Skip to content
Cas clientTarifsSécuritéComparatifBlog

Europe

Americas

Oceania

Conformité17 min de lecture

DORA 2026 : impact sur la validation documentaire

Règlement DORA (UE 2022/2554) : obligations ICT, pistes d'audit, résilience opérationnelle. Guide pratique pour la vérification documentaire en finance.

Sophie Marchand, Directrice Conformité
Sophie Marchand, Directrice Conformité·
Illustration for DORA 2026 : impact sur la validation documentaire — Conformité

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Le règlement européen sur la résilience opérationnelle numérique du secteur financier -- connu sous l'acronyme DORA (Regulation (EU) 2022/2554) -- est entré en application le 17 janvier 2025. Depuis cette date, toutes les entités financières de l'Union européenne sont tenues de respecter un cadre harmonisé de gestion du risque informatique, de reporting des incidents, de tests de résilience et de gestion des risques liés aux prestataires tiers. Pour les équipes qui traitent des documents au quotidien -- vérification d'identité, constitution de dossiers de crédit, conformité KYC/AML -- les implications sont profondes et immédiates.

Cet article analyse ce que DORA change concrètement pour la vérification documentaire, pourquoi les processus manuels créent désormais des failles réglementaires, et comment l'automatisation permet de répondre aux exigences du règlement.

DORA : périmètre et calendrier

Ce que couvre le règlement

Le règlement DORA (Règlement UE 2022/2554) est entré en application le 17 janvier 2025 pour toutes les entités financières de l'UE, imposant un cadre de gestion du risque TIC, de reporting d'incidents et de tests de résilience directement applicable sans transposition nationale. L'ACPR a publié ses documents d'orientation en décembre 2024, avec une première remise du registre d'informations (ROI) fixée au 15 avril 2025 (ACPR, DORA).

Le règlement repose sur cinq piliers :

Pilier Articles Objet
Gestion du risque TIC Art. 5-16 Cadre de gouvernance, politique de sécurité, gestion des actifs informationnels
Gestion des incidents TIC Art. 17-23 Classification, déclaration et reporting des incidents majeurs
Tests de résilience opérationnelle Art. 24-27 Programme de tests, tests avancés de pénétration (TLPT)
Gestion du risque de tiers TIC Art. 28-44 Évaluation, contractualisation et surveillance des prestataires
Partage d'informations Art. 45 Échange de renseignements sur les cybermenaces

Calendrier d'application

  • 16 janvier 2023 : entrée en vigueur du règlement (début du délai de transposition).
  • 17 janvier 2025 : date d'application -- toutes les obligations sont exécutoires.
  • 15 avril 2025 : date limite de remise du registre d'informations (ROI) sur les prestataires TIC à l'ACPR.
  • 17 janvier 2026 : la Commission européenne remet un rapport au Parlement et au Conseil sur l'opportunité de renforcer certaines exigences.
  • 2025-2026 : phase de retours d'expérience avec la profession, pilotée par l'ACPR et l'AMF, en vue d'éventuelles évolutions.

Les entités financières françaises sont donc en pleine phase d'implémentation. L'ACPR et la Banque de France ont déjà publié leurs documents d'orientation et organisent des réunions de place pour accompagner la mise en conformité.

Qui est concerné ?

DORA couvre 20 catégories d'entités financières incluant banques, assureurs, plateformes crypto (PSAN), sociétés de gestion, et pour la première fois les prestataires TIC tiers critiques directement surveillés par les autorités européennes (Règlement UE 2022/2554, Art. 2).

Catégorie Exemples Supervision en France
Établissements de crédit Banques, sociétés de financement ACPR
Entreprises d'investissement Sociétés de gestion, courtiers AMF
Entreprises d'assurance et de réassurance Assureurs vie, non-vie, mutuelles ACPR
Établissements de paiement Prestataires de services de paiement ACPR
Établissements de monnaie électronique Émetteurs de monnaie électronique ACPR
Prestataires de services sur crypto-actifs Plateformes d'échange, conservateurs AMF
Dépositaires centraux de titres Euroclear France AMF / Banque de France
Contreparties centrales LCH SA ACPR / Banque de France
Sociétés de gestion OPCVM, FIA AMF
Intermédiaires d'assurance Courtiers, agents généraux ACPR
Plateformes de financement participatif PSFP agréées AMF
Prestataires de services TIC tiers critiques Fournisseurs cloud, éditeurs logiciels Autorités européennes (ESA)

Les prestataires de services TIC tiers critiques sont une nouveauté majeure : pour la première fois, des fournisseurs technologiques non financiers peuvent être directement surveillés par les autorités européennes de supervision. Les Autorités européennes de surveillance (EBA, EIOPA, ESMA) ont déjà publié la liste des prestataires critiques qui feront l'objet d'une surveillance directe.

