Qu’est-ce que DORA ?
Le Règlement sur la résilience opérationnelle numérique — connu sous le nom de DORA — est le Règlement (UE) 2022/2554, adopté par le Parlement européen et le Conseil le 14 décembre 2022. L’UE l’a publié au Journal officiel le 27 décembre 2022. Il est entré en vigueur le 16 janvier 2023 et est devenu pleinement applicable le 17 janvier 2025.
DORA comble une lacune spécifique dans la réglementation financière de l’UE. Avant DORA, les institutions financières géraient le risque opérationnel principalement en mettant de côté des capitaux. Cependant, cette approche ne couvrait pas adéquatement les perturbations liées aux TIC, qui peuvent affecter de nombreuses institutions simultanément lorsqu’un fournisseur de technologie partagé tombe en panne. Par conséquent, DORA introduit un cadre uniforme à travers l’UE pour la gestion des risques liés aux TIC, la déclaration des incidents, les tests de résilience opérationnelle et la surveillance des fournisseurs de technologie tiers.
Qui doit se conformer à DORA ?
DORA s’applique à deux groupes principaux d’organisations impliquées dans les services de technologies de l’information et de la communication (TIC) au sein du secteur financier.
Le premier groupe est celui des entités financières. Celles-ci comprennent les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les entreprises d’investissement, les entreprises d’assurance et de réassurance, les prestataires de services de crypto-actifs, les dépositaires centraux de titres, les contreparties centrales et les lieux de négociation, entre autres énumérés à l’article 2 du règlement.
Le deuxième groupe est celui des fournisseurs de services TIC tiers — des entreprises qui fournissent des services technologiques aux entités financières. Ce groupe comprend les fournisseurs de services cloud, les développeurs de logiciels, les sociétés d’analyse de données, les entreprises de cybersécurité, les fournisseurs de centres de données et tout autre fournisseur dont les services soutiennent les opérations d’une institution financière réglementée.
Il est important de noter que DORA couvre également les fournisseurs de TIC basés en dehors de l’UE. Si une entreprise technologique aux États-Unis, au Royaume-Uni ou en Asie fournit des services à des institutions financières réglementées par l’UE, DORA s’applique à cette relation.
L’exigence de LEI en vertu de DORA
DORA exige des entités financières qu’elles tiennent un registre d’informations détaillé couvrant tous leurs fournisseurs de services TIC tiers. Le Règlement d’exécution (UE) 2024/2956 de la Commission, publié le 2 décembre 2024, établit les modèles standard pour ce registre.
L’article 3, paragraphe 5, de ce règlement d’exécution stipule directement :
« Les entités financières utilisent un identifiant d’entité juridique (LEI) valide et actif ou l’identifiant unique européen visé à l’article 16 de la directive (UE) 2017/1132 (« EUID »), et, le cas échéant, les deux identifiants, pour identifier tous leurs fournisseurs de services TIC tiers qui sont des personnes morales, à l’exception des personnes physiques agissant à titre professionnel. »
En d’autres termes, chaque fournisseur de services TIC tiers qui est une entité juridique doit être identifiable à l’aide d’un LEI valide et actif ou d’un EUID. Les deux doivent être à jour. Un LEI périmé ou expiré ne satisfait pas à cette exigence.
LEI ou EUID — Lequel s’applique à vous ?
Les deux identifiants satisfont aux exigences de DORA, mais ils couvrent des situations différentes. Comprendre la différence vous aide à choisir correctement.
Le LEI (Legal Entity Identifier) est un code alphanumérique de 20 caractères reconnu mondialement, basé sur la norme ISO 17442. La Global Legal Entity Identifier Foundation (GLEIF) régit le système mondial de LEI et rend toutes les données LEI publiquement accessibles dans l’Index mondial des LEI. Le LEI couvre les entités juridiques dans plus de 200 juridictions et inclut également des données sur la propriété et le contrôle.
L’EUID (European Unique Identifier) est lié au système d’interconnexion des registres du commerce (BRIS) de l’UE. Comme il se connecte exclusivement aux registres nationaux de l’UE, il ne couvre que les entités enregistrées dans les États membres de l’UE.
Ici, le règlement d’exécution établit une distinction essentielle : les fournisseurs de TIC établis en dehors de l’UE doivent être identifiés uniquement à l’aide du LEI. L’EUID n’est tout simplement pas disponible pour les entités non-UE. Par conséquent, le LEI est le seul identifiant valide pour tout fournisseur opérant en dehors de l’UE.
Pour les fournisseurs basés dans l’UE, l’un ou l’autre identifiant fonctionne. Cependant, pour les opérations mondiales ou les fournisseurs ayant une exposition hors UE, le LEI est le choix le plus judicieux en raison de sa reconnaissance internationale et de sa couverture de données plus large.
Ce que signifie « valide et actif » en pratique
Le règlement d’exécution exige spécifiquement un LEI valide et actif. Cela fait référence au statut qui apparaît dans la base de données mondiale de la GLEIF.
Un LEI affichant le statut « Émis » est valide et actif, et satisfait donc à DORA. Un LEI affichant « Périmé » a expiré et ne satisfait donc pas à l’exigence. Les entités financières ne peuvent pas enregistrer un LEI périmé comme identifiant conforme dans leur registre d’informations.
