18/9/2024

DORA, avec la publication estivale des derniers RTS, le cadre est désormais complet

Sommaire

Vous souhaitez vous faire accompagner ?

nOUS CONTACTER
Suivez-nous

La panne informatique mondiale et les perturbations à grande échelle notamment dans le secteur financier causées par une mise à jour logicielle défectueuse de la société de cybersécurité CrowdStrike le 19 juillet 2024 ont rappelé de manière frappante les risques découlant d'un écosystème numérique interconnecté dominé par une poignée de fournisseurs clés. Cette panne est un parfait révélateur des chaînes de contractualisation et de sous-traitance et de leur importance en matière de résilience opérationnelle. Heureuse coïncidence de calendrier, le comité conjoint des Autorités européennes de surveillance (AES), représentant l'Autorité bancaire européenne (ABE), l'Autorité européenne des marchés financiers (AEMF) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP), ont publié quelques jours plus tard, le 26 juillet 2024, un rapport conjoint et des projets de normes techniques de réglementation (RTS) sur la sous-traitance des services de technologies de l'information et de la communication (TIC) supportant des fonctions critiques ou importantes. Chronique compliance de Valentine Baudouin, Partner Compliance & Regulatory au sein de Regvantage.

Sous-traitance et prestataires TIC qui soutiennent des fonctions critiques ou importantes : ce que les institutions financières doivent savoir

Les RTS publiées le 26 juillet 2024, en vertu de l'article 30(5) de DORA, précisent les éléments qu'une entité financière doit déterminer et évaluer lors de la sous-traitance de services TIC soutenant des fonctions critiques ou importantes, ces fonctions étant définies comme celles « : dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers » (Article 3(22), DORA). 

Contrairement à DORA, qui était resté relativement succinct sur les exigences contractuelles en matière de sous-traitance (Article 30(2)(a) de DORA), les RTS de juillet introduisent un nombre significatif d'obligations spécifiques. La version provisoire des RTS sur la sous-traitance, publiée fin 2023, comprenait déjà environ quinze exigences supplémentaires pour les contrats TIC. Toutefois, les modifications entre ce projet et le texte final sont substantielles.

Dans sa version finale, les RTS contiennent désormais environ vingt clauses spécifiques à intégrer dans les contrats TIC, incluant l'ajout d'environ sept nouvelles obligations et la modification de plusieurs autres par rapport au projet initial. Ainsi, les exigences imposées par les RTS sur la sous-traitance doublent presque le nombre d'obligations à respecter par rapport à celles prévues par l'article 30 de DORA, renforçant considérablement le cadre en matière de sous-traitance des services TIC.

Parmi les changements importants, on peut noter que les contrats devront inclure des dispositions spécifiques garantissant que les prestataires de services TIC demeurent responsables de la prestation des services, y compris ceux fournis par des sous-traitants, et qu'ils assurent la continuité des services en cas de défaillance d'un sous-traitant (Articles 4(1)(a) et 4(1)(j)). 

De plus, les entités financières devront être en mesure d'identifier et de tenir à jour l'ensemble de la chaîne de sous-traitants impliqués dans la prestation de services critiques ou importants (Articles 5(1)(a)-(b)).

Comparaison avec les réglementations existantes : une « gap analysis » à initier 

En France, en ce qui concerne les établissements de crédit et les établissements de paiement, les règles liées à la gestion des risques liés à l'externalisation découlent, des orientations relatives à l’externalisation adoptées par l’Autorité bancaire européenne (EBA/GL/2019/02) et des articles 231 à 240 de l’arrêté du 3 novembre 2014 relatif au contrôle interne. En ce qui concerne les entreprises d’assurance, ces règles découlent, en particulier, des articles L.354-3 et R.354-7 du Code des assurances et de l’article 274 du règlement délégué (UE) n°2015/35. Enfin, pour les sociétés de gestion de portefeuille, ces règles découlent des article 318-58 et suivants du Règlement général de l’Autorité des Marchés Financiers.

Les RTS finaux vont au-delà de ces textes y compris des lignes directrices de l’Autorité bancaire européenne que nombre de prestataires technologiques avaient d’ores et déjà intégrées par le biais d’annexes spécifiques à leurs contrats. Par exemple, l'obligation explicite pour le prestataire de services de maintenir la continuité des services en cas de défaillance d'un sous-traitant n'est pas spécifiquement prévue par lesdites lignes directrices.

La mise en conformité avec ces nouvelles exigences représente ainsi un défi significatif pour les entités financières. Elles vont devoir revoir et potentiellement modifier leurs contrats existants avec les prestataires de services TIC pour intégrer ces nouvelles clauses obligatoires. 

Les prestataires de services TIC, quant à eux, devront certainement entreprendre des exercices de remédiation contractuelle avec leurs propres sous-traitants pour s'assurer que les obligations de DORA sont correctement déléguées. Ils devront également être transparents quant aux sous-traitants qu'ils utilisent.

Flexibilité dans la mise en œuvre et perspectives

Reconnaissant les défis pratiques liés à la mise en conformité dans un délai restreint, les RTS finaux introduisent une disposition stipulant que les modifications à apporter aux accords contractuels « doivent être mises en œuvre en temps opportun et dès que possible » et que l'entité financière « doit documenter le calendrier prévu pour la mise en œuvre » (Article 6), offrant ainsi une certaine flexibilité pour les entités qui ne peuvent (ou ne pourront) pas finaliser toutes les modifications avant la date limite de mise en conformité. 

Cette flexibilité ne reporte pas pour autant la date d'entrée en vigueur de DORA…… fixée au 17 janvier 2025 !