Retour au blog

2026, « année de supervision » : ce que l'ACPR va concrètement regarder sur DORA

L'ACPR a fait de 2026 son année de supervision DORA. Trois priorités de contrôle, une logique de preuve, et un message clair : « montrez-moi ». Décryptage pratique.

·Lecture : 7 min·Pour Dirigeant, conformité, RSSI

Pendant deux ans, la question du superviseur était : « où en êtes-vous sur DORA ? ». En 2026, elle change de nature. L'ACPR a présenté son programme de travail annuel et posé un cadre sans ambiguïté : après une année 2025 tournée vers l'accompagnement, 2026 est l'année de la supervision. Traduction concrète pour les entités financières : on ne vous demandera plus de décrire votre dispositif, on vous demandera de le prouver.

Ce basculement n'est pas rhétorique. Il s'accompagne de priorités de contrôle explicites, d'une nouvelle organisation interne au régulateur, et d'un niveau d'exigence documentaire nettement rehaussé. Voici ce que cela implique.

Trois priorités de contrôle pour 2026

Dans son programme de travail 2026, l'ACPR a identifié trois priorités de contrôle en matière de risque lié aux technologies de l'information et de la communication (TIC) :

  1. La gestion des incidents — l'amélioration du processus de détection, de classification et de notification des incidents majeurs.
  2. Les cadres de gestion du risque TIC — leur mise en place effective, et surtout l'identification claire de la fonction de contrôle du dispositif.
  3. La conformité des contrats avec les prestataires informatiques — l'intégration des clauses obligatoires DORA dans les accords ICT.

Ces trois axes ne sont pas théoriques : les services de contrôle mèneront en 2026 des initiatives ciblées auprès des établissements concernés sur chacun d'eux. Autrement dit, ce sont les portes par lesquelles le superviseur entrera.

La logique « preuve attendue » : le vrai changement de paradigme

Le piège classique consiste à avoir traité DORA comme un chantier purement IT ou cyber. Or ce que l'ACPR contrôle relève de trois dimensions indissociables : la gouvernance, les processus et les preuves.

Concrètement, pour chaque bloc du dispositif, le superviseur attend des éléments documentés et traçables :

  • Responsabilité de l'organe de direction → décisions et comptes rendus de comités, arbitrages budgétaires, suivi des remédiations.
  • Cadre de gestion du risque TIC → politiques formalisées, cartographie des actifs, KPIs et KRIs, indépendance de la fonction de contrôle.
  • Gestion des incidents → procédure de classification, registre des incidents, chronologies, post-mortem, exercices.
  • Tiers ICT → registre d'information à jour, due diligence, clauses contractuelles, analyse de concentration.

Le message est cohérent : un dispositif qui existe sur le papier mais qui ne peut pas produire ses preuves rapidement sera considéré comme fragile. La cohérence entre les différentes sources (registre, tableaux de bord d'incidents, résultats de tests) est désormais elle-même un objet de contrôle.

Une supervision qui se dote de moyens

Le durcissement ne se lit pas seulement dans les discours. L'ACPR a réorganisé sa supervision autour d'une nouvelle direction dédiée à l'innovation, aux données et aux risques technologiques, qui réunit la supervision IA et cyber. Elle a également constitué des équipes spécifiques pour piloter la collecte réglementaire et contrôler la qualité des données remises.

Les inspections sur place combinent désormais analyse documentaire et tests techniques, avec des équipes incluant des profils IT capables d'évaluer l'effectivité réelle des dispositifs déclarés — pas seulement leur existence formelle. En parallèle, les contrôles sur pièces s'appuient sur des remises périodiques standardisées dont la cohérence est examinée.

La complétude des rapports narratifs : le point qui va faire mal

Au-delà des trois priorités, l'ACPR a annoncé une attention particulière à la complétude des rapports narratifs. Elle attend des informations sensiblement plus riches sur deux volets en particulier :

  • Le profil de risque, incluant l'exposition aux risques liés aux TIC et aux prestataires.
  • Le système de gestion des risques, avec l'identification indispensable de la fonction de contrôle du cadre de gestion du risque TIC.

C'est un point sous-estimé. Beaucoup d'entités ont produit des remises formellement conformes mais laconiques. En 2026, un rapport incomplet devient un signal négatif en soi.

Le constat de départ : beaucoup restent « partiellement conformes »

Ce durcissement s'appuie sur un constat lucide du régulateur : fin 2025, malgré des progrès notables, un grand nombre d'acteurs restaient « partiellement conformes », particulièrement sur la gestion du risque d'externalisation — historiquement le pilier le plus fragile. La majorité des entités ne s'étant saisies du sujet qu'en 2024 ou 2025, le retard sur les plans d'actions était largement partagé.

Autrement dit, si votre dispositif n'est pas encore pleinement opérationnel, vous n'êtes pas seul — mais la fenêtre d'indulgence est en train de se refermer.

Ce que cela change pour vous, concrètement

La conséquence pratique est simple : il ne suffit plus de « faire du DORA », il faut pouvoir le démontrer à la demande. Cela suppose que vos données de conformité soient reliées entre elles, à jour, et exportables sans reconstruction manuelle. Un registre tenu dans un fichier figé, des preuves éparpillées entre plusieurs équipes, des incidents documentés à la main : autant de configurations qui tiennent tant qu'on ne vous demande pas de prouver, et qui cèdent le jour où on vous le demande.

Le rôle d'Axenia. Axenia relie vos contrats, tiers, actifs, politiques, risques et incidents sur un socle commun, pour que chaque exigence DORA soit rattachée à sa preuve et que vos remises restent cohérentes et démontrables en continu — précisément ce que la supervision 2026 exige.


Cet article présente une lecture synthétique des orientations publiques de l'ACPR. Il ne constitue pas un avis juridique. Pour toute décision de conformité, référez-vous aux textes officiels et à un professionnel qualifié.

Envie de voir comment Axenia structure vos preuves DORA ? Réserver une démo →