Article 30 Principales dispositions contractuelles

Summary What does Article 30 of the DORA regulation say?

This article sets out the mandatory content requirements for contracts between financial entities and ICT third-party service providers.

Building directly on Article 28, which establishes the overarching framework for managing ICT third-party risk, Article 30 gets into the practical specifics of what those contractual arrangements must contain.

It operates on two tiers: a baseline set of requirements for all ICT service contracts, and an enhanced, more detailed set of requirements that apply specifically when the contracted services support critical or important functions.

The article also tasks the ESAs with developing regulatory technical standards to further specify subcontracting assessment requirements.

Important points:

Ensure all ICT third-party service contracts are set out in writing in a single document and contain a defined baseline of elements, including data protection provisions, service level descriptions, termination rights, and incident assistance obligations.
When ICT services support critical or important functions, the contract must go further — covering precise performance targets, audit and access rights, exit strategies with transition periods, and the ICT third-party service provider's obligation to participate in threat-led penetration testing.
Microenterprises may agree to delegate their rights of access, inspection and audit to an independent third party appointed by the ICT third-party service provider, rather than exercising those rights directly.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Les droits et obligations de l’entité financière et du prestataire tiers de services TIC sont définis clairement et consignés par écrit. L’intégralité du contrat comprend les accords de niveau de service et est consignée dans un document écrit unique qui est mis à la disposition des parties sur papier, ou dans un document sous un autre format téléchargeable, durable et accessible.
1. Les accords contractuels relatifs à l’utilisation de services TIC comportent au moins les éléments suivants:
  1. une description claire et exhaustive de tous les services TIC et fonctions qui seront fournis par le prestataire tiers de services TIC, indiquant si la sous-traitance d’un service TIC qui soutient une fonction critique ou importante, ou de parties significatives de celle-ci, est autorisée et, le cas échéant, les conditions applicables à cette sous-traitance;
  2. les lieux, notamment les régions ou les pays, où les services TIC et fonctions visés par le contrat ou la sous-traitance seront fournis et où les données seront traitées, y compris le lieu de stockage, et l’obligation pour le prestataire tiers de services TIC d’informer au préalable l’entité financière si celui-ci envisage de changer ces lieux;
  3. des dispositions sur la disponibilité, l’authenticité, l’intégrité et la confidentialité en ce qui concerne la protection des données, y compris les données à caractère personnel;
  4. des dispositions sur la garantie de l’accès, de la récupération et de la restitution, dans un format facilement accessible, des données à caractère personnel et autres traitées par l’entité financière en cas d’insolvabilité, de résolution, de cessation des activités du prestataire tiers de services TIC ou de résiliation des accords contractuels;
  5. des descriptions des niveaux de service, y compris leurs mises à jour et révisions;
  6. l’obligation pour le prestataire tiers de services TIC de fournir à l’entité financière, sans frais supplémentaires ou à un coût déterminé ex ante, une assistance en cas d’incident lié aux TIC en rapport avec le service TIC fourni à l’entité financière;
  7. l’obligation pour le prestataire tiers de services TIC de coopérer pleinement avec les autorités compétentes et les autorités de résolution de l’entité financière, y compris les personnes nommées par eux;
  8. les droits de résiliation et les délais de préavis minimaux correspondants pour la résiliation des accords contractuels, conformément aux attentes des autorités compétentes et des autorités de résolution;
  9. les conditions de participation des prestataires tiers de services TIC aux programmes de sensibilisation à la sécurité des TIC et aux formations à la résilience opérationnelle numérique élaborés par les entités financières, conformément à l’article 13, paragraphe 6.
1. Les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes comportent au moins les éléments suivants, en plus de ceux qui figurent au paragraphe 2:
  1. des descriptions complètes des niveaux de service, y compris leurs mises à jour et révisions, assorties d’objectifs de performance quantitatifs et qualitatifs précis dans le cadre des niveaux de service convenus, afin de permettre un suivi efficace par l’entité financière des services TIC, et de prendre, sans retard injustifié, des mesures correctives appropriées lorsque les niveaux de service convenus ne sont pas atteints;
  2. les délais de préavis et les obligations de notification du prestataire tiers de services TIC à l’entité financière, y compris la notification de tout développement susceptible d’avoir une incidence significative sur la capacité du prestataire tiers de services TIC à fournir les services TIC qui soutiennent des fonctions critiques ou importantes de manière efficace conformément aux niveaux de service convenus;
  3. l’obligation pour le prestataire tiers de services TIC de mettre en œuvre et de tester des plans d’urgence et de mettre en place des mesures, des outils et des politiques de sécurité des TIC qui fournissent un niveau approprié de sécurité en vue de la prestation de services par l’entité financière, conformément à son cadre réglementaire;
  4. l’obligation pour le prestataire tiers de services TIC de participer et de coopérer pleinement au test de pénétration fondé sur la menace effectué par l’entité financière visé aux articles 26 et 27;
  5. le droit d’assurer un suivi permanent des performances du prestataire tiers de services TIC, qui comprend les éléments suivants:
    les droits illimités d’accès, d’inspection et d’audit par l’entité financière ou par une tierce partie désignée, et par l’autorité compétente, et le droit de prendre des copies des documents pertinents sur place s’ils sont essentiels aux activités du prestataire tiers de services TIC, dont l’exercice effectif n’est pas entravé ou limité par d’autres accords contractuels ou politiques d’exécution;
    le droit de convenir d’autres niveaux d’assurance si les droits d’autres clients sont affectés;
    l’obligation pour le prestataire tiers de services TIC de coopérer pleinement lors des inspections sur place et des audits effectués par les autorités compétentes, le superviseur principal, l’entité financière ou une tierce partie désignée; et
    l’obligation de fournir des précisions sur la portée, les procédures à suivre et la fréquence de ces inspections et audits;
  6. les stratégies de sortie, en particulier la fixation d’une période de transition adéquate obligatoire:
    au cours de laquelle le prestataire tiers de services TIC continuera à fournir les fonctions ou services TIC concernés en vue de réduire le risque de perturbation au niveau de l’entité financière ou d’assurer sa résolution et sa restructuration efficaces;
    qui permet à l’entité financière de migrer vers un autre prestataire tiers de services TIC ou de recourir à des solutions en interne adaptées à la complexité du service fourni.
2. Par dérogation au point e), le prestataire tiers de services TIC et l’entité financière qui est une microentreprise peuvent convenir que les droits d’accès, d’inspection et d’audit de l’entité financière peuvent être délégués à une tierce partie indépendante, nommée par le prestataire tiers de services TIC, et que l’entité financière est habilitée à demander à la tierce partie, en tout temps, des informations ainsi qu’une garantie concernant la performance du prestataire tiers de services TIC.
1. Lors de la négociation d’accords contractuels, les entités financières et les prestataires tiers de services TIC envisagent l’utilisation de clauses contractuelles types élaborées par les autorités publiques pour des services particuliers.
1. Les AES élaborent, par l’intermédiaire du comité mixte, des projets de normes techniques de réglementation visant à préciser davantage les éléments visés au paragraphe 2, point a), qu’une entité financière doit déterminer et évaluer lorsqu’elle sous-traite des services TIC qui soutiennent des fonctions critiques ou importantes.
2. Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations.
3. Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 juillet 2024.
4. Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010.