Un LEI reste valide pendant un an à compter de la date d’émission ou du dernier renouvellement. Après cela, le propriétaire doit le renouveler pour maintenir un statut actif. Lors du renouvellement, l’organisation émettrice revérifie les données de référence de l’entité — y compris la dénomination sociale, l’adresse enregistrée et la structure de propriété — par rapport aux sources officielles du registre. Ce processus garantit que les données de la base de données mondiale des LEI restent exactes et à jour.
Vous pouvez vérifier le statut de tout LEI en utilisant l’outil de recherche de LEI de la GLEIF ou via la recherche LEI System.
Pourquoi le LEI est la norme pratique pour la conformité à DORA
Les régulateurs de DORA ont choisi le LEI parce qu’il résout un problème qu’aucun identifiant national ne peut résoudre : l’identification cohérente et transfrontalière des entités juridiques dans un format unique reconnu mondialement.
Les numéros d’enregistrement des entreprises nationales varient considérablement d’un pays à l’autre, ne sont pas toujours lisibles par machine et ne couvrent pas du tout les entités non-UE. Le LEI, en revanche, fournit un code cohérent unique pour toute entité juridique, quel que soit son lieu de constitution. De plus, comme les données LEI sont publiquement disponibles et vérifiables, les institutions financières peuvent vérifier instantanément les détails des fournisseurs sans demander de documents.
Pour les institutions financières gérant de nombreux fournisseurs de TIC dans différents pays, cette standardisation réduit considérablement la complexité administrative de la conformité à DORA. Une simple recherche de LEI fournit des informations vérifiées sur la dénomination sociale du fournisseur, les détails d’enregistrement et la structure de propriété — tous directement pertinents pour les obligations de gestion des risques tiers de DORA.
Pour les fournisseurs de TIC, détenir un LEI valide facilite l’inclusion correcte de leurs clients institutions financières dans leur registre DORA. Les fournisseurs sans LEI valide, en revanche, créent des lacunes de conformité pour leurs clients et risquent donc de nuire à la relation commerciale. La GLEIF fournit un contexte supplémentaire sur la manière dont le LEI soutient cela dans son aperçu de l’utilisation réglementaire du LEI.
Ce que les fournisseurs de TIC devraient faire maintenant
Vérifiez si vous avez un LEI valide. Si vous fournissez des services TIC à une institution financière réglementée par l’UE, votre client doit vous identifier dans son registre d’informations DORA. Contactez-le pour confirmer s’il a enregistré votre LEI et s’il est actuellement actif.
Enregistrez un LEI si vous n’en avez pas. Le processus est entièrement numérique et s’achève en 24 heures pour la plupart des juridictions. Vous devez fournir la dénomination sociale de votre entreprise, son adresse enregistrée et son numéro d’enregistrement. Dans la plupart des cas, le système vérifie automatiquement ces données par rapport aux registres commerciaux officiels. LEI System est un agent d’enregistrement GLEIF accrédité. Vous pouvez commencer votre enregistrement LEI dès aujourd’hui.
Renouvelez votre LEI s’il est périmé. Un LEI périmé doit être renouvelé avant que vos clients puissent l’utiliser dans un registre DORA. Le renouvellement restaure le statut « Émis » et revalide les données de référence de votre entreprise. Vous pouvez renouveler votre LEI rapidement via LEI System.
Maintenez vos données LEI à jour. Si la dénomination sociale de votre entreprise, son adresse enregistrée ou sa structure de propriété a changé, mettez à jour vos données de référence LEI en conséquence. Des données LEI obsolètes créent des complications de conformité pour vos clients institutions financières lorsqu’ils soumettent leur registre aux autorités nationales.
DORA dans le contexte de la réglementation européenne plus large
DORA n’opère pas de manière isolée. Il s’inscrit dans le cadre d’autres réglementations européennes qui utilisent également le LEI comme identifiant standard pour les entités juridiques, notamment la déclaration des transactions MiFID II, la déclaration des produits dérivés EMIR et le règlement de l’UE sur les paiements instantanés. Pour les entités financières qui utilisent déjà les LEI pour la déclaration des transactions, DORA ajoute donc une dimension supplémentaire plutôt qu’un système entièrement nouveau.
De plus, DORA est directement lié à la directive NIS2 (Directive (UE) 2022/2555) sur la cybersécurité. DORA fonctionne comme un acte sectoriel spécifique en vertu de NIS2 pour les entités financières. Vous pouvez en savoir plus sur NIS2 et le LEI dans l’article NIS2 et LEI sur ce site. Pour un aperçu plus large du fonctionnement du LEI dans la réglementation financière de l’UE, consultez Comment le LEI fonctionne en pratique dans l’UE.
DORA et LEI — Les faits clés en un coup d’œil
Qu’est-ce que DORA ? Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique pour le secteur financier.
Quand DORA est-il devenu applicable ? 17 janvier 2025.
Qui doit se conformer ? Les entités financières de l’UE et leurs fournisseurs de services TIC tiers, y compris les fournisseurs non-UE servant les institutions financières de l’UE.
Que requiert DORA pour l’identification des fournisseurs de TIC ? Un LEI ou EUID valide et actif, tel que spécifié dans le Règlement d’exécution (UE) 2024/2956 de la Commission.
Quel identifiant s’applique aux fournisseurs de TIC non-UE ? LEI uniquement. L’EUID ne couvre que les entités enregistrées dans l’UE.
Quel statut LEI satisfait à DORA ? « Émis » uniquement. Un LEI « Périmé » ne satisfait pas à l’exigence.
Où puis-je enregistrer ou renouveler un LEI ? Par l’intermédiaire d’un agent d’enregistrement GLEIF accrédité tel que LEI System.