Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
DORA impose aux entités financières de sécuriser leurs contrats IT. Dans cette chronique d’invités, Sylvain Joyeux (Associé) et Daniel Korabelnikov (Counsel) du Cabinet Cloix Mendès-Gil présentent comment structurer un clausier DORA conforme, adapté au niveau de risque des prestataires, et l’intégrer efficacement dans les contrats afin de répondre aux nouvelles exigences réglementaires.
Le règlement DORA (Digital Operational Resilience Act, n° 2022/2554 du 14 décembre 2022) est entré en application le 17 janvier 2025. Il oblige les entités financières (banques, assureurs, sociétés d’investissement, etc.) à renforcer leur résilience opérationnelle, notamment en imposant des exigences contractuelles à leurs prestataires IT. Tout contrat entre une entité financière et un fournisseur de Service de technique de l’information et de la communication (TIC) doit ainsi inclure des clauses spécifiques pour sécuriser la prestation sur les plans opérationnels et cybersécurités. Le champ d’application du règlement est donc très vaste et intègre de fait les principaux donneurs d’ordres et prestataires du monde de l’IT. L’élaboration d’un « clausier DORA », c’est-à-dire un ensemble structuré de clauses types conformes au règlement, est donc devenue indispensable pour mettre en conformité les contrats existants et futurs.
Cette chronique explique pourquoi un clausier DORA est requis (cadre réglementaire), quelles clauses y inclure (trois niveaux de clauses : standard, renforcé pour les fonctions critiques ou importantes, implicites), comment structurer ce clausier selon le niveau de risque en application du principe de proportionnalité et comment l’intégrer efficacement dans les contrats (avenant DORA dédié, articulation avec RGPD/NIS2).
Pourquoi un clausier DORA ? Cadre réglementaire et obligations
DORA introduit des obligations contractuelles explicites pour la gestion des risques liés aux prestataires de services numériques. Le chapitre V du règlement détaille les clauses qui doivent impérativement figurer dans les contrats entre une entité financière et son prestataire IT. Plusieurs dispositions clefs (notamment les articles 28 et 30 § 2 et 3) précisent les conditions de résiliation spécifiques et les clauses à inclure. Autrement dit, le législateur européen a prédéfini des types de clauses contractuelles visant à garantir la résilience opérationnelle du client lorsqu’il est une entité financière. Ces obligations s’appliquent dès qu’un contrat porte sur un service TIC fourni de manière permanente (par exemple, cloud, infogérance). Les prestations ponctuelles ou analogiques ne sont pas visées, DORA ciblant les services numériques continus à fort risque opérationnel.
Les catégories de clauses DORA à intégrer
On distingue trois catégories de clauses dans un clausier DORA : les clauses obligatoires standard, obligatoires pour les fonctions critiques ou importantes, et les clauses implicites. Détaillons-les.
D’abord, les clauses obligatoires standard (pour tous les contrats TIC): c’est le socle de base imposé par DORA dans tous les contrats de services numériques, qu’ils soient critiques ou non. Il comprend notamment des clauses relatives : à la prestation et à la sécurité (périmètre des services, localisation des données, garanties de sécurité des données, niveaux de service/SLA) ; à la continuité d’activité (réversibilité en fin de contrat, droit pour le client de résilier de façon anticipée en cas de manquement grave du prestataire, gestion des incidents et reprise d’activité) ; et au contrôle et à la coopération : droit d’audit , assistance en cas d’incident, collaboration avec les autorités de supervision. Ces clauses standard forment le noyau dur du clausier DORA (art. 30, § 2). La plupart existaient déjà dans les contrats IT classiques, mais DORA les formalise, les renforce et les rend obligatoires, donnant aux entités financières un levier pour les imposer à tous leurs fournisseurs.
Ensuite, les clauses renforcées pour les fonctions critiques ou importantes. Pour les prestations à risque élevé — c’est-à-dire les fonctions critiques ou importantes dont la défaillance pourrait paralyser une activité vitale de l’entité financière — DORA impose des clauses plus contraignantes (art. 30, § 3, art. 33). Parmi ces clauses renforcées figurent par exemple des exigences de performance accrues, avec des SLA très stricts par fonction critique et potentiellement des pénalités en cas de non-atteinte des objectifs (les pénalités étant une bonne pratique non imposé par DORA). On compte également parmi elles la préparation aux incidents majeurs (alerte et implication immédiate du client en cas d’incident grave et plans de secours, PCA/PRA), mais aussi le contrôle renforcé du prestataire, avec encadrement de la sous-traitance (accord préalable du client, obligations en cascade), droits d’audit étendus du client (sans préavis ni limites), prise de copie de documents essentiels… Autre point concerné, la stratégie de sortie formalisée, c’est à dire le plan de transition en fin de contrat pour assurer la continuité de la fonction critique (coopération du prestataire sortant avec le nouvel entrant, maintien de certaines obligations post-contrat). Ces clauses renforcées s’ajoutent dès qu’une prestation est classée « critique ou importante ». Il est donc crucial d’identifier dans sa cartographie les fournisseurs assurant des services critiques et d’intégrer systématiquement ces stipulations à leurs contrats.
