Avis du Comité économique et social européen sur la:

«Proposition de règlement du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014 et (UE) no 909/2014»

[COM(2020) 595 final — 2020/0266 (COD)]

«Proposition de directive du Parlement européen et du Conseil modifiant les directives 2006/43/CE, 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341»

[COM(2020) 596 final — 2020/0268 (COD)]

(2021/C 155/06)

Rapporteur:

Antonio GARCÍA DEL RIEGO

Saisine	Parlement européen, 17.12.2020 Conseil de l’Union européenne, 22.12.2020
Base juridique	Article 53, paragraphe 1, article 114, paragraphe 1, et article 304 du traité sur le fonctionnement de l’Union européenne
Compétence	Section «Union économique et monétaire et cohésion économique et sociale»
Adoption en section	12.2.2021
Adoption en session plénière	24.2.2021
Session plénière no	558
Résultat du vote (pour/contre/abstentions)	243/1/4

1.    Conclusions et recommandations

1.1.

Le Comité économique et social européen (CESE) accueille favorablement la proposition relative à la résilience opérationnelle numérique (Digital Operational Resilience Act — DORA) présentée par la Commission européenne, qui vise à renforcer la clarté juridique des dispositions applicables en matière de risques informatiques, à réduire la complexité réglementaire, à établir un ensemble commun de normes pour atténuer les risques informatiques et à faciliter l’harmonisation des pratiques de surveillance, tout en offrant la sécurité juridique et les garanties nécessaires aux entreprises financières et aux prestataires de services informatiques. Cette proposition améliore non seulement la résilience du secteur face aux risques informatiques, mais elle présente également un intérêt pour plusieurs parties prenantes, notamment les clients, les investisseurs et les salariés, et contribue à la mise en œuvre du développement durable.

1.2.

Le CESE recommande de renforcer l’efficacité de la proposition DORA par les moyens suivants:

1.2.1.

Inclure dans le champ d’application de cette proposition tout prestataire de services financiers critiques développant des activités financières, et en exclure l’utilisation de services informatiques pour des fonctions non critiques.

1.2.2.

Assurer la cohérence, en ce qui concerne la définition et le champ d’application, entre cette proposition et les exigences énoncées dans les orientations existantes publiées par les autorités européennes de surveillance (AES).

1.2.3.

Pour ce qui est de la gestion des risques informatiques, privilégier un cadre axé sur des principes et sur les risques, facilitant la mise en œuvre de contrôles à l’épreuve du temps, flexibles et en adéquation avec les risques.

1.2.4.

S’agissant des incidents liés à l’informatique, veiller à l’harmonisation complète avec la boîte à outils pour la réaction et la récupération en cas de cyberincidents publiée par le Conseil de stabilité financière (CSF).

1.2.5.

Quant aux tests en matière de résilience opérationnelle numérique, insister non seulement sur la taille de l’institution financière, mais aussi sur la complexité et la nature critique du service; éviter l’externalisation obligatoire effectuée par un nombre limité de testeurs externes et encourager la reconnaissance mutuelle des résultats des tests.

1.2.6.

Consolider les exigences en matière d’externalisation en un corpus réglementaire unique, afin de garantir la sécurité juridique pour tous les acteurs du marché et de répondre de manière fiable aux attentes des autorités en matière de surveillance.

1.2.7.

Veiller à la pleine application des recommandations des superviseurs principaux et définir clairement les rôles et les responsabilités des différentes autorités participant à la surveillance des tiers prestataires critiques de services.

1.2.8.

Garantir l’accès aux services externalisés jugés essentiels pour les tiers prestataires de services établis dans des pays non membres de l’Union afin d’éviter de restreindre la liberté contractuelle des entreprises et leur capacité d’accès aux services de prestataires à forte valeur ajoutée.

1.2.9.

Inclure la notion de proportionnalité dans le régime de sanctions pour éviter de dissuader les prestataires de services informatiques de travailler pour les entités financières de l’Union et abandonner la référence actuelle au chiffre d’affaires mondial.

1.2.10.

