Registre accords TIC : obligation DORA et modele
Registre des accords TIC sous DORA : contenu obligatoire, modele pratique et bonnes pratiques de tenue du registre.
Registre accords TIC : obligation DORA et modele
L’article 28(3) du reglement DORA impose a chaque entite financiere de tenir et de maintenir a jour un registre de l’ensemble des accords contractuels conclus avec des prestataires tiers de services TIC. Ce registre constitue un outil fondamental de pilotage des dependances technologiques et de gestion du risque de concentration. Il doit etre accessible aux autorites de supervision sur demande et fait l’objet de normes techniques (ITS) definissant son format et son contenu.
La tenue de ce registre n’est pas une simple formalite administrative. Elle traduit une exigence de visibilite exhaustive sur l’ensemble de l’ecosysteme technologique de l’entite financiere – une visibilite qui, dans de nombreuses organisations, etait jusqu’alors fragmentee entre differents services et outils.
Le cadre reglementaire
L’obligation de l’article 28(3)
L’article 28(3) de DORA dispose que les entites financieres tiennent et mettent a jour, au niveau de l’entite et au niveau sous-consolide et consolide, un registre d’informations relatif a tous les accords contractuels portant sur l’utilisation de services TIC fournis par des prestataires tiers de services TIC.
Ce registre doit etre communique a l’autorite competente au moins une fois par an, ou sur demande. L’autorite peut utiliser ces informations pour evaluer le profil de risque de l’entite en matiere de dependances technologiques.
Les normes techniques (ITS)
Les autorites europeennes de surveillance (AES) ont adopte des normes techniques d’execution (ITS) precisant le format et le contenu du registre. Ces ITS definissent les modeles de tables a utiliser, les champs obligatoires et facultatifs, les classifications et nomenclatures, et les modalites de transmission aux autorites.
Le format defini par les ITS comprend plusieurs tables liees entre elles, formant une base de donnees relationnelle couvrant les prestataires, les contrats, les services, les fonctions supportees et les sous-traitants en cascade.
Le contenu obligatoire du registre
Les informations sur l’entite financiere
Le registre doit d’abord contenir les informations d’identification de l’entite financiere elle-meme : denomination sociale, identifiant LEI (Legal Entity Identifier), type d’entite (etablissement de credit, entreprise d’investissement, societe de gestion, etc.), autorite competente, et le cas echeant, groupe de consolidation.
Les informations sur les prestataires TIC
Pour chaque prestataire tiers de services TIC, le registre doit contenir la denomination sociale et l’identifiant du prestataire, le pays d’etablissement, le type de prestataire (fournisseur cloud, editeur de logiciels, prestataire d’infrastructure, etc.), et le cas echeant, la designation comme prestataire TIC critique au sens de l’article 31.
Les informations sur les contrats
Pour chaque accord contractuel, le registre doit documenter la reference du contrat, la date de debut et la date de fin (ou le caractere indetermine), la nature des services fournis (description detaillee), le montant du contrat (ou les modalites de tarification), et les conditions de renouvellement et de resiliation.
Les informations sur les services et fonctions
Le registre doit etablir le lien entre les services TIC fournis par chaque prestataire et les fonctions de l’entite financiere qu’ils supportent. Pour chaque service, il faut indiquer si le service supporte une fonction critique ou importante, les donnees traitees par le prestataire dans le cadre du service, la localisation des donnees et des traitements, et l’existence d’une sous-traitance en cascade.
Les informations sur la sous-traitance en cascade
Lorsque le prestataire TIC recourt a des sous-traitants pour l’execution des services, le registre doit documenter l’identite des sous-traitants, le pays d’etablissement, la nature des services sous-traites, et le cas echeant, les sous-traitants de rang superieur.
La structure du registre : modele pratique
Table 1 – Identification de l’entite
| Champ | Description |
|---|---|
| Identifiant entite (LEI) | Code LEI de l’entite financiere |
| Denomination sociale | Nom complet de l’entite |
| Type d’entite | Classification DORA |
| Autorite competente | ACPR, AMF, Banque de France |
| Groupe de consolidation | Le cas echeant |
Table 2 – Prestataires TIC
| Champ | Description |
|---|---|
| Identifiant prestataire | Code unique (LEI si disponible) |
| Denomination sociale | Nom complet du prestataire |
| Pays d’etablissement | Code ISO |
| Type de prestataire | Cloud, editeur, infrastructure, etc. |
| Prestataire TIC critique | Oui/Non |
Table 3 – Contrats
| Champ | Description |
|---|---|
| Reference contrat | Numero unique |
| Identifiant prestataire | Lien avec Table 2 |
| Date de debut | JJ/MM/AAAA |
| Date de fin | JJ/MM/AAAA ou indetermine |
| Nature des services | Description |
| Montant annuel | Euros |
| Fonction critique | Oui/Non |
| Localisation donnees | Pays |
| Sous-traitance cascade | Oui/Non |
Table 4 – Fonctions supportees
| Champ | Description |
|---|---|
| Reference contrat | Lien avec Table 3 |
| Fonction supportee | Description de la fonction metier |
| Criticite | Critique / Importante / Autre |
| Donnees traitees | Categories de donnees |
| Donnees personnelles | Oui/Non |
Table 5 – Sous-traitants en cascade
| Champ | Description |
|---|---|
| Reference contrat | Lien avec Table 3 |
| Identifiant sous-traitant | Code unique |
| Denomination | Nom du sous-traitant |
| Pays | Code ISO |
| Services sous-traites | Description |
Les bonnes pratiques de tenue du registre
La centralisation
Le registre doit etre centralise dans un outil unique, accessible aux equipes concernees (direction, risques, conformite, achats, DSI). La fragmentation du registre entre plusieurs fichiers Excel ou bases de donnees rend la maintenance difficile et augmente le risque d’incoherences.