Gestion du risque TIC : ce que DORA exige pour le traitement documentaire

Le cadre de gouvernance (Articles 5-6)

L'organe de direction doit approuver personnellement le cadre de gestion du risque TIC, incluant la cartographie des systèmes de vérification documentaire et la classification de criticité (Règlement UE 2022/2554, Art. 5-6). Les processus de validation manuelle échappent largement à ce cadre, créant paradoxalement un risque de non-conformité DORA plus élevé (ACPR, Lignes directrices DORA).

L'article 6 exige un cadre de gestion du risque TIC documenté, révisé au moins une fois par an, comprenant :

  • Les stratégies, politiques, procédures et outils nécessaires à la protection de tous les actifs informationnels.
  • L'identification de toutes les fonctions métier supportées par des systèmes TIC.
  • La cartographie des interdépendances entre systèmes.
  • La classification des actifs informationnels selon leur criticité.

Application à la vérification documentaire : tout processus de validation de documents qui repose sur des outils numériques -- OCR, extraction de données, vérification d'authenticité, croisement de bases de données -- entre dans le périmètre du cadre de gestion du risque TIC. Une vérification manuelle réalisée par un collaborateur sur son poste de travail, avec des fichiers stockés localement, échappe largement à ce cadre -- ce qui constitue paradoxalement un risque plus élevé du point de vue de DORA.

Protection et intégrité des données (Articles 9-10)

Les articles 9 et 10 imposent des mécanismes garantissant la disponibilité, l'authenticité, l'intégrité et la confidentialité des données, tant au repos qu'en transit. Cela inclut :

  • Des politiques de classification des données.
  • Des mesures de restriction d'accès.
  • Des mécanismes de détection des activités anormales.
  • La conservation de traces d'audit complètes pour tous les traitements de données.

Pour la vérification documentaire, cela signifie concrètement :

  • Chaque document traité doit être tracé : qui l'a soumis, quand, quel traitement a été appliqué, quel résultat a été obtenu.
  • Chaque décision (validation, rejet, demande de complément) doit être horodatée et attribuée à un acteur identifié (humain ou système).
  • L'intégrité des documents doit être garantie : aucune modification non tracée ne doit être possible entre la réception et l'archivage.

Pourquoi la validation manuelle crée des failles

Un processus de vérification documentaire manuel -- un collaborateur qui ouvre un PDF, contrôle visuellement les informations, coche une case dans un tableur -- présente des lacunes structurelles au regard de DORA :

Exigence DORA Validation manuelle Validation automatisée
Traçabilité complète (Art. 9) Partielle : pas de log systématique Complète : chaque étape horodatée et tracée
Reproductibilité du traitement Non : résultat variable selon l'opérateur Oui : traitement déterministe et auditable
Détection d'anomalies (Art. 10) Limitée : dépend de la vigilance humaine Systématique : règles de contrôle automatiques
Conservation des preuves Fragmentée : fichiers locaux, emails Centralisée : base de données avec rétention paramétrable
Temps de détection d'incident Indéterminé : erreur découverte a posteriori Immédiat : alerte en temps réel
Auditabilité Faible : reconstitution manuelle nécessaire Élevée : rapport d'audit générable à la demande

Le coût réel de la validation manuelle n'est donc plus seulement une question d'efficacité opérationnelle : c'est désormais une question de conformité réglementaire.

Gestion des incidents TIC et vérification documentaire

Obligations de déclaration (Articles 17-23)

Tout incident TIC majeur affectant la confidentialité, l'intégrité ou la disponibilité des données (validation erronée de documents falsifiés, indisponibilité du système, fuite de documents) doit être déclaré à l'ACPR depuis le 17 janvier 2025 (Règlement UE 2022/2554, Art. 17-23).

Un incident est considéré comme majeur lorsqu'il affecte :

  • La continuité des fonctions critiques ou importantes.
  • La confidentialité, l'intégrité ou la disponibilité des données.
  • Les services fournis aux clients.

