- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Mickaël Bouloux
Agit en tant que rapporteur
Membre du groupe Socialistes et apparentés
Lien vers sa fiche complètePour l’application du 6 de l’article 28 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, un arrêté du ministre chargé de l’économie détermine, sur proposition de l'autorité nationale de sécurité des systèmes d'information et de l’Autorité de contrôle prudentiel et de résolution, la liste des personnes morales habilitées à réaliser des audits auprès de prestataires tiers de services en technologie de l’information et de la communication à la demande des entités financières.
Cet amendement vise à prévoir l’établissement d’une liste d'auditeurs approuvés par une autorité indépendante, à l'instar de l'ANSSI ou de l'ACPR, pour réaliser, à la demande des entités financières, les inspections prévues au chapitre V du règlement DORA relatif à la gestion des risques liés aux prestataires tiers de services de technologies de l'information et de la communication (TIC).
Ce nouveau cadre de gestion oblige en effet les entités financières à prévoir des obligations plus strictes dans la contractualisation avec leurs prestataires de services TIC (dont les opérateurs télécoms par exemple).
Dès lors, elles pourraient se voir soumettre à des audits pour vérifier la conformité de leurs prestations de services avec les exigences contractuelles de leurs clients qui eux-mêmes sont soumis au règlement DORA. Il peut être redouté que celles aient à communiquer des données sensibles, voire fassent l’objet d’enquêtes intrusives de la part de cabinet d’audit étrangers, quand bien même ils le feraient pour le compte d’une entité financière française.
Certes, la loi n° 68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d'ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères interdit déjà de communiquer des informations de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l’ordre public. Cependant, un système d'agrément permettrait d'éviter ces risques et faciliterait le travail des prestataires tiers de service TIC.