Réglementation

DORA

Le règlement DORA renforce la résilience numérique du secteur financier européen face aux cybermenaces et aux pannes informatiques.

Définition complète

Le règlement DORA (Digital Operational Resilience Act) est un cadre réglementaire européen visant à garantir que les institutions financières et leurs prestataires de services numériques puissent résister, répondre et se rétablir après des perturbations liées aux TIC (Technologies de l'Information et de la Communication). Contrairement aux réglementations classiques centrées sur la solvabilité financière, DORA se concentre sur la continuité opérationnelle. Il impose des obligations strictes en matière de gestion des risques, de signalement des incidents majeurs, de tests de résilience et de surveillance des tiers (fournisseurs Cloud, logiciels, etc.). Sur le plan juridique, DORA s'articule avec le RGPD, notamment concernant la sécurité des données. L'obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité du traitement (Article 32 du RGPD) est ici renforcée par des exigences de résilience opérationnelle beaucoup plus prescriptives. En cas de cyberattaque entraînant une fuite de données, les obligations de notification de DORA et celles du RGPD (Articles 33 et 34) s'appliquent cumulativement.

Exemple concret en PME

Une PME française éditant un logiciel de comptabilité pour des banques devient un 'prestataire tiers' sous DORA. Elle doit désormais garantir un niveau de sécurité critique, accepter des audits de résilience menés par ses clients bancaires et mettre en place un plan de continuité d'activité (PCA) rigoureux pour éviter toute interruption de service qui pourrait déstabiliser le système financier.

L'erreur fréquente à éviter

L'erreur principale est de confondre DORA avec une simple mise à jour de la cybersécurité ou du RGPD. DORA ne demande pas seulement de 'protéger' les données, mais de prouver que l'entreprise peut continuer à fonctionner malgré une panne majeure. Ignorer la gestion contractuelle des prestataires tiers est le risque juridique le plus critique.

Vérifiez votre conformité RGPD

Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.

Scanner mon site