En une phrase. L’article 28(3) de DORA (règlement (UE) 2022/2554) impose à toutes les entités financières un registre d’informations recensant tous leurs accords contractuels TIC, dans un format normalisé par le règlement d’exécution (UE) 2024/2956 du 29 novembre 2024, avec identifiant LEI obligatoire et remise annuelle à l’ACPR ou à l’AMF — une obligation qui a généré de nombreux rejets pour erreurs de format lors de la première campagne d’avril 2025.
Contrairement à une idée répandue, le registre d’informations DORA ne se limite pas aux prestataires jugés critiques ou importants : l’article 28(3) du règlement DORA impose à toutes les entités financières de recenser tous leurs accords contractuels portant sur des services TIC, quelle que soit leur criticité. C’est l’un des livrables les plus lourds à produire du dispositif DORA, parce qu’il exige une réconciliation fine entre juridique, achats et cartographie applicative. Les superviseurs français — ACPR pour les banques et assurances, AMF pour les sociétés de gestion — en assurent la collecte annuelle.
Cet article détaille la structure du registre imposée par le règlement d’exécution ITS, les blocs de données à renseigner, et les points de friction observés lors de la première campagne de remise. Pour le cadre DORA d’ensemble, voir notre guide DORA France.
Points clés
- Le registre couvre tous les accords contractuels TIC, de toutes les entités financières — pas seulement les fonctions critiques ou importantes.
- Format imposé par le règlement d’exécution (UE) 2024/2956 du 29 novembre 2024 (ITS « register of information »), structuré en modèles/templates reliés entre eux.
- Identifiant LEI (Legal Entity Identifier) obligatoire pour l’entité déclarante et pour chaque prestataire TIC.
- Remise annuelle aux superviseurs (ACPR ou AMF), qui agrègent les données au niveau des autorités européennes de surveillance (AES) pour désigner les prestataires tiers critiques (CTPP).
- Première collecte en avril 2025 : nombreux rejets pour LEI manquants et incohérences de références croisées entre modèles.
- Recoupement partiel mais registre distinct de celui exigé par l’article 28 RGPD pour les sous-traitants.
1. Ce que couvre réellement le registre d’informations
L’article 28(3) de DORA vise l’exhaustivité : chaque entité financière doit documenter l’ensemble de ses relations contractuelles avec des prestataires tiers de services TIC, qu’il s’agisse d’un hébergeur cloud stratégique ou d’un simple éditeur de logiciel de gestion des notes de frais. Cette exhaustivité tranche avec d’autres obligations DORA — comme le TLPT (voir notre article sur les tests de pénétration guidés par la menace) — qui, elles, se concentrent uniquement sur les fonctions critiques ou importantes.
Le registre sert une double finalité : donner à l’entité elle-même une vision consolidée de sa dépendance aux prestataires TIC (utile pour sa propre gestion des risques tiers, voir notre article sur les prestataires TIC tiers), et permettre aux superviseurs, une fois les données agrégées au niveau européen, d’identifier les prestataires dont la défaillance présenterait un risque systémique — les futurs prestataires tiers critiques (CTPP) désignés et supervisés directement par les autorités européennes de surveillance.
2. La structure imposée par le règlement d’exécution 2024/2956
Le règlement d’exécution (UE) 2024/2956 du 29 novembre 2024 fixe un format technique standardisé (ITS — Implementing Technical Standards), rompant avec les registres « maison » que beaucoup d’établissements tenaient auparavant sous tableur. Le registre se compose de plusieurs modèles reliés par des références croisées :
| Bloc du registre | Contenu principal |
|---|---|
| Entité déclarante | Identité, LEI, structure de groupe, périmètre de consolidation |
| Accords contractuels | Références des contrats, dates, montants, clauses clés (sortie, audit) |
| Prestataires tiers de services TIC | Identité du prestataire, LEI, pays d’établissement, statut (intra-groupe ou externe) |
| Fonctions supportées | Fonctions métier ou opérationnelles rattachées à chaque accord |
| Types de services TIC | Taxonomie normalisée des services (cloud, hébergement, développement, maintenance, etc.) |
| Évaluation de criticité | Qualification de la fonction supportée comme critique ou importante, ou non |
L’identifiant LEI (Legal Entity Identifier), un code international à 20 caractères, est obligatoire aussi bien pour l’entité déclarante que pour chacun de ses prestataires TIC identifiables. Son absence — fréquente chez les petits prestataires ou les filiales étrangères peu formalisées — est l’une des principales causes de rejet des remises.
3. Une remise annuelle, une première campagne difficile
Le registre doit être remis annuellement au superviseur compétent — ACPR ou AMF selon le statut de l’entité. Les autorités européennes de surveillance agrègent ensuite ces données au niveau de l’Union pour alimenter le processus de désignation des prestataires tiers critiques (CTPP), soumis en cas de manquement à des astreintes pouvant atteindre 1 % du chiffre d’affaires quotidien moyen mondial, par jour, pendant six mois.
