DORA et externalisation IA dans la finance européenne.
Le règlement DORA (Digital Operational Resilience Act, Règlement UE 2022/2554) s'applique depuis le 17 janvier 2025 à l'ensemble des entités financières européennes : banques, assureurs, gestionnaires d'actifs, prestataires de services de paiement. Lorsqu'un système d'intelligence artificielle est externalisé chez un tiers, DORA impose un cadre complet de gouvernance, de sélection, de contractualisation et de supervision continue. Pour les fournisseurs IA classés tiers critiques, l'Autorité européenne de surveillance peut exercer une supervision directe.
Quel est le périmètre exact de DORA pour l'IA ?
DORA couvre tout service TIC (technologies de l'information et de la communication) externalisé qui soutient une fonction critique ou importante de l'entité financière. Un système IA d'aide à la décision crédit, un moteur de scoring fraude, un assistant conversationnel client interfacé avec le système central, un moteur de classification de sinistres entrent dans le champ. La qualification dépend de l'impact opérationnel en cas d'indisponibilité ou de défaillance, pas de la nature technologique du service.
Quelles obligations contractuelles spécifiques ?
L'article 30 de DORA liste les clauses obligatoires : description précise des services, niveaux de service mesurables, localisation des traitements et des données, sous-traitance encadrée, droit d'accès et d'audit pour l'entité financière et pour le superviseur, plans de sortie testés, coopération en cas d'incident. Pour un système IA, ces clauses se traduisent par des engagements opérationnels : disponibilité du modèle, traçabilité des décisions, capacité à exporter les données et les artefacts, fenêtre de réversibilité documentée. Les clauses standard du fournisseur ne suffisent pas : elles sont à négocier ligne par ligne.
Comment se qualifie un fournisseur IA tiers critique ?
La Commission européenne désigne les prestataires TIC tiers critiques selon trois critères : impact systémique sur la stabilité du secteur financier, importance pour les fonctions critiques, substituabilité. Les premiers actes de désignation sont attendus en 2026. Un fournisseur IA peut entrer dans la liste s'il sert un nombre significatif d'entités financières européennes et que ses services ne peuvent être remplacés rapidement. Une fois désigné, il fait l'objet d'une supervision directe par l'Autorité de surveillance compétente, avec inspections sur site et obligations de reporting.
Comment se construit le suivi opérationnel ?
Quatre éléments en pratique. Premièrement, un registre des contrats TIC à jour, avec qualification du caractère critique ou important. Deuxièmement, des tests de résilience (TLPT, threat-led penetration testing) couvrant les chaînes IA externalisées au moins tous les trois ans. Troisièmement, un plan de continuité documenté avec scénarios de bascule et fenêtres de tolérance acceptable (RTO et RPO). Quatrièmement, un canal de signalement d'incident TIC majeur dans les délais réglementaires : notification initiale sous 4 heures, rapport intermédiaire sous 72 heures, rapport final sous un mois.
Comment s'articule DORA avec le Règlement européen sur l'IA ?
Les deux textes se cumulent. DORA vise la résilience opérationnelle de l'entité financière, le Règlement européen sur l'IA vise la conformité du système IA en tant que produit. Un moteur de scoring crédit en banque est simultanément couvert par l'article 30 de DORA (clauses contractuelles), par l'annexe III du Règlement IA (classement risque élevé), par l'article 22 du RGPD (décision automatisée) et par les orientations EBA sur l'externalisation. La grille de conformité doit être lue dans son ensemble dès la phase de sélection. Les amendes DORA peuvent atteindre 1 pour cent du chiffre d'affaires journalier de l'entité.
Questions fréquentes
DORA s'applique-t-elle aux fintechs non régulées ?
Indirectement. Si une fintech non régulée fournit un service TIC à une banque ou à un assureur, le régulé reste responsable de la conformité DORA et impose les obligations en cascade contractuelle.
Le cloud externalisé entre-t-il dans DORA ?
Oui systématiquement. Tout fournisseur cloud soutenant une fonction critique ou importante est dans le champ. L'ACPR a publié plusieurs avis précisant la lecture pratique pour le secteur bancaire.
Comment Impetora aide-t-elle ?
Nous concevons les systèmes IA pour passer DORA dès la livraison : registre TIC prêt, droits d'audit techniques activables, plan de sortie documenté, journal de décisions exportable. La résilience opérationnelle est un livrable, pas une option.