La mise a jour continue
Le registre doit etre mis a jour a chaque evenement significatif : conclusion d’un nouveau contrat, modification d’un contrat existant, resiliation, changement de prestataire, ajout ou suppression d’un sous-traitant en cascade, modification de la localisation des donnees.
Un processus de gouvernance doit definir les responsabilites de mise a jour (qui est responsable de chaque categorie d’informations), les circuits de validation, et la frequence des revues completes.
L’articulation avec le registre des traitements RGPD
Le registre des accords TIC DORA presente des recoupements significatifs avec le registre des traitements impose par l’article 30 du RGPD. Les deux registres documentent les prestataires (sous-traitants au sens du RGPD, prestataires TIC au sens de DORA), les donnees traitees, et la localisation des donnees. Il est pertinent d’articuler les deux registres pour eviter les doublons et garantir la coherence. La conformite RGPD des contrats TIC impose de documenter les memes prestataires dans les deux registres.
L’analyse du risque de concentration
Le registre permet de realiser une analyse du risque de concentration en identifiant les prestataires dont dependend un nombre critique de fonctions, les prestataires non substituables, les concentrations geographiques (dependance a un pays ou une region), et les chaines de sous-traitance longues ou opaques.
Cette analyse doit etre presentee regulierement au comite de risques et a l’organe de direction, conformement aux exigences de gestion des risques TIC de DORA.
La communication aux autorites
La transmission annuelle
Le registre doit etre transmis a l’autorite competente au moins une fois par an, dans le format defini par les ITS. En France, les modalites pratiques de transmission sont definies par l’ACPR et l’AMF. La transmission peut etre effectuee via les plateformes de reporting existantes ou via un mecanisme specifique mis en place par les autorites.
Les demandes ponctuelles
L’autorite competente peut demander communication du registre a tout moment, notamment dans le cadre de controles sur place, d’evaluations prudentielles, ou de la surveillance des prestataires TIC critiques. L’entite financiere doit etre en mesure de fournir le registre dans un delai raisonnable.
L’utilisation par les autorites
Les autorites utilisent les registres pour cartographier les dependances technologiques du systeme financier, identifier les risques de concentration au niveau sectoriel, alimenter le processus de designation des prestataires TIC critiques, et cibler les actions de supervision et de controle. Le reglement DORA fait du registre un instrument central de la surveillance macroprudentielle des risques technologiques.
Les ecueils a eviter
L’incompletude
Le registre doit couvrir l’ensemble des accords contractuels TIC, sans exception. Les contrats de faible montant, les services gratuits, les licences logicielles et les accords informels doivent etre inclus s’ils portent sur des services TIC. L’incompletude du registre est un manquement frequemment releve lors des controles.
L’obsolescence
Un registre non mis a jour perd rapidement sa pertinence. Les contrats resilies non supprimes, les sous-traitants modifies non actualises, et les fonctions reattribuees non documentees faussent l’analyse des risques et peuvent induire les autorites en erreur.
La confusion avec un inventaire IT
Le registre des accords TIC DORA n’est pas un inventaire des actifs informatiques. Il porte sur les accords contractuels avec des prestataires tiers, pas sur les systemes internes. Les deux exercices sont complementaires mais distincts.
FAQ
Toutes les entites financieres doivent-elles tenir un registre des accords TIC ?
Oui. L’obligation de tenir un registre des accords TIC s’applique a toutes les entites financieres soumises a DORA, sans exception liee a la taille ou a la nature de l’activite. Les micro-entreprises financieres beneficient d’un cadre simplifie pour certaines obligations de DORA, mais le registre reste obligatoire. Le niveau de detail peut etre adapte a la complexite de l’organisation et au nombre de prestataires.
Le registre doit-il inclure les contrats avec des editeurs de logiciels ?
Oui. Le registre couvre l’ensemble des prestataires tiers de services TIC, y compris les editeurs de logiciels (licences logicielles, maintenance, support), les fournisseurs de services cloud, les prestataires d’hebergement, les fournisseurs de reseaux de communication, et tout autre prestataire fournissant des services technologiques a l’entite financiere. La definition de “services TIC” dans DORA est large et couvre l’ensemble des services numériques et technologiques.
Peut-on utiliser un tableur Excel pour tenir le registre ?
Techniquement oui, mais cette approche est deconseillée pour les entites disposant de nombreux contrats. Un tableur Excel peut rapidement devenir ingerable (doublons, incoherences, perte d’historique) et ne permet pas facilement la production des rapports dans le format ITS impose par les autorites. Des solutions specialisees de gestion des risques tiers (third-party risk management) offrent des fonctionnalites adaptees : base de donnees relationnelle, workflows de mise a jour, generation automatique des rapports, et integration avec les autres outils de gestion des risques. Pour les petites entites avec un nombre limite de prestataires, un tableur structure et rigoureusement maintenu peut neanmoins suffire.
Restez informe sur la conformite
Recevez nos analyses et guides pratiques sur le RGPD, NIS2, AI Act et plus. Rejoint par 52 000+ professionnels.