Blog

ACPR: Mise en œuvre du Registre d’Information (RoI) DORA

  • Auteur/autrice de la publication :
  • Post category:dora

ACPR: Mise en œuvre du Registre d’Information (RoI) DORA

Le Registre d’Information (RoI) instauré par le règlement européen DORA (Digital Operational Resilience Act) constitue la pierre angulaire de la surveillance de la résilience numérique du secteur financier. En tant que responsable de la conformité, la maîtrise de ce reporting est impérative pour garantir la transparence des dépendances technologiques vis-à-vis des tiers.

1. Fondamentaux et Finalité du Registre d’Information

Le RoI dépasse la simple collecte de données ; il s’agit d’un instrument de supervision systémique conçu pour les Autorités Européennes de Surveillance (AES). Il remplit deux fonctions stratégiques majeures :

  • Pilotage de la gestion des risques tiers : Il impose à l’entité financière une vue exhaustive et structurée de ses dépendances contractuelles TIC, permettant d’identifier les zones de vulnérabilité.
  • Identification des prestataires critiques (CTPP) : Sur la base du Chapitre V, Section II de DORA, l’agrégation des registres au niveau européen permet aux AES de désigner les « prestataires tiers critiques de services TIC ». Ce mécanisme vise à déplacer la charge de la supervision de ces acteurs vers le niveau européen, harmonisant ainsi les exigences de résilience à l’échelle de l’Union.

Pour remplir ces objectifs, il est indispensable de valider si votre institution est assujettie à cette remise annuelle.

Dora Register Of Information – Export RoI with 1 click

2. Périmètre d’Application : Qui doit rapporter et quand ?

L’obligation de remise du registre concerne la quasi-totalité des acteurs régulés, avec des nuances spécifiques pour les intermédiaires.

Entités du secteur financier soumises à l’obligation

Secteur Bancaire et Services de Paiement Secteur de l’Assurance
Établissements de crédit Organismes « Solvabilité II » (Assurance et Réassurance)
Établissements de paiement et de monnaie électronique Sociétés de groupe d’assurance (SGAM, UMG, SGAPS)
Entreprises d’investissement Fonds de Retraite Professionnelle Supplémentaire (FRPS, MRPS, URPS)
Prestataires de services d’information sur les comptes Compagnies financières holding mixtes (contrôle de groupe)

Cas particulier des intermédiaires d’assurance

L’exemption est conditionnée par la taille de l’entreprise (Article 2.3.e de DORA) :

  • [ ] Microentreprise (< 10 personnes, bilan/CA ≤ 2 M€) : Exemption
  • [ ] Petite entreprise (< 50 personnes, CA/bilan ≤ 10 M€) : Exemption
  • [ ] Moyenne entreprise (< 250 personnes, CA ≤ 50 M€ ou bilan ≤ 43 M€) : Exemption
  • [x] Autres intermédiaires (dépassant ces seuils) : Obligation de reporting

Note cruciale : Les intermédiaires exemptés qui souhaitent néanmoins notifier des incidents majeurs ou des cyber-menaces sur une base volontaire doivent utiliser l’adresse : [email protected]. Ces entités n’ayant généralement pas accès à OneGate, ce canal e-mail demeure l’unique point de contact.

Calendrier de remise

La remise suit une périodicité annuelle fixe :

  1. Date de référence : 31 décembre de l’année N-1. Les données doivent refléter l’état des contrats en vigueur à cette date exacte.
  2. Date limite de dépôt : 31 mars de l’année N.

3. Subtilités du Contenu : Services TIC et Fonctions Critiques

La rigueur du registre repose sur la distinction opérée par l’Article 30 de DORA concernant l’importance des fonctions supportées par les services TIC.

Définition : Fonction critique ou importante (Art. 3, point 22) Une fonction dont l’interruption, l’anomalie ou la défaillance est susceptible de nuire sérieusement à la performance financière, la solidité, la continuité des services de l’entité, ou à sa capacité de respecter les conditions de son agrément.

Checklist de conformité contractuelle

Pour tous les accords contractuels TIC (Obligatoire) :

  • [x] Description précise des services et indication de la localisation du traitement des données.
  • [x] Dispositions relatives à la protection des données personnelles (RGPD).
  • [x] Droits d’accès, d’inspection et d’audit complets par l’entité et l’autorité.
  • [x] Conditions de résiliation et durée de préavis.

