P.I.L.O.T.E

3 min de lecture

11. Sanctions et surveillance

Info

DORA prévoit des sanctions significatives en cas de manquement, supervisées par les autorités nationales et européennes (EBA, ESMA, EIOPA). Il est essentiel de comprendre leur logique et de les comparer à d’autres cadres comme le RGPD.
Dernière mise à jour : 25 août 2025

11.1. Principes de supervision

  • Supervision nationale : ACPR, AMF, BaFin, etc.
  • Supervision européenne : ESAs (EBA, ESMA, EIOPA) sur les prestataires tiers critiques.
  • Pouvoirs renforcés : inspection, audit, injonction, interdiction de services, amendes.

Preuves attendues : comptes‑rendus d’inspection, rapports d’audit externe, dossiers de communication avec les autorités.

11.2. Typologie des sanctions sous DORA

  • Amendes administratives : proportionnées à la gravité et au chiffre d’affaires.
  • Sanctions organisationnelles : suspension ou interdiction d’un prestataire critique, injonctions de remédiation.
  • Sanctions individuelles : responsabilité personnelle possible des administrateurs en cas de gouvernance défaillante (principe d’accountability).

Warning

Une absence de preuve documentaire (politiques, registres, tests, contrats) peut être considérée comme non‑conformité, même si le dispositif existe en pratique.

11.3. Comparatif DORA vs RGPD – Sanctions financières

CadreType de sanctionPlafond / calculAutorités compétentesExemples historiques
DORAAmendes administratives, injonctions, interdictionsJusqu’à 2 % du CA annuel mondial ou plusieurs millions € (selon entité)Autorités nationales (ACPR, AMF…) et européennes (EBA, ESMA, EIOPA)Sanctions à venir (2025+) mais pratiques proches des sanctions prudentielles bancaires
RGPDAmendes administrativesJusqu’à 4 % du CA annuel mondial ou 20 M€ (le plus élevé)Autorités de protection des données (CNIL, etc.)British Airways (2018) : 20 M£ ; Equifax (2017, US/UE coordination) : centaines de millions $

11.4. Cas concrets et anticipation

  • Banque : inspection révélant absence de test PRA documenté → injonction corrective et amende potentielle.
  • Assureur : dépendance cloud sans clauses DORA → exigence de remédiation sous 6 mois.
  • Prestataire tiers critique : surveillance directe par EBA → sanction pécuniaire en cas de manquement contractuel.
  • Comparatif RGPD : absence de notification d’incident → amende CNIL de 1,5 M€ (2022).

11.5. Checklist RSSI – Sanctions et surveillance

  • Vérifier que toutes les preuves DORA (politiques, registres, contrats, tests, PRA/PCA) sont documentées.
  • Anticiper les inspections (dossiers prêts, traçabilité, reporting KPI/KRI).
  • Comparer la logique des sanctions DORA vs RGPD et sensibiliser le COMEX.
  • Prévoir une revue annuelle pour tester la conformité documentaire et la préparation à l’audit.
  • Former les dirigeants sur leur accountability et les risques de sanctions personnelles.

11.6. Objectifs pédagogiques

À l’issue du chapitre, le lecteur :

  • connaît la logique de supervision DORA,
  • sait comparer les sanctions DORA vs RGPD,
  • comprend le rôle des autorités nationales/UE,
  • est capable de préparer les preuves et dossiers pour réduire le risque de sanction.

Vue Graphique