Qu’est-ce que DORA ?
La loi sur la résilience opérationnelle numérique — connue sous le nom de DORA — est le règlement (UE) 2022/2554, adopté par le Parlement européen et le Conseil le 14 décembre 2022. L’UE l’a publié au Journal officiel le 27 décembre 2022. Il est entré en vigueur le 16 janvier 2023 et est devenu pleinement applicable le 17 janvier 2025.
DORA comble une lacune spécifique de la réglementation financière de l’UE. Avant DORA, les institutions financières géraient le risque opérationnel principalement en constituant des réserves de capital. Toutefois, cette approche ne couvrait pas de manière adéquate les perturbations liées aux TIC, qui peuvent affecter simultanément de nombreuses institutions lorsqu’un fournisseur de technologie partagé connaît une défaillance. Par conséquent, DORA introduit un cadre uniforme dans toute l’UE pour la gestion des risques TIC, la notification des incidents, les tests de résilience opérationnelle et la surveillance des fournisseurs de technologie tiers.
Qui doit se conformer à DORA ?
DORA s’applique à deux groupes principaux d’organisations impliquées dans les services de technologies de l’information et de la communication (TIC) au sein du secteur financier.
Le premier groupe est celui des entités financières. Il comprend les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les entreprises d’investissement, les entreprises d’assurance et de réassurance, les prestataires de services sur crypto-actifs, les dépositaires centraux de titres, les contreparties centrales et les plateformes de négociation, entre autres entités énumérées à l’article 2 du règlement.
Le deuxième groupe est celui des prestataires de services TIC tiers — des entreprises qui fournissent des services technologiques aux entités financières. Ce groupe comprend les fournisseurs d’informatique en nuage, les développeurs de logiciels, les entreprises d’analyse de données, les sociétés de cybersécurité, les fournisseurs de centres de données et tout autre prestataire dont les services soutiennent les opérations d’une institution financière réglementée.
Il est important de noter que DORA couvre également les fournisseurs TIC établis en dehors de l’UE. Si une entreprise technologique aux États-Unis, au Royaume-Uni ou en Asie fournit des services à des institutions financières réglementées par l’UE, DORA s’applique à cette relation.
L’exigence du code LEI en vertu de DORA
DORA exige que les entités financières tiennent un registre d’informations détaillé couvrant tous leurs prestataires de services TIC tiers. Le règlement d’exécution (UE) 2024/2956 de la Commission, publié le 2 décembre 2024, établit les modèles normalisés pour ce registre.
L’article 3, paragraphe 5, de ce règlement d’exécution stipule directement :
« Les entités financières utilisent un identifiant d’entité juridique (LEI) valide et actif ou l’identifiant unique européen visé à l’article 16 de la directive (UE) 2017/1132 (« EUID »), et lorsqu’ils sont disponibles, ces deux identifiants, pour identifier tous leurs prestataires de services TIC tiers qui sont des personnes morales, à l’exception des personnes physiques agissant à titre professionnel. »
En d’autres termes, chaque prestataire de services TIC tiers qui est une entité juridique doit être identifiable au moyen d’un code LEI valide et actif ou d’un EUID. Les deux doivent être à jour. Un code LEI expiré ou périmé ne satisfait pas à cette exigence.
LEI ou EUID — lequel s’applique à vous ?
Les deux identifiants satisfont aux exigences de DORA, mais ils couvrent des situations différentes. Comprendre la différence vous aide à choisir correctement.
Le LEI (identifiant d’entité juridique) est un code alphanumérique de 20 caractères reconnu à l’échelle mondiale, basé sur la norme ISO 17442. La Global Legal Entity Identifier Foundation (GLEIF) régit le système mondial LEI et rend toutes les données LEI accessibles au public dans l’index mondial LEI. Le LEI couvre les entités juridiques dans plus de 200 juridictions et inclut également des données sur la propriété et le contrôle.
L’EUID (identifiant unique européen) est lié au système d’interconnexion des registres des entreprises de l’UE (BRIS). Parce qu’il se connecte exclusivement aux registres nationaux de l’UE, il ne couvre que les entités enregistrées dans les États membres de l’UE.
Ici, le règlement d’exécution établit une distinction essentielle : les fournisseurs TIC établis en dehors de l’UE doivent être identifiés uniquement au moyen du LEI. L’EUID n’est tout simplement pas disponible pour les entités non européennes. Par conséquent, le LEI est le seul identifiant valide pour tout fournisseur opérant depuis l’extérieur de l’UE.
Pour les fournisseurs établis dans l’UE, l’un ou l’autre identifiant fonctionne. Toutefois, pour les opérations mondiales ou les fournisseurs ayant une exposition hors UE, le LEI constitue le choix le plus solide en raison de sa reconnaissance internationale et de sa couverture de données plus large.
Ce que signifie « valide et actif » en pratique
Le règlement d’exécution exige spécifiquement un code LEI valide et actif. Cela fait référence au statut qui apparaît dans la base de données mondiale de la GLEIF.
Un code LEI affichant le statut « Émis » est valide et actif, et satisfait donc à DORA. Un code LEI affichant « Expiré » a expiré et, par conséquent, ne satisfait pas à l’exigence. Les entités financières ne peuvent pas enregistrer un code LEI expiré comme identifiant conforme dans leur registre d’informations.
