PSEE : ce qui change avec DORA et les nouvelles guidelines EBA

PSEE : rappel du cadre réglementaire sur les services essentiels externalisés

Le sigle PSEE désigne les Prestations de Services Essentiels Externalisées. En droit français, la notion est définie par l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement.

Le texte vise les « activités pour lesquelles l'entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisation de prestations de services ou d'autres tâches opérationnelles essentielles ou importantes ».

En pratique, une prestation sera qualifiée d' « essentielle » ou d' « importante » dès lors qu'une défaillance dans son exécution est susceptible de :

• Nuire à la continuité de l'activité de l’entreprise ;
• Entamer sa stabilité financière ;
• Menacer sa conformité réglementaire.

Sont concernées, par exemple, la gestion des systèmes de paiement, l'hébergement des données clients, la tenue de comptes déléguée à un prestataire ou encore l'exploitation d'une infrastructure de marché. L'établissement qui externalise une telle prestation conserve l'entière responsabilité de son exécution. Il doit donc :

• Évaluer les risques associés, par exemple la dépendance vis-à-vis du prestataire et la perte de contrôle sur les données ;
• Formaliser le dispositif de surveillance dans ses contrats ;
• Disposer d’une stratégie de sortie activable en cas de défaillance du prestataire.

Le cadre réglementaire des PSEE au niveau européen

L'Autorité bancaire européenne (EBA) a publié le 25 février 2019 des lignes directrices relatives à l'externalisation (Guidelines on outsourcing arrangements, référence EBA/GL/2019/02), entrées en vigueur le 30 septembre 2019.

Ces lignes directrices ont harmonisé les obligations applicables aux établissements de crédit, aux entreprises d'investissement, aux établissements de paiement et aux établissements de monnaie électronique dans l'ensemble de l'Union européenne.

Elles imposaient notamment aux établissements :

• La réalisation de diligences précontractuelles sur leurs prestataires ;
• L’intégration de clauses spécifiques dans les contrats d'externalisation (droits d'audit, exigences de sécurité, conditions de résiliation) ;
• La tenue d’un registre des externalisations;
• L’information de l’autorité de supervision, par exemple l’ACPR en France, avant toute externalisation d'une fonction critique ou importante.

Ce cadre est resté stable pendant près de 6 ans. Mais depuis janvier 2025, deux évolutions majeures sont venues redistribuer les cartes…

Depuis 2025, le cadre PSEE est « scindé » entre DORA et les nouvelles guidelines EBA

Les lignes directrices de l'EBA de 2019 sur les PSEE couvraient l'ensemble des externalisations, qu'il s'agisse de services informatiques ou non. Depuis le 17 janvier 2025, le périmètre PSEE est coupé en deux :

• Les services liés aux technologies de l'information et de la communication (TIC) relèvent désormais du règlement européen DORA ;
• Les services non-TIC restent encadrés par les lignes directrices de l'EBA, que l'Autorité est en train de réécrire intégralement pour les aligner sur DORA.

1. Les services TIC basculent sous le règlement DORA

Le règlement DORA (Digital Operational Resilience Act, règlement (UE) 2022/2554) s'applique depuis le 17 janvier 2025 à l'ensemble des entités financières de l'Union européenne : établissements de crédit, entreprises d'assurance et de réassurance, entreprises d'investissement, établissements de paiement et de monnaie électronique, sociétés de gestion, prestataires de services sur cryptoactifs, etc. Au total, plus de 22 000 entités sont directement concernées sur le Vieux Continent.

Concrètement, toute prestation externalisée qui relève des TIC, notamment l’hébergement cloud, l’infogérance, les logiciels en SaaS, les services de sécurité informatique et le développement applicatif externalisé sort du périmètre des lignes directrices de l'EBA sur l'externalisation et entre dans celui de DORA. Les obligations sont plus détaillées que celles des guidelines de 2019.

Le règlement impose notamment aux entités financières :

• La mise en place d'un cadre de gouvernance et de gestion des risques informatiques, sous la responsabilité directe de l'organe de direction ;
• La notification des incidents TIC majeurs aux autorités compétentes (l'ACPR et l'AMF en France) ;
• La tenue d'un registre d'information répertoriant tous les accords contractuels conclus avec les prestataires TIC, transmis annuellement à l'ACPR ;
• L'intégration de clauses contractuelles renforcées dans les contrats portant sur des fonctions « critiques » ou « importantes », comme les droits d'audit, une stratégie de sortie testée et documentée, des exigences de sécurité et l’encadrement de la sous-traitance ;
• La réalisation de tests de résilience opérationnelle, y compris des tests d'intrusion avancés (TLPT) pour certaines entités.

Nous avons consacré un article complet au règlement DORA et à ses implications pour les entités financières : Comprendre DORA, le nouveau règlement sur la résilience opérationnelle.