Relevant recitals

Considérant 68 Harmonisation of contractual provisions with ICT third-party service providers

Afin d’évaluer et de contrôler régulièrement la capacité du prestataire tiers de services TIC à fournir en toute sécurité des services à une entité financière sans effets préjudiciables sur la résilience opérationnelle numérique d’une entité financière, plusieurs éléments contractuels clés avec les prestataires tiers de services TIC devraient être harmonisés. Cette harmonisation devrait couvrir les domaines minimaux qui sont fondamentaux pour permettre à l’entité financière d’assurer un suivi complet des risques qui pourraient apparaître chez le prestataire tiers de services TIC, dans la perspective de la nécessité d’une entité financière de garantir sa résilience numérique, car celle-ci dépend fortement de la stabilité, de la fonctionnalité, de la disponibilité et de la sécurité des services TIC reçus.

Considérant 69 Alignment with key requirements in contract renegotiation

Lorsqu’elles renégocient les accords contractuels en vue de les faire correspondre aux exigences du présent règlement, les entités financières et les prestataires tiers de services TIC devraient veiller à ce que les principales dispositions contractuelles prévues par le présent règlement soient couvertes.

Considérant 71 Contractual arrangements with ICT services

Indépendamment de la criticité ou de l’importance de la fonction que sous-tendent les services TIC, les accords contractuels devraient notamment comporter une description complète des fonctions et des services, des lieux où ces fonctions sont assurées et où les données seront traitées, ainsi qu’une description des niveaux de service. Parmi les autres éléments essentiels pour permettre à une entité financière de procéder au suivi des risques liés aux prestataires tiers de services TIC figurent les dispositions contractuelles précisant en quoi l’accessibilité, la disponibilité, l’intégrité, la sécurité et la protection des données à caractère personnel sont assurées par le tiers prestataire de services TIC, les dispositions établissant les garanties pertinentes permettant l’accès, la récupération et la restitution des données en cas d’insolvabilité, de résolution ou d’interruption des activités du prestataire tiers de services TIC, ainsi que les dispositions imposant au prestataire tiers de services TIC de fournir une assistance en cas d’incidents liés aux TIC en rapport avec les services fournis, sans frais supplémentaires ou à un coût déterminé ex ante; les dispositions relatives à l’obligation pour le prestataire tiers de services TIC de coopérer pleinement avec les autorités compétentes et les autorités de résolution de l’entité financière; et les dispositions relatives aux droits de résiliation et aux délais de préavis minimaux correspondants pour la résiliation de l’accord contractuel, conformément aux attentes des autorités compétentes et des autorités de résolution.

