DORA : pour une mise en œuvre alignée avec la réalité du terrain

La transposition du règlement DORA en droit français marque une avancée majeure pour renforcer la résilience opérationnelle du secteur mais sa réussite dépendra d'une mise en œuvre pragmatique.

Le projet de loi en discussion à l’Assemblée nationale marque une avancée significative dans la transposition du règlement DORA. L’objectif est clair : renforcer la résilience opérationnelle du secteur financier face à des menaces cyber toujours plus sophistiquées. Un objectif partagé, mais dont la réussite dépendra de la capacité à concilier exigence réglementaire et mise en œuvre réaliste.

Un cadre encore trop souvent interprété de manière restrictive

Plusieurs dispositions du règlement, en particulier celles encadrant les relations avec les prestataires TIC, posent aujourd’hui des difficultés concrètes. De nombreux fournisseurs refusent d’appliquer les clauses prévues par DORA, estimant ne pas être concernés en l’absence de désignation comme “prestataires tiers critiques”. Cette position, discutable au regard du texte, freine la mise en conformité effective des établissements régulés.

Il est essentiel de rappeler que certaines obligations contractuelles, notamment celles visant à sécuriser les fonctions critiques, sont d’application directe dès lors qu’un prestataire intervient sur un périmètre sensible, quel que soit son statut.

Des charges à calibrer, des délais à sécuriser

Au-delà du cadre juridique, la charge opérationnelle reste un point de vigilance : tenue du registre TIC, déclaration d’incidents majeurs, tests TLPT… Pour les structures de petite taille ou 100 % digitales, l’enjeu est de pouvoir s’adapter sans mobiliser des ressources disproportionnées.

À quelques semaines de l’échéance de transposition (juillet 2025), les acteurs doivent composer avec l'absence de certains outils clés : modèles techniques, grilles d’analyse, documentation de référence. La pression du calendrier s’intensifie, alors même que le travail de fond demandé notamment la revue des dispositifs informatiques et des relations fournisseurs reste conséquent.

Construire une mise en œuvre plus fluide

• Plusieurs leviers permettraient d’alléger le processus sans affaiblir l’ambition initiale du texte :
• Clarifier que l’évaluation des fonctions critiques relève de l’entité financière concernée ;
• Confirmer la force exécutoire des clauses contractuelles de l’article 28, même sans désignation formelle au titre de l’article 31 ;
• Restreindre le registre TIC aux prestataires réellement critiques, et éviter les doublons liés aux prestataires de second niveau ;
  Proposer des outils de déclaration automatisés ;
• Adopter une doctrine publique pour lever les zones d’incertitude juridique ;
• Respecter un calendrier transparent et raisonnable pour la publication des documents techniques.

Ne pas manquer le rendez-vous de juillet

Le mois de juillet constitue une échéance structurante. Il ne s’agit pas seulement de cocher une case réglementaire, mais bien de poser les fondations d’un cadre opérationnel pérenne. La réussite de DORA dépendra moins de la densité des textes que de leur appropriation concrète par les acteurs de terrain.

Face à l’ampleur de la tâche, la qualité du dialogue entre autorités, établissements régulés et fournisseurs sera déterminante. C’est le seul moyen d’assurer une transposition cohérente, utile, et source de compétitivité durable pour l’écosystème financier européen.