DORA : ce que les prestataires TIC mauriciens des financiers européens doivent fournir

Le règlement européen DORA s'applique depuis le 17 janvier 2025 à la quasi-totalité du secteur financier de l'UE : banques, assureurs, sociétés de gestion, établissements de paiement, fintechs. Il ne régule pas directement un prestataire TIC mauricien, mais il oblige vos clients à vous inscrire dans un registre, à réécrire votre contrat et à prouver que leur résilience ne s'arrête pas à votre porte. En 2026, la phase d'observation se referme — autant savoir précisément ce qui va vous être demandé.
DORA en bref, et pourquoi 2026 est l'année charnière
DORA (Digital Operational Resilience Act) impose aux entités financières européennes quatre blocs d'obligations : gestion des risques informatiques, notification des incidents majeurs, tests de résilience opérationnelle et — le volet qui vous concerne — la maîtrise des risques liés aux prestataires tiers de services TIC. Éditeur de logiciels, hébergeur, centre de services, infogérant, opérateur de traitement : si votre prestation touche le système d'information d'un client financier européen, vous êtes un tiers TIC au sens du texte, et souvent aussi un sous-traitant TIC de rang 1 dans sa cartographie.
2026 marque un durcissement concret : les superviseurs consolident le Registre d'informations que chaque entité financière doit tenir sur ses prestataires. Les autorités européennes de supervision ont fixé au 30 avril 2026 la remise des registres arrêtés au 31 décembre 2025, et les premières mesures pour manquements sont annoncées. Résultat immédiat : les équipes conformité de vos clients traquent en ce moment les données manquantes ou incohérentes — y compris les vôtres.
Précision utile : cet article est une synthèse opérationnelle, vue du côté infrastructure ; il ne constitue pas un conseil juridique.
Le registre d'informations : votre fiche d'identité chez chaque client
Chaque client financier doit tenir un registre exhaustif de ses accords contractuels TIC. Pour chaque prestataire, il doit pouvoir renseigner :
- l'identité précise de l'entité juridique qui contracte : raison sociale, pays, identifiants ;
- la description du service fourni et son lien avec les fonctions du client, notamment si elles sont « critiques ou importantes » ;
- les lieux où le service est rendu et où les données sont traitées et stockées ;
- votre chaîne de sous-traitance : qui héberge, qui intervient, depuis quel pays ;
- les alternatives possibles et la difficulté de vous remplacer.
Attendez-vous donc à des demandes d'information très précises, parfois sous forme de tableaux à retourner en quelques jours. Une fiche incomplète ou contradictoire devient un problème de votre client face à son superviseur — donc un problème commercial pour vous. Préparer une fiche registre standard, tenue à jour en continu, transforme cette corvée récurrente en simple formalité.
Les clauses contractuelles que vous allez devoir accepter
DORA impose un contenu contractuel minimal pour les services TIC, renforcé quand la prestation soutient une fonction critique ou importante. Les clauses qui reviennent dans toutes les négociations :
- description complète du service, avec des niveaux de service mesurables ;
- lieux de traitement des données, et notification préalable en cas de changement ;
- notification d'incident : alerter le client dans des délais courts et l'assister pendant toute la durée de l'incident ;
- droits d'accès, d'inspection et d'audit pour le client — et pour son superviseur ;
- conditions de sous-traitance : information, voire accord préalable, sur vos propres sous-traitants ;
- participation aux tests de résilience du client, y compris des tests avancés pour les fonctions critiques ;
- résiliation et stratégie de sortie : le client doit pouvoir partir sans rupture de service.
La règle d'or, la même que pour les questionnaires NIS2 : ne signez jamais un délai de notification ou un RTO que votre infrastructure ne tient pas de façon mesurée. Une clause intenable engage votre responsabilité au pire moment.
Stratégie de sortie et réversibilité : le point le plus négocié
C'est souvent la découverte la plus inconfortable : votre client doit documenter comment il se passerait de vous. Le texte lui impose une stratégie de sortie pour les prestations critiques, et il vous en répercutera les exigences : plan de réversibilité écrit, restitution des données dans des formats exploitables, assistance de transition pendant une durée définie, attestation de suppression en fin de contrat.
Paradoxalement, bien traiter la réversibilité est un argument commercial. Un prestataire qui documente la sortie inspire confiance à l'entrée ; celui qui verrouille inquiète. Des architectures standard, des exports documentés et un plan de reprise réellement testé sont les meilleures preuves que vos engagements ne sont pas théoriques.
Constituer votre dossier DORA avant qu'on vous le réclame
Tout ce qui précède converge vers un même livrable : un dossier de preuve permanent, prêt à être partagé. Fiche registre pré-remplie, contrats types, rapports de tests PRA datés, procédure de notification d'incident avec délais mesurés, cartographie des sous-traitants, plan de réversibilité. Les prestataires qui l'ont déjà constitué répondent en jours quand leurs concurrents répondent en semaines — et dans un secteur où la résilience opérationnelle est devenue un critère d'achat, la différence se voit dans les appels d'offres. C'est le type de dossier qu'un partenaire comme SOVALYX construit et entretient avec ses clients : l'infrastructure produit elle-même les preuves — rapports d'exercice, métriques de supervision, journaux d'incidents.
Checklist : êtes-vous prêt pour la vague DORA ?
- Nous savons lesquels de nos clients entrent dans le champ de DORA, et si notre service soutient une fonction critique ou importante.
- Notre fiche registre est prête : entité juridique, services, lieux de traitement des données, sous-traitants de rang 2.
- Nos délais de notification d'incident sont définis, contractualisés et tenables.
- Le droit d'audit du client et de son superviseur est organisé : périmètre, préavis, modalités d'accueil.
- Notre PRA est documenté et testé, avec des rapports datés de moins d'un an.
- Un plan de réversibilité écrit existe : formats de restitution, assistance de transition, suppression des données.
- Nos propres sous-traitants critiques sont recensés, évalués et encadrés contractuellement.
- Un interlocuteur est désigné pour répondre aux demandes DORA en quelques jours.
Si votre premier questionnaire DORA est déjà arrivé, le calendrier n'est plus entre vos mains : un diagnostic de conformité opérationnelle permet de combler les écarts avant la prochaine échéance de votre client.
Comment SOVALYX peut vous aider
SOVALYX aide les prestataires mauriciens à répondre aux exigences DORA de leurs clients financiers : fiche registre complète et exacte, PRA automatisé avec rapports de tests datés, supervision 24/7 sous SLA pour tenir les délais de notification d'incident, et plan de réversibilité documenté. Vous arrivez à la négociation contractuelle avec des preuves mesurées, pas des promesses.
Parler conformité avec un ingénieur🧰 L'outil qui va avec : Êtes-vous prêt pour l'AI Act ? — gratuit · 2 minutes.
Relu et optimisé par IA.