Flash BankNews | DORA – Publication du RTS sur la Sous-traitance des services TIC qui soutiennent des fonctions critiques

Le texte précise donc les éléments que les entités financières doivent prendre en compte et leur portée.

Maintien de la suppression de l’article 5 de la version initiale du 26 Juillet 2024 portant sur le monitoring systématique de la chaine de sous-traitance

L’un des changements les plus significatifs entre la version draft du RTS sur la sous-traitance du 26 juillet 2024 et sa version finale (règlement délégué (UE) 2025/532) concerne la suppression de l’article 5, qui imposait un monitoring systématique de la chaîne de sous-traitance. 

Cette disposition prévoyait notamment l’obligation, pour les entités financières, d’identifier et de surveiller tous les niveaux de sous-traitants (y compris les sous-traitants de leurs prestataires TIC), d’avoir accès aux contrats inter-tiers, ainsi que de disposer de droits de contrôle et d’audit tout au long de la chaîne. Jugée trop contraignante et allant au-delà du mandat conféré aux Autorités Européennes de Surveillance (AES), cette obligation a été écartée par la Commission européenne dans la version draft du 24 mars 2025 et confirmée dans la version définitive du 02 juillet 2025.

La suppression de cette exigence permet une approche plus proportionnée, recentrée uniquement sur les sous-traitants effectivement impliqués dans des fonctions critiques ou importantes. Cela allège considérablement la charge opérationnelle pour les entités financières, tout en préservant les objectifs de résilience imposés par le règlement DORA. 

Renforcement des obligations de due diligence et d’évaluation précontractuelle

La version finale du RTS (règlement délégué (UE) 2025/532) consacre une attention particulière au renforcement du processus de due diligence que les entités financières doivent mener avant toute contractualisation avec un prestataire de services TIC impliqué dans des fonctions critiques ou importantes. Contrairement à la version draft du 26 juillet 2024, la version définitive détaille de manière beaucoup plus précise les critères à évaluer et les responsabilités incombant à l’entité financière.

Désormais, les entités doivent, en amont de la sous-traitance, effectuer une évaluation rigoureuse de la capacité du fournisseur à assurer la prestation en toute sécurité, continuité et conformité. Cette évaluation couvre plusieurs axes, incluant les capacités techniques, opérationnelles, humaines, financières et organisationnelles du fournisseur, ainsi que la robustesse de son dispositif de gouvernance, de gestion des risques, et de sécurité informatique. En particulier, la conformité aux exigences de résilience opérationnelle numérique est examinée avec soin.

La version finale insiste également sur le fait que l’entité financière ne peut se reposer uniquement sur les évaluations du fournisseur principal : elle est responsable de mener sa propre analyse indépendante, documentée, incluant l’ensemble des sous-traitants dans la chaîne lorsqu’ils soutiennent des fonctions critiques ou importantes. Par ailleurs, toute modification substantielle de la chaîne de sous-traitance, comme l’ajout d’un nouveau sous-traitant, doit faire l’objet d’une notification préalable à l’entité financière. Celle-ci doit alors réévaluer l’exposition au risque avant de valider l’évolution du contrat. Cela devrait donc se matérialiser par voie d’avenant à l’accord contractuel en vigueur avec le prestataire de service TIC qui soutien des fonctions critiques ou importantes.

Enfin, le contrat entre l’entité et son fournisseur doit clairement stipuler que ce dernier reste pleinement responsable de l’ensemble de la chaîne de sous-traitance. Cette clause vise à clarifier les obligations contractuelles et réglementaires du prestataire - même en cas de délégation - et de garantir une traçabilité des prestations fournies.

Autres éléments clés du RTS

La version finale du RTS sur la sous-traitance des fonctions critiques ou importantes publié le 2 juillet 2025 par la Commission européenne maintient plusieurs points de la version draft de mars 2025, dans une optique de pragmatisme réglementaire et de clarification du cadre applicable.

Le texte final maintient l’obligation de clauses contractuelles à intégrer dans les relations avec les sous-traitants TIC, afin de garantir l’effectivité des droits d’audit, de résiliation, de continuité d’activité, ou encore d’accès aux données pour les entités financières et les autorités de supervision. Ces clauses doivent être présentes non seulement entre l’entité et son fournisseur direct, mais également avec les sous-traitants des sous-traitants dans les cas pertinents.

Le RTS final acte également le périmètre d’application, en précisant que seules les sous-traitances qui concernent directement des fonctions critiques ou importantes sont visées. Ce recentrage valide la limitation des obligations aux situations présentant un niveau de risque opérationnel réellement significatif, contrairement à l’approche plus extensive initialement envisagée par le règlement. Cela s’inscrit donc dans une volonté d’assurer la proportionnalité du dispositif de suivi de la sous-traitance.

In finie, le texte final du RTS publié le 02 juillet 2025 conserve l’essentiel des exigences de gouvernance et de maîtrise des risques liés à la sous-traitance se services TIC, tout en introduisant une logique plus ciblée, réaliste et adaptée aux capacités opérationnelles des acteurs du marché.

Ces dispositions sur la sous-traitance entreront en vigueur le 22 juillet 2025.

Version initiale : JC 2024-53_Final report DORA RTS on subcontracting.pdf

Version finale : Règlement délégué (UE) 2025/532 de la Commission du 24 mars 2025 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant les éléments qu’une entité financière doit déterminer et évaluer lorsqu’elle sous-traite des services TIC qui soutiennent des fonctions critiques ou importantes

RESTEZ INFORMÉ(E) DE L'ACTUALITÉ BANCAIRE, ABONNEZ-VOUS AUX FLASH BANKNEWS.