💡 Point de vigilance : les guidelines EBA de 2019 restent en vigueur

Les lignes directrices de l'EBA sur l'externalisation (EBA/GL/2019/02) n'ont pas été abrogées à l'entrée en application de DORA. Elles continuent de s'appliquer à l'ensemble des externalisations, y compris celles qui relèvent désormais aussi de DORA. En pratique, les établissements doivent donc composer avec les deux textes en parallèle pour leurs prestataires TIC, en attendant que l'EBA finalise ses nouvelles guidelines (voir plus bas). Ce chevauchement est l'une des raisons pour lesquelles l'EBA a entrepris de réécrire ses lignes directrices sur les PSEE.

2. Les services non-TIC relèvent des nouvelles guidelines EBA

Reste la question des prestations externalisées qui ne relèvent pas des TIC, par exemple les services administratifs (gestion documentaire, archivage, paie) et le conseil (juridique ou comptable).

Ces PSEE ne sont pas couvertes par DORA, mais elles n'échappent pas pour autant à la supervision. Le 8 juillet 2025, l'EBA a publié un projet de nouvelles lignes directrices intitulé « Guidelines on the sound management of third-party risk ».

Quand il sera finalisé, ce texte abrogera les guidelines sur l'externalisation de 2019 et les remplacera par un cadre dédié aux arrangements tiers non-TIC. La logique est d'aligner le niveau d'exigence sur celui de DORA pour que les établissements gèrent l'ensemble de leurs tiers (TIC et non-TIC) selon des standards comparables.

💡 Le point actu

La consultation publique s'est clôturée le 8 octobre 2025. L'EBA a indiqué lors de l'audition publique du 5 septembre 2025 que la version finale devrait être publiée en avril 2026. Une fois les guidelines entrées en vigueur, les établissements disposeront d'un délai de deux ans pour mettre en conformité leurs contrats existants.

Ce que prévoient les nouvelles guidelines EBA pour les PSEE non-TIC

Les nouvelles guidelines de l'EBA ne se contentent pas de reprendre les règles de 2019 en excluant les services TIC. Elles rehaussent le niveau d'exigence sur l'ensemble du cycle de vie des PSEE non-TIC pour l'aligner sur celui de DORA. Voici les trois grands axes de changement.

1. Un champ d'application élargi, au-delà de la seule externalisation

Les guidelines de 2019 ne couvraient que l'externalisation au sens strict : les cas où un prestataire exécute une fonction que l'établissement aurait autrement réalisée lui-même. En pratique, cette définition laissait de côté un grand nombre de prestations qui, sans constituer une externalisation, exposent tout autant l'établissement à un risque opérationnel.

Prenons deux exemples :

• Un cabinet de conseil en conformité accède aux données clients de la banque pour réaliser un audit : il ne réalise pas une fonction que la banque « aurait autrement réalisée elle-même », mais il manipule des informations sensibles ;
• Un prestataire de paie qui traite les données salariales des collaborateurs.

Dans les deux cas, les guidelines de 2019 ne les qualifiaient pas comme des PSEE, et les obligations de surveillance formalisée ne s'appliquaient pas.

Les nouvelles guidelines abandonnent donc cette distinction pour couvrir l'ensemble des arrangements conclus avec des prestataires tiers non-TIC, dès lors que ces arrangements ont un impact significatif sur l'exposition aux risques ou sur la résilience opérationnelle de l'entité financière, par exemple :

• Les externalisations au sens classique (une fonction déléguée à un tiers) ;
• Les prestations de services partagés intra-groupe ;
• Les services professionnels ponctuels avec accès aux systèmes ou aux données de l'établissement ;
• Les prestations de support opérationnel (accueil client, gestion du courrier, logistique, etc.).

Le périmètre des PSEE s'en trouve donc mécaniquement élargi : des prestations qui échappaient jusqu'ici au radar réglementaire devront faire l'objet d'une évaluation des risques, de clauses contractuelles encadrées et d'un suivi formalisé.

💡 Quelles entités financières sont concernées par les nouvelles guidelines ?

Les guidelines de 2019 s'appliquaient aux établissements de crédit, aux entreprises d'investissement et aux établissements de paiement et de monnaie électronique. Le projet de nouvelles guidelines élargit cette liste à de nouvelles catégories d'entités, notamment les émetteurs de jetons adossés à des actifs (régulés par le règlement MiCAR) et les prêteurs non bancaires relevant de la directive sur le crédit immobilier.

2. Des exigences contractuelles et de surveillance alignées sur DORA

Le changement le plus notable du projet de guidelines concerne les clauses contractuelles. Les guidelines de 2019 réservaient les obligations les plus lourdes (droits d'audit, stratégie de sortie, encadrement de la sous-traitance) aux seules PSEE qualifiées de « critiques ou importantes ». Pour les autres externalisations, les exigences étaient allégées.

