entitésIdentifiant de la succursale, pays, LEI du siège
B_02.01Accords contractuels — généralRéférence du contrat, date de début, droit applicable, droits de résiliation
B_02.02Accords contractuels — spécifiqueÉvaluation de la criticité, pays de traitement des données, substituabilité
B_03.01Prestataires de services TIC tiersLEI du prestataire, nom du prestataire, pays de constitution, type de prestataire
B_03.02Prestataires de services TIC tiers — complémentaireLEI de la société mère ultime, structure du groupe
B_04.01Services TIC — identification des fonctionsNom de la fonction, criticité ou importance, ligne d'activité
B_05.01Sous-traitance — sous-traitants TICLEI du sous-traitant, nom du sous-traitant, description du service
B_05.02Sous-traitance — détails de la chaîneRang dans la chaîne, lieu de traitement des données, dispositifs de supervision
B_06.01Évaluation des services TICStratégie de sortie, prestataires alternatifs, analyse d'impact