Lien avec la vérification documentaire : une défaillance dans le processus de validation de documents peut constituer un incident déclarable dans plusieurs scénarios :

  1. Validation erronée de documents falsifiés ayant conduit à l'ouverture d'un compte ou à l'octroi d'un crédit à une personne non éligible -- cela constitue une atteinte à l'intégrité des données.
  2. Indisponibilité du système de vérification empêchant le traitement des dossiers clients -- atteinte à la continuité de service.
  3. Fuite de documents d'identité stockés sans chiffrement adéquat -- atteinte à la confidentialité.
  4. Erreur systématique d'un algorithme de validation non détectée pendant une période prolongée -- défaillance du cadre de gestion du risque TIC.

Registre d'incidents

Chaque entité doit maintenir un registre centralisé de tous les incidents TIC, y compris ceux qui ne franchissent pas le seuil de déclaration. Ce registre sert de base à l'amélioration continue du dispositif et peut être demandé par l'ACPR ou l'AMF lors de contrôles.

Pour les processus documentaires, cela implique de tracer non seulement les incidents graves, mais aussi les anomalies récurrentes : taux de rejet anormalement élevé, temps de traitement dégradé, erreurs de classification.

Gestion du risque de tiers TIC (Articles 28-44)

Le registre d'informations

Chaque prestataire de services de vérification documentaire (SaaS, API OCR, service d'authentification) doit être inscrit dans le registre d'informations (ROI) remis à l'ACPR avant le 15 avril 2025, avec évaluation des risques, clauses contractuelles DORA et stratégie de sortie (Règlement UE 2022/2554, Art. 28).

Pour chaque prestataire, le registre doit contenir :

  • L'identification du prestataire et sa localisation.
  • La nature des services fournis.
  • Les fonctions critiques ou importantes supportées.
  • La date de début et de fin du contrat.
  • Les éventuelles sous-traitances.

Impact sur le choix des outils de vérification documentaire

Si vous utilisez un outil tiers pour la vérification de documents -- SaaS de validation, API d'OCR, service d'authentification -- ce prestataire entre dans le périmètre du registre d'informations DORA. Vous devez :

  1. L'identifier formellement dans votre registre ROI.
  2. Évaluer les risques associés à une défaillance de ce prestataire.
  3. Vérifier les clauses contractuelles relatives à la sécurité, l'auditabilité, la localisation des données, les niveaux de service et les droits de résiliation.
  4. Définir une stratégie de sortie (exit strategy) en cas de défaillance ou de cessation du prestataire.
  5. Tester la résilience de votre processus en cas d'indisponibilité du prestataire.

Les solutions de validation documentaire automatisée comme CheckFile sont conçues pour répondre à ces exigences : traçabilité complète, localisation des données maîtrisée, SLA contractuels, et capacité d'audit.

Tests de résilience opérationnelle (Articles 24-27)

Programme de tests obligatoire

DORA impose un programme de tests de résilience opérationnelle numérique proportionnel à la taille et au profil de risque de l'entité. Ce programme doit inclure :

  • Des tests de vulnérabilité.
  • Des tests de performance.
  • Des tests de pénétration (pour les entités significatives, tests TLPT selon le cadre TIBER-EU).
  • Des tests de plans de continuité d'activité.

Application aux processus documentaires

Les processus de vérification documentaire doivent être intégrés au programme de tests de résilience, en particulier :

  • Test de continuité : que se passe-t-il si l'outil de vérification est indisponible pendant 4 heures ? 24 heures ? Le processus métier peut-il continuer en mode dégradé ?
  • Test d'intégrité : un document modifié après validation est-il détecté ? Les contrôles de cohérence fonctionnent-ils correctement ?
  • Test de charge : le système supporte-t-il un pic de dossiers à traiter (fin de trimestre, opération commerciale) ?
  • Test de récupération : en cas de perte de données, les pistes d'audit et les résultats de vérification sont-ils récupérables ?

Checklist de conformité DORA pour la vérification documentaire

Voici une liste de contrôle pratique pour évaluer la conformité de vos processus de vérification documentaire au regard de DORA.

Gouvernance et cadre de gestion du risque TIC

  • La vérification documentaire est identifiée comme fonction TIC dans le cadre de gestion du risque.
  • Les actifs informationnels liés à la vérification (documents, données, systèmes) sont inventoriés et classés.
  • L'organe de direction a approuvé la politique de gestion du risque TIC couvrant la vérification documentaire.
  • Un responsable est désigné pour la gouvernance du processus de vérification.

