Dix-huit mois après l'entrée en vigueur de DORA, un constat émerge des premiers contrôles menés par les régulateurs européens : la grande majorité des entités financières dans le périmètre ont constitué leur registre ICT et cartographié leurs dépendances critiques. Mais l'Article 28 — qui définit les exigences contractuelles pour les arrangements avec des prestataires ICT tiers — reste systématiquement sous-traité. En pratique, les contrats existants ont été "revus" superficiellement, sans intégration des clausiers spécifiques imposés par le règlement. Ce n'est pas une question de mauvaise volonté : c'est une question de complexité technique et juridique que peu d'équipes ont eu le temps d'absorber. Voici ce qui manque — et ce que cela implique concrètement.
L'Article 28 dans la hiérarchie DORA : ce que les entreprises sous-estiment
DORA structure la gestion du risque ICT tiers autour de deux niveaux. Le premier — la politique de gestion du risque tiers, le registre d'informations, la cartographie des dépendances — a fait l'objet d'une attention significative. Le second niveau, l'Article 28, est d'une nature différente : il ne concerne pas l'évaluation du risque, mais l'encadrement contractuel de chaque arrangement ICT avec un prestataire externe. Et ses exigences sont précises, prescriptives, et opposables.
L'Article 28 distingue deux périmètres. Les clauses de l'Article 28.3 s'appliquent à tous les contrats ICT. Les exigences renforcées de l'Article 28.4 visent les contrats portant sur des fonctions critiques ou importantes — celles dont la défaillance ou l'interruption affecterait matériellement la continuité d'activité. La distinction est critique : un contrat de messagerie cloud générique et un contrat de core banking system ne reçoivent pas le même traitement. Mais l'identification des fonctions "critiques ou importantes" au sens DORA est elle-même un exercice que de nombreuses entités n'ont pas finalisé avec la précision requise.
La BCE a publié fin 2025 ses premières observations sur la mise en conformité DORA dans les établissements significatifs supervisés directement. Parmi les lacunes les plus fréquentes identifiées : l'absence de clauses d'audit et d'accès aux tiers ICT, des clauses de continuité insuffisantes, et l'absence de spécifications sur les sous-traitance en cascade. Ces trois points correspondent précisément aux exigences de l'Article 28.
Ce que vos contrats ICT ne couvrent probablement pas encore
L'Article 28.3 impose un socle minimum dans tout contrat ICT : description précise des services et des niveaux de service (SLA), localisation des données et des systèmes de traitement, dispositions sur la portabilité et la réversibilité, exigences de sécurité de l'information, et mécanismes de notification des incidents ICT. La majorité de ces éléments figurent dans les contrats récents, même si souvent de façon insuffisamment précise pour satisfaire aux standards DORA (les SLA "best effort" ne passent plus).
Là où les lacunes deviennent systématiques, c'est dans les exigences de l'Article 28.4 pour les fonctions critiques. Premièrement, les droits d'audit. DORA impose que l'entité financière puisse conduire des audits auprès du prestataire ICT — directement ou via des tiers mandatés — et accéder à toute information pertinente. En pratique, la majorité des prestataires cloud proposent des droits d'audit limités à des rapports tiers (SOC 2, ISO 27001) ou à des questionnaires. Ce n'est pas suffisant au sens DORA. La clause doit être négociée et doit permettre des audits sur site, pas seulement documentaires.
Deuxièmement, les clauses de sous-traitance. DORA impose que le contrat identifie les conditions dans lesquelles le prestataire peut recourir à des sous-traitants ICT, avec obligation d'information préalable et droit d'opposition pour les fonctions critiques. Vos contrats avec un hyperscaler cloud couvrent-ils explicitement cette exigence ? La réponse est non pour la grande majorité des contrats standards AWS, Azure, et GCP non renégociés post-DORA.
Troisièmement, les dispositions de continuité et de sortie. L'Article 28.4(f) exige des plans de continuité d'activité et des stratégies de sortie documentées, incluant la portabilité des données et les délais de réversibilité. Ce n'est pas une clause générique de "droit à la portabilité" : c'est un plan opérationnel testé, avec des RTO et RPO définis, et des engagements contractuels du prestataire. La majorité des contrats cloud incluent des mentions de portabilité des données sans engagement de délai, sans spécification technique, et sans plan de sortie.
Les prestataires ICT critiques : un régime à part
Au-delà des obligations contractuelles générales, DORA introduit un régime de surveillance directe pour les Critical ICT Third-Party Providers (CTPP). Les hyperscalers (AWS, Azure, GCP, Oracle) et certains prestataires de services spécialisés (core banking, paiements) ont été désignés par les Autorités Européennes de Surveillance (ABE, AEAPP, AEMF) comme CTPP en 2025. Ce statut implique qu'ils sont soumis à la surveillance directe des ESA — mais aussi que les entités financières qui utilisent leurs services ont des obligations supplémentaires de documentation et de communication.
Le point pratique souvent manqué : les entités financières utilisant des CTPP doivent s'assurer que leurs contrats incluent des clauses coopération avec les autorités de surveillance dans le cadre des examens CTPP. Les contrats standards des hyperscalers ne l'incluent pas — ou l'incluent dans des formulations qui peuvent être insuffisantes. Ce point doit être traité en priorité pour les contrats portant sur des fonctions critiques avec des CTPP désignés.
Comment auditer votre exposition contractuelle rapidement
Un audit de conformité Article 28 exhaustif est un projet de plusieurs semaines. Mais il est possible d'identifier les lacunes les plus critiques en moins d'un mois avec une approche ciblée sur trois questions.
Première question : avez-vous identifié vos fonctions critiques ou importantes au sens DORA ? Si cette identification n'est pas formalisée dans votre registre ICT, vous ne pouvez pas savoir quels contrats sont soumis aux exigences renforcées de l'Article 28.4. C'est le point de départ obligatoire.
Deuxième question : vos contrats avec des prestataires ICT portant sur ces fonctions critiques incluent-ils des droits d'audit directs (pas seulement des rapports tiers) ? Si la réponse est non ou incertaine, ce sont les contrats à revoir en priorité. L'absence de droits d'audit est la lacune la plus fréquemment relevée par les contrôleurs et la plus difficile à défendre lors d'un contrôle.
Troisième question : vos contrats avec des CTPP désignés incluent-ils des clauses de coopération avec les autorités de surveillance ESA ? Si vous utilisez AWS, Azure, GCP, ou Oracle pour des fonctions critiques, ce point est à vérifier dans les 30 jours.
Presidio intègre un module de gestion contractuelle ICT tiers aligné sur les exigences Article 28, avec des modèles de clauses et des workflows de revue — voir notre analyse sur la résilience opérationnelle DORA. Pour évaluer votre exposition contractuelle en 30 minutes : contactez-nous.
Conclusion
L'Article 28 de DORA impose un standard contractuel précis que la majorité des contrats ICT en place ne satisfont pas — non par négligence, mais parce que les exigences sont nouvelles, spécifiques, et souvent en tension avec les conditions générales standard des grands prestataires cloud. Trois lacunes concentrent le risque réglementaire réel : l'insuffisance des droits d'audit, l'encadrement incomplet de la sous-traitance en cascade, et l'absence de plans de sortie opérationnels. Ces trois points sont ceux sur lesquels les contrôleurs se concentrent en premier.
Les entités qui traiteront l'Article 28 comme un exercice de renégociation contractuelle à part entière — pas comme une revue documentaire superficielle — construisent une conformité DORA qui résiste aux contrôles. Celles qui s'arrêtent à la mise à jour du registre ICT découvriront la lacune au mauvais moment.