Clarifier la question de la capacité des entreprises à partager des informations sur les cybermenaces, en veillant à ce qu’un tel dispositif soit mis en place sur une base volontaire et à ce qu’une disposition explicite autorisant l’échange d’informations à caractère personnel soit incluse dans la proposition DORA.

1.2.11.

Relever les seuils d’exemption pour les micro- et petites entreprises telles que définies à l’article 2, paragraphe 2, de l’annexe de la recommandation 2003/361/CE de la Commission (1), c’est-à-dire les entreprises qui occupent moins de 50 personnes et dont le chiffre d’affaires annuel ou le total du bilan annuel n’excède pas 10 millions d’euros, et réduire le nombre d’exigences applicables aux PME proportionnellement au profil de risque numérique de l’entité concernée.

1.3.

Le CESE est favorable à ce que les superviseurs principaux soient habilités à mettre en œuvre les procédures d’audit et d’inspection concernant les tiers prestataires critiques de services, étant donné que ces superviseurs seraient en mesure de mieux comprendre les risques que ces prestataires sont susceptibles de présenter et que cela permettrait de rationaliser les procédures d’externalisation des banques.

2.    Contexte

2.1.

Les consommateurs et les entreprises de l’Union européenne s’appuient de plus en plus sur les services financiers numériques, et parallèlement, les acteurs du marché déploient des solutions de plus en plus innovantes fondées sur les nouvelles technologies. La transformation numérique est essentielle à la relance de l’Europe et à la création d’une économie européenne durable et résiliente.

2.2.

La Commission européenne a présenté un train de mesures sur la finance numérique, conformément à ses priorités relatives à la construction d’une Europe adaptée à l’ère du numérique et d’une économie parée pour l’avenir et au service des citoyens. Cet ensemble de mesures vise à libérer et à renforcer encore le potentiel que la finance numérique peut offrir sur le plan de l’innovation et de la compétitivité, tout en limitant les risques qui peuvent en découler.

2.3.

Outre la proposition relative à la résilience opérationnelle numérique, le train de mesures sur la finance numérique comprend également une nouvelle stratégie en matière de finance numérique pour le secteur financier de l’Union (2) ainsi qu’une proposition de règlement sur les marchés de crypto-actifs et une proposition de règlement sur un régime pilote pour les infrastructures de marché reposant sur la technologie des registres distribués (3).

2.4.

La résilience opérationnelle numérique est la capacité des entreprises à s’assurer qu’elles sont en mesure de résister à tous les types de perturbations et de menaces liées aux technologies informatiques ou «technologies de l’information et de la communication» (TIC). Les risques informatiques sont inhérents au secteur financier en raison de sa dépendance croissante vis-à-vis de logiciels et de processus numériques. Les entreprises financières sont devenues la cible de cyberattaques, qui sont susceptibles d’entraîner des préjudices financiers importants ou des atteintes graves à la réputation de ces entreprises et des consommateurs. Ces risques doivent être bien compris et gérés, en particulier en période de tensions.

2.5.

Si les réformes qui ont suivi la crise financière de 2008 ont renforcé la résilience du secteur financier de l’Union, les risques informatiques n’ont été traités qu’indirectement. En raison de l’absence d’un cadre réglementaire global au niveau européen en matière de résilience opérationnelle numérique, il a été nécessaire de recourir à des initiatives réglementaires nationales. Cette approche n’a toutefois qu’une efficacité transfrontière limitée et a entraîné une fragmentation du marché unique, ce qui nuit à la stabilité et à l’intégrité du secteur financier de l’Union. Dans ce contexte, la Commission propose d’établir un cadre complet sur la résilience opérationnelle numérique des entités financières de l’Union.

2.6.