Traçabilité et pistes d'audit

  • Chaque document traité génère une piste d'audit complète (réception, traitement, résultat, décision).
  • Les pistes d'audit sont horodatées avec une source de temps fiable.
  • Les résultats de vérification sont reproductibles et déterministes.
  • Les pistes d'audit sont conservées conformément aux exigences de rétention (minimum 5 ans pour les dossiers KYC/AML, selon les dispositions AMLD6).

Gestion des incidents

  • Les incidents liés à la vérification documentaire (erreurs, indisponibilités, anomalies) sont enregistrés dans le registre d'incidents TIC.
  • Une procédure de classification et d'escalade existe pour les incidents de vérification.
  • Les incidents majeurs (validation de documents falsifiés, indisponibilité prolongée) sont déclarables à l'ACPR.

Gestion des prestataires tiers

  • Tous les prestataires de services de vérification documentaire sont inscrits dans le registre d'informations (ROI).
  • Les contrats avec ces prestataires comportent les clauses requises par DORA (auditabilité, localisation des données, SLA, droit de résiliation).
  • Une stratégie de sortie est définie pour chaque prestataire critique.
  • L'évaluation des risques tiers est revue au moins une fois par an.

Tests de résilience

  • Les processus de vérification documentaire sont intégrés au programme de tests de résilience.
  • Des tests de continuité sont réalisés au moins une fois par an.
  • Les plans de reprise d'activité couvrent explicitement la vérification documentaire.

Comment l'automatisation répond aux exigences DORA

La validation documentaire automatisée n'est pas un luxe opérationnel : c'est une réponse structurelle aux exigences de DORA. Voici pourquoi.

Traçabilité native

Un système automatisé génère par conception une trace complète de chaque traitement : document reçu, contrôles appliqués, résultats obtenus, décision prise, opérateur impliqué. Cette traçabilité est exhaustive, inaltérable et immédiatement auditable -- exactement ce que DORA exige aux articles 9 et 10.

Traitement déterministe

Contrairement à un contrôle humain dont le résultat peut varier selon l'opérateur, sa fatigue ou sa charge de travail, un traitement automatisé produit le même résultat pour les mêmes données d'entrée. Cette reproductibilité est essentielle pour démontrer la fiabilité du dispositif lors d'un audit.

Détection systématique des anomalies

Les règles de validation automatiques détectent systématiquement les incohérences : date de validité dépassée, MRZ invalide, montants discordants, données croisées non concordantes. La validation croisée des documents permet d'identifier des fraudes sophistiquées que le contrôle visuel manquerait.

Gestion des incidents facilitée

Un système automatisé centralise les métriques opérationnelles : taux de rejet, temps de traitement, types d'anomalies détectées. Ces données alimentent directement le registre d'incidents TIC et permettent une détection proactive des dégradations.

Conformité des prestataires

Les solutions SaaS de validation documentaire modernes, comme CheckFile, sont conçues pour répondre aux exigences de DORA en matière de gestion des tiers : transparence sur la localisation des données, auditabilité du traitement, SLA contractuels, documentation technique détaillée.

La convergence DORA-AMLD6 : un double impératif documentaire

DORA et AMLD6 convergent : AMLD6 impose la vérification fiable des documents (5 ans de conservation, traçabilité KYC), DORA exige que les systèmes TIC soient résilients, audités et testés (Directive UE 2024/1640 + Règlement UE 2022/2554). Cette double contrainte rend la vérification manuelle inadéquate tant pour la fiabilité (AMLD6) que pour la gouvernance TIC (DORA) (ACPR, Paquet AML).

L'un porte sur le "quoi" (quels documents vérifier, à quel niveau de fiabilité), l'autre sur le "comment" (avec quels systèmes, quelle gouvernance, quelle résilience). Les deux convergent vers une même conclusion : la vérification documentaire manuelle ne répond plus aux standards réglementaires.

Pour les acteurs du secteur de l'assurance, cette convergence est particulièrement sensible : les dossiers de sinistres impliquent à la fois des vérifications d'identité (AMLD6) et des traitements TIC critiques (DORA).

Préparer votre organisation

Les entités financières françaises disposent d'un cadre réglementaire clair -- DORA est en vigueur -- mais la mise en œuvre reste un chantier de fond. Voici les priorités pour 2026 :

  1. Cartographier vos processus documentaires : identifiez tous les points où des documents sont reçus, vérifiés, validés et archivés. Chaque processus doit être documenté dans votre cadre de gestion du risque TIC.

