Vincent Wellens, Ottavio Covolo et Sigrid Heirbrant. (Photo: NautaDutilh Avocats Luxembourg)

Vincent Wellens, Ottavio Covolo et Sigrid Heirbrant. (Photo: NautaDutilh Avocats Luxembourg)

Les institutions financières et les fournisseurs de technologies de l’information et de la communication (TIC) sont en train de réviser et de mettre à jour leurs contrats TIC afin de se conformer à la prochaine loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, communément appelée Dora). La Dora aborde le risque TIC des institutions financières (y compris les compagnies d’assurances et les gestionnaires de fonds) d’un point de vue holistique. Elle a un impact significatif sur leurs contrats TIC (y compris les services gérés externalisés, les accords sur les logiciels, etc.).

Le sprint final

Après avoir cartographié leurs contrats TIC et identifié ceux qui couvrent des fonctions critiques ou importantes, les institutions financières complètent leur analyse des lacunes Dora et mettent à jour leurs accords contractuels avec leurs fournisseurs TIC.

L’enquête de la CSSF sur l'état de préparation au Dora a révélé qu’en septembre dernier, 70% des institutions se considéraient comme partiellement ou pas du tout prêtes en ce qui concerne la gestion des risques liés aux TIC pour les tiers (CSSF, ). Il reste donc beaucoup de travail à faire avant l’échéance du 17 janvier 2025. C’est un défi, car les dernières normes techniques réglementaires (RTS) relatives à la sous-traitance des TIC, nécessaires pour comprendre les exigences, n’ont été adoptées qu’à la fin du mois de juillet 2024.

L’essor des modèles

Les institutions financières et les fournisseurs de TIC adaptent leurs contrats types, souvent avec un addendum basé sur un modèle (comme les accords de traitement des données, lorsque le GDPR est entré en vigueur).

Même lorsqu’elles reçoivent des contrats types de leurs fournisseurs de TIC, les institutions financières restent responsables de la conformité au Dora. Les contrats types devraient être suffisants pour les services TIC à risque moyen ou faible, à condition que plusieurs points fassent l’objet d’un accord spécifique, malgré l’utilisation du contrat type. Les services TIC à haut risque nécessitent une approche plus sur mesure, ce qui est particulièrement difficile compte tenu des contraintes temporelles de la loi Dora et de l’activité intense de la saison de fin d’année.

En outre, l’approche du contrat type peut également aller à l’encontre de l’exigence selon laquelle le contrat complet entre une institution financière et son fournisseur de TIC doit être consigné dans un seul document écrit contenant tous les droits et obligations des parties (dans la pratique, il s’agit d’un ensemble composé de l’accord principal et d’un certain nombre d’annexes telles que les accords sur les niveaux de service ou ‘SLA’).

Cette exigence peut avoir une incidence sur la pratique actuelle du marché qui consiste à faire référence aux accords de niveau de service au moyen d’hyperliens vers le site web de l’une des parties. Du point de vue de la conformité et de la sécurité juridique, il est préférable que ces annexes soient incluses dans le contrat signé, car ils contiennent des droits et des obligations des parties.

Exigences qui se chevauchent

Les lignes directrices de l’ABE sur l’externalisation et la circulaire 22/806 de la CSSF continuent de s’appliquer aux services TIC externalisés et contiennent plusieurs exigences plus strictes que le Dora.

Souvent, les contrats TIC et les accords de sous-traitance connexes devront également se conformer aux exigences du GDPR et au tout dernier avis 22/2024 de l’EDPB du 7 octobre 2024 sur certaines obligations découlant de la dépendance à l’égard du ou des sous-traitants et sous-traitants ultérieurs.

Il est donc essentiel que les modifications spécifiques au Dora soient apportées de manière cohérente et ne contreviennent pas aux efforts de mise en conformité passés ou actuels.

Principaux défis

Les institutions financières ont indiqué qu’il était particulièrement difficile de renégocier des contrats aussi importants avec leurs fournisseurs de TIC dans un court laps de temps. La loi Dora ne fait aucune distinction entre les nouveaux contrats et les contrats existants, de sorte que tous les contrats doivent être mis en conformité d’ici le 17 janvier 2025.

En outre, les institutions financières dépendent souvent de leur groupe pour la coordination interne ou à d’autres fins, ce qui peut entraîner des retards dans le processus global de mise en conformité.

N’hésitez pas à contacter , et  – experts en droit des contrats ICT chez  – pour toute assistance supplémentaire.

Cet article promotionnel a été rédigé par NautaDutilh Avocats Luxembourg dans le cadre de l’adhésion de la société au Paperjam Club. Si vous souhaitez devenir membre du Club, contactez-nous à l’adresse suivante: .