Exigences additionnelles (si fonction critique ou importante) :

  • [x] Obligations de notification immédiate en cas d’incidents impactant le service.
  • [x] Exigences de participation à des tests de résilience opérationnelle.
  • [x] Mise en place de stratégies de sortie et de plans de continuité d’activité détaillés.

4. Stratégie de Remise : Individuelle vs Consolidée

Les règles de consolidation, précisées par l’ACPR (Q-B8), répondent à une logique sectorielle et géographique stricte pour éviter les doubles reportings.

  • Remise Individuelle : S’applique si l’entité n’appartient à aucun groupe, si la mère hors UE n’est pas établie dans l’Union, ou si la mère française n’exerce pas d’activité financière.
  • Remise Consolidée : Effectuée par la maison-mère établie en France (tête de groupe UE/EEE) selon la règle de sectorisation :
    • Si la mère est du secteur Bancaire : Elle consolide toutes les entités financières du secteur bancaire dans l’UE/EEE, mais elle ne consolide que les entités d’assurance situées en France.
    • Si la mère est du secteur Assurance : Elle consolide toutes les entités du secteur assurance dans l’UE/EEE, mais seulement les entités bancaires situées en France.

Rôle des Holdings : Pour des raisons d’efficacité, les compagnies financières holdings (têtes de groupe dans l’UE) sont attendues pour remettre le RoI pour le compte de leurs filiales assujetties.

5. Architecture Technique et Protocole de Transmission via OneGate

La transmission à l’ACPR s’opère exclusivement via le portail OneGate. Le non-respect du format XML entraîne un rejet automatique.

Structure du fichier XML

Le fichier doit obligatoirement respecter une architecture en deux blocs :

  1. <Administration> : L’enveloppe technique de l’envoi.
  2. <Report> : Le corps contenant les données du registre.

Spécifications de la partie <Administration>

Champ Statut Description / Règle Technique
<From> Obligatoire Attribut declarerType="LEI" obligatoire. Contenu : LEI de l’entité.
<To> Obligatoire Valeur fixe : BDF (Banque de France).
<Domain> Obligatoire Code domaine : DRA (Assurance) DRB (Banque)
<creationTime> Facultatif Date ISO 8601 (ex: 2025-03-31T10:00:00.000).
<Response> Obligatoire Attribut feedback (« true »/ »false »). Si false, les balises <Email> et <Language> ne doivent pas apparaître.

Procédures techniques par format

  • Plain CSV (Dossier .zip) : La balise <Report> doit impérativement porter l’attribut action="replace". Ce mode « annule et remplace » est la norme : tout nouvel envoi écrase l’intégralité du précédent pour la période concernée.
  • Collectes xBRL-CSV : L’instance xBRL-CSV, consistant en une archive .zip complète, doit être encodée en base 64 avant d’être insérée entre les balises <csv> et </csv>.
  • Accréditation : Assurez-vous d’être accrédité sur OneGate.

Dora Register Of Information – Export RoI with 1 click

6. Conformité Linguistique et Qualité des Données

La qualité du reporting est scrutée au niveau européen par l’EBA, l’EIOPA et l’ESMA.

  • Validation Taxonomique : Pour éviter d’entrer dans un cycle infini de « Replace » (annule et remplace), il est impératif de consulter les « Validation Rules » et les « Technical Checks » publiés par l’EBA. Ces documents recensent les anomalies les plus fréquentes qui bloquent l’intégration des données.

7. Synthèse Finale : « Le So Quoi ? » pour le Responsable de Conformité

Action de Conformité Bénéfice Stratégique pour l’Institution
Recensement exhaustif et sectorisé Visibilité totale sur la chaîne de sous-traitance et maîtrise des risques de concentration.
Identification rigoureuse des CTPP Transfert de la surveillance directe des prestataires critiques vers les AES, réduisant la charge de contrôle local.
Standardisation XML/OneGate Fiabilisation des échanges avec l’ACPR et alignement sur les standards européens de reporting prudentiel.
Validation via outils EBA/ITS Réduction drastique des erreurs bloquantes et des risques de non-conformité lors des audits de résilience.

En suivant ce guide, l’entité assure non seulement sa conformité réglementaire, mais renforce également sa résilience opérationnelle face à un écosystème numérique de plus en plus complexe.

ACPR informations : https://acpr.banque-france.fr/fr/actualites/remise-des-registres-dinformation