La proposition législative concernant la résilience opérationnelle numérique (4) vise à améliorer et à rationaliser la gestion, par les entités financières, des risques informatiques, à instaurer une procédure de test approfondi de la résilience des systèmes informatiques, à encourager l’échange d’informations, à sensibiliser davantage les autorités de surveillance aux cyberrisques et aux incidents liés à l’informatique auxquels sont confrontées les entités financières, ainsi qu’à conférer aux autorités de surveillance financière le pouvoir de superviser les risques découlant de la dépendance des entités financières à l’égard de tiers prestataires de services informatiques. La proposition vise également à créer un mécanisme cohérent de notification des incidents qui pourrait contribuer à réduire les charges administratives des entités financières et à renforcer l’efficacité de la surveillance.

2.7.

La Commission a aussi présenté une proposition de directive (5) car il y a lieu d’établir une dérogation temporaire pour les systèmes multilatéraux de négociation et de modifier ou de clarifier certaines dispositions des directives existantes de l’Union sur les services financiers afin d’atteindre les objectifs de la proposition relative à la résilience opérationnelle numérique.

2.8.

La valeur du marché des TIC, qui se classent parmi les plus grandes industries au monde, était estimée à plus de cinq mille milliards de dollars en 2019 et devrait dépasser les six mille milliards d’ici à 2022. Cette croissance continue nous rappelle l’omniprésence de la technologie dans la société actuelle et son importance grandissante. La finance, qui représente environ 20 % de l’ensemble des dépenses informatiques totales, est le plus grand utilisateur de TIC au monde selon l’analyse d’impact de la proposition législative.

2.9.

La COVID-19 a entraîné une prolifération des services financiers numériques, alors que les réseaux d’agences des établissements financiers restaient, eux, sous-utilisés. Cette évolution stimulera les investissements dans les outils numériques en libre-service, les applications financières ouvertes et les services à valeur ajoutée. De manière générale, la situation actuelle obligera les établissements financiers à investir davantage dans les infrastructures informatiques, à accorder la priorité à la migration des charges de travail critiques et à mettre à jour les applications existantes. Le secteur financier européen connaît déjà une transformation numérique majeure et sa compétitivité à l’échelle mondiale dépendra largement de la capacité des institutions européennes à exploiter les technologies les plus avancées.

3.    Observations générales

3.1.

Le CESE accueille favorablement la proposition relative à la résilience opérationnelle numérique (DORA) publiée par la Commission européenne, qui répond à de nombreuses demandes du secteur financier et vise à clarifier, d’un point de vue juridique, les dispositions relatives aux risques informatiques, à diminuer la complexité réglementaire et à réduire la charge administrative résultant de la diversité des règles applicables aux entités financières dans l’ensemble de l’Union. Cette proposition améliore non seulement la résilience du secteur face aux risques informatiques, mais elle présente également un intérêt pour plusieurs parties prenantes, notamment les clients, les investisseurs et les salariés, et contribue à la mise en œuvre du développement durable.

3.2.

Le CESE considère que la proposition relative à la résilience opérationnelle numérique constitue une étape importante vers la mise en place d’un ensemble commun de normes visant à atténuer les risques informatiques et à faciliter une approche harmonisée en matière de surveillance, mais il convient de faire preuve de prudence pour éviter d’ajouter des obstacles qui pourraient empêcher les établissements financiers de l’Union de participer au processus d’innovation mondial.

3.3.

Selon le CESE, les autorités de l’Union devraient avoir pour objectif global de mettre en place un régime proportionné et fondé sur les risques qui fournisse aux autorités de surveillance des outils répondant à leurs préoccupations, tout en offrant la sécurité juridique et les garanties nécessaires aux entreprises financières et aux prestataires de services informatiques.

4.    Observations particulières

4.1.   Champ d’application et problèmes de chevauchement réglementaire

4.1.1.   Ajout d’autres acteurs pertinents des marchés financiers

Bien que le CESE reconnaisse et apprécie le large éventail d’acteurs des marchés financiers visés par la proposition législative, ce qui garantira l’application cohérente de ses exigences dans l’ensemble du secteur financier de l’Union, il recommande aux décideurs politiques de l’Union d’inclure des acteurs financiers qui ne sont pas considérés comme faisant partie du champ d’application de la proposition législative à l’examen, tels que les fournisseurs de crédits hypothécaires et de crédits à la consommation, et ce dans une certaine mesure qui sera déterminée par le risque qu’ils peuvent représenter pour le système. Tout prestataire de services financiers développant des activités similaires et prenant des risques identiques devrait être soumis aux mêmes règles et à la même surveillance afin de garantir un cadre minimal identique de résilience numérique qui protège les consommateurs et préserve la stabilité financière.

