Gestion des tiers ICT
Clauses contractuelles DORA : la checklist des dispositions obligatoires (article 30)
Article 30 de DORA : les clauses obligatoires pour tous les contrats ICT, et les clauses renforcées pour les fonctions critiques. La checklist complète, expliquée.
Parmi les priorités de contrôle de l'ACPR pour 2026 figure explicitement la conformité des contrats des entités financières avec leurs prestataires informatiques. Autrement dit, vos contrats ICT vont être regardés. Et le texte de référence est l'article 30 du règlement DORA, qui liste les clauses devant obligatoirement figurer dans ces accords.
L'article 30 fonctionne en deux niveaux : un socle commun applicable à tous les contrats ICT (paragraphe 2), et un ensemble de clauses renforcées qui s'ajoutent pour les contrats soutenant des fonctions critiques ou importantes (paragraphe 3). Voici la checklist, expliquée.
Le socle commun : clauses obligatoires pour tous les contrats ICT (art. 30.2)
Ces dispositions s'appliquent à l'ensemble des accords, quelle que soit la criticité du service :
- Description claire et complète des services. Nature, périmètre, niveaux de service, avec un niveau de détail permettant un suivi effectif de l'exécution. Les conditions applicables à la sous-traitance doivent aussi être précisées.
- Localisation des données et du traitement. Les lieux où les services sont fournis et où les données sont traitées, avec notification préalable de tout changement.
- Protection des données. Garanties sur la disponibilité, l'authenticité, l'intégrité et la confidentialité des données traitées pour le compte de l'entité.
- Accès, récupération et restitution des données. Garanties permettant de récupérer et restituer les données en cas d'insolvabilité, de résolution ou d'interruption d'activité du prestataire.
- Descriptions des niveaux de service (SLA).
- Assistance en cas d'incident TIC. Le prestataire doit fournir une assistance en cas d'incident lié aux services, sans frais supplémentaires ou à un coût déterminé à l'avance.
- Coopération avec les autorités. Obligation pour le prestataire de coopérer pleinement avec les autorités compétentes et de résolution.
- Droits de résiliation. Avec des délais de préavis minimums.
- Participation aux programmes de sensibilisation à la sécurité TIC de l'entité.
Les clauses renforcées : fonctions critiques ou importantes (art. 30.3)
Lorsque le service soutient une fonction critique ou importante, ces dispositions s'ajoutent au socle :
- Objectifs de performance précis. Cibles quantitatives et qualitatives, SLA renforcés, permettant un suivi mesurable.
- Droits d'audit renforcés. Des droits illimités d'accès, d'inspection et d'audit par l'entité financière (ou un tiers désigné) et par l'autorité compétente. Point crucial : ces droits ne peuvent être entravés par d'autres arrangements ou limitations pratiques.
- Plans de continuité d'activité testés. Le prestataire doit disposer de plans de continuité et de reprise, et les tester.
- Participation aux tests de résilience. Obligation de s'associer aux tests de pénétration (TLPT) de l'entité lorsque c'est requis.
- Stratégies de sortie. Avec une période de transition adéquate garantissant la continuité en cas de désengagement.
- Encadrement de la sous-traitance. Notification des sous-traitances significatives, approbation préalable pour les sous-traitants soutenant des fonctions critiques, application en cascade d'exigences équivalentes, et maintien d'une visibilité sur toute la chaîne.
Le point non négociable : le droit d'audit
Une confusion fréquente mérite d'être levée : le droit d'audit n'est pas une option de négociation. C'est une exigence réglementaire. Si un prestataire refuse d'accorder les droits d'accès, d'inspection et d'audit, l'entité financière ne peut pas conclure le contrat — ou doit résilier un contrat existant. Face aux grands acteurs technologiques parfois réticents, DORA rééquilibre précisément le rapport de force.
Articulation avec le RGPD
Les clauses DORA et les clauses RGPD se complètent sans se substituer. Le contrat doit satisfaire aux deux cadres. Si le prestataire est hors UE ou transfère des données vers des pays tiers, les mécanismes de transfert du RGPD s'appliquent, et DORA ajoute ses propres exigences sur la localisation des données et les risques liés aux législations étrangères.
La méthode de mise en conformité, étape par étape
Reprendre l'ensemble de ses contrats ICT est un chantier considérable, surtout pour une architecture largement fondée sur le cloud. La démarche efficace :
- Recenser tous les contrats ICT actifs (c'est aussi le prérequis du registre d'information).
- Qualifier les services soutenant des fonctions critiques ou importantes, et documenter cette qualification.
- Auditer les écarts entre chaque contrat et les exigences 30.2 / 30.3, en priorisant les contrats critiques.
- Remédier par avenant quand c'est possible, ou par renégociation. Quand un prestataire refuse, documenter l'évaluation des risques et les contrôles compensatoires.
- Standardiser en intégrant des clauses types DORA dans les modèles de contrats et les dossiers de consultation.
Un point de vigilance : contracter avec un prestataire tiers critique (CTPP) désigné au niveau européen ne dispense d'aucune obligation contractuelle. La responsabilité reste celle de l'entité financière — on peut externaliser un service, jamais la responsabilité.
Le rôle d'Axenia. Axenia analyse vos contrats ICT clause par clause à l'aune des exigences 30.2 et 30.3, signale les dispositions manquantes ou insuffisantes, distingue les contrats critiques, et relie chaque contrat à son prestataire et à ses fonctions supportées — pour transformer l'audit contractuel d'un chantier manuel en un diagnostic continu.
Cet article a une vocation pédagogique et ne constitue pas un avis juridique. La rédaction et la revue de clauses contractuelles relèvent d'un conseil juridique qualifié. Référez-vous au texte officiel de l'article 30 et aux RTS applicables.
Voir comment Axenia analyse vos contrats ICT. Réserver une démo →