Un code LEI reste valide pendant un an à compter de la date d’émission ou du dernier renouvellement. Après cela, le titulaire doit le renouveler pour maintenir le statut actif. Lors du renouvellement, l’organisation émettrice vérifie à nouveau les données de référence de l’entité — y compris la dénomination sociale, l’adresse du siège social et la structure de propriété — par rapport aux sources de registres officiels. Ce processus garantit que les données de la base de données mondiale LEI restent exactes et à jour.
Vous pouvez vérifier le statut de tout code LEI à l’aide de l’outil de recherche LEI de la GLEIF ou via la recherche LEI System.
Pourquoi le LEI est la norme pratique pour la conformité à DORA
Les régulateurs de DORA ont choisi le LEI parce qu’il résout un problème qu’aucun identifiant national ne peut résoudre : l’identification cohérente et transfrontalière des entités juridiques dans un format unique reconnu à l’échelle mondiale.
Les numéros d’immatriculation des entreprises nationaux varient considérablement d’un pays à l’autre, ne sont pas toujours lisibles par machine et ne couvrent pas du tout les entités non européennes. Le LEI, en revanche, fournit un code unique pour toute entité juridique, quel que soit le lieu de sa constitution. De plus, comme les données LEI sont accessibles au public et vérifiables, les institutions financières peuvent vérifier instantanément les détails du fournisseur sans demander de documents.
Pour les institutions financières gérant de nombreux fournisseurs TIC dans différents pays, cette normalisation réduit considérablement la complexité administrative de la conformité à DORA. Une seule recherche LEI fournit des informations vérifiées sur la dénomination sociale du fournisseur, les détails d’enregistrement et la structure de propriété — toutes directement pertinentes pour les obligations de gestion des risques liés aux tiers de DORA.
Pour les fournisseurs TIC, détenir un code LEI valide permet aux clients institutions financières de les inclure correctement dans leur registre DORA. Les fournisseurs sans code LEI valide, en revanche, créent des lacunes de conformité pour leurs clients et risquent donc de nuire à la relation commerciale. La GLEIF fournit un contexte supplémentaire sur la manière dont le LEI soutient cela dans son aperçu de l’utilisation réglementaire du LEI.
Ce que les fournisseurs TIC doivent faire maintenant
Vérifiez si vous disposez d’un code LEI valide. Si vous fournissez des services TIC à une institution financière réglementée par l’UE, votre client doit vous identifier dans son registre d’informations DORA. Contactez-le pour confirmer s’il a enregistré votre code LEI et s’il est actuellement actif.
Enregistrez un code LEI si vous n’en avez pas. Le processus est entièrement numérique et se termine en 24 heures pour la plupart des juridictions. Vous devez fournir la dénomination sociale de votre entreprise, l’adresse du siège social et le numéro d’immatriculation. Dans la plupart des cas, le système vérifie automatiquement ces données par rapport aux registres d’entreprises officiels. LEI System est un agent d’enregistrement accrédité par la GLEIF. Vous pouvez commencer votre enregistrement LEI dès aujourd’hui.
Renouvelez votre code LEI s’il a expiré. Un code LEI expiré doit être renouvelé avant que vos clients puissent l’utiliser dans un registre DORA. Le renouvellement rétablit le statut « Émis » et revalide les données de référence de votre entreprise. Vous pouvez renouveler rapidement votre code LEI via LEI System.
Maintenez vos données LEI à jour. Si la dénomination sociale de votre entreprise, l’adresse du siège social ou la structure de propriété a changé, mettez à jour vos données de référence LEI en conséquence. Des données LEI obsolètes créent des complications de conformité pour vos clients institutions financières lorsqu’ils soumettent leur registre aux autorités nationales.
DORA dans le contexte d’une réglementation européenne plus large
DORA ne fonctionne pas de manière isolée. Il s’inscrit aux côtés d’autres règlements de l’UE qui utilisent également le LEI comme identifiant standard pour les entités juridiques, notamment la déclaration des transactions MiFID II, la déclaration des produits dérivés EMIR et le règlement de l’UE sur les paiements instantanés. Pour les entités financières utilisant déjà des codes LEI pour la déclaration des transactions, DORA ajoute donc une dimension supplémentaire plutôt qu’un système entièrement nouveau.
De plus, DORA se connecte directement à la directive NIS2 (directive (UE) 2022/2555) sur la cybersécurité. DORA fonctionne comme un acte sectoriel spécifique en vertu de NIS2 pour les entités financières. Vous pouvez en savoir plus sur NIS2 et le LEI dans l’article NIS2 et LEI sur ce site. Pour un aperçu plus large du fonctionnement du LEI dans la réglementation financière de l’UE, consultez Comment fonctionne le LEI en pratique dans l’UE.
DORA et LEI — faits clés en un coup d’œil
Qu’est-ce que DORA ? Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique pour le secteur financier.
Quand DORA est-il devenu applicable ? 17 janvier 2025.
Qui doit se conformer ? Les entités financières de l’UE et leurs prestataires de services TIC tiers, y compris les fournisseurs non européens servant des institutions financières de l’UE.
Qu’exige DORA pour l’identification des fournisseurs TIC ? Un code LEI ou EUID valide et actif, tel que spécifié dans le règlement d’exécution (UE) 2024/2956 de la Commission.
Quel identifiant s’applique aux fournisseurs TIC non européens ? LEI uniquement. L’EUID ne couvre que les entités enregistrées dans l’UE.
Quel statut LEI satisfait à DORA ? « Émis » uniquement. Un code LEI « Expiré » ne satisfait pas à l’exigence.
Où puis-je enregistrer ou renouveler un code LEI ? Auprès d’un agent d’enregistrement accrédité par la GLEIF tel que LEI System.