4.1.2.   Cohérence au niveau international et de l’Union, ainsi qu’avec les réglementations existantes

Il est essentiel de prévoir des règles claires pour les entreprises, en particulier celles qui exercent des activités transfrontières, en veillant à la cohérence des définitions et des termes et en évitant les doubles emplois, les chevauchements et les interprétations divergentes quant à la manière de répondre à des attentes réglementaires similaires dans différentes juridictions. Le CESE recommande aux décideurs politiques de l’Union de modifier la définition de la résilience opérationnelle afin qu’elle soit en cohérence avec celle du Comité de Bâle sur le contrôle bancaire (CBCB) (6) et de veiller à ce qu’il s’agisse du principal régime applicable aux établissements financiers de l’Union afin d’éviter le risque de contradictions avec d’autres. En outre, bon nombre des principes et exigences définis dans la proposition relative à la résilience opérationnelle numérique le sont déjà dans les orientations existantes sur l’externalisation (7). Les exigences en matière de risques informatiques et de gestion des risques de sécurité sont également déjà fixées dans les orientations de l’Autorité bancaire européenne (ABE). Il sera essentiel d’assurer la cohérence, en ce qui concerne la définition et le champ d’application, entre la proposition DORA et les exigences énoncées dans les orientations existantes, afin d’harmoniser les exigences réglementaires de l’Union.

4.1.3.

De même, le CESE recommande à la Commission européenne de veiller à ce que la révision en cours de la directive sur la sécurité des réseaux et des systèmes d’information (SRI) et la proposition DORA comportent des définitions et des exigences identiques en ce qui concerne la politique de signalement des incidents de sécurité pour les entités financières.

4.2.   Gestion des risques informatiques

Certains éléments du cadre sont trop axés sur le respect des règles et devraient plutôt privilégier la manière dont les entreprises peuvent démontrer des résultats selon une approche fondée sur les principes et les risques. S’ils sont trop prescriptifs et détaillés, ils risquent de devenir obsolètes au fil du temps, au fur et à mesure de l’évolution de la situation en matière de risques liés au cyberespace et aux TIC. Le CESE recommande une approche davantage fondée sur les principes et les risques, qui facilite la mise en œuvre de contrôles à l’épreuve du temps, flexibles, proportionnés et en adéquation avec les risques.

4.3.   Incidents liés à l’informatique

Le CESE recommande une harmonisation complète avec la boîte à outils pour la réaction et la récupération en cas de cyberincidents (8) récemment publiée par le Conseil de stabilité financière (CSF), qui reprend les meilleures pratiques en ce qui concerne le signalement des incidents, ainsi que les propositions de gestion, de classification et de notification des incidents liés à l’informatique envisagées dans la proposition relative à la résilience opérationnelle numérique. Il existe des chevauchements qui créent une incertitude réglementaire et alourdissent la charge réglementaire pesant sur les entreprises.

4.4.   Tests en matière de résilience opérationnelle numérique

4.4.1.

Bien que le CESE approuve le régime paneuropéen de tests de pénétration fondés sur la menace, qui augmentera l’efficacité et réduira la fragmentation, il recommande aux autorités de ne pas se concentrer uniquement sur la taille ou l’ampleur de l’établissement financier mais également sur la complexité et la criticité du service, en tenant compte du principe de proportionnalité, et d’éliminer, le cas échéant, la distinction entre les tests de base pour tous les établissements financiers et les tests plus poussés pour les établissements financiers importants, en veillant à ce que les clients des entités financières de plus petite taille soient tout aussi bien protégés et à ce que des conditions de concurrence équitables soient créées entre toutes ces entités.

4.4.2.

