Retour au blog

Sanctions DORA : amendes, astreintes et retrait d'agrément — le régime réel

Que risque concrètement une entité financière non conforme à DORA ? Panorama des sanctions administratives, des astreintes applicables aux prestataires critiques, et de leur portée réelle.

·Lecture : 6 min·Pour Dirigeants, conformité, juridique

Question fréquente, et légitime : que risque-t-on vraiment à ne pas être conforme à DORA ? Le règlement ne se contente pas de fixer des obligations ; il donne aux autorités les moyens de les faire respecter. Voici un panorama factuel du régime de sanctions, en distinguant ce qui s'applique aux entités financières et ce qui vise les prestataires tiers critiques — deux logiques différentes.

Les pouvoirs des autorités nationales (ACPR, AMF)

En France, l'ACPR et l'AMF sont chargées de la supervision de DORA. Elles disposent de la palette de mesures administratives et de sanctions habituelle du droit de la supervision financière, désormais mobilisable au titre de DORA :

  • Des mesures administratives : injonctions, demandes de mise en conformité, mesures correctrices.
  • Des sanctions pécuniaires (amendes administratives).
  • Des astreintes.
  • Dans les cas les plus graves, des mesures pouvant aller jusqu'au retrait d'agrément.

L'ordre de grandeur évoqué pour une entité financière non conforme peut atteindre un pourcentage de son chiffre d'affaires annuel mondial. Au-delà du montant, c'est la logique qui compte : la sanction est proportionnée à la gravité et à la persistance du manquement.

Le cas spécifique des prestataires tiers critiques (CTPP)

Les prestataires désignés comme critiques au niveau européen — typiquement les grands hyperscalers du cloud — relèvent d'un régime distinct, sous la surveillance directe d'un superviseur principal européen. Ce dernier dispose d'un pouvoir d'astreinte particulier : s'il impose des mesures et que le prestataire ne s'y conforme pas dans un délai minimum de 30 jours, il peut décider d'une astreinte quotidienne, pour une durée limitée (jusqu'à six mois), pouvant atteindre un pourcentage du chiffre d'affaires quotidien moyen mondial du prestataire.

Ce mécanisme est notable : il fait porter une pression financière directe sur des acteurs technologiques qui échappaient jusqu'ici largement à la supervision financière.

Le calendrier des premières sanctions

Un point important pour cadrer les attentes : à ce stade, la phase de sanctions formelles au titre spécifique de DORA en est à ses débuts. Après une année 2025 orientée vers l'accompagnement, 2026 marque le passage à une supervision active. Les premières décisions dédiées sont attendues à mesure que les cycles d'inspection se déroulent. Cela ne signifie pas une tolérance : cela signifie que la fenêtre pour se mettre en ordre avant les premiers contrôles formels se referme.

Au-delà de la sanction : le vrai risque

Se focaliser uniquement sur l'amende serait une erreur d'analyse. Pour une entité financière, les conséquences d'un manquement DORA dépassent la pénalité :

  • Le risque réputationnel. Une défaillance de résilience rendue publique, ou une sanction, affecte la confiance des clients et des contreparties.
  • Le risque opérationnel réel. DORA n'est pas qu'une contrainte administrative : un dispositif faible expose à des incidents réels, coûteux et déstabilisants.
  • Le risque relationnel avec le superviseur. Une entité identifiée comme fragile attire une attention renforcée et durable, qui pèse sur tous ses échanges réglementaires.

Autrement dit, la conformité DORA se justifie moins par la peur de l'amende que par la maîtrise du risque qu'elle organise.

Comment réduire son exposition

La meilleure protection contre la sanction n'est pas la conformité de façade, mais la capacité à démontrer un dispositif effectif :

  1. Un cadre de gestion du risque TIC documenté et approuvé par la direction.
  2. Un registre d'information à jour et de qualité.
  3. Un processus d'incident opérationnel, respectant les délais.
  4. Des contrats ICT conformes à l'article 30.
  5. Des tests de résilience réalisés et tracés.
  6. Des preuves reliées aux exigences, mobilisables à la demande.

C'est cette démontrabilité continue qui distingue une entité solide d'une entité vulnérable au moment du contrôle.

Le rôle d'Axenia. Axenia ne « garantit » pas l'absence de sanction — aucun outil ne le peut. Mais en reliant vos données de conformité et en gardant vos preuves rattachées aux exigences, il réduit le risque le plus concret : celui de ne pas pouvoir démontrer, le jour du contrôle, ce que vous avez pourtant mis en place.


Cet article présente une synthèse générale du régime de sanctions et ne constitue pas un avis juridique. Les montants, seuils et procédures précis figurent dans le règlement DORA et les textes nationaux applicables ; consultez un professionnel qualifié pour toute situation spécifique.

Voir comment Axenia renforce votre démontrabilité DORA. Réserver une démo →