Conformité Tiers : DORA, NIS2, ISO 27001, RGPD et nLPD suisse

La conformité tiers est le processus qui consiste à s'assurer que les fournisseurs, sous-traitants et partenaires ayant accès à vos systèmes, données ou processus respectent les mêmes normes réglementaires et de sécurité que vous êtes tenu d'appliquer. Des réglementations comme DORA, NIS2, ISO 27001 et le RGPD imposent toutes des obligations spécifiques sur la façon dont vous gérez, surveillez et liez contractuellement ces relations externes.

DORA (Digital Operational Resilience Act, Règlement UE 2022/2554) est en vigueur depuis le 17 janvier 2025. Il s'applique aux entités financières opérant dans l'UE : banques, assureurs, entreprises d'investissement, établissements de paiement, prestataires de services sur crypto-actifs. Les articles 28 à 44 régissent la gestion du risque ICT tiers, avec des dispositions contractuelles obligatoires, l'évaluation du risque de concentration et des stratégies de sortie pour chaque prestataire critique.

L'Article 21(2)(d) de la directive NIS2 exige des entités essentielles et importantes qu'elles mettent en place des mesures de sécurité de la chaîne d'approvisionnement couvrant les relations avec les fournisseurs ou prestataires de services directs. Les organisations doivent évaluer la posture sécurité globale des produits et pratiques de leurs fournisseurs et propager les exigences de sécurité à travers leur chaîne. Le non-respect peut entraîner des amendes administratives jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles.

L'Article 28 du RGPD s'applique dès qu'un tiers traite des données personnelles en votre nom, nécessitant un Accord de Traitement des Données couvrant les mesures de sécurité, les règles de sous-traitement et les droits d'audit. Les Articles 28 à 44 de DORA s'appliquent spécifiquement aux prestataires de services ICT pour les entités financières de l'UE, ajoutant des clauses contractuelles obligatoires, des stratégies de sortie, une analyse du risque de concentration et la supervision réglementaire des Prestataires Tiers Critiques (PTC). Les deux obligations peuvent s'appliquer simultanément au même fournisseur ; par exemple, un fournisseur cloud traitant des données clients pour une banque.

ISO/IEC 27001:2022 consacre quatre contrôles de l'Annexe A aux relations fournisseurs : 5.19 (politique de sécurité de l'information pour les fournisseurs), 5.20 (prise en compte de la sécurité dans les accords fournisseurs), 5.21 (gestion de la sécurité dans la chaîne d'approvisionnement ICT) et 5.22 (surveillance, revue et gestion des changements des services fournisseurs). Ces contrôles exigent que les organisations identifient, évaluent et surveillent en continu les risques liés aux fournisseurs dans le cadre d'un SMSI certifié.

Peut-être. Pour les entités financières, DORA s'applique comme lex specialis, c'est-à-dire qu'il prime sur NIS2 pour la gestion du risque ICT. Cependant, NIS2 peut encore s'appliquer à vos prestataires ICT qui servent des secteurs d'infrastructure critique au-delà de la finance. Votre programme de conformité doit cartographier les deux réglementations et identifier leurs recoupements ou divergences ; par exemple, les délais de signalement des incidents diffèrent : DORA exige un rapport initial en 4 heures, tandis que NIS2 exige une alerte précoce en 24 heures.

Supplier Shield (au sein d'Acuna GRC) fournit un module TPRM qui se mappe directement aux Articles 28 à 44 de DORA. Il automatise la segmentation des fournisseurs par criticité ICT, génère des checklists d'exigences contractuelles alignées DORA, suit les preuves obligatoires (rapports SOC 2, résultats de tests d'intrusion, certificats ISO), surveille le risque de concentration chez les prestataires ICT critiques et produit des rapports prêts pour les régulateurs incluant la BCE, BaFin, FINMA et ACPR.

La loi fédérale suisse sur la protection des données (nLPD), en vigueur depuis le 1er septembre 2023, protège les données personnelles des résidents suisses. Différences clés avec le RGPD : elle n'exige pas de base juridique spécifique (le traitement est autorisé sauf exception légale), son autorité de surveillance est le PFPDT, et ses seuils de notification de violation sont légèrement différents. Les organisations conformes au RGPD sont généralement proches de la conformité nLPD avec des ajustements mineurs, notamment autour du libellé des accords de sous-traitance et du seuil de notification au PFPDT.

Un Prestataire Tiers Critique (PTC) sous DORA est un prestataire de services ICT formellement désigné par le Comité mixte des Autorités Européennes de Surveillance (AES) sur la base de son importance systémique pour la stabilité financière de l'UE. Les PTC font l'objet d'une supervision réglementaire directe, incluant des inspections sur place par le superviseur principal et des recommandations contraignantes. Les entités financières utilisant un PTC ont des obligations contractuelles et de surveillance renforcées et doivent développer des stratégies de sortie robustes pour réduire leur dépendance.

Les auditeurs et régulateurs attendent généralement : un inventaire des fournisseurs (tous les tiers ayant accès aux systèmes ou données), une classification par niveau de risque (criticité et niveau d'accès aux données), des contrats signés répondant aux exigences des référentiels applicables (DPA pour RGPD/nLPD ; contrats ICT pour DORA), des preuves d'évaluations fournisseurs (questionnaires, rapports SOC 2, certificats ISO), un registre des constats avec statut de remédiation et SLA, une analyse du risque de concentration (surtout pour DORA) et un enregistrement de la surveillance continue incluant les renouvellements de contrats et dates d'expiration des preuves.