Règlement DORA sur la «résilience» : de la règle de droit comme thérapie ?
19.02.2023
Gestion d'entreprise
Le règlement DORA a été adopté le 17 novembre 2022. Il a pour objectif de permettre au secteur financier européen de rester résilient en cas de perturbation opérationnelle grave. Dans cette chronique, Hugues Bouchetemble, avocat associé du cabinet Kramer Levin Naftalis & Frankel LLP, décrypte les principaux apports du règlement.
Il est piquant, pour tout juriste, et au-delà utilisateur de la règle de droit - qui prend intérêt à sa qualité et à son intelligibilité - de voir le législateur européen se référer à une notion issue initialement de la psychologie et de la psychanalyse, pour définir une norme, à savoir ici la « résilience ». Certes, le législateur européen est indubitablement à la recherche de mots concepts, ou même parfois de néologismes, destinés à incarner et promouvoir ses réformes, ce qui a entraîné au cours des dernières années une floraison de termes oubliés (la « taxonomie »), de mots plus récents (la « durabilité »), ou même parfois, pas toujours avec réussite, de termes inventés, telles que les « facilités » (traduction très malheureuse de l’anglais « facility »).
Le règlement sur la résilience opérationnelle numérique du secteur financier dit "DORA", du 17 novembre 2022, en dit beaucoup sur la manière de concevoir la norme de droit bancaire et financier. C’est probablement là son principal intérêt.
A l’opposé d’une approche latine, centrée sur les grands principes de la règle de droit, le règlement DORA poursuit une approche plus anglo-saxonne, en réalité, quasi-scientifique d’identification et de suppression méthodique du risque, que reflètent l’ensemble des derniers textes d’origine européenne.
Le risque dont il s’agit ici est celui de « cybermenaces ou [de] dysfonctionnements des technologies de l'information et de la communication (TIC) » (considérant 1er du règlement), et au-delà de « cyber-risque systémique » (considérant 3 du règlement), ce qui donne lieu à une conception autonome de « risque lié au TIC » (art. 3-5 du règlement). Il est entendu comme une matière scientifiquement déterminable et contrôlable. Les textes juridiques doivent dès lors être construits, eux aussi, selon une même approche scientifique.
C’est la raison pour laquelle le texte – comme c’est désormais systématiquement le cas en droit bancaire et financier, dans le domaine des conflits d’intérêts, de l’externalisation, des incitations, ou plus généralement du risque de non-conformité – impose de recenser, c’est-à-dire de « cartographier » l’ensemble des zones de risques (art.8 du règlement). La cartographie a surtout ceci de commode pour la Commission des sanctions de l’AMF ou de l’ACPR, qu’elle présume la faute lorsque la situation n’est pas détectée, facilitant le travail des missions de contrôle.
Dans le même sens, le règlement accorde une prééminence à la fonction de contrôle : la règle de droit est moins importante pour ce qu’elle est, que pour le contrôle dont elle fait l’objet (art. 5,6 et 9 du règlement). Suivant une méthode plusieurs fois utilisée par le législateur, qu’il s’agisse de MAR ou des textes encadrant la lutte contre le blanchiment des capitaux, les établissements doivent notamment mettre en place un dispositif de détection, sur la base de seuils d’alerte, de significativité ou encore d’incidents.
La primauté du contrôle s’accompagne d’une approche poursuivant, si ce n’est une suspicion, tout du moins une certaine forme de « défiance » envers les différents acteurs des établissements assujettis, en charge de mettre en application ces textes. Ainsi, comme c’est désormais systématiquement le cas pour tout nouveau texte de droit bancaire et financier, le règlement prévoit une superposition des niveaux de contrôle, la mise en œuvre de « responsables de », en charge d’assumer la responsabilité de la fonction, auxquels les textes attribuent une indépendance fonctionnelle et organique, qui seront en charge de rapports et diligences annuelles (art. 6.4 du règlement).
Notons également, l’instauration traditionnelle d’une responsabilité spécifique pour les dirigeants (art. 5 du règlement), qui « assume[nt] la responsabilité ultime de la gestion du risque lié aux TIC », sous le suivi de l’organe de surveillance. Cette « sur-responsabilité » de l’organe de direction est déjà présente dans l’ensemble de la réglementation bancaire et financière, à tel point que certains termes de l’article 5 sont identiques à ceux déjà existants, notamment dans le droit de la gestion collective (à titre d'illustration, art. 321-35 du règlement général de l'AMF).
Enfin, le texte sacralise la formalisation de la norme interne, à travers la politique et les modes opératoires que l’entité doit mettre en place (art. 9-4 du règlement parmi d'autres dispositions).
Chaque texte devient ainsi un « écosystème », articulé autour d’une « ultra-réglementation », signe des derniers textes, et d’une hégémonie des contrôles. L’on pourrait faire remarquer que les textes s’auto-alimentent : l’inflation de textes très détaillés, entraîne un surcroît de contrôles, que les établissements ne peuvent pas toujours assumer, ce qui entraîne à son tour un risque de sanction réglementaire, justifiant parfois de devoir compléter les règles applicables…
Certains éléments sont plus novateurs. Il s’agit notamment de l’obligation de mettre en place des plans de communication en situation de crise qui favorisent une divulgation responsable, au minimum, des incidents majeurs liés aux TIC ou des vulnérabilités majeures aux clients et aux contreparties, ainsi qu'au public, le cas échéant (art. 14 du règlement).
Précisons enfin que le règlement s’applique quasiment à l’ensemble des établissements régulés (art. 2 du règlement). Notons que les CIF ne sont pas visés et que les « intermédiaires d'assurance, intermédiaires de réassurance et intermédiaires d'assurance à titre accessoire qui sont des microentreprises ou des petites ou moyennes entreprises » ne sont pas soumis à ce texte (art. 2-3 du règlement). Il s’agit des entités qui respectivement emploient moins de 10 personnes et dont le chiffre d'affaires annuel et/ou le total du bilan annuel n'excède pas 2 millions d'euros (pour les microentreprises), qui emploient dix personnes ou plus mais moins de cinquante personnes et dont le chiffre d'affaires annuel et/ou le total du bilan annuel dépasse 2 millions d'euros mais n'excède pas 10 millions d'euros (pour les petites entreprises), ou qui ne sont pas une petite entreprise et qui emploient moins de 250 personnes et dont le chiffre d'affaires annuel n'excède pas 50 millions d'euros et/ou dont le bilan annuel n'excède pas 43 millions d'euros (pour les moyennes entreprises).
Certains articles, par ailleurs, ne s’appliquant pas aux petites entreprises d'investissement non interconnectées et aux établissements de paiement exemptés en vertu de la directive (UE) 2015/2366, aux établissements exemptés en vertu de la directive 2013/36/UE pour lesquels les États membres ont décidé de ne pas appliquer l'option visée à l'article 2, paragraphe 4, du présent règlement, aux établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE, et aux petites institutions de retraite professionnelle (art. 16 du règlement). En substitution, ces dernières bénéficient d’un « cadre simplifié » défini à l’article 16 du règlement.
Ultime symbole de la portée biologique de ce texte, le droit des systèmes d’informations bancaires et financiers a été « porté » par les textes relatifs au contrôle interne et à l’externalisation, jusqu’à devenir d’une ampleur telle qu’il lui fallait trouver une source de droit autonome et accéder à son existence propre de manière comparable au dispositif organisation en matière de lutte contre le blanchiment des capitaux.