Qui est un prestataire de services TIC au sens de DORA ?

Une entreprise qui fournit à une entité financière des services numériques et de données via des systèmes TIC, de façon continue : hébergeurs, cloud, éditeurs de logiciels, fournisseurs de données de marché, infogérance, etc. Les services TIC fournis par des opérateurs intra-groupe sont aussi concernés.

Accueil › Registre DORA › Prestataires TIC

DORA · Prestataires TIC

Prestataires de services TIC : qui déclarer

Q: Faut-il déclarer tous les prestataires ou seulement les critiques ?

Tous. Le registre recense l'ensemble des accords avec des prestataires de services TIC, qu'ils supportent ou non une fonction critique ou importante. La criticité conditionne le niveau d'évaluation, pas l'inclusion.

Q: Doit-on déclarer les sous-traitants des prestataires ?

La chaîne de sous-traitance des services TIC doit être renseignée dans la table B_05.02, qui relie chaque prestataire à ses sous-traitants pertinents. Un prestataire s'appuie souvent sur d'autres, qu'il faut cartographier.

La question qui fait hésiter tout le monde au moment de remplir le registre : qui compte comme prestataire TIC, faut-il tout déclarer, et jusqu'où remonter dans la sous-traitance ? Réponses.

En bref — Dans le Registre DORA, on déclare tous les accords avec des prestataires de services TIC — pas seulement ceux liés à une fonction critique. Chaque prestataire est identifié par un LEI valide (table B_05.01) et sa chaîne de sous-traitance est cartographiée en B_05.02.

Sur cette page

Qui est concerné
Tout déclarer, pas que le critique
La sous-traitance
Le LEI du prestataire
Où les déclarer
FAQ

Qui est un prestataire de services TIC

C'est une entreprise qui fournit, de façon continue, des services numériques et de données via des systèmes TIC. En pratique : hébergeurs et cloud, éditeurs de logiciels (PMS/OMS, core banking, outils métiers), fournisseurs de données de marché, infogérance, cybersécurité, connectivité… Les services TIC fournis par un opérateur intra-groupe entrent aussi dans le champ.

Tout déclarer — pas seulement le critique

C'est l'erreur de cadrage la plus fréquente. Le registre recense l'ensemble des accords avec des prestataires de services TIC, qu'ils supportent ou non une fonction critique ou importante.

La criticité décide du niveau d'exigence, pas de la présence dans le registre.

Autrement dit : un petit SaaS non critique a quand même sa ligne. Ce qui change pour un service critique, c'est l'évaluation supplémentaire (table B_07.01).

Jusqu'où remonter : la chaîne de sous-traitance

Un prestataire s'appuie presque toujours sur d'autres (un éditeur hébergé chez un cloud, lui-même appuyé sur un datacenter…). DORA demande de cartographier cette chaîne d'approvisionnement TIC dans la table B_05.02 : elle relie chaque prestataire à ses sous-traitants pertinents. C'est souvent la partie la plus laborieuse — et la plus oubliée.

Le LEI, point de friction n°1

Chaque prestataire doit être identifié par un LEI valide (ou un code d'identification admis à défaut), actif dans la base GLEIF. Un LEI absent, expiré (« lapsed ») ou mal recopié est une cause classique de rejet. Anticipez : certains prestataires étrangers ou petits éditeurs n'ont pas de LEI immédiatement disponible.

Où les déclarer dans le registre

B_05.01 — identification et détails de chaque prestataire (dont le LEI) ;
B_05.02 — la chaîne de sous-traitance ;
B_02.02 — le lien entre l'accord, le prestataire et la fonction supportée ;
B_03.02 — les prestataires signataires des accords.

Vue d'ensemble : les 15 tables du registre · méthode complète : formaliser son registre.

Vérifiez vos prestataires avant le dépôt

DoraReady contrôle la validité des LEI, la cohérence entre prestataires, accords et chaîne de sous-traitance, parmi les 116 règles de validation de l'EBA, et génère le package xBRL-CSV. Tout s'exécute dans votre navigateur : la liste de vos prestataires ne quitte jamais votre poste.

Lancer le diagnostic gratuit

Questions fréquentes

Faut-il déclarer tous les prestataires ?

Oui : tous les accords avec des prestataires de services TIC, critiques ou non. La criticité conditionne l'évaluation (B_07.01), pas l'inclusion.

Et les sous-traitants ?

La chaîne de sous-traitance se renseigne dans B_05.02, qui relie chaque prestataire à ses sous-traitants pertinents.

Un prestataire sans LEI, on fait quoi ?

Le LEI valide est attendu pour identifier les prestataires ; anticipez les cas sans LEI (prestataires étrangers, petits éditeurs) car un identifiant manquant ou expiré est une cause fréquente de rejet.

DoraReady garantit-il l'acceptation ?

Non. L'outil réduit le risque de rejet technique en vérifiant le fichier avant le dépôt ; il ne remplace pas le contrôle du régulateur et ne garantit pas l'acceptation.

← Le guide complet du registre DORA