Pourquoi Provigis ?
Nos solutions
Donneurs d'ordresOrganisations suivies
Partenaires
Tarifs
Ressources
BlogRessources téléchargeablesMédaillesCas clientsFormations
Se connecterRéserver une démo
BlogCybersecuritéDORA et chaîne de sous-traitance TIC : les exigences du règlement délégué 2025/532
DORA et chaîne de sous-traitance TIC : le guide pratique (2026)

DORA et chaîne de sous-traitance TIC : les exigences du règlement délégué 2025/532

Le règlement DORA impose aux entités financières d'intégrer dans leur périmètre de surveillance les sous-traitants de leurs prestataires TIC, dès lors que ces sous-traitants interviennent dans la fourniture de services qui soutiennent des fonctions « critiques » ou « importantes ».

Restait une question opérationnelle majeure : comment, concrètement, évaluer et suivre des sous-traitants avec lesquels l'entité financière n'a aucun lien contractuel direct ? Le règlement délégué (UE) 2025/532, publié au Journal officiel le 2 juillet 2025 et applicable depuis le 22 juillet 2025, a répondu à cette attente. Décryptage, article par article.

➡️ Provigis accompagne les entités financières dans le suivi de conformité de leurs prestataires TIC sous DORA. Collecte, vérification, archivage : tout est centralisé dans une seule plateforme digitale   Réservez votre démo

</aside>

Ce que le règlement délégué 2025/532 précise par rapport au cadre DORA de base

L'article 30 du règlement DORA pose le principe suivant : lorsqu'un prestataire TIC sous-traite tout ou partie d'un service qui soutient une fonction « critique » ou « importante », l'entité financière doit évaluer les risques induits et encadrer contractuellement cette sous-traitance. Le texte n'allait toutefois pas plus loin. Il ne précisait :

  • Ni les critères à analyser ;
  • Ni la marche à suivre en cas de modification de la chaîne de sous-traitance ;
  • Ni les responsabilités respectives du prestataire principal et de l'entité financière dans le suivi des sous-traitants.

Le règlement délégué (UE) 2025/532, adopté par la Commission européenne le 24 mars 2025 et publié au Journal officiel de l'UE le 2 juillet 2025, est venu combler ces zones grises. En vigueur depuis le 22 juillet 2025, il complète l'article 30 de DORA sur quatre axes :

  • 12 critères d'évaluation précontractuelle (article 3) : avant d'autoriser la sous-traitance, l'entité financière doit analyser la localisation géographique des sous-traitants, la complexité de la chaîne, la concentration des services, l'impact d'une défaillance sur la continuité d'activité, la résilience financière du sous-traitant, etc. (voir partie suivante) ;
  • Des clauses contractuelles obligatoires (article 4) : le contrat entre l'entité financière et son prestataire TIC doit stipuler que ce dernier reste responsable de l'ensemble des prestations fournies par ses sous-traitants, y compris en matière de surveillance et de conformité ;
  • Un mécanisme de notification et d'approbation des changements (article 6) : l'ajout, le remplacement ou le retrait d'un sous-traitant dans la chaîne doit être signalé à l'entité financière avec un préavis suffisant pour qu'elle réévalue son exposition au risque (voir plus bas).
  • Un droit de résiliation (article 7) : si les conditions de sous-traitance ne sont pas respectées, l'entité financière peut résilier l'accord contractuel.

Seules les sous-traitances portant sur des fonctions critiques ou importantes sont concernées. Les prestations TIC qui ne soutiennent pas de fonction critique restent encadrées par le socle de l'article 30.

💡 La suppression du monitoring systématique de la chaîne

La version initiale du RTS, publiée en consultation par les Autorités européennes de surveillance en juillet 2024, contenait un article 5 qui imposait aux entités financières d'identifier et de surveiller l'ensemble des niveaux de sous-traitance, y compris les sous-traitants de sous-traitants. La Commission européenne a jugé cette exigence disproportionnée par rapport au mandat conféré aux AES et l'a retirée dans la version finale. Le dispositif se concentre donc sur les sous-traitants directement impliqués dans la fourniture de services TIC critiques, ce qui allège la charge opérationnelle pour les entités financières tout en préservant l'objectif de résilience de DORA.

Les 12 critères d'évaluation précontractuelle de la chaîne de sous-traitance (article 3)

L'article 3 du règlement délégué 2025/532 liste 12 éléments que l'entité financière doit analyser avant d'autoriser la sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes.

1. Périmètre des services et des données (critères 1, 2 et 4)

L'entité financière doit d'abord identifier avec précision ce qui est sous-traité. Cela suppose de comparer le périmètre du contrat qu'elle a signé avec son prestataire TIC à celui que ce même prestataire confie à ses sous-traitants.

Elle doit aussi qualifier la nature des données partagées en aval de la chaîne : données clients, données de marché, données réglementaires, etc.

Si le sous-traitant accède à des données plus sensibles que ce que le contrat principal laissait prévoir, le niveau de risque augmente en conséquence.

2. Localisation et environnement réglementaire (critères 3, 5, 6 et 7)

L'entité doit cartographier la localisation géographique de chaque sous-traitant et des centres de données qu'il utilise. Le règlement délégué distingue plusieurs cas de figure qui atténuent ou aggravent le risque :

  • Si le sous-traitant est situé dans un État membre de l'UE, s'il appartient au même groupe que l'entité financière, ou s'il est lui-même agréé, enregistré ou supervisé par une autorité compétente ;
  • À l'inverse, le recours à des sous-traitants situés hors UE, sans supervision équivalente, constitue un facteur aggravant que l'entité devra documenter et justifier.

3. Structure et concentration de la chaîne (critères 8 et 9)

L'entité évalue la complexité et la profondeur de la chaîne de sous-traitance : combien de niveaux de sous-traitance sont impliqués, et comment s'articulent-ils ? Elle doit aussi vérifier si les services TIC reposent sur un seul sous-traitant ou sur un nombre limité d'entre eux, ce qui crée un risque de concentration.

4. Résilience opérationnelle et transférabilité (critères 10, 11 et 12)

L'entité mesure enfin l'impact qu'aurait une défaillance du sous-traitant sur la continuité de ses activités, et évalue dans quelle mesure la sous-traitance compliquerait un éventuel transfert vers un autre prestataire TIC.

Le règlement délégué demande aussi d'analyser la résilience financière du sous-traitant, sa substituabilité et les conditions de résiliation prévues dans les accords entre le prestataire principal et ses sous-traitants.

💡 Des critères à réévaluer tout au long du contrat

L'article 3 du règlement délégué précise que certains de ces critères doivent être réévalués régulièrement pendant la durée de la sous-traitance. Par exemple, si un sous-traitant déplace ses centres de données hors de l'UE en cours de contrat, ou si sa situation financière se dégrade, l'entité financière doit mettre à jour son analyse de risque et, le cas échéant, activer les mécanismes contractuels prévus par le règlement (opposition, résiliation, mise à jour du registre DORA…).

L'obligation d'évaluation indépendante de la chaîne de sous-traitance

En vertu de l’article 3 du règlement délégué 2025/532, l'entité financière ne peut pas s'en remettre aux seules déclarations de son prestataire TIC pour évaluer les sous-traitants impliqués dans la chaîne.

Elle doit conduire sa propre analyse, documentée et traçable, avant d'autoriser la sous-traitance, à travers plusieurs conditions cumulatives :