Enfin, les clauses implicites utiles sont de bonnes pratiques complémentaires. Au-delà des obligations de DORA, certaines clauses complémentaires peuvent renforcer la conformité et combler des vides. C’est le cas de la clause de responsabilité adaptée qui prévoit un plafond de responsabilité spécifique plus élevé (voire un déplafonnement en cas de faute grave) pour les manquements DORA. Ou encore de la clause de conformité et diversification, pour imposer explicitement dans le contrat au prestataire le respect continu des normes applicables (DORA, RGPD, NIS2…) et permettre au client de diversifier ses fournisseurs afin d’éviter une dépendance excessive. En outre, DORA introduit de nombreux termes techniques et obligations nouvelles. Il est judicieux d’insérer une clause rappelant les définitions utiles (fonctions critiques, incident majeur, services TIC, etc., en renvoyant éventuellement aux définitions de DORA).
Cette liste n’est cependant pas exhaustive. L’essentiel est de construire un clausier DORA proportionné, couvrant les différents scénarios de risque.
Méthodologie de structuration : proportionnalité et niveaux de risque
Face à la diversité des prestations, DORA insiste sur le principe de proportionnalité — adapter les exigences contractuelles à la taille et à la criticité de chaque service et prestataire. On n’impose pas les mêmes contraintes à une application non stratégique qu’à une infrastructure cloud essentielle. Une approche efficace consiste à classer les contrats par niveaux de risque et à calibrer les clauses en conséquence. Par exemple :
- Risque R1 (faible) : prestations de faible impact (application non stratégique) — on applique uniquement le socle DORA de base, sans alourdir le contrat et en complétant le moins possible de procédure complexe ;
- Risque R2 (modéré) : prestations importantes, mais pas « critiques » — on applique le socle standard plus quelques exigences complémentaires ciblées renforçant la robustesse des clauses (procédures complémentaires, pénalités…) ;
- Risque R3 (élevé) : fonctions critiques — on applique l’ensemble des clauses standard + renforcées.
Cette gradation évite une approche uniforme inadaptée et facilite l’acceptation côté prestataire (pas de clauses excessives pour les petits contrats, et des obligations maximales réservées aux enjeux majeurs). Par exemple, la clause d’audit pourra être modulée selon ces niveaux : en R1, un audit annuel planifié avec obligation de correction et impossibilité de s’opposer suffira, en R2 on ajoutera des audits plus fréquents et poussés (sur site, après incident) et des modalités différentes (audit sur pièce et sur place, gestion des coûts, événements particuliers), et en R3, on prévoira un droit d’audit permanent et illimité avec d’autres niveaux d’assurance et droit de copie. De même, d’autres clauses (réversibilité, continuité, etc.) pourront être déclinées avec des degrés d’exigence croissants selon le risque.
Stratégie d’intégration du clausier DORA dans les contrats
Il reste à intégrer ce clausier DORA dans les contrats. Deux stratégies principales existent. D’une part, négocier un avenant DORA dédié avec chaque fournisseur, sous forme d’annexe contractuelle regroupant toutes les nouvelles clauses de conformité (un module ajouté au contrat principal). Ou alors adapter chaque contrat individuellement en insérant ou modifiant les clauses DORA dans le texte existant. La première approche — l’avenant DORA global — est la plus efficiente. Elle permet une mise en conformité centralisée : les obligations DORA sont rassemblées dans un seul document, plus lisible et plus simple à présenter en audit ACPR. Elle offre également une mise à jour facilitée : en cas de nouvelles règles, on met à jour l’avenant sans toucher au contrat de base. Elle permet par ailleurs la suppression des contradictions : l’avenant remplace les clauses initiales sur les mêmes sujets (audit, réversibilité…), évitant les conflits d’interprétation. Enfin, elle amène une traçabilité accrue, l’avenant DORA signé constitue en effet une preuve de conformité pour chaque prestataire.
L’alternative (mise à jour clause par clause sans avenant global) devient vite lourde sur un grand nombre de contrats et peut générer des doublons ou incohérences avec d’autres dispositifs en place (par ex. un avenant RGPD déjà en place). Il faut donc veiller à ne pas reproduire des obligations déjà couvertes par le RGPD et à aligner autant que possible les clauses DORA avec ces cadres. DORA prévaut en principe, sauf quelques exceptions mineures, sur NIS2 pour les obligations similaires, ce qui évite tout doublon. Concrètement, pour une entité financière couverte par DORA, les obligations NIS2 analogues n’ont pas vocation à s’appliquer en parallèle – DORA remplace NIS2 sur le périmètre financier (« Lex specialis derogat legi generali »). Ainsi, si un fournisseur IT conclut avec une banque pour un service TIC, c’est DORA qui dictera les clauses de cybersécurité à insérer, pas NIS2.
Le clausier DORA, un atout pour la résilience numérique
La mise en place d’un clausier DORA est un investissement stratégique pour renforcer la résilience opérationnelle. En actualisant vos contrats IT conformément à DORA, vous assurez non seulement votre conformité réglementaire, mais vous améliorez aussi la maîtrise de vos risques numériques et la continuité de vos fonctions critiques. Cette démarche menée en concertation entre le prestataire et les entités financières contribuera à instaurer une relation client-fournisseur fondée sur la confiance numérique. En outre la mise en place du clausier incitera sans nulle doute les métiers à revoir les niveaux de SLA demandés, ainsi que les pénalités associées.
