Retour au blog

DORA et sociétés de gestion : ce que la supervision active de l'AMF change pour vous

Registre d'information, incidents, maîtrise des tiers ICT : ce que l'AMF attend concrètement des sociétés de gestion sous DORA, et comment s'y préparer sans équipe dédiée.

·Lecture : 7 min·Pour Sociétés de gestion (SGP)

Les sociétés de gestion de portefeuille (SGP) occupent une position particulière face à DORA. Elles sont soumises au même règlement qu'une grande banque, mais rarement dotées des mêmes ressources : peu, voire pas, d'équipe conformité ICT dédiée, et une chaîne technologique largement externalisée. Or l'AMF, autorité compétente pour les gestionnaires d'actifs, est passée d'une phase d'accompagnement à une phase de supervision effective. Voici ce que cela implique concrètement.

Une réalité DORA spécifique aux SGP

Pour une société de gestion, l'exposition au risque TIC ne se situe pas d'abord dans ses propres murs, mais chez ses prestataires. Dépositaire, valorisateur, outils de gestion et de passage d'ordres, solutions de reporting, hébergement cloud : l'essentiel de la chaîne critique repose sur des tiers. La maîtrise du risque tiers n'est donc pas un pilier parmi d'autres — c'est le cœur du sujet.

Cette dépendance a une conséquence directe : le registre d'information (RoI), qui recense les accords contractuels ICT, devient l'objet central du dispositif. C'est par lui que l'on démontre que l'on sait qui fait quoi, où sont les données, et où se concentrent les risques.

Ce que l'AMF attend

Les attentes se structurent autour de quelques exigences concrètes :

  • Un registre d'information tenu et à jour. Le RoI est un document obligatoire qui s'intègre au cadre de gestion du risque TIC. Il doit être tenu à la disposition de l'autorité et remis selon les modalités prévues. Pour un groupe, il peut exister à la fois au niveau consolidé et sous-consolidé.
  • La maîtrise des arrangements contractuels. Les contrats ICT supportant des fonctions critiques ou importantes doivent intégrer les clauses obligatoires DORA (droits d'audit, localisation, réversibilité, coopération avec les autorités, gestion de la sous-traitance). L'entité doit par ailleurs informer son autorité de tout projet d'accord portant sur une fonction critique ou importante.
  • Un processus de notification des incidents. Même avec une infrastructure externalisée, c'est la SGP qui porte l'obligation de notifier un incident majeur — y compris quand il survient chez un prestataire.
  • Une gouvernance impliquée. L'organe de direction doit être effectivement impliqué : le sujet ne peut pas être entièrement délégué à un prestataire ou noyé dans l'opérationnel.

La question de la proportionnalité

DORA prévoit un principe de proportionnalité, avec des régimes simplifiés ou allégés pour les microentreprises et certaines petites structures. Mais attention : la proportionnalité adapte l'intensité des exigences, elle ne les supprime pas. Elle s'est d'ailleurs révélée plus complexe à appliquer que prévu, et plusieurs entités ont sous-estimé les ressources nécessaires. Le réflexe « nous sommes petits, donc peu concernés » est un piège : mieux vaut vérifier précisément son régime que présumer une exemption.

Le vrai défi : maintenir, sans équipe dédiée

Le premier obstacle des SGP n'est pas de comprendre DORA — les obligations sont documentées. C'est de maintenir le dispositif vivant dans la durée avec des ressources limitées. Chaque nouveau prestataire, chaque avenant, chaque incident devrait mettre à jour le registre et les preuves associées. Dans les faits, cette mise à jour repart trop souvent dans des fichiers Excel que personne n'a le temps de tenir, jusqu'à ce que la remise annuelle ou une demande du superviseur oblige à tout reconstruire dans l'urgence.

C'est précisément là que se joue l'écart entre une SGP « partiellement conforme » et une SGP capable de démontrer sa conformité à la demande.

Comment s'y préparer concrètement

Quelques priorités pour une société de gestion qui veut sécuriser sa position :

  1. Cartographier ses dépendances réelles : quelles fonctions critiques reposent sur quels prestataires, et où sont les concentrations.
  2. Fiabiliser son registre d'information : identifiants prestataires corrects, distinction contrat standalone / cadre, classification des fonctions.
  3. Structurer un process d'incident léger mais opérationnel, tenant compte des délais de notification.
  4. Documenter la gouvernance : traces de l'implication de la direction, décisions, revues.
  5. Passer d'une logique de projet à une logique de maintien continu.

Le rôle d'Axenia. Axenia a été pensé pour les entités qui doivent tenir un dispositif DORA exigeant sans mobiliser une équipe conformité à plein temps. Il structure votre registre d'information, analyse vos contrats ICT clause par clause, cartographie vos dépendances et vos concentrations, et maintient l'ensemble à jour — pour que votre conformité reste démontrable en continu, et pas seulement le jour de la remise.


Cet article présente une lecture synthétique des attentes publiques du régulateur et ne constitue pas un avis juridique. Référez-vous aux textes officiels et aux publications de l'AMF pour toute décision de conformité.

Vous êtes une société de gestion ? Découvrez votre cas d'usage Axenia → ou réservez une démo →