Contexte
Le règlement DORA (UE 2022/2554) est entré en application le 17 janvier 2025 et redessine la gouvernance cloud du secteur financier européen. Il impose, parmi d'autres exigences, une exit strategy formalisée, une cartographie des prestataires tiers critiques et une surveillance du risque de concentration. La régulation française s'y articule via l'ACPR (notice cloud) et l'AMF pour les acteurs de marché. Les références citées sont publiées au Journal officiel de l'Union européenne et sur acpr.banque-france.fr.
Cibles
À qui s'adresse ce cadre
Banques systémiques
Banques de détail
Assurances
Fintech et néobanques
Cadre réglementaire
Les références applicables
DORA (Digital Operational Resilience Act)
Règlement (UE) 2022/2554, applicable depuis le 17 janvier 2025. Établit un cadre uniforme de résilience opérationnelle numérique pour le secteur financier : gestion des risques TIC, tests de pénétration sur menaces, registre des prestataires tiers critiques, exit strategy obligatoire et notification d'incidents majeurs.
EBA Guidelines on outsourcing
Orientations EBA/GL/2019/02 sur l'externalisation par les établissements financiers, intégrées au cadre prudentiel. Exigent une évaluation préalable des risques, une due diligence du fournisseur et des clauses contractuelles renforcées pour les fonctions critiques ou importantes.
ACPR : notice sur le cloud
Notice ACPR sur l'usage du cloud, publiée en 2019 et régulièrement mise à jour. Encadre la classification des données, la localisation, le droit d'audit et la réversibilité. Croisée avec la doctrine DINUM lorsque l'établissement intervient pour le compte de l'État.
MIFID II et localisation
Directive (UE) 2014/65 et règlement MIFIR : conservation des enregistrements électroniques et des communications électroniques pendant 5 à 7 ans selon les catégories. Les obligations de localisation ne sont pas explicites mais s'articulent avec les régimes RGPD et DORA.
Cas d'usage type
Quatre situations récurrentes
Core banking
Exigences
Fournisseurs candidats
Fournisseurs UE avec datacenters Tier III ou IV, certifications ISO 27001, ISAE 3402 et engagement DORA.
Reporting réglementaire
Exigences
Fournisseurs candidats
Object storage souverain UE avec scellement, signatures qualifiées eIDAS et engagement de localisation.
Conservation des logs et communications
Exigences
Fournisseurs candidats
Stockage UE avec moteur d'indexation et HSM externe certifié eIDAS.
Détection de fraude par IA
Exigences
Fournisseurs candidats
Plateformes IA UE avec engagement contractuel d'isolation des données et de non-réutilisation.