DORA : un nouveau cadre numérique pour les intermédiaires d’assurance
Le règlement européen DORA est entré en application le 17 janvier 2025. Il impose aux acteurs financiers, dont les intermédiaires d’assurance au-delà des seuils de PME, un cadre strict de gestion des risques informatiques.
Gouvernance renforcée, notification rapide des incidents, registres des prestataires Technologies de l’Information et de la Communication (TIC) et clauses contractuelles obligatoires font désormais partie des exigences. Un premier rapport de conformité est attendu dès 2026, avec une phase réparatoire dès cette année. Ce nouveau dispositif marque un tournant dans la régulation numérique du secteur assurantiel.
Le règlement DORA s’applique, depuis le 17 janvier 2025, à un large périmètre d’entités financières, dont le intermédiaires d’assurances. Toutefois, les intermédiaires d’assurance sont exclus de son champ d’application lorsqu’ils répondent à la définition européenne des micro, petites ou moyennes entreprises. Il s’agit des courtiers qui sont n’atteignent le seuil de salariés et l’un des deux seuils financiers suivants :
Les courtiers ne faisant partie d’aucune des catégories ci-dessus sont tenus d’appliquer l’intégralité des dispositions du Règlement. Pour ces courtiers concernés donc, DORA impose un cadre de gouvernance et de gestion des risques TIC formalisé : responsabilité du management, politiques et procédures de sécurité, continuité et reprise d’activité et détection et réponse aux incidents. En pratique, cela suppose d’intégrer la résilience numérique dans le contrôle interne, de documenter l’analyse des risques et de planifier des tests réguliers adaptés aux fonctions « critiques ou importantes ».
Les obligations de notification d’incident deviennent encadrées dans le temps vis-à-vis de l’ACPR. En effet, en cas d’incident « majeur lié aux TIC », le courtier doit adresser une notification initiale à l’ACPR dans les quatre heures suivant la classification de l’incident comme « majeur », et au plus tard dans les 24 heures après en avoir eu connaissance, puis un rapport intermédiaire sous 72 heures et un rapport final dans le mois suivant. La notification de cybermenaces « significatives » est possible à titre volontaire. L’ACPR renvoie pour cela aux modèles normalisés européens et rappelle le strict respect de ces délais.
Enfin, la gestion des prestataires TIC est renforcée. Les courtiers concernés doivent tenir un registre d’informations recensant leurs contrats TIC et le déposer chaque année à l’ACPR, au plus tard le 31 mars pour les données arrêtées au 31 décembre de l’année précédente. Les contrats soutenant des fonctions critiques ou importantes doivent comporter des clauses minimales (droits d’audit, exigences de sécurité, réversibilité, etc.), conformément aux Regulatory Technical Standards « politique prestataires TIC ». L’ACPR a par ailleurs instauré la notification des dispositifs de partage d’informations à compter du 1 er juillet 2025.
Ainsi, le Règlement DORA fixe désormais un cadre européen contraignant et détaillé de résilience numérique. Les courtiers « non-PME » doivent aligner gouvernance, gestion des incidents et contrats TIC, le tout sous le contrôle de l’ACPR.