Une banque, une assurance ou une fintech sous supervision ACPR a besoin d’un logiciel de conformité qui couvre deux réglementations à la fois : le RGPD (données clients, DSP2, prospection) et le règlement DORA (registre d’information des prestataires TIC, classification et reporting des incidents). Faire tourner deux outils séparés dédouble la saisie, désynchronise la cartographie des prestataires et multiplie le coût. Voici pourquoi une plateforme unique s’impose dans le secteur financier, ce qu’elle doit couvrir, un comparatif et les attentes conjointes ACPR/CNIL.
Key Takeaways
- Le secteur financier cumule RGPD et DORA (applicable depuis le 17 janvier 2025) : deux régimes qui partagent la même cartographie de prestataires et de risques.
- DORA impose un registre d’information des prestataires TIC et un reporting des incidents graves aux autorités (ACPR pour la France).
- Le RGPD reste central pour les données clients, l’articulation avec la DSP2 et la prospection.
- Une plateforme unique évite la double saisie et synchronise la cartographie des sous-traitants/prestataires TIC.
Pourquoi une plateforme unique dans le secteur financier
Banques, assurances et fintechs sont soumises à un empilement réglementaire que peu d’autres secteurs connaissent. Deux textes structurent la conformité data et cyber :
Le RGPD, pour les données clients (comptes, crédits, sinistres, KYC), l’articulation avec la DSP2 et les données bancaires, et la prospection. Les enjeux sectoriels sont détaillés dans nos guides RGPD banque et RGPD assurance.
Le règlement DORA (règlement (UE) 2022/2554), applicable depuis le 17 janvier 2025, qui impose la résilience opérationnelle numérique : gestion du risque TIC, registre d’information des prestataires, classification et reporting des incidents, tests de résilience. Le cadrage français est traité dans notre guide DORA.
Ces deux régimes partagent la même matière première : la cartographie des prestataires. Un sous-traitant RGPD (art. 28) qui héberge des données clients est souvent aussi un prestataire TIC critique au sens de DORA. Les gérer dans deux outils distincts, c’est saisir deux fois, désynchroniser les mises à jour et perdre la vue d’ensemble que l’ACPR attend précisément.
Ce que le logiciel doit couvrir
Un logiciel de conformité banque-assurance efficace adresse les deux référentiels sur un socle commun :
- Le registre RGPD (art. 30) des traitements clients, avec l’articulation DSP2 et les bases légales spécifiques (obligation légale KYC, contrat, intérêt légitime pour la lutte anti-fraude).
- Le registre d’information DORA des prestataires TIC : identification des fonctions critiques ou importantes, chaîne de sous-traitance, dépendances. Voir notre modèle de registre d’information DORA et l’outillage dédié dans le logiciel de conformité DORA.
- La gestion des incidents : classification des incidents TIC selon les seuils DORA, reporting à l’ACPR dans les délais, et articulation avec la notification de violation RGPD à la CNIL quand des données personnelles sont touchées.
- La cartographie unifiée des tiers, pont entre sous-traitants RGPD et prestataires TIC, avec suivi des contrats et des audits.
Comparatif des approches pour un établissement financier
| Approche | Périmètre | Coût indicatif | Adapté banque-assurance ? |
|---|---|---|---|
| Plateforme multi-référentiels (Legiscope…) | RGPD + DORA sur socle commun | Sur devis | Oui, évite la double saisie |
| GRC enterprise (OneTrust, TrustArc) | Multi-réglementations par module | Sur devis, souvent > 40 000 €/an | Oui, mais coûteux et paramétrage lourd |
| Outils séparés (RGPD + DORA distincts) | Deux périmètres | Somme des deux abonnements | Non, désynchronisation des tiers |
| Tableurs | Manuel | 0 € | Non, ingérable en supervision ACPR |
Deux observations :
La double saisie est le vrai coût caché. Deux outils séparés obligent à maintenir deux listes de prestataires, deux jeux de contrats, deux workflows d’incidents. Au premier contrôle ACPR, l’écart entre les deux registres devient un constat de non-conformité. Une plateforme unique — c’est l’approche de la conformité multi-référentiels — supprime ce risque.
Les suites GRC enterprise conviennent aux grands groupes. Puissantes et multi-réglementations, elles restent facturées par module et paramétrées en jours de conseil : pertinentes pour une grande banque, surdimensionnées pour une fintech ou une mutuelle de taille moyenne. Pour un panorama général, voir notre comparatif des logiciels RGPD.
Les attentes conjointes ACPR et CNIL
La supervision se fait à deux niveaux. L’ACPR contrôle la résilience opérationnelle (DORA) et la conformité prudentielle ; la CNIL contrôle la protection des données. Les deux se recoupent sur les incidents : une cyberattaque touchant des données clients déclenche à la fois un reporting d’incident TIC à l’ACPR et, potentiellement, une notification de violation à la CNIL sous 72 heures.