Le CESE recommande également de ne pas rendre obligatoire l’externalisation des tests, étant donné que le nombre de testeurs externes est limité. En effet, les entreprises peuvent disposer de leurs propres équipes de testeurs internes, connaissant bien leur environnement et capables de passer rapidement à des tests plus poussés et ciblés.

4.4.3.

Il conviendrait de réexaminer l’inclusion des tiers prestataires de services informatiques dans le champ d’application du régime de tests de pénétration fondé sur la menace. Le fait que des tiers prestataires de services informatiques puissent fournir leurs produits à un certain nombre de clients pourrait entraîner une duplication importante des tests, ce qui est à son tour susceptible de créer des risques importants pour le tiers prestataire de services informatiques et ses clients.

4.4.4.

En outre, le CESE recommande de mentionner explicitement la reconnaissance mutuelle des résultats des tests, étant donné qu’elle permet de réduire les risques et d’assurer le bon fonctionnement du marché unique, ainsi que d’éviter des augmentations de coûts pour les entités financières exerçant des activités transfrontières.

4.5.   Gestion des risques liés aux tiers prestataires de services informatiques et cadre de supervision applicable aux tiers prestataires critiques de services informatiques

4.5.1.   Assurer la cohérence avec les lignes directrices existantes en matière d’externalisation

Le CESE se félicite que la proposition relative à la résilience opérationnelle numérique établisse un cadre réglementaire commun pour la bonne gestion des risques liés aux tiers prestataires de services informatiques, couvrant l’ensemble des acteurs des marchés financiers dans toute l’Europe. Toutefois, il sera essentiel de garantir une harmonisation complète entre ce cadre commun défini dans les principes clés (articles 25, 26 et 27) et les règles existantes, telles que les orientations des autorités européennes de surveillance (AES) sur l’externalisation [c’est-à-dire résoudre la dichotomie existante, pour ce qui est du champ d’application, entre l’«externalisation» et le «service tiers» (9)]. Le CESE estime en outre qu’il s’agit là d’une excellente occasion pour les autorités de l’Union de consolider les exigences relatives à l’externalisation dans un règlement unique — avec un niveau de détail suffisant pour éviter les divergences d’interprétation — qui pourrait apporter la sécurité juridique à tous les acteurs du marché et répondre de manière fiable aux attentes des autorités de surveillance.

4.5.2.   Exigences applicables aux activités externalisées critiques ou importantes

Afin de rester axé sur les risques, le règlement, en vue de l’application de son article 25, paragraphe 2, doit être plus précis sur la manière dont le principe de proportionnalité sera appliqué, et indiquer de façon détaillée quelles seraient les exigences applicables aux activités externalisées critiques ou importantes et celles qui s’appliqueraient aux autres activités (10). Le CESE recommande que l’utilisation des services informatiques pour des fonctions non critiques soit exclue du champ d’application du règlement DORA.

4.5.3.   Cadre de supervision directe des tiers prestataires critiques de services informatiques

Le CESE se félicite de l’introduction d’un cadre de supervision directe qui permettra aux autorités financières de suivre en permanence les activités des tiers prestataires critiques, en l’absence d’un cadre horizontal généraliste de l’Union. Dans le contexte de la proposition de règlement, les autorités de l’Union devraient reconnaître que lorsqu’un prestataire critique de services informatiques relève de cette supervision, l’exposition au risque des établissements financiers diminue en raison du suivi continu de leurs activités. Par conséquent, ce nouveau cadre de supervision devrait également contribuer à rationaliser les procédures d’externalisation des banques en allégeant une partie des charges actuellement supportées par les entités financières, par exemple en rapport avec l’exécution de procédures d’audit et d’inspection concernant les tiers prestataires de services jugés critiques.

4.5.4.

Le CESE juge préférable, plutôt que de s’appuyer sur les informations actuellement fournies par les établissements financiers surveillés et obtenues dans le cadre des inspections effectuées par les autorités nationales compétentes, que les superviseurs principaux soient habilités à mettre en œuvre les procédures d’audit et d’inspection concernant les tiers prestataires critiques de services étant donné qu’ils sont mieux à même de comprendre les risques que ces prestataires sont susceptibles de présenter dans la mesure où ils ont une connaissance directe de leurs processus et de leurs locaux. Bien que les politiques d’atténuation des risques des entités financières doivent être maintenues, et que l’obligation légale en la matière leur incombe, si l’inspection et les audits sont déjà effectués par le superviseur principal, les établissements financiers devraient bénéficier de ce niveau supplémentaire de sécurité et ne devraient pas être tenus de les réaliser à nouveau.

4.5.5.   Superviseur principal et autorités nationales compétentes

Une fois le processus de surveillance achevé, les recommandations du superviseur principal feront l’objet d’un suivi par les autorités nationales compétentes, qui pourront adopter leur propre approche quant à la manière de mettre en œuvre les conclusions du superviseur principal pour les tiers prestataires critiques concernés. Le CESE recommande de clarifier pleinement les rôles et les responsabilités des différentes autorités afin d’éviter une situation où les divergences d’interprétation toucheraient différemment les clients des tiers prestataires critiques en fonction de leur autorité compétente, et en vue de de réduire le risque de fragmentation. En outre, il y a lieu de rendre pleinement applicables les recommandations formulées par les superviseurs principaux, compte tenu de l’ambiguïté actuelle de l’article 37 pour ce qui est de leur caractère contraignant.

4.5.6.   Suspension d’un tiers prestataire critique

La proposition DORA confère aux régulateurs financiers nationaux le pouvoir d’exiger des clients qu’ils cessent temporairement ou définitivement de recourir à un prestataire de services informatiques jusqu’à ce que les risques recensés dans les recommandations aient été écartés. Des exigences relatives à la cessation immédiate d’une collaboration avec un tiers prestataire critique auraient certainement une incidence sur les décisions commerciales et d’exploitation existantes ou futures (par exemple, en décourageant les investissements dans l’Union) et pourraient avoir des conséquences pour la stabilité financière. Avant de prendre cette décision, les autorités compétentes devraient examiner attentivement, entre autres facteurs, l’incidence négative potentielle de la cessation du service pour les entités financières qui recourent à ce tiers prestataire critique particulier (11), et devraient établir des critères clairs relatifs à ces exigences de même que prévoir d’éventuelles mesures correctrices.

4.5.7.

Par ailleurs, le CESE recommande que si cette situation devait finalement se présenter, les entités financières en soient informées bien à l’avance et disposent de suffisamment de temps pour en sortir.

4.6.   Préserver la compétitivité mondiale des entreprises financières européennes

4.6.1.

Le nouveau cadre doit préserver la capacité des entreprises financières européennes à accéder au moins aux mêmes technologies que leurs concurrents mondiaux. Les entreprises financières de l’Union sont en concurrence à l’échelle mondiale et le futur cadre réglementaire de l’Union ne devrait pas les désavantager en limitant leur accès aux technologies les plus avancées, pour autant que les fournisseurs de ces technologies satisfassent aux normes de l’Union en matière de résilience et de sécurité.

4.6.2.   Tiers prestataires critiques établis en dehors de l’Union

Le règlement ne devrait pas limiter la possibilité d’externaliser des services jugés critiques à des tiers prestataires établis dans des pays extérieurs à l’Union. Cette limitation restreindrait certainement la liberté contractuelle des différentes entités et la capacité des institutions financières européennes à accéder aux services de prestataires à forte valeur ajoutée qui, selon toute vraisemblance, ne seront pas disponibles en nombre suffisant en Europe. Cela est d’autant plus pertinent que le cadre de supervision proposé se limite au secteur financier, créant des conditions de concurrence inégales pour les autres acteurs non soumis au règlement à l’examen, et pourrait, en fin de compte, accroître le risque de concentration que la proposition DORA cherche à éviter.

4.6.3.   Sanctions fondées sur le chiffre d’affaires mondial

La proposition DORA prévoit des sanctions en rapport avec le chiffre d’affaires mondial pour les prestataires de services informatiques qui ne répondent pas aux demandes des autorités de surveillance financière de l’Union. Une application disproportionnée de ces sanctions pourrait dissuader des prestataires mondiaux de services informatiques de servir les entreprises financières de l’Union, qui disposeraient dès lors, de facto, d’un choix limité de fournisseurs. En outre, cela dissuaderait les tiers prestataires non critiques d’opter pour le régime de supervision par crainte d’être sanctionnés au moyen d’amendes disproportionnées, et réduirait par conséquent la concurrence sur le marché en amont. Le CESE plaide en faveur de l’introduction d’un certain degré de proportionnalité dans le régime de sanctions, qu’il juge essentiel pour éviter de dissuader les prestataires de services informatiques souhaitant fournir des services aux entités financières de l’Union.

4.7.   Concernant les dispositifs de partage d’informations

4.7.1.

Étant donné qu’un échange d’informations en temps utile est essentiel pour repérer efficacement les vecteurs d’attaque de même que pour isoler et prévenir les menaces potentielles, le CESE se félicite de la disposition visant à faciliter la mise en place de dispositifs d’échange d’informations sur les cybermenaces entre les établissements financiers sur une base volontaire.

4.7.2.

Le CESE recommande également que les autorités de l’Union fournissent une base claire pour permettre l’échange d’informations à caractère personnel (telles que les adresses IP) parmi les conditions de la proposition de règlement, de manière à réduire l’incertitude et à renforcer l’aptitude des entités financières à améliorer leurs capacités de défense, à mieux cerner les menaces et à diminuer le risque de contagion entre elles. Il convient d’apporter davantage de précisions en raison de la nature confidentielle et sensible des données.

---

(1)  JO L 124 du 20.5.2003, p. 36.

(2)  Voir l’avis ECO/534 — Une stratégie en matière de finance numérique pour l’UE (voir page 27 du présent Journal officiel).

(3)  Voir l’avis ECO/535 — Crypto-actifs et technologie des registres distribués (voir page 31 du présent Journal officiel).

(4)  COM(2020) 595 final.

(5)  COM(2020) 596 final.

(6)  Comité de Bâle sur le contrôle bancaire, Principles for operational resilience, 6 novembre 2020.

(7)  Telles que celles élaborées par l’ABE et l’AEAPP, ainsi que les projets d’orientations de l’AEMF qui ont fait l’objet d’une consultation.

(8)  Conseil de stabilité financière, Final Report on Effective Practices for Cyber Incident Response and Recovery, 19 octobre 2020.

(9)  S’agissant des principes clés pour une bonne gestion des risques liés aux tiers prestataires de services informatiques (chapitre V), la proposition DORA ne fait référence qu’aux «services informatiques fournis par des tiers prestataires de services informatiques», tandis que le champ d’application des orientations de l’ABE sur l’externalisation repose sur la définition de l’externalisation, qui implique que l’activité est exercée de manière récurrente ou continue (point 26). Les orientations de l’ABE dressent également une liste d’exceptions qui ne sont pas considérées comme relevant de l’externalisation (point 28).

(10)  Là encore, il sera également essentiel d’harmoniser la définition des «fonctions critiques ou importantes» dans la proposition DORA et les orientations de l’ABE sur l’externalisation. En particulier, les orientations de l’ABE définissent les facteurs que les établissements financiers devraient prendre en considération lorsqu’ils évaluent si un accord d’externalisation concerne une fonction critique ou importante (points 29, 30 et 31).

(11)  L’un des critères pour qualifier de «critique» un prestataire de services informatiques serait le degré de substituabilité du produit tiers, compte tenu de l’absence de réelles solutions de substitution ou des difficultés liées à la migration partielle ou totale des services (article 28, paragraphe 2). Si tel était le cas, il serait difficile pour les établissements financiers de transférer le service à un autre prestataire. En outre, exiger des établissements financiers exposés qu’ils se tournent vers un autre prestataire de services contribuerait en fin de compte à accroître la concentration sur le marché européen, ce qui irait précisément à l’encontre de l’intention du règlement en objet.