La première campagne de collecte, en avril 2025, a mis en évidence l’ampleur du chantier de fiabilisation des données :
- LEI manquants ou erronés, notamment pour les prestataires de petite taille ou établis hors UE.
- Incohérences de références croisées entre le modèle « accords contractuels » et le modèle « prestataires », un même contrat étant parfois rattaché à des identifiants différents selon les équipes ayant renseigné les modèles.
- Doublons issus de la consolidation de plusieurs filiales n’ayant pas utilisé la même nomenclature interne pour désigner un même prestataire.
- Extraction manuelle sous tableur, peu industrialisée, générant des erreurs de format lors du chargement dans les outils de collecte des superviseurs.
Ces difficultés ne sont pas anecdotiques : un registre rejeté équivaut à une non-remise, avec les conséquences que cela implique vis-à-vis du superviseur. La fiabilisation du registre suppose un travail de cartographie du système d’information préalable — voir notre guide de cartographie SI — pour garantir que chaque contrat, chaque prestataire et chaque fonction supportée sont référencés de façon cohérente et unique avant même de remplir les modèles ITS.
Le retour d’expérience de cette première campagne conduit désormais la plupart des directions conformité à traiter le registre comme un processus permanent plutôt que comme un exercice annuel isolé : mise à jour du registre à chaque signature, avenant ou résiliation de contrat TIC, plutôt qu’une reconstitution rétroactive dans les semaines précédant l’échéance de remise. Cette bascule d’un mode « projet » à un mode « run » est la principale leçon opérationnelle tirée par les établissements ayant essuyé un rejet en 2025.
4. Registre DORA et registre des sous-traitants RGPD : deux obligations distinctes
Le registre d’informations DORA recoupe largement, sur le plan des fournisseurs concernés, le registre des sous-traitants exigé par l’article 28 du RGPD : un même hébergeur cloud ou un même prestataire SaaS peut figurer dans les deux documents. Mais il s’agit de deux obligations juridiquement distinctes, avec des finalités, des formats et des autorités de contrôle différents :
- Le registre RGPD recense les sous-traitants traitant des données à caractère personnel, dans une logique de protection des données — voir aussi notre article sur la sous-traitance cloud RGPD.
- Le registre DORA recense tous les accords contractuels TIC, qu’ils impliquent ou non un traitement de données personnelles, dans une logique de résilience opérationnelle numérique.
En pratique, les entités financières les plus avancées construisent une base fournisseurs unique alimentant les deux registres, plutôt que deux processus de collecte parallèles portés par des équipes différentes — une approche qui limite les incohérences observées lors de la première campagne DORA. Voir également notre modèle de registre des traitements RGPD pour la structuration du pendant RGPD.
Legiscope aide les entités financières à réconcilier leur registre DORA avec leur cartographie des prestataires et leur registre des sous-traitants RGPD, pour éviter les doubles saisies et les rejets de remise.
FAQ
Le registre d’informations DORA concerne-t-il uniquement les grands groupes bancaires ?
Non. L’obligation de l’article 28(3) s’applique à toutes les entités financières relevant de DORA, quelle que soit leur taille, sous réserve des allègements prévus par le principe de proportionnalité pour les plus petites structures.
Faut-il déclarer un prestataire TIC non critique dans le registre ?
Oui. Le registre couvre l’ensemble des accords contractuels TIC, y compris ceux ne supportant pas de fonction critique ou importante. Seule l’évaluation de criticité, renseignée dans le registre lui-même, distingue les deux catégories.
Que se passe-t-il en cas de rejet de la remise par l’ACPR ou l’AMF ?
Un rejet pour erreur de format équivaut à une non-remise dans les délais. L’entité doit corriger et retransmettre rapidement ; en cas de retards répétés, elle s’expose aux pouvoirs de sanction et d’injonction du superviseur au titre de DORA.
Le LEI est-il obligatoire pour tous les prestataires, y compris les plus petits ?
Oui, dès lors qu’il s’agit d’une personne morale identifiable. C’est précisément l’un des points de friction les plus fréquents, de nombreux petits prestataires ne disposant pas encore d’un LEI actif au moment de la collecte.
Conclusion
Le registre d’informations DORA n’est pas un exercice déclaratif ponctuel : c’est une base de données vivante, à réconcilier en continu avec les contrats, la cartographie applicative et le registre des sous-traitants RGPD. La première campagne de 2025 a montré que le principal risque n’est pas l’oubli d’un prestataire, mais l’incohérence entre les modules — LEI absents, références croisées mal alignées. Les entités qui industrialisent cette réconciliation en amont de la remise annuelle sont celles qui évitent le cycle rejet-correction-retransmission qui a pénalisé une large part du secteur l’an dernier.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial