Skip to content
Cas clientTarifsSécuritéComparatifBlog

Europe

Americas

Oceania

Conformité10 min de lecture

Gestion des risques tiers (TPRM) : guide complet 2026

Maîtrisez la gestion des risques tiers (TPRM) : cadre réglementaire DORA, évaluation fournisseurs, surveillance continue et conformité ACPR. Guide opérationnel 2026.

Sophie Marchand, Directrice Conformité
Sophie Marchand, Directrice Conformité·
Illustration for Gestion des risques tiers (TPRM) : guide complet 2026 — Conformité

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Le third party risk management (TPRM) — gestion des risques liés aux tiers — est devenu une priorité réglementaire de premier plan depuis l'entrée en application du règlement DORA le 17 janvier 2025. 35,5 % des violations de données trouvent leur origine dans la chaîne d'approvisionnement selon l'analyse BEAROPS 2025, et l'ACPR attend désormais des établissements financiers qu'ils documentent chaque étape de leur processus de gestion des prestataires tiers.

Ce guide présente le cadre opérationnel, les exigences réglementaires françaises et européennes, et les pratiques concrètes pour structurer un programme TPRM conforme en 2026.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique, financier ou réglementaire. Pour des questions spécifiques à votre organisation, consultez un professionnel qualifié.

Qu'est-ce que le TPRM ?

Le TPRM (Third-Party Risk Management) est le processus structuré permettant à une organisation d'identifier, d'évaluer, de surveiller et d'atténuer les risques découlant de ses relations avec des prestataires externes — fournisseurs, sous-traitants, partenaires technologiques ou encore prestataires cloud.

La définition réglementaire de référence en France est posée par le règlement DORA (UE) 2022/2554, applicable depuis le 17 janvier 2025, qui impose aux entités financières des exigences précises de gestion du risque lié aux prestataires TIC (DORA, article 28). L'ACPR, en tant qu'autorité de supervision nationale, a complété ce cadre par une notice détaillée publiée en décembre 2024 sur les exigences envers les prestataires tiers de services TIC.

Le TPRM couvre une palette de risques plus large que la seule cybersécurité :

Catégorie de risque Exemples concrets
Risque opérationnel Défaillance d'un prestataire critique, interruption de service
Risque de conformité Non-respect du RGPD, de Sapin II, de la loi sur le devoir de vigilance
Risque cyber Violation de données, attaque via la chaîne d'approvisionnement
Risque de concentration Dépendance excessive à un seul prestataire cloud ou logiciel
Risque réputationnel Scandales chez un sous-traitant affectant la marque
Risque géopolitique Fournisseurs implantés dans des zones à risque

Cadre réglementaire français et européen en 2026

Les obligations DORA pour les entités financières françaises

Depuis le 17 janvier 2025, DORA s'applique à l'ensemble des entités financières françaises — banques, compagnies d'assurance, sociétés de gestion, prestataires de services de paiement, plateformes de crypto-actifs. L'ACPR est le superviseur national chargé de vérifier la conformité.

Les principales obligations DORA relatives au TPRM incluent :

  • Registre des contrats TIC : tenue d'un registre complet de tous les arrangements contractuels avec des prestataires tiers de services TIC (article 28 DORA).
  • Diligence précontractuelle : évaluation des risques avant toute conclusion d'accord, notamment pour les fonctions critiques ou importantes.
  • Exigences contractuelles minimales : les contrats doivent inclure les clauses de l'article 30(2) DORA — droits d'audit, niveaux de service, notification des incidents, stratégies de sortie.
  • Surveillance continue : les établissements ne peuvent pas déléguer leur responsabilité de surveillance à un tiers.
  • Gestion des risques de concentration : évaluation des alternatives en cas de dépendance excessive.

L'enquête ACPR 2024 portant sur 224 organismes d'assurance a révélé que les stratégies de sortie (exit strategies) sont insuffisamment prises en compte chez 43 % des mutuelles répondantes (Synthèse enquête ACPR, février 2025). Ce point constitue un axe prioritaire de contrôle de l'ACPR en 2026.

Sapin II, devoir de vigilance et RGPD

Au-delà de DORA, les entités françaises doivent composer avec :

  • La loi Sapin II (n° 2016-1691), qui impose des vérifications anti-corruption sur les intermédiaires et prestataires.
  • La loi sur le devoir de vigilance (n° 2017-399), applicable aux grandes entreprises, qui exige un plan de vigilance couvrant les risques liés aux sous-traitants et fournisseurs.
  • Le RGPD (règlement (UE) 2016/679), qui impose des garanties contractuelles avec tout sous-traitant traitant des données personnelles pour le compte de l'organisation.

Utiliser CheckFile pour automatiser la collecte et la vérification documentaire auprès de vos fournisseurs réduit significativement le risque de non-conformité sur ces trois axes réglementaires.

Les cinq étapes d'un programme TPRM efficace

1. Inventaire et classification des tiers

Un programme TPRM commence par un inventaire exhaustif de l'ensemble des tiers — prestataires directs, sous-traitants, partenaires technologiques. Chaque tiers est ensuite classifié selon sa criticité :

  • Critique : fonctions essentielles ou importantes au sens de DORA, accès aux données sensibles, dépendance opérationnelle forte.
  • Important : impact modéré en cas de défaillance, accès limité aux données.
  • Standard : prestataires périphériques, impact faible.

Cette classification conditionne l'intensité des diligences et la fréquence des révisions. Selon une étude Whistic 2025, les organisations gèrent en moyenne 286 fournisseurs, ce qui rend la priorisation indispensable.

2. Évaluation précontractuelle (due diligence)

L'évaluation précontractuelle est une obligation explicite de DORA pour les prestataires TIC de services critiques. Elle couvre :

  • La solidité financière du prestataire.
  • Sa posture de sécurité informatique (certifications ISO 27001, SOC 2).
  • Sa conformité réglementaire (RGPD, DORA, sectoriels).
  • Sa capacité à fournir les documents contractuels requis (SLA, plans de continuité, plans de sortie).

CheckFile permet d'automatiser la collecte et la vérification des documents fournis par les prestataires lors de cette étape — attestations, certifications, extraits Kbis, rapports d'audit — avec une détection automatique des pièces manquantes ou expirées.

3. Contractualisation conforme à DORA et au droit français

Les contrats avec les prestataires TIC critiques doivent intégrer les clauses de l'article 30(2) du règlement DORA. Le non-respect de cette obligation expose l'entité à des sanctions de l'ACPR. Les clauses minimales incluent :

  • Description précise des services et niveaux de performance.
  • Droits d'audit et d'inspection pour l'entité financière et ses superviseurs.
  • Modalités de notification des incidents en moins de 4 heures pour les incidents majeurs.
  • Conditions de résiliation et stratégie de sortie documentée.
  • Localisation et régime juridique applicable aux données.

4. Surveillance continue (ongoing monitoring)

La surveillance ponctuelle ne suffit plus. 70 % des parties prenantes n'ont pas de visibilité sur les risques liés à leurs fournisseurs selon le rapport Gartner 2025, et les régulateurs — dont l'ACPR — attendent une surveillance en temps réel, pas des évaluations annuelles statiques.

Les pratiques de surveillance continue comprennent :

  • Révision périodique des questionnaires d'évaluation (fréquence adaptée à la criticité).
  • Surveillance des indicateurs de risque cyber (scores de sécurité externe, alertes sur les CVE).
  • Suivi des évolutions réglementaires et financières du prestataire.
  • Contrôle du respect des SLA et gestion des incidents.

5. Gestion des incidents et stratégie de sortie

DORA exige des entités financières qu'elles disposent de stratégies de sortie testées et documentées pour tous les prestataires TIC critiques. En pratique, cela signifie :

  • Identification d'alternatives crédibles.
  • Plans de migration ou de réintégration testés.
  • Délais de préavis contractuels adaptés à la complexité de la transition.
  • Documentation des dépendances techniques.

Une solution de gestion documentaire automatisée comme CheckFile facilite la constitution du dossier d'audit nécessaire lors des contrôles ACPR, en centralisant l'ensemble des preuves de conformité relatives aux tiers.

Les défis pratiques du TPRM : ce que disent les praticiens

Les forums professionnels spécialisés en conformité identifient régulièrement les mêmes obstacles à la mise en œuvre d'un programme TPRM mature.

Le premier défi est d'obtenir la documentation adéquate des fournisseurs : 48 % des équipes conformité citent cela comme leur principale difficulté selon une enquête de l'ISACA. Les fournisseurs, souvent plus petits que leurs clients, rechignent à partager des informations jugées sensibles — rapports d'audit, politiques de sécurité, plans de continuité.

Le deuxième défi est le manque de ressources internes : 62 % des responsables de la gestion des risques estiment que leur programme TPRM est sous-doté en effectifs, avec un ratio moyen de 33,6 fournisseurs par professionnel du risque selon les données 2025. Dans ce contexte, l'automatisation documentaire devient un levier d'efficacité incontournable.

Les praticiens sur les forums conformité posent souvent cette question : « Comment justifier le budget d'un outil TPRM auprès de la direction ? » La réponse passe par la quantification du coût d'un incident de sécurité via tiers — le coût moyen d'une violation de données s'élevait à 4,88 millions de dollars en 2024 selon IBM (IBM Cost of a Data Breach Report 2024) — et la mise en évidence des pénalités DORA potentielles (jusqu'à 1 % du chiffre d'affaires mondial quotidien pour les prestataires TIC critiques).

La gestion des risques tiers doit également s'intégrer dans une gouvernance plus large des risques. Consultez notre guide GRC complet et notre article sur la conformité documentaire DORA pour approfondir ces thématiques complémentaires.

Construire un programme TPRM : checklist opérationnelle

Un programme TPRM mature repose sur les éléments suivants :

  • Politique TPRM écrite et validée par la direction.
  • Inventaire complet et actualisé des tiers, avec classification par criticité.
  • Questionnaires d'évaluation adaptés au niveau de risque.
  • Registre des contrats TIC conforme à l'article 28 DORA.
  • Clauses contractuelles conformes à l'article 30(2) DORA pour les prestataires critiques.
  • Processus de surveillance continue documenté.
  • Stratégies de sortie testées pour les prestataires critiques.
  • Rapport annuel TPRM présenté à l'organe de direction.
  • Cartographie des risques de concentration.
  • Procédure de gestion des incidents impliquant des tiers.

Pour centraliser la collecte et la vérification des preuves documentaires dans le cadre de ce programme, découvrez CheckFile et ses fonctionnalités d'automatisation de la conformité fournisseurs.

Pour approfondir votre programme de conformité documentaire, consultez notre guide de conformité documentaire.

Questions fréquentes

Qu'est-ce que le TPRM et pourquoi est-il obligatoire en France ?

Le TPRM (Third-Party Risk Management) est l'ensemble des processus permettant d'identifier et de gérer les risques liés aux prestataires tiers. Il est rendu obligatoire pour les entités financières françaises par le règlement DORA (UE) 2022/2554 depuis le 17 janvier 2025, et encadré par l'ACPR en tant que superviseur national.

DORA s'applique-t-il à toutes les entreprises françaises ?

Non. DORA s'applique spécifiquement aux entités financières : banques, assureurs, sociétés de gestion d'actifs, prestataires de services de paiement, établissements de monnaie électronique, plateformes de crypto-actifs, et leurs prestataires TIC critiques. Les entreprises non financières restent soumises à NIS2, à Sapin II et au devoir de vigilance selon leur taille et secteur.

Quelle est la différence entre TPRM et gestion des fournisseurs ?

La gestion des fournisseurs se concentre sur la performance opérationnelle et les conditions commerciales. Le TPRM y ajoute une dimension risque structurée : évaluation de la sécurité, de la conformité réglementaire, de la solidité financière et de la résilience, avec une documentation à destination des superviseurs.

Quels documents doit-on exiger de ses fournisseurs critiques ?

Les documents minimaux pour un prestataire TIC critique sous DORA incluent : le contrat avec les clauses de l'article 30(2), les certificats de sécurité (ISO 27001, SOC 2), le plan de continuité d'activité, le plan de réponse aux incidents, le plan de sortie, et les rapports d'audit récents. L'automatisation de la collecte de ces documents réduit significativement la charge opérationnelle des équipes conformité.

Quelles sanctions encourt-on en cas de non-conformité DORA sur le TPRM ?

L'ACPR dispose de pouvoirs de sanction incluant des amendes administratives, des injonctions de se conformer et des restrictions d'activité. Pour les prestataires TIC tiers critiques directement supervisés par les Autorités de surveillance européennes (ESAs), les pénalités peuvent atteindre 1 % du chiffre d'affaires mondial quotidien en cas de manquement persistant.

Prêt à automatiser vos vérifications ?

Pilote gratuit sur vos propres documents. Résultats en 48 h.

Articles associés

Conformité15 min

Évaluation des risques de conformité : guide complet pour les entreprises françaises

Maîtrisez le compliance risk management : identifiez, évaluez et atténuez vos risques réglementaires selon le cadre ACPR/AMF. Guide pratique 2026.

Lire
Conformité10 min

GRC : gouvernance, risques et conformité — guide complet 2026

Comprendre le cadre GRC (governance risk management compliance) : définition, trois piliers, mise en œuvre en France et outils pour structurer votre programme.

Lire
Conformité11 min

Construire un programme de conformité documentaire de A à Z

Guide méthodologique pour bâtir un programme de conformité documentaire structuré : modèle de maturité en 5 niveaux, obligations LCB-FT, RGPD, KYC et automatisation.

Lire