  2. Évaluer vos lacunes de traçabilité : pour chaque processus, déterminez si vous pouvez reconstituer la chaîne complète de traitement d'un document soumis il y a 6 mois, 2 ans, 5 ans.

  3. Intégrer vos prestataires de vérification dans le ROI : si ce n'est pas déjà fait, inscrivez vos fournisseurs d'outils de vérification documentaire dans votre registre d'informations et vérifiez la conformité de vos contrats.

  4. Automatiser là où c'est critique : priorisez l'automatisation des processus de vérification à fort volume et forte criticité (KYC, ouverture de comptes, instruction de crédits).

  5. Tester votre résilience : intégrez vos processus documentaires dans votre programme de tests annuel.

La vérification documentaire n'est plus un processus administratif périphérique. Sous DORA, elle est une composante à part entière de la résilience opérationnelle numérique de votre établissement. Les entités qui automatisent maintenant -- avec des solutions offrant traçabilité complète, traitement déterministe et auditabilité native -- prennent une longueur d'avance sur la conformité.

FAQ

Depuis quand le règlement DORA est-il applicable et qui est concerné ?

Le règlement DORA (UE 2022/2554) est entré en application le 17 janvier 2025 pour toutes les entités financières de l'Union européenne. Il couvre 20 catégories d'entités : établissements de crédit, assureurs, sociétés de gestion, plateformes de financement participatif, prestataires de services sur crypto-actifs, et pour la première fois les prestataires TIC tiers critiques directement surveillés par les autorités européennes. En France, la supervision est assurée par l'ACPR et l'AMF selon la catégorie.

Pourquoi la validation manuelle des documents crée-t-elle des failles sous DORA ?

Un processus de vérification documentaire manuel présente des lacunes structurelles au regard de DORA : traçabilité partielle (pas de log systématique des contrôles), reproductibilité nulle (résultat variable selon l'opérateur), conservation fragmentée des preuves (fichiers locaux, emails), et auditabilité faible (reconstitution manuelle nécessaire). La validation automatisée répond à ces exigences nativement en générant une piste d'audit horodatée, inaltérable et immédiatement disponible.

Quel est le délai pour remettre le registre d'informations à l'ACPR ?

La première remise du registre d'informations (ROI) sur les prestataires TIC était fixée au 15 avril 2025 par l'ACPR. Ce registre doit recenser tous les prestataires de services TIC, y compris les fournisseurs de solutions de vérification documentaire, avec l'identification du prestataire, la nature des services, les fonctions critiques supportées, les dates du contrat et les éventuelles sous-traitances.

Comment DORA et AMLD6 interagissent-ils sur la vérification documentaire ?

DORA et AMLD6 convergent vers une même exigence : la vérification documentaire manuelle ne répond plus aux standards réglementaires. AMLD6 impose la fiabilité des contrôles KYC avec 5 ans de conservation et une traçabilité complète. DORA exige que les systèmes TIC qui supportent ces contrôles soient résilients, audités et testés annuellement. Cette double contrainte rend indispensable l'adoption de solutions automatisées offrant traçabilité native et traitement déterministe.

CheckFile accompagne les établissements financiers dans cette transition : validation automatisée des documents, pistes d'audit complètes, intégration API et conformité aux exigences de gestion des tiers. Découvrez nos tarifs ou contactez notre équipe pour un audit de vos processus documentaires au regard de DORA.

Approfondir le sujet

Découvrez nos guides pratiques et ressources pour maîtriser la conformité documentaire.

Articles associés

Conformité10 min

Gestion des risques tiers (TPRM) : guide complet 2026

Maîtrisez la gestion des risques tiers (TPRM) : cadre réglementaire DORA, évaluation fournisseurs, surveillance continue et conformité ACPR. Guide opérationnel 2026.

Lire
Conformité15 min

Évaluation des risques de conformité : guide complet pour les entreprises françaises

Maîtrisez le compliance risk management : identifiez, évaluez et atténuez vos risques réglementaires selon le cadre ACPR/AMF. Guide pratique 2026.

Lire
Conformité10 min

GRC : gouvernance, risques et conformité — guide complet 2026

Comprendre le cadre GRC (governance risk management compliance) : définition, trois piliers, mise en œuvre en France et outils pour structurer votre programme.

Lire