  • La capacité d'identification du prestataire. Le prestataire TIC doit être en mesure d'identifier l'ensemble des sous-traitants qui interviennent dans la fourniture de services soutenant des fonctions critiques ou importantes. Si le prestataire ne dispose pas de cette visibilité sur sa propre chaîne, l'entité ne peut pas autoriser la sous-traitance ;
  • La qualité des diligences du prestataire. L'entité doit s'assurer que les processus de sélection et d'évaluation mis en œuvre par le prestataire couvrent les capacités opérationnelles et financières des sous-traitants potentiels. Elle ne peut cependant pas se contenter de cette vérification : elle y ajoute sa propre analyse sur la base des 12 critères détaillés dans la section précédente ;
  • L'extension des droits d'accès et d'audit. Les sous-traitants doivent accorder à l'entité financière, ainsi qu'aux autorités compétentes (ACPR, AMF) et aux autorités de résolution, les mêmes droits contractuels d'accès et d'inspection que ceux prévus avec le prestataire principal ;
  • Le maintien de la responsabilité de la direction. Le recours à la sous-traitance ne constitue en aucun cas un transfert de responsabilité vers le prestataire ou ses sous-traitants.

➡️ Provigis référence déjà les fournisseurs et sous-traitants de plus de 1 300 donneurs d'ordre. Les sous-traitants TIC de vos prestataires y sont peut-être déjà présents, avec des documents validés et mutualisés.   Réservez votre démo

Pour les groupes financiers, l'article 2 du règlement délégué ajoute une exigence de cohérence : l'entreprise mère doit veiller à ce que les conditions de sous-traitance soient appliquées de manière uniforme dans l'ensemble des filiales, que les contrats soient négociés au niveau du groupe ou au niveau local.

💡 Ce que cette obligation implique en matière de collecte documentaire

Pour mener cette évaluation indépendante, l'entité financière doit rassembler des pièces sur des prestataires avec lesquels elle n'a pas de relation contractuelle directe (les sous-traitants de ses prestataires TIC). C'est à ce niveau que la charge opérationnelle peut se concentrer. Le contrat avec le prestataire principal doit donc prévoir les mécanismes de transmission de ces informations, et l'entité doit organiser leur archivage dans une piste d'audit exploitable en cas de contrôle.

DORA et modification de la chaîne de sous-traitance : notification, réévaluation et mise à jour

L'article 6 du règlement délégué 2025/532 encadre ce qui se passe lorsqu'un prestataire TIC souhaite modifier sa chaîne de sous-traitance en cours de contrat : ajouter un sous-traitant, en remplacer un, changer la localisation du traitement des données, etc. Le mécanisme repose sur un séquençage en trois temps.

Premier temps : la notification

Le contrat doit prévoir que le prestataire TIC informe l'entité financière de tout changement significatif envisagé dans ses accords de sous-traitance, avec un préavis suffisant pour que l'entité puisse en évaluer les conséquences.

Le règlement délégué ne fixe pas de durée minimale : il exige un « délai de préavis raisonnable », à négocier contractuellement.

Deuxième temps : l'évaluation et la décision

L'entité financière analyse si le changement proposé est susceptible de compromettre la capacité du prestataire à respecter ses obligations, ou si le nouveau niveau de risque dépasse sa tolérance. Elle peut approuver le changement ou s'y opposer, dans le délai convenu. Si elle ne réagit pas avant l'expiration du préavis, le changement est réputé « accepté ».

➡️ Chaque modification de la chaîne de sous-traitance TIC déclenche un cycle collecte-évaluation-documentation. Provigis automatise les relances et alerte vos équipes à chaque échéance.   Réservez votre démo

</aside>

Troisième temps : la mise à jour documentaire

Toute modification validée doit être formalisée par un avenant au contrat et répercutée dans le registre DORA, en particulier dans les modèles B_05.01 (prestataires TIC) et B_05.02 (chaîne d'approvisionnement).

L'article 7 du règlement délégué prévoit par ailleurs trois cas de figure dans lesquels l'entité financière peut résilier le contrat :

  • Le prestataire a mis en œuvre un changement malgré l'opposition de l'entité ;
  • Le prestataire a modifié la chaîne avant l'expiration du délai de préavis sans attendre l'approbation ;
  • Le prestataire a sous-traité un service TIC critique sans y être autorisé par le contrat.

💡 Anticiper le délai de préavis dès la négociation du contrat

Si le préavis est trop court, l'entité financière risque de se retrouver devant le fait accompli et arbitrer sous pression sans avoir pu documenter son évaluation. Ce point mérite d'être négocié dès la rédaction du contrat en tenant compte du nombre de parties prenantes internes à consulter et du temps nécessaire à la mise à jour du registre DORA.