Considérant 72 Contractual arrangements for critical or important ICT services

Outre ces dispositions contractuelles, et afin que les entités financières conservent la pleine maîtrise de toutes les évolutions survenant au niveau des tiers et susceptibles de nuire à leur sécurité des TIC, il convient que les contrats de fourniture de services TIC qui soutiennent des fonctions critiques ou importantes prévoient également les éléments suivants: des descriptions complètes des niveaux de service, ainsi que des objectifs de performance quantitatifs et qualitatifs précis, pour prendre sans retard injustifié des mesures correctives appropriées lorsque les niveaux de service convenus ne sont pas atteints; les délais de préavis pertinents et les obligations de notification incombant au prestataire tiers de services TIC en cas d’évolutions susceptibles d’avoir une incidence significative sur la capacité de ce dernier à fournir efficacement leurs services TIC respectifs; l’obligation pour le prestataire tiers de services TIC de mettre en œuvre et de tester des plans d’urgence et de mettre en place des mesures, des outils et des politiques de sécurité des TIC qui permettent une prestation de services sûre, et de participer et de coopérer pleinement au test de pénétration fondé sur la menace effectué par l’entité financière.

Considérant 73 Access, inspection, and audit provisions

Les contrats de fourniture de services TIC qui soutiennent des fonctions critiques ou importantes devraient également contenir des dispositions permettant l’exercice des droits d’accès, d’inspection et d’audit par l’entité financière ou par un tiers désigné, et le droit de prendre des copies en tant qu’outils essentiels pour permettre aux entités financières d’assurer un suivi permanent des performances du prestataire tiers de services TIC, parallèlement à la coopération totale de ce prestataire de services lors des inspections. De la même manière, l’autorité compétente de l’entité financière devrait être habilitée, moyennant préavis, à inspecter et à auditer le prestataire tiers de services TIC, dans le respect de la protection des informations confidentielles.

Considérant 74 Exit strategies and resolution resilience

Ces accords contractuels devraient également établir des droits de résiliation clairs et des préavis minimaux correspondants, ainsi que des stratégies de sortie spécifiques prévoyant, en particulier, des périodes de transition obligatoires pendant lesquelles les prestataires tiers de services TIC seraient tenus de continuer à fournir les services concernés en vue de réduire le risque de perturbations au niveau de l’entité financière, de permettre à celle-ci de passer à l’utilisation d’autres prestataires tiers de services TIC, ou encore de recourir à des solutions en interne, en fonction de la complexité du service TIC fourni. En outre, les entités financières relevant du champ d’application de la directive 2014/59/UE devraient veiller à ce que les contrats de services TIC pertinents soient solides et pleinement exécutoires en cas de résolution de ces entités financières. Par conséquent, conformément aux attentes des autorités de résolution, ces entités financières devraient veiller à ce que les contrats de services TIC pertinents soient résilients en matière de résolution. Tant qu’elles continuent d’honorer leurs obligations de paiement, ces entités financières devraient faire en sorte, entre autres exigences, que les contrats de services TIC pertinents comportent des clauses de non-résiliation, de non-suspension et de non-modification pour des motifs de restructuration ou de résolution.

Considérant 75 Use of standard contractual clauses

En outre, le recours volontaire aux clauses contractuelles types élaborées par les autorités publiques ou les institutions de l’Union, en particulier le recours aux clauses contractuelles élaborées par la Commission pour les services d’informatique en nuage, pourrait procurer un degré accru de confiance aux entités financières et aux prestataires tiers de services TIC, en améliorant le niveau de sécurité juridique relatif à l’utilisation des services d’informatique en nuage dans le secteur financier, dans le respect total des exigences et des attentes définies par le droit de l’Union sur les services financiers. L’élaboration de clauses contractuelles types s’appuie sur les mesures déjà envisagées dans le plan d’action 2018 pour les technologies financières, dans lequel la Commission a annoncé son intention d’encourager et de faciliter l’élaboration de clauses contractuelles types pour l’externalisation des activités d’informatique en nuage par les entités financières, en s’appuyant sur les efforts des parties prenantes de l’informatique en nuage au niveau transsectoriel, que la Commission a facilités grâce à la participation du secteur financier.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.