CUSTOR 28 · Note réglementaire n° 004 · Lecture 4 min

Le registre des prestataires TIC n'est pas un inventaire Excel

Beaucoup d'établissements disposent déjà d'un registre de leurs prestataires TIC. Pourtant, lors d'un contrôle DORA, ce document peut ne pas répondre à ce qui est réellement attendu. Cette note explique pourquoi.

Méthodologie

Cette analyse distingue systématiquement :

le droit actuellement applicable ;
les textes publiés mais non encore applicables ;
les propositions ou accords politiques n'ayant pas encore produit d'effet juridique.

Sauf indication contraire, toutes les références sont issues des textes officiels de l'Union européenne. Cette note distingue ce que le droit impose (le registre d'informations au sens de l'article 28(3) DORA, applicable depuis le 17 janvier 2025) de ce qui relève de l'outillage. Le droit applicable ne dit nulle part « fichier Excel » — mais il définit précisément ce que le registre doit contenir, comment il doit être structuré, et à qui il doit pouvoir être transmis.

Le malentendu qu'il faut lever

Presque toutes les entités régulées ont un tableau. Une ligne par prestataire, quelques colonnes : nom, service, date de contrat. C'est utile. Mais ce tableau répond à une question de gestion interne — qui sont mes fournisseurs ? — pas à la question que pose DORA.

La question que pose DORA est différente : pouvez-vous démontrer, à tout moment et dans un format normalisé, l'intégralité de vos dépendances TIC, jusqu'aux sous-traitants qui soutiennent vos fonctions critiques ?

Trois écarts séparent le tableau Excel du registre exigé. Cette note les détaille un par un.

Est-ce que cette note vous concerne ?

Oui, si votre établissement est une entité financière au sens de l'article 2 de DORA et qu'il a, à ce titre, conclu des accords contractuels portant sur l'utilisation de services TIC fournis par des prestataires tiers. L'obligation de tenir un registre d'informations s'applique depuis le 17 janvier 2025, indépendamment de la taille de l'établissement — seule la profondeur de l'analyse de risque est proportionnée à celle-ci.

Si vous pensez disposer déjà d'un registre conforme parce que vous tenez un tableau de suivi fournisseurs, cette note vous concerne directement.

Ce qui est juridiquement acquis aujourd'hui

L'article 28(3) de DORA (Règlement (UE) 2022/2554) oblige à tenir un registre d'informations. Le Règlement d'exécution (UE) 2024/2956 en fixe les modèles types — annexes I à IV, champs définis, identifiants normalisés (LEI), règles de cohérence. L'autorité ne demande pas « votre suivi des prestataires ». Elle attend une remise structurée, transmissible à son portail (OneGate pour l'ACPR). Un tableau maison, aussi soigné soit-il, n'est pas dans ce format tant qu'il n'a pas été aligné, champ par champ, sur les modèles officiels.

Le point réellement mal compris : trois écarts, pas un détail de forme

Premier écart : ce n'est pas un format libre, c'est un format imposé. Le règlement d'exécution fixe des modèles précis, organisés en plusieurs catégories de tableaux. L'autorité attend une remise structurée, pas un export ad hoc.

Deuxième écart : il ne s'arrête pas à vos fournisseurs directs. C'est l'angle mort le plus fréquent. Le registre doit inclure les sous-traitants qui sous-tendent de fait les services soutenant vos fonctions critiques ou importantes. Votre prestataire cloud s'appuie lui-même sur un hébergeur ? Cette dépendance de second rang entre dans le périmètre. Un tableau Excel listant vos seuls contrats directs manque, par construction, toute la chaîne en aval.

Troisième écart : « à jour » a un sens réglementaire, pas approximatif. Le texte impose que les informations soient exactes, cohérentes, revues régulièrement, et corrigées sans délai en cas d'erreur. Sur un fichier partagé par mail, modifié par plusieurs personnes en parallèle, « à jour » devient une affirmation que personne ne peut prouver. Or le jour d'un contrôle, c'est exactement ce qui vous sera demandé : non pas avez-vous un registre, mais pouvez-vous démontrer qu'il est exact, et depuis quand.

À retenir

Le registre DORA n'est pas un inventaire de prestataires. C'est un dispositif de preuve.

Excel n'est pas interdit. Excel n'est pas le problème. Encore faut-il pouvoir démontrer que ce fichier répond effectivement aux exigences du règlement — et c'est là que le tableur atteint sa limite. Il n'a jamais été conçu pour produire une preuve : il ne garde pas trace de qui a modifié quoi, ni quand, ni sur quelle version.

La vérité qui survit aux évolutions

Que les modèles ou les seuils de matérialité évoluent, un principe demeure : le sujet n'est pas d'avoir un registre, le sujet est de pouvoir le défendre. La vraie question n'est pas « avons-nous un registre ? ». C'est « notre registre tiendrait-il devant l'ACPR demain matin ? ».

Les questions à vous poser

Si, à l'issue de cette lecture, vous ne pouvez pas répondre avec certitude aux questions suivantes, votre registre mérite probablement une revue :

Votre registre est-il aligné, champ par champ, sur les modèles types du Règlement d'exécution (UE) 2024/2956 ?
Couvre-t-il les sous-traitants de second rang qui soutiennent vos fonctions critiques ou importantes, ou seulement vos contrats directs ?
Pouvez-vous démontrer, avec un historique vérifiable, que votre registre a été tenu à jour et corrigé sans délai en cas d'erreur ?
Savez-vous qui, dans votre organisation, a modifié votre registre, quand, et sur quelle version ?
Votre registre serait-il transmissible, en l'état, au format attendu par l'autorité compétente ?

Sources réglementaires

Règlement (UE) 2022/2554 du 14 décembre 2022 (« DORA »), JO L 333 du 27 décembre 2022 — article 28(3) et 28(9).
Règlement d'exécution (UE) 2024/2956 de la Commission du 29 novembre 2024 — modèles types pour le registre d'informations, annexes I à IV.
Application de l'obligation de registre depuis le 17 janvier 2025.

Les échéances et statuts mentionnés dans ce document reflètent l'état du droit à la date de dernière vérification indiquée en tête. Ils sont susceptibles d'évoluer dès publication de textes officiels au JOUE.

Auteur : Boumediene Fergani
Fondateur de CUSTOR 28. 15 ans d'expérience en paiements, réglementation bancaire et transformation des systèmes financiers (ISO 20022, moteurs de paiement, conformité DORA & AI Act).

Version 1.0 · Dernière vérification : 27 juin 2026
Sources officielles : EUR-Lex / Commission européenne.