Le secteur est exposé. Côté RGPD, les autorités européennes ont sanctionné plusieurs banques : l’AEPD espagnole a infligé 6 millions d’euros à CaixaBank et 5 millions à BBVA pour des manquements sur les bases légales et l’information des clients. Ces montants rappellent que la donnée bancaire, massive et sensible, concentre l’attention des régulateurs. Côté DORA, le régime est récent mais l’ACPR intègre déjà la résilience TIC dans ses cycles de contrôle, avec une exigence de traçabilité des prestataires critiques.
Un logiciel qui documente les deux régimes sur un socle commun est donc autant un outil de preuve qu’un outil de gestion. Une plateforme comme Legiscope, qui couvre le registre RGPD et le registre d’information DORA dans un même environnement, permet de présenter une cartographie cohérente des tiers aux deux autorités — à condition de vérifier que le module DORA correspond réellement à vos obligations de reporting.
La gestion des incidents : le point de recoupement critique
C’est là que les deux régimes se rejoignent le plus concrètement, et là qu’un outil unique fait la différence. Une cyberattaque contre un établissement financier déclenche potentiellement deux obligations simultanées :
- Côté DORA, la classification de l’incident selon des critères de gravité (nombre de clients touchés, durée, pertes de données, impact géographique) et, s’il est qualifié de majeur, un reporting à l’ACPR selon un calendrier en trois temps : notification initiale, rapport intermédiaire, rapport final.
- Côté RGPD, si des données personnelles sont concernées, la notification de violation à la CNIL sous 72 heures et, le cas échéant, l’information des personnes.
Gérer ces deux flux dans des outils séparés, sous la pression d’une crise, c’est prendre le risque d’un reporting incohérent entre les deux autorités — précisément ce que ni l’ACPR ni la CNIL ne tolèrent. Un logiciel qui déclenche un workflow d’incident unique, alimentant à la fois la qualification DORA et l’évaluation RGPD, sécurise ce moment critique. Notre analyse des tests d’intrusion TLPT sous DORA montre par ailleurs que la résilience se prépare en amont, pas au moment de l’incident.
Le pilotage des prestataires TIC dans la durée
DORA ne se limite pas au registre d’information : il impose un suivi continu des prestataires critiques — clauses contractuelles obligatoires, stratégie de sortie, tests de résilience, surveillance des sous-traitances en chaîne. Un logiciel adapté maintient ce suivi vivant : échéances contractuelles, audits fournisseurs, cartographie des dépendances. C’est le même référentiel de tiers qui, côté RGPD, sert à recenser les sous-traitants et à vérifier la signature des DPA. Tenir deux inventaires distincts revient à dédoubler un travail que la supervision attend cohérent — l’argument central en faveur de la plateforme unique.
Comment choisir : la méthode
- Cartographiez d’abord vos prestataires TIC et vos sous-traitants RGPD. Le recoupement des deux listes est votre besoin réel et votre base de négociation.
- Exigez un socle commun. Un seul référentiel de tiers alimentant registre RGPD et registre DORA, pas deux modules cloisonnés.
- Testez le workflow d’incident en démo. Simulez un incident TIC touchant des données clients et vérifiez le double reporting ACPR/CNIL.
- Chiffrez le coût complet sur trois ans, en comparant une plateforme unique à la somme de deux outils séparés — c’est souvent là que l’écart se creuse.
- Vérifiez la traçabilité réglementaire. Un établissement financier doit pouvoir prouver, prestataire par prestataire et incident par incident, ce qu’il a fait et quand. L’outil doit conserver cet historique, car c’est lui que l’ACPR et la CNIL examinent, pas les intentions.
FAQ
DORA remplace-t-il le RGPD pour les banques ?
Non, les deux régimes s’appliquent simultanément. DORA porte sur la résilience opérationnelle numérique (risque TIC, prestataires, incidents), le RGPD sur la protection des données personnelles. Un incident cyber touchant des données clients relève des deux, avec un reporting à l’ACPR et une notification de violation à la CNIL.
Faut-il un logiciel spécifique pour DORA ?
Pas nécessairement un outil dédié, mais une solution capable de tenir le registre d’information des prestataires TIC et de gérer la classification et le reporting des incidents. Dans le secteur financier, l’intégrer à la conformité RGPD sur une plateforme unique évite la double saisie et la désynchronisation des prestataires.
Quel budget pour une fintech ou une mutuelle de taille moyenne ?
Une plateforme multi-référentiels se situe dans les fourchettes du marché PME/ETI, généralement de quelques milliers à quelques dizaines de milliers d’euros par an. Les suites GRC enterprise (au-delà de 40 000 €/an) ne se justifient que pour les grands groupes soumis à un périmètre réglementaire très large.
Qui contrôle la conformité DORA en France ?
L’ACPR (Autorité de contrôle prudentiel et de résolution), adossée à la Banque de France, supervise la résilience opérationnelle numérique des entités financières françaises au titre de DORA, aux côtés des autorités européennes de supervision. La CNIL reste compétente pour le volet protection des données.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo