DORA réglementation CGP25 février 2026

DORA réglementation CGP : obligations et conformité

Le règlement DORA s'applique-t-il aux CGP ? Découvrez vos obligations de résilