La Commission européenne vient de publier la première liste des prestataires tiers de services TIC désignés comme « critiques » au sens du règlement (UE) 2022/2554, dit règlement DORA. Cette étape marque un tournant dans la mise en œuvre du volet SURVEILLANCE du dispositif qui place désormais certains prestataires sous la supervision directe d’autorités européennes spécialement mandatées.
DORA : la liste des prestataires « critiques »
les premiers prestataires tiers critiques de services TIC désignés
Selon la liste rendue publique, les prestataires désignés sont :
− Accenture plc
− Amazon web Services EMEA Sarl
− Bloomberg L.P.
− Capgemini SE
− Colt Technology Services
− Deutsche Telekom AG
− Equinix (EMEA) B.V.
− Fidelity National Information Services, Inc.
− Google Cloud EMEA Limited
− International Business Machine Corporation
− InterXion HeadQuarters B.V.
− Kyndryl Inc.
− LSEG Data and Risk Limited
− Microsoft Ireland Operations Limited
− NTT DATA Inc.
− Oracle Nederland B.V.
− Orange SA
− SAP SE
− Tata Consultancy Services Limited.
La notion de « critique » au sens du règlement DORA
les premiers prestataires tiers critiques de services TIC désignés
Avant d’en analyser la portée, il est toutefois indispensable de lever une ambiguïté conceptuelle : dans le règlement DORA, le terme « critique » est employé dans deux sens différents, qu’il convient de distinguer rigoureusement :
► Premièrement, pour qualifier la fonction de l’entité financière soutenue par le service TIC fourni par un prestataire. Une fonction est dite courante, importante, ou critique selon l’impact que pourrait avoir sa perturbation. Une fonction est critique ou importante si sa défaillance est susceptible de nuire sérieusement à la performance financière, à la solidité ou à la continuité des activités de l’entité financière. Il s’agit donc d’une approche conséquentielle, centrée sur l’impact potentiel de la perturbation. Ainsi, un même type de service TIC (hébergement, traitement, logiciel métier, etc.) pourra soutenir une fonction critique dans une entité A, mais seulement une fonction courante dans une entité B. Cette qualification est déterminante notamment pour la cartographie des risques TIC, l’analyse des risques liés aux prestataires, les obligations contractuelles renforcées, la gestion de la sous-traitance en chaîne, et le suivi des indicateurs de continuité.
► Deuxièmement pour qualifier certains prestataires désignés par la Commission européenne selon certains critères indépendamment de la criticité des fonctions des entités financières :
o l’importance systémique du prestataire dans l’Union Européenne ;
o le nombre et le type d’entités financières dépendantes ;
o la substituabilité du prestataire ;
o ou encore la nature des services fournis.
Conséquences pour les prestataires « critiques »
les premiers prestataires tiers critiques de services TIC désignés
À la suite de cette désignation, les prestataires concernés sont soumis à une surveillance renforcée conduite par un superviseur principal et au respect d’obligations particulières de transparence (fourniture d’informations) et de coopération (notamment dans le cadre d’audits et d’inspections). Il s’agit d’un régime institutionnel de supervision, relatif au prestataire lui-même, et non à l’usage qui en est fait.
Cette distinction est essentielle et conduit à la remarque suivante : le fait qu’un prestataire soit désigné comme critique par la Commission Européenne n’implique pas nécessairement que les services TIC qu’il fournit soutiennent des fonctions critiques ou importantes des entités financières.
- Pour chaque relation contractuelle, il faudra donc analyser :
- • la fonction soutenue par le service TIC du prestataire,
- • l’impact potentiel d’une perturbation de cette fonction sur la performance financière, la solidité ou la continuité de l’activité de l’entité financière,
- • et les obligations qui en découlent pour l’entité financière.
Inversement, un prestataire non désigné comme critique peut parfaitement fournir un service soutenant une fonction critique ou importante de l’entité financière, entraînant l’application des obligations contractuelles et organisationnelles renforcées prévues par le règlement DORA.
Le cabinet Lexing propose une offre complète d’accompagnement technico-juridique pour aider les entités financières, ainsi que les prestataires TIC, à se conformer pleinement au règlement DORA, notamment dans la mise en œuvre opérationnelle de DORA, la relation contractuelle avec les prestataires tiers de services TIC, la qualification de prestataires tiers de services TIC, la rédaction de clausiers contractuels conformes à DORA, l’assistance à la négociation au côté des entités financières ou des prestataires, et la gouvernance de la résilience opérationnelle numérique, incluant les interactions avec les superviseurs.
Pour en apprendre davantage
Le Règlement européen sur l’intelligence artificielle constitue un outil essentiel pour comprendre les enjeux juridiques et techniques que pose le RIA (ou AI Act). L’ouvrage analyse et souligne les points clé et analyse article par article ce texte...
La cobotique juridique #3 : Les malfaçons. Ce troisième épisode détaille les différents facteurs de malfaçons et comment les corriger...
