Registre d'information
Registre d'information (RoI) : les erreurs qui ont fait échouer les remises en 2025
Format inhabituel, gouvernance sous-estimée, données incomplètes : pourquoi de nombreuses remises de registre d'information DORA ont échoué en 2025, et comment l'éviter.
Le registre d'information — le RoI, pour Register of Information — est l'un des points les plus concrets, et les plus redoutés, de DORA. C'est le document qui recense l'ensemble de vos accords contractuels avec vos prestataires de services TIC. Il est remis annuellement au superviseur, qui le transmet aux autorités européennes pour identifier les prestataires tiers critiques (CTPP).
La première campagne de remise, en 2025, a été révélatrice : beaucoup d'établissements ont buté. Et rarement pour les raisons qu'ils imaginaient. Voici les causes d'échec les plus fréquentes, telles qu'elles ressortent des retours du régulateur, et la manière de ne pas les répéter.
Erreur n°1 — Sous-estimer un format technique inhabituel
Le RoI n'est pas un rapport bureautique classique. Il se remet au format xBRL-CSV (dit « plain CSV »), déposé via le portail OneGate dans une enveloppe technique spécifique — et pas via l'onglet habituel des rapports, mais par un dépôt dédié depuis la page d'accueil.
Ce format inhabituel a pris de court de nombreux remettants. La leçon opérationnelle est claire : il faut effectuer une remise test en environnement d'homologation avant l'échéance réelle. Découvrir les règles de validation le jour de la remise, c'est prendre le risque d'un rejet technique sans marge de correction.
Erreur n°2 — Ne pas anticiper l'ampleur de la gouvernance interne
Le second constat du régulateur est plus subtil : produire un RoI de qualité mobilise bien plus de monde qu'on ne le croit. Il faut réunir des informations qui vivent dans des services différents — juridique (les contrats), achats (les prestataires), IT (les services techniques et leur criticité), conformité (le rattachement aux fonctions critiques).
Beaucoup d'entités ont abordé le RoI comme un exercice de remplissage tardif, alors qu'il suppose une gouvernance transverse et une collecte organisée en amont. Sans cela, on obtient un registre lacunaire, assemblé dans l'urgence.
Erreur n°3 — Des données incomplètes ou de mauvaise qualité
C'est le nerf de la guerre. Le RoI attend des informations précises pour chaque prestataire : identification (raison sociale, LEI ou identifiant équivalent, pays d'établissement), description des services, classification des fonctions supportées (critiques/importantes ou non), localisation des données et des centres de traitement, clauses contractuelles clés.
Plusieurs pièges reviennent :
- Identifiants manquants ou erronés. Un LEI (ou un EUID) est requis pour les prestataires ayant la forme de société. Les oublis et les codes invalides sont une cause classique de rejet.
- Cartographie des actifs incomplète. Le shadow IT, les applications développées localement et les interconnexions avec les filiales échappent fréquemment au recensement.
- Confusion contrat standalone / contrat cadre. Le registre attend cette distinction, et elle est souvent mal renseignée.
- Périmètre des prestataires mal compris. Il faut déclarer tous les prestataires TIC dont l'entité utilise le service, indépendamment de qui signe le contrat.
L'ACPR a d'ailleurs constitué une équipe dédiée à l'analyse de la qualité des données remises. La complétude et la cohérence ne sont plus optionnelles.
Erreur n°4 — Oublier l'analyse de concentration
Le RoI n'est pas qu'un inventaire : il sert à identifier les risques de concentration, c'est-à-dire les situations où plusieurs fonctions critiques dépendent d'un même prestataire, ou d'un nombre restreint. Cette analyse doit aussi couvrir la sous-traitance en cascade. Un registre qui liste des prestataires sans permettre cette lecture passe à côté de sa finalité.
Erreur n°5 — Traiter le RoI comme un exercice ponctuel
Le RoI se remet annuellement, mais il doit vivre toute l'année. Chaque nouveau prestataire, chaque avenant, chaque changement de criticité doit s'y refléter. Les entités qui repartent d'un fichier figé à chaque campagne recommencent à zéro et réintroduisent les mêmes erreurs. Celles qui maintiennent un registre continu remettent un document déjà propre.
Ce qui distingue une remise réussie
En synthèse, une remise RoI réussie repose sur quatre réflexes : anticiper le format et tester en homologation, organiser une collecte transverse, garantir la qualité et la complétude des données, et maintenir le registre vivant plutôt que de le reconstruire chaque année.
Le rôle d'Axenia. Axenia structure votre registre d'information à partir de vos données existantes, relie chaque contrat à son prestataire et à ses fonctions supportées, met en lumière les concentrations, et maintient l'ensemble à jour en continu — pour transformer la remise annuelle d'un chantier redouté en une simple extraction.
Cet article synthétise des retours publics sur la mise en œuvre de DORA et ne constitue pas un avis juridique. Référez-vous aux textes officiels et à la FAQ de votre autorité compétente.
Voir comment Axenia structure votre RoI. Réserver une démo →
