- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Mickaël Bouloux
Agit en tant que rapporteur
Membre du groupe Socialistes et apparentés
Lien vers sa fiche complèteSans préjudice des articles 28 à 31 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, l’autorité compétente publie un référentiel de bonnes pratiques et tient à jour un annuaire non exclusif de prestataires référencés aptes à réaliser, à la demande des entités financières, des audits et inspections auprès des prestataires de services des Technologies de l’Information et de la Communication.
Cet amendement vise à prévoir l’établissement d’un référentiel de bonnes pratiques et un annuaire d’auditeurs approuvés par une autorité indépendante, à l’instar de l’ANSSI ou de l’ACPR, pour réaliser, à la demande des entités financières, les inspections prévues au chapitre V du règlement DORA relatif à la gestion des risques liés aux prestataires tiers de services de technologies de l’information et de la communication (TIC).
Ce nouveau cadre de gestion oblige en effet les entités financières à prévoir des obligations plus strictes dans la contractualisation avec leurs prestataires de services TIC (dont les opérateurs télécoms par exemple).
Dès lors, elles pourraient se voir soumettre à des audits pour vérifier la conformité de leurs prestations de services avec les exigences contractuelles de leurs clients qui eux-mêmes sont soumis au règlement DORA. Il peut être redouté que celles aient à communiquer des données sensibles, voire fassent l’objet d’enquêtes intrusives de la part de cabinet d’audit étrangers, quand bien même ils le feraient pour le compte d’une entité financière française.
Certes, la loi n° 68‑678 du 26 juillet 1968 relative à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères interdit déjà de communiquer des informations de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l’ordre public. Cependant, un référencement indépendant permettrait d’éviter ces risques et faciliterait le travail des prestataires tiers de service TIC.