Le projet de nouvelles guidelines reprend la logique de l'article 30 du règlement DORA et l'applique aux PSEE non-TIC. Concrètement, un socle de clauses contractuelles minimales devra figurer dans tous les contrats de PSEE non-TIC, quelle que soit leur criticité :

• Description du service rendu et des responsabilités du prestataire ;
• Localisation des données traitées ou stockées ;
• Engagements de confidentialité et de protection des données ;
• Niveaux de service attendus et indicateurs de suivi ;
• Conditions de résiliation et droits d'accès des autorités de supervision.

Lorsque la prestation soutient une fonction critique ou importante, des clauses renforcées s'ajoutent à ce socle. Le projet de guidelines reprend ici les exigences que DORA impose aux prestataires TIC critiques :

• Droits d'audit et d'inspection au bénéfice de l'entité financière ;
• Notification préalable et droit d'opposition en cas de sous-traitance ;
• Participation du prestataire aux tests de continuité d'activité de l'entité ;
• Obligations d'assurance;
• Stratégie de sortie documentée avec un calendrier de transfert des données.

Pour ce qui est de la surveillance, les nouvelles guidelines couvrent l'intégralité du cycle de vie de la relation contractuelle : analyse des risques précontractuelle, diligences de sélection, suivi continu en phase d'exécution et gestion de la sortie. L'entité financière devra vérifier périodiquement que le prestataire respecte ses engagements et documenter les résultats de chaque revue.

Les guidelines imposent enfin un processus formel de suivi des conclusions d'audit interne : lorsque l'audit identifie des manquements chez un prestataire de PSEE, l'entité doit mettre en place un plan de remédiation avec des échéances vérifiables.

💡 Point de vigilance pour les directions achats

Pour les contrats de PSEE non-TIC qui n'ont pas été revus lors de la mise en conformité DORA (puisqu'ils ne relevaient pas de son périmètre), les nouvelles guidelines imposeront une remédiation contractuelle, même si ces contrats étaient conformes aux guidelines de 2019. Les établissements qui ont déjà négocié des avenants DORA avec leurs prestataires TIC pourront s'appuyer sur ces modèles pour accélérer la mise à jour de leurs contrats non-TIC.

3. Un registre dédié aux PSEE non-TIC

DORA impose déjà aux entités financières de tenir un registre d'information (le « Register of Information ») répertoriant tous les accords contractuels conclus avec leurs prestataires TIC. Les nouvelles guidelines créent un registre équivalent pour les arrangements tiers non-TIC, avec une obligation de distinguer les PSEE qui soutiennent une fonction critique ou importante des autres.

Les données à renseigner dans ce registre reprennent les catégories du registre DORA (identité du prestataire, périmètre de la prestation, caractère critique ou non de la fonction soutenue, sous-traitants impliqués, etc.), mais avec un niveau de détail légèrement allégé.

Une différence notable toutefois : contrairement au registre DORA, qui est transmis annuellement à l'ACPR, le registre non-TIC n'a pas, à ce stade du projet, de mécanisme de remise obligatoire aux autorités. Il doit en revanche être tenu à jour en permanence et mis à disposition de l'ACPR en cas de contrôle.

L'EBA laisse aux établissements le choix de l'organisation. Ils peuvent :

• Maintenir deux registres parallèles (un pour les prestataires TIC sous DORA, un pour les PSEE non-TIC sous les nouvelles guidelines) ;
• Ou les fusionner en un registre unique.

Le projet de guidelines a été pensé pour que les champs de données soient compatibles entre les deux. En pratique, les cabinets spécialisés qui ont analysé le projet recommandent la fusion : deux registres parallèles impliquent une double saisie, un risque d'incohérence et une charge de maintenance plus lourde.

💡 Point de vigilance : la conservation post-contractuelle

Contrairement au registre DORA, le registre non-TIC impose de conserver les informations relatives à chaque PSEE pendant cinq ans après la fin du contrat. Les établissements qui opteront pour un registre unique devront donc gérer deux durées de conservation différentes selon la nature TIC ou non-TIC de la prestation.

Le casse-tête opérationnel : classer ses PSEE entre TIC et non-TIC

DORA couvre les services TIC, les nouvelles guidelines EBA couvrent les services non-TIC. Les deux régimes s'excluent mutuellement : un même arrangement contractuel ne peut relever des deux à la fois. C'est à l'établissement de classer chaque PSEE dans le bon périmètre.

En théorie, la ligne de partage est relativement claire. Mais dans la pratique, elle se heurte à la réalité des prestations externalisées, où la composante métier et la composante technologique sont généralement imbriquées.

Voici quelques cas très courants qui illustrent cette ambiguïté :

• Un prestataire de paie qui opère exclusivement via une plateforme SaaS : le service rendu est administratif (non-TIC), mais le vecteur de fourniture est une application hébergée dans le cloud (TIC) ;
• Un archiviste qui stocke les documents sur un portail dématérialisé : la fonction est documentaire, le support est numérique ;
• Un cabinet de conseil en conformité qui accède au système d'information de l'établissement pour mener ses missions : la prestation est intellectuelle, mais elle s'exécute dans l'environnement TIC du client.

Dans chacun de ces cas, l'établissement doit déterminer quelle composante « domine » le service pour lui appliquer le bon régime.

💡 Ce qu'en disent les analystes

Le cabinet Morgan Lewis relève dans son analyse du projet de guidelines qu'il est difficile d'imaginer un service externalisé dépourvu de toute composante TIC, et que le projet ne précise pas comment traiter ces situations hybrides. PayTechLaw va plus loin : la séparation entre services TIC et non-TIC est « pratiquement ingérable », car les services modernes sont intégrés numériquement et ne se laissent pas classer dans une seule catégorie.

La clarification de la Commission européenne

Le 22 janvier 2025, la Commission européenne a apporté un début de clarification via un Q&A publié par l'EIOPA (référence DORA030-2999), applicable à l'ensemble des autorités de supervision financière de l'UE.

Il s’agit de distinguer deux cas de figure :

• Lorsqu'un service TIC est fourni en lien avec un service financier réglementé (par exemple un processeur de paiement qui exploite sa propre infrastructure informatique), l'ensemble est traité comme un service financier et sort du périmètre de DORA.
• Si, en revanche, le même prestataire fournit un service TIC sans lien avec son activité réglementée (par exemple de l'hébergement cloud proposé de manière autonome), ce service relève de DORA.

Ce Q&A clarifie les cas où le prestataire est lui-même une entité financière réglementée. Il ne couvre pas les prestations hybrides fournies par des prestataires non réglementés, qui représentent pourtant la majorité des PSEE en pratique.

Quels sont les risques de la non-conformité ?

Les régulateurs n'ont, pour l’heure, publié ni nomenclature opposable ni liste de services pré-classés. La responsabilité de la classification repose sur chaque établissement, contrat par contrat.

Si l'établissement classe mal une prestation, il applique le mauvais régime contractuel, alimente le mauvais registre et s'expose à un constat de non-conformité lors d'un contrôle de l'ACPR.

La Commission des sanctions de l'ACPR peut alors prononcer un blâme assorti d'une sanction pécuniaire pouvant atteindre 10 % du chiffre d'affaires annuel net (article L. 612-40 du Code monétaire et financier), avec publication nominative de la décision au registre de l'ACPR pendant 5 ans.

Prestataires TIC et non-TIC : gérez vos obligations PSEE depuis un seul outil avec Provigis

Deux régimes réglementaires, des dizaines (voire des centaines) de prestataires à suivre, des documents qui expirent à des échéances dispersées, et la charge de preuve qui repose sur l'établissement en cas de contrôle de l'ACPR... C'est le quotidien qui attend les directions conformité et achats des entités financières dans les mois à venir.

Pour les aider à relever le défi tout en maîtrisant leurs charges opérationnelles, Provigis, Tiers de Collecte Probatoire (TCP), prend en charge la mécanique documentaire entre les donneurs d'ordres et leurs tiers : collecte des pièces, vérification d'authenticité et archivage opposable via notre plateforme digitale.

Nous accompagnons déjà les entités financières dans le cadre de DORA, et le même processus s'applique aux prestataires non-TIC visés par les futures guidelines EBA. Concrètement :

• Vos prestataires (TIC et non-TIC) déposent leurs documents sur notre plateforme : contrats, avenants, attestations, certifications, preuves RGPD... Provigis les relance automatiquement en cas de retard ou d'expiration imminente ;
• L'authenticité des données légales est vérifiée via les API gouvernementales (URSSAF, Infogreffe, INSEE). Les documents non standardisés font l'objet d'un contrôle humain par nos équipes ;
• Chaque pièce collectée est horodatée, historisée et conservée dans une piste d'audit juridiquement opposable, mobilisable lors d'un contrôle ACPR ou d'un audit interne ;
• Des questionnaires paramétrables vous permettent d'adapter la collecte au régime applicable (DORA ou guidelines EBA) et à la criticité de la prestation ;
• Provigis s'intègre à votre ERP ou SRM via API pour alimenter vos registres directement depuis vos outils.
• Un suivi de risque par thématic selon votre propre cartographie : Basée sur votre registre il est possibkle de segmeter votre référentiel fournisseurspour anticper les risques via la collecte d’information multisources et la mise en place d’un suivi en continu.

Vous êtes une entité financière et vous préparez la mise en conformité de vos PSEE sous les deux régimes ? Réservez votre démo personnalisée !