Comment DORA s’articule-t-il concrètement avec le RGPD et NIS 2 ?

DORA : un renforcement sectoriel des principes du RGPD

Entré en vigueur en 2018, le RGPD garantit la protection des données à caractère personnel. Il s’applique de manière transversale à toutes les organisations, quels que soient leur secteur ou leur taille.

Le règlement DORA adopte, quant à lui, une approche sectorielle. Il est structuré autour de quatre piliers, centrés sur la cyber-résilience et la gestion des risques IT des acteurs du secteur financier.

Il couvre, en ce sens, un périmètre informationnel plus large que le RGPD, qui inclue à la fois les données personnelles, mais aussi les données non personnelles traitées par les entités financières.

Le règlement DORA vient donc compléter le RGPD en imposant des standards élevés de cybersécurité dans le secteur financier – des standards qui bénéficient indirectement à la protection des données à caractère personnel.

Il adopte en outre une approche plus large en exigeant des entités financières de documenter, d’analyser et de tester leur réponse aux incidents TIC pour améliorer leur capacité de réaction.

Mais malgré cette différence d’approche, une entité financière qui met en œuvre une conformité rigoureuse au RGPD disposera des méthodes et des outils facilitant sa mise en conformité au règlement DORA.

Les entreprises qui ont documenté avec précaution et complétude leurs traitements de données à caractère personnel disposeront d’une source utile pour la tenue du registre d’informations détaillées de leurs accords contractuels relatifs à l’utilisation des services TIC, requis en application du règlement DORA.

Les procédures de notification des violations de données personnelles à l’autorité de contrôle compétente (la CNIL en France) pourront également servir de modèle pour les procédures qui devront être mises en place en matière de signalement des incidents et des cybermenaces aux autorités financières en application du règlement.

Et bien que DORA soit plus précis et plus exigeant sur les mesures de résilience IT à mettre en place, les entreprises qui ont déjà déployé des procédures et des contrôles robustes en application du RGPD disposeront à nouveau d’outils qui faciliteront leur mise en conformité avec le règlement.

Les défis qui résultent des interactions entre le règlement DORA et le RGPD ne doivent néanmoins pas être minimisés.

Parce qu’elles doivent mettre en place des procédures de notification des incidents qui respectent à la fois les exigences de DORA et du RGPD, les entités financières devront envisager une harmonisation des procédures internes. Si le règlement DORA encourage un partage accru des informations sur les incidents de cybersécurité, le RGPD impose une stricte confidentialité des données personnelles. Les entités financières devront s’assurer que leur communication respecte ces deux impératifs.

Enfin, les entités financières devront interagir avec plusieurs autorités. Ce qui nécessite une approche unifiée de la conformité.

DORA : une articulation incertaine avec la directive NIS 2

Comme le RGPD, le règlement DORA est à application directe dans tous les états membres de l’Union européenne. À l’inverse, la directive NIS 2 nécessite une transposition dans chaque état membre avec, le cas échéant, des disparités dans sa mise en œuvre.

Alors que son échéance de transposition était fixée au 17 octobre 2024, le projet de transposition en France a été déposé le 15 octobre 2024 à l’Assemblée nationale et au Sénat. La première lecture au Sénat est prévue le 11 mars 2025.

Le règlement DORA et la directive NIS 2 partagent plusieurs objectifs communs en matière de gestion des risques technologiques, de notification des incidents et de responsabilisation des entreprises. Avec un but ultime : renforcer la cybersécurité dans les secteurs stratégiques de l’Union.

La directive couvre un large éventail d’industries, qualifiées de secteurs critiques (énergie, transports, santé, infrastructures numériques, etc.), tandis que le règlement DORA se concentre sur le secteur financier. Ce dernier couvre toutefois un large spectre d’entités, dont les établissements de crédit et de paiement, les sociétés d’investissement et de bourse, ainsi que les assureurs et intermédiaires en assurance. DORA régule également, de manière indirecte, les prestataires IT qui interagissent avec ces entités financières, avec un encadrement renforcé pour ceux considérés comme les plus critiques.

Si les objectifs sont en partie alignés, leurs exigences et leur mise en œuvre présentent des points de divergence.

La directive NIS 2 met l’accent sur la sécurité informatique et la gestion des cybermenaces, tandis que le règlement DORA – bien qu’il encadre également ces sujets – accentue la nécessité de renforcer les processus internes des entités concernées.

Le règlement DORA impose donc une refonte de la gouvernance interne pour mieux appréhender et classifier les risques IT, ainsi que la mise en place de nombreux tests de résilience opérationnelle qui vont bien plus loin que les tests de sécurité prévus par la directive NIS 2. La directive met un accent fort sur la sécurisation des chaînes d’approvisionnement IT, imposant aux entreprises de vérifier la cybersécurité de leurs prestataires. Le règlement DORA va plus loin en imposant une surveillance stricte des fournisseurs de services TIC.

L’approche retenue par le règlement est le reflet des risques systémiques susceptibles d’affecter le secteur financier et la nécessité d’une résilience renforcée. Il s’agit ici de limiter ces risques en améliorant la capacité des entreprises à anticiper et à gérer les crises tout en optimisant leur résilience opérationnelle.

Un point de complexité demeure. Les acteurs bancaires, visés par la directive NIS 2, pourraient être soumis aux deux cadres réglementaires.

Le considérant 16 du règlement DORA rappelle que le règlement constitue une « loi spéciale » qui déroge au droit général. L’article 4 de la directive NIS 2 prévoit, quant à lui, que lorsque des actes sectoriels de l’Union imposent déjà des obligations équivalentes de gestion des risques en matière de cybersécurité, la directive n’a pas vocation à s’appliquer aux entités concernées au titre de telles obligations.

Si cette articulation semble claire en théorie, des incertitudes demeurent quant aux obligations spécifiques de la directive NIS 2 non visées par DORA. Les entreprises concernées devront donc anticiper leur conformité en suivant avec attention la transposition de la directive.

La clarification attendue sur cette articulation sera déterminante pour assurer une application cohérente et efficace des textes.

L’enjeu pour les entités financières : une approche intégrée de la conformité

Le foisonnement réglementaire européen traduit une volonté de sécuriser au mieux les acteurs économiques stratégiques face aux menaces numériques. Toutefois, la mise en œuvre des textes soulève des questions légitimes des entreprises quant à la bonne gestion de leurs programmes de mise en conformité.

Pour répondre à ces défis, les entreprises du secteur financier devront donc adopter :

1. une approche intégrée de la conformité, en mettant en place des politiques communes de protection des données et de gestion des risques au travers d’une gouvernance unifiée des risques IT et des obligations de protection des données, tout en mettant à profit les procédures déjà mises en place,
2. une optimisation des processus de signalement,
3. un dialogue renforcé entre les équipes conformité, sécurité IT et protection des données pour assurer une application cohérente des exigences réglementaires.

 Par Marc Schuler, Associé, et Benjamin Znaty, Counsel au cabinet d’avocats international Taylor Wessing.