Règlement DORA : Champ d’application et exclusions

Le 30 août 2025, la France a été le théâtre d'une interruption majeure des services de paiement, paralysant les transactions par carte et les retraits pour des millions de clients du Crédit Mutuel, du CIC et de Monabanq pendant plus de deux heures.

Causé par un "dysfonctionnement interne" lié à une mise à jour informatique, cet incident a semé la pagaille, laissant de nombreux usagers sans moyen de paiement et soulignant la vulnérabilité de nos infrastructures financières.

C'est précisément face à de telles perturbations que le Règlement DORA prend tout son sens, imposant aux entités financières une résilience opérationnelle numérique rigoureuse. DORA exige des plans de continuité robustes, une gestion proactive des risques TIC et une capacité de récupération rapide pour minimiser l'impact sur les consommateurs.

Ainsi, un événement comme celui du 30 août 2025 illustre parfaitement la nécessité vitale de DORA pour garantir la stabilité et la confiance dans le système financier européen.

Comprendre le champ d’application du Règlement DORA.

Le Règlement DORA (Digital Operational Resilience Act) ne laisse quasiment personne en dehors de son radar. L’Article 2 définit son champ d’application : en clair, qui est concerné et qui peut (miraculeusement) y échapper. DORA vise à renforcer la résilience opérationnelle numérique de l’écosystème financier, autant du côté des institutions traditionnelles que des acteurs émergents comme les prestataires de services crypto. Autant dire qu’il n’y a pas beaucoup de cachettes.

Qui est concerné par DORA ?

Les entités financières et non financières

La liste est longue (et on comprend vite que DORA adore tout contrôler) :

a) Banques et établissements de crédit Établissements de paiement (même ceux avec exemptions PSD2)

b) Fournisseurs de services d’information sur comptes

c) Établissements de monnaie électronique

d) Entreprises d’investissement

e) Prestataires de services crypto agréés et émetteurs de jetons adossés à des actifs

f) Dépositaires centraux, contreparties centrales, plateformes de négociation, référentiels centraux

g) Gestionnaires de fonds ( Fonds d'Investissements Alternatifs-FIA , sociétés de gestion, OPC, etc.)

h) Fournisseurs de services de communication de données

i) Assureurs, réassureurs et intermédiaires d’assurance

j) Institutions de retraite professionnelle

k) Agences de notation de crédit et administrateurs d’indices

l) Plateformes de financement participatif

m) Référentiels des titrisations

n) Et, last but not least : prestataires tiers de services TIC (cloud, cybersécurité, data).

Conclusion : si vous touchez aux services financiers ou à leurs coulisses numériques, il y a de grandes chances que DORA vous mette sous surveillance.

Entités financières vs entités non financières

Les points a) à m) listent les entités financières (banques, assurances, fonds, crypto, etc.).

Le point n) concerne les entités non financières : les prestataires TIC tiers, souvent incontournables mais désormais encadrés par DORA.

Exclusions prévues par le Règlement DORA : qui échappe au filet ?

Heureusement, tout le monde n’est pas dans le collimateur.

Le texte prévoit quelques exclusions bien précises :

• Petits gestionnaires de fonds alternatifs → Ceux dont les actifs sous gestion sont en‑dessous de 100 M€ (avec levier) ou 500 M€ (sans levier ni droit de remboursement avant 5 ans).

• Petits assureurs et réassureurs → Quand primes < 5,4 M€ et provisions < 26,6 M€, avec certaines limites sur les risques couverts.

• Petites institutions de retraite pro → Si elles gèrent moins de 15 affiliés (autant dire du semi-artisanal).

• Certaines entités exemptées par MiFID II (dir. 2014/65/UE), comme : Les entreprises fournissant des services uniquement à leur groupe. Les cabinets exerçant une activité d’investissement de façon accessoire. Les acteurs qui tradent uniquement pour compte propre (hors HFT- High Frequency Trading et market makers). Les institutions publiques (banques centrales, BEI, etc.). Les fonds de pension et certains OPC. Les acteurs de l’énergie qui tradent uniquement pour gérer leurs besoins. Certains dispositifs nationaux spécifiques (ex. Danemark, Finlande).

• Intermédiaires d’assurance/reassurance en petite structure (PME/micro‑entreprises).

• Offices des chèques postaux (un grand classique administratif qu’on adore toujours ressortir).

En résumé : DORA ne fait pas de cadeau.