DORA : l'ABE arbitre les règles de transfert de données

Focus — Transferts de données sous DORA : l'ABE répond à la Commission sur les mécanismes d'équivalence

L'Autorité Bancaire Européenne (ABE, ou EBA en anglais) a publié, le 26 février 2026, sa réponse formelle aux amendements proposés par la Commission Européenne concernant le projet de normes techniques de réglementation (RTS) sur le 'mécanisme juridique équivalent'. Ce mécanisme est une pierre angulaire du règlement sur la résilience opérationnelle numérique (DORA) pour l'encadrement des transferts de données vers des prestataires de services TIC situés dans des pays tiers.

Cette publication marque une étape cruciale dans la finalisation des règles qui s'imposeront à l'ensemble des entités financières de l'Union. L'enjeu principal est de définir les garanties contractuelles et juridiques précises qui assureront aux superviseurs européens un droit de regard et de contrôle effectif sur leurs prestataires externalisés, même lorsque ceux-ci opèrent hors des frontières de l'UE, sans pour autant créer d'obstacles commerciaux insurmontables.

💡 Sujet/Concept clé : de quoi parle-t-on ?

Le 'mécanisme juridique équivalent' prévu par DORA ne doit pas être confondu avec les mécanismes de transfert de données personnelles du RGPD, tels que les Clauses Contractuelles Types (CCT). Si les deux visent à encadrer les flux transfrontaliers, l'objectif de DORA est différent : il est centré sur la résilience opérationnelle, la continuité d'activité et, surtout, le pouvoir de supervision. Il s'agit de s'assurer qu'un contrat d'externalisation avec un fournisseur à New York, Bangalore ou Singapour offre les mêmes garanties d'accès, d'audit et d'information pour l'entité financière et son autorité de contrôle que si le prestataire était à Paris ou Francfort.

Ce concept s'applique à toutes les entités financières couvertes par DORA (banques, assurances, sociétés d'investissement, prestataires de services sur crypto-actifs, etc.) lorsqu'elles externalisent des services TIC, en particulier ceux soutenant des fonctions critiques ou importantes, à des fournisseurs établis hors de l'Espace Économique Européen. La problématique est d'autant plus aiguë que les principaux fournisseurs de services cloud et d'infrastructures technologiques sont majoritairement américains ou asiatiques, soulevant des questions de conflits de lois potentiels entre les exigences de supervision de l'UE et les législations locales (ex: Cloud Act américain).

La base légale et réglementaire

Le cadre juridique principal est le Règlement (UE) 2022/2554, dit DORA. L'article 30 ('Principales dispositions contractuelles') est au cœur du sujet. Il impose une liste détaillée de clauses obligatoires dans tout contrat d'externalisation de services TIC, portant sur les droits d'accès et d'audit, la sécurité, les stratégies de sortie ou encore la participation du prestataire aux exercices de tests de pénétration (TLPT).

C'est l'article 30, paragraphe 3, qui habilite spécifiquement les Autorités Européennes de Surveillance (EBA, ESMA, EIOPA) à élaborer des projets de RTS pour détailler le contenu de ce fameux 'mécanisme juridique équivalent'. L'objectif de ces RTS est de traduire le principe de l'équivalence en exigences concrètes et auditables, afin d'éviter que les droits contractuels accordés aux entités financières et à leurs superviseurs ne deviennent lettre morte en raison d'obstacles juridiques dans le pays du prestataire.

En cas de non-respect, les autorités de contrôle nationales disposent, en vertu de DORA, de pouvoirs de sanction étendus, incluant des mesures correctrices contraignantes et des sanctions pécuniaires administratives significatives, qui peuvent être dissuasives et impacter lourdement la réputation de l'établissement:

L'ABE clarifie sa position face aux amendements de la Commission

L'intervention de la Commission Européenne dans le processus d'adoption des RTS est une procédure standard visant à garantir la cohérence du droit de l'Union. Les amendements proposés par la Commission visaient probablement à affiner la rédaction des RTS pour mieux les articuler avec d'autres textes, notamment le RGPD, et pour trouver un équilibre pragmatique entre la nécessité d'une supervision robuste et les réalités du commerce international des services numériques.

Dans sa réponse, l'ABE a dû arbitrer sur des points techniques particulièrement sensibles. Il s'agit notamment de la nature des preuves à apporter par l'entité financière pour démontrer l'effectivité du mécanisme, du niveau de granularité des analyses juridiques à conduire sur le droit du pays tiers, ou encore des solutions à mettre en œuvre en cas de conflit de lois avéré. La position de l'ABE vise à maintenir un niveau d'exigence élevé pour ne pas vider de sa substance le principe de supervision transfrontalière.

Cette navette entre l'ABE et la Commission illustre la complexité de l'application extraterritoriale du droit réglementaire européen. Pour les professionnels de la conformité, le message est clair : les futures RTS seront prescriptives et ne laisseront que peu de place à l'interprétation. La négociation des contrats d'externalisation avec les géants de la tech, souvent peu enclins à modifier leurs standards, va devenir un exercice de haute voltige juridique et technique.

L'adoption finale des RTS par la Commission interviendra après examen de l'avis de l'ABE. Les entités financières doivent donc se préparer à intégrer rapidement ces exigences dans leurs processus de gestion des risques liés aux tiers, car les délais de mise en conformité seront courts.

Ce que ça change opérationnellement (Plan d'action)

1. Cartographier et analyser l'existant : Identifiez immédiatement tous les contrats d'externalisation de services TIC avec des prestataires situés hors de l'UE. Priorisez ceux qui soutiennent des fonctions critiques ou importantes et lancez une analyse d'écarts (gap analysis) au regard des exigences connues de l'article 30 de DORA et des projets de RTS.

2. Renforcer le cadre de gestion des risques liés aux tiers (TPRM) : Mettez à jour votre méthodologie d'évaluation des risques pour y inclure une analyse spécifique du 'risque pays' sous l'angle de DORA. Ce volet doit évaluer si le système juridique du pays tiers est susceptible de faire obstacle aux droits d'accès, d'audit et d'information des superviseurs de l'UE. Faites appel à des conseils juridiques spécialisés pour ces analyses.

3. Élaborer un plan de remédiation contractuelle : Pour chaque contrat jugé non conforme, définissez un plan d'action. Préparez des avenants-types intégrant les clauses requises par DORA et engagez un dialogue proactif avec vos prestataires. La capacité (ou la volonté) d'un prestataire à accepter ces clauses deviendra un critère clé de maintien de la relation commerciale.

4. Mettre à jour les processus de due diligence : Intégrez les exigences du 'mécanisme juridique équivalent' dans vos checklists de due diligence pour la sélection de tout nouveau prestataire TIC hors UE. Le questionnaire d'évaluation doit désormais inclure des questions précises sur la reconnaissance des droits des superviseurs européens dans leur juridiction.

5. Former les équipes Juridique et Achats : Organisez des sessions de formation dédiées pour les juristes et les acheteurs. Ils doivent parfaitement maîtriser ces nouvelles contraintes réglementaires qui impactent directement leur périmètre de négociation et comprendre le caractère non négociable de certaines clauses.

6. Adapter le reporting au Management et au Conseil d'Administration : Mettez en place des indicateurs de suivi spécifiques (KPIs) sur l'avancement du plan de mise en conformité des contrats. Le reporting destiné aux instances dirigeantes doit clairement exposer les risques résiduels liés aux contrats avec des prestataires en pays tiers et les actions entreprises pour les mitiger.

Sources

• 📎 EBA — The EBA responds to the Commission’s proposed amendments to the draft technical standards on equivalent legal mechanism