Avec Provigis, gardez la main sur votre chaîne de sous-traitance TIC

Le règlement délégué 2025/532 ajoute une charge opérationnelle aux directions conformité et achats : collecter, vérifier et archiver des pièces de conformité sur des prestataires avec lesquels l'entité n'a pas de relation contractuelle directe, à savoir les sous-traitants de ses prestataires TIC.

En tant que Tiers de Collecte Probatoire (TCP), Provigis édite une plateforme digitale, certifiée ISO 27001 et intégrée aux principaux ERP et SRM du marché via API, qui prend en charge toute la mécanique documentaire, du contrôle initial à la remédiation :

  • Collecte des attestations, certifications, preuves de localisation et données financières des sous-traitants identifiés dans la chaîne, avec relances automatisées, réponses mutualisées entre clients et alertes d'expiration automatiques ;
  • Questionnaire « Prestation » paramétré pour DORA : classification du prestataire, sous-traitance, pays d'exécution, connexion au SI et gestion des données personnelles ;
  • Contrôle des données légales via sources officielles (URSSAF, Infogreffe, INSEE…) ;
  • Horodatage et conservation des documents dans une piste d'audit opposable en cas de contrôle ACPR ou AMF ;
  • Pilotage du risque via Provigis Risk Pilot (PRP) : chaque prestataire et sous-traitant TIC est classé par niveau de criticité, croisé avec des data providers externes (Altares InDueD, Creditsafe, SecurityScorecard) pour compléter l'analyse, et toute évolution du risque déclenche automatiquement une action (vérification complémentaire, surveillance renforcée, audit).

➡️ Vous êtes une entité financière soumise à DORA, et le règlement délégué 2025/532 vous impose de documenter l'évaluation de votre chaîne de sous-traitance TIC ? Réservez votre démo personnalisée.

Réservez votre démo

[FAQ] DORA et sous-traitance TIC : les questions fréquentes

Qu'est-ce que le règlement délégué (UE) 2025/532 ?

Le règlement délégué 2025/532 est un texte adopté par la Commission européenne le 24 mars 2025, publié au Journal officiel le 2 juillet 2025 et applicable depuis le 22 juillet 2025. Il complète l'article 30 du règlement DORA en précisant les critères d'évaluation, les clauses contractuelles et les mécanismes de notification que les entités financières doivent appliquer lorsque leurs prestataires TIC sous-traitent des services qui soutiennent des fonctions critiques ou importantes.

L'entité financière doit-elle surveiller tous les niveaux de la chaîne de sous-traitance ?

Non. La version initiale du RTS (juillet 2024) imposait un monitoring systématique de l'ensemble des niveaux de sous-traitance, mais la Commission européenne a retiré cette exigence dans la version finale. Le dispositif se concentre sur les sous-traitants directement impliqués dans la fourniture de services TIC critiques ou importants.

Que risque une entité financière si son prestataire TIC modifie la chaîne sans la prévenir ?

L'article 7 du règlement délégué 2025/532 prévoit un droit de résiliation au bénéfice de l'entité financière dans trois cas : le prestataire a modifié la chaîne malgré une opposition, il a procédé au changement avant l'expiration du délai de préavis ou il a sous-traité un service critique sans y être autorisé par le contrat.

Le règlement délégué 2025/532 s'applique-t-il à toutes les externalisations TIC ?

Non. Seules les sous-traitances portant sur des services TIC qui soutiennent des fonctions critiques ou importantes sont concernées. Les prestations TIC qui ne soutiennent pas de fonction critique restent encadrées par le socle général de l'article 30 de DORA.

Temps de lecture
11 min
Nous suivre
L’actu de Provigis

Abonnez-vous à notre newsletter pour recevoir nos dernières actualités.

Découvrez des articles de blog

La manière la plus simple d'opérer vos diligences et contrôles de conformité

Demander une démo