Pourquoi Provigis ?
Nos solutions
Donneurs d'ordresOrganisations suivies
Partenaires
Tarifs
Ressources
BlogRessources téléchargeablesMédaillesCas clientsFormations
Se connecterRéserver une démo
BlogCybersecuritéDORA : tout savoir sur le code LEI de vos prestataires TIC
DORA : tout savoir sur le code LEI de vos prestataires TIC

DORA : tout savoir sur le code LEI de vos prestataires TIC

Un an après l'entrée en application de DORA, la grande majorité des entreprises françaises de services financiers estiment que leur niveau de conformité reste encore insuffisant.

Parmi les chantiers qui posent encore des difficultés figure la constitution du registre d'information sur les prestataires TIC, et notamment l'identification normalisée de chaque fournisseur par le code LEI.

D'où vient ce code ? Comment est-il structuré ? Pourquoi les régulateurs européens l'ont-ils intégré au dispositif DORA ? Réponse dans ce guide pratique.

Le règlement DORA : périmètre, piliers et sanctions

Entré en application le 17 janvier 2025, le règlement européen DORA (Digital Operational Resilience Act) impose aux entités financières de l'Union européenne un cadre harmonisé pour gérer les risques liés aux technologies de l'information et de la communication (TIC).

Le texte vise l'ensemble des acteurs régulés du secteur financier européen, notamment les établissements de crédit, les sociétés de gestion, les assureurs, les établissements de paiement, les plateformes de négociation et les prestataires de services sur cryptoactifs (PSCA).

Il s’étend également aux prestataires TIC tiers qui fournissent des services à ces entités financières, dès lors qu’ils supportent des fonctions critiques ou importantes. Par exemple, l’éditeur de logiciel de core banking, l’hébergeur cloud ou le fournisseur de solutions de paiement de l’entité financière entrera dans le périmètre DORA si son service conditionne la continuité des opérations.

Le dispositif repose sur quatre piliers :

  • La gestion des risques TIC, avec l'obligation de mettre en place un cadre documenté et des politiques de sécurité.
  • La notification des incidents majeurs liés aux TIC auprès des autorités compétentes (ACPR, AMF ou BCE selon les cas).
  • La tenue d'un registre d'information répertoriant tous les accords contractuels conclus avec les prestataires TIC.
  • La réalisation de tests de résilience opérationnelle, notamment les tests d'intrusion avancés (TLPT) pour certaines entités.

En France, les entités financières non conformes s'exposent à des amendes pouvant atteindre 10 millions d'euros ou 5 % du chiffre d'affaires annuel, le montant le plus élevé étant retenu. Pour les prestataires TIC critiques, le régime est encore plus sévère, avec une astreinte journalière pouvant atteindre 1 % du chiffre d'affaires quotidien mondial, sur une période maximale de six mois.

💡 Le point actu

Un an après l'entrée en vigueur du règlement, l’écrasante majorité (94 %) des entreprises françaises de services financiers estiment que leur niveau de résilience n'est pas encore conforme aux exigences DORA.

Le code LEI DORA : historique, intérêt et structure

Avant 2008, les acteurs des marchés financiers utilisaient les identifiants de leur pays d'origine pour se reconnaître entre eux : le SIRET en France, l'EIN aux États-Unis, le Company Number au Royaume-Uni, etc.

Ces systèmes fonctionnaient bien à l'échelle nationale, mais posaient un problème majeur dès qu'une transaction impliquait des entités de plusieurs pays : aucun référentiel commun ne permettait de les relier entre elles.

La faillite de Lehman Brothers, dans le cadre de la crise financière de 2008, a braqué les projecteurs sur cette problématique : les régulateurs ont été incapables d'évaluer rapidement quelles banques, quels fonds et quelles contreparties étaient exposés à la banque américaine, et à quel niveau. Les identifiants nationaux ne permettaient pas de reconstituer les chaînes de risque à l'échelle mondiale.

Le LEI : un code unique pour identifier les entités à l’international

En 2011, le G20 a donc créé le Global LEI System : un référentiel mondial qui attribue à chaque entité juridique un identifiant unique de 20 caractères, valable dans tous les pays. Ce code, appelé LEI (Legal Entity Identifier), est défini par la norme ISO 17442. Il permet aux régulateurs de n'importe quel pays d'identifier immédiatement une entité et de tracer ses liens capitalistiques (maison-mère, filiales…).

Le LEI est revenu sur le devant de la scène avec DORA. En effet, pour alimenter le registre d'information sur les prestataires TIC, les entités financières doivent renseigner le LEI de chaque fournisseur.

Objectif : permettre aux autorités européennes de cartographier les dépendances du secteur financier vis-à-vis de ses prestataires technologiques et de repérer les risques de concentration.

Les deux niveaux de données du code LEI

Les identifiants nationaux comme le SIRET français ou l'EIN américain se limitent à identifier une entité dans son pays d'origine. Le LEI va plus loin en intégrant deux niveaux d'information.

Les données de niveau 1 correspondent à la carte d'identité de l'entité : dénomination officielle, adresse du siège social, pays d'immatriculation, forme juridique et numéro d'identification fiscale. Ces éléments permettent d'identifier formellement l'entité avec laquelle on contracte.

Les données de niveau 2 décrivent la structure capitalistique de l’entité : qui est la maison-mère directe, qui est la maison-mère ultime et quelles sont les filiales. C'est précisément ce qui manquait en 2008 : les régulateurs peuvent désormais reconstituer les chaînes de contrôle et repérer les concentrations de risque au sein d'un même groupe.

L'ensemble de ces données est publié dans le Répertoire mondial des LEI, géré par la GLEIF (Global Legal Entity Identifier Foundation). La base est consultable gratuitement, sans inscription.

La GLEIF : l'organisme qui coordonne le système LEI mondial

La GLEIF (Global Legal Entity Identifier Foundation) est une organisation à but non lucratif créée en 2014 par le Conseil de stabilité financière (FSB) du G20 pour superviser le système LEI à l'échelle mondiale. Son siège se trouve à Bâle, en Suisse.

La GLEIF ne délivre pas elle-même les codes LEI. Elle coordonne un réseau d'organismes émetteurs accrédités, appelés LOU (Local Operating Units), qui traitent les demandes des entreprises. En France, l'INSEE a longtemps été le principal émetteur, mais des opérateurs privés comme LEI Register ou Ubisend proposent également ce service dans l’Hexagone.

Le rôle de la GLEIF consiste à garantir la qualité et l'homogénéité des données à l'échelle mondiale : elle définit les standards techniques, contrôle le travail des LOU et centralise l'ensemble des LEI émis dans le Répertoire mondial. Cette base, mise à jour quotidiennement, compte aujourd'hui plus de 2,5 millions d'entités enregistrées.

Pourquoi DORA impose le LEI dans son registre d'information ?

Le règlement DORA oblige les entités financières à tenir un registre d'information répertoriant tous les accords contractuels conclus avec leurs prestataires TIC. Ce registre doit distinguer les contrats portant sur des fonctions critiques ou importantes des autres contrats, et être communiqué aux autorités compétentes sur demande ou lors des remises périodiques.

Pour que ce registre soit exploitable à l'échelle européenne, chaque prestataire TIC doit être identifié de manière univoque. Le Règlement d'exécution adopté par la Commission européenne le 29 novembre 2024 précise les modalités : les entités financières doivent renseigner, pour chaque prestataire personne morale, soit le LEI, soit l'EUID (European Unique Identifier, l'identifiant issu du système d'interconnexion des registres du commerce européens), soit les deux.

Dans leur avis du 15 octobre 2024, les Autorités européennes de surveillance (ABE, AEAPP et AEMF) ont recommandé de privilégier le LEI lorsque les deux identifiants sont disponibles, car il s'agit d'un standard mondial déjà utilisé dans d'autres réglementations financières (EMIR, MiFID II, SFTR), alors que l'EUID reste limité à l'Union européenne.

En imposant le LEI comme identifiant de référence, les régulateurs européens peuvent :

  • Cartographier les dépendances du secteur financier vis-à-vis de ses prestataires technologiques, en croisant les registres de plusieurs entités pour identifier les fournisseurs communs.
  • Repérer les risques de concentration : si un même prestataire cloud ou un même éditeur de logiciel fournit des services critiques à des dizaines d'établissements, sa défaillance pourrait déclencher un effet domino sur l'ensemble du système.
  • Exploiter les données de niveau 2 du LEI pour remonter les chaînes capitalistiques et détecter les liens entre prestataires appartenant à un même groupe.

Exemple : détecter un risque de concentration grâce au LEI

Les grands groupes technologiques structurent souvent leurs activités à travers plusieurs filiales : une par pays, une par ligne de métier, une pour la facturation, une pour le support, etc. Chaque filiale est une personne morale différente, avec ses propres contrats et ses propres obligations.

Prenons l’exemple d’une banque française :

  • Elle signe un contrat d'hébergement cloud avec AWS EMEA SARL, immatriculée au Luxembourg ;
  • Sa DSI groupe utilise en parallèle des services opérés par AWS Services LLC aux États-Unis ;
  • Le support technique passe par AWS GmbH, en Allemagne.

Dans son registre DORA, la banque déclare trois prestataires différents. Sur le papier, ses dépendances TIC semblent diversifiées, et donc peu risquées.

Sans le LEI

Les Autorités européennes de surveillance (EBA, ESMA et EIOPA) qui agrègent des milliers de registres doivent rapprocher manuellement les entités pour reconstituer les groupes. Sur des cas évidents comme AWS, le nom peut suffire.

Mais quand une filiale porte un nom différent de sa maison-mère (suite à une acquisition, par exemple), ou quand des holdings intermédiaires brouillent la chaîne de contrôle, le lien devient plus compliqué à identifier.

Avec le LEI DORA

Chaque filiale d'Amazon dispose de son propre code, mais les données de niveau 2 renseignent la maison-mère directe et la maison-mère ultime. Les AES peuvent donc automatiser l'agrégation et reconstituer les groupes en quelques requêtes, conformément à l’esprit « no judgment, no guesswork » du règlement DORA.

Ainsi, si AWS subit une panne majeure, une cyberattaque qui paralyse son infrastructure mondiale ou dans l’éventualité d’une quelconque restriction des fournisseurs cloud américains en Europe, le régulateur peut rapidement :

  • Estimer le nombre d'entités financières impactées ;
  • Identifier les fonctions critiques concernées ;
  • Coordonner une réponse à l'échelle européenne (activation des plans de continuité, assouplissement temporaire des délais de reporting…).

En amont, cette visibilité permet aussi d'exiger des entités trop dépendantes des plans de sortie, des clauses de réversibilité renforcées ou une diversification de leurs prestataires.

💡 Le point actu

En novembre 2025, les Autorités européennes de surveillance ont d'ailleurs publié la liste des 19 prestataires TIC critiques soumis à une supervision renforcée, parmi lesquels AWS, Microsoft Azure, Google Cloud et Oracle Cloud.

Comment obtenir et renouveler son code LEI DORA ?

Pour obtenir le LEI, les entités de droit français peuvent passer par l'INSEE ou par des opérateurs privés accrédités par la GLEIF comme LEI Register, LEI Service ou France LEI. La procédure est entièrement dématérialisée :

  • Création d'un compte sur le site de l'émetteur choisi ;
  • Rattachement de l'entité via son numéro SIREN (pour les sociétés françaises) ;
  • Déclaration des relations financières (maison-mère directe et ultime, ou exception le cas échéant) ;
  • Paiement en ligne par carte bancaire ou virement.

Le délai d'obtention varie selon l'émetteur et le mode de paiement : l'INSEE délivre le LEI sous 24 heures après validation d'un paiement par carte, contre une à deux semaines en cas de virement. Certains opérateurs privés proposent des services accélérés avec émission le jour même, moyennant un tarif légèrement supérieur.

L'INSEE facture 120 € HT la première certification, puis 50 € HT par an pour le renouvellement. Les opérateurs privés affichent des prix comparables, généralement entre 50 et 70 € HT, avec des formules pluriannuelles (trois ou cinq ans) qui permettent de réduire le coût unitaire et d'éviter les oublis de renouvellement.

💡 Point de vigilance

Le LEI expire un an après son émission ou son dernier renouvellement. Un LEI expiré (statut « LAPSED » dans la base GLEIF) n'est plus valide pour les déclarations réglementaires, y compris le registre DORA. Les émetteurs envoient généralement un rappel par email quelques semaines avant l'échéance, et le renouvellement peut être effectué jusqu'à six semaines avant la date d'expiration.

Pilotez votre conformité au règlement DORA avec Provigis

Né en 2009 à l’initiative du Club des Acheteurs, Provigis accompagne les directions achats, juridiques et conformité dans le pilotage de la conformité de leurs tiers prestataires, fournisseurs et sous-traitants, notamment dans le cadre de leur obligation de vigilance.

En tant que Tiers de Collecte Probatoire (TCP), nous intervenons comme tiers de confiance entre les donneurs d'ordres et leurs tiers. Notre rôle : collecter les documents de conformité, vérifier leur authenticité, archiver l'historique documentaire et produire des pistes d'audit juridiquement opposables.

Dans le cadre du règlement DORA, Provigis fournit aux entités financières l’infrastructure nécessaire pour tenir le registre d’information sur les prestataires TIC, notamment par :

  • La collecte des contrats, avenants, attestations, certifications, audits et documents RGPD requis par le registre DORA ;
  • La vérification des données légales des prestataires via des sources officielles interfacées (URSSAF, Infogreffe et INSEE) ;
  • Le suivi des échéances documentaires par des alertes en cas d’expiration imminente ;
  • La conservation, pour chaque document, d’une piste d’audit horodatée, historisée et juridiquement opposable.

Vous êtes une entité financière soumise à DORA et vous souhaitez fiabiliser le suivi documentaire de vos prestataires TIC ? Réservez votre démo !

Temps de lecture
10 min
Nous suivre
L’actu de Provigis

Abonnez-vous à notre newsletter pour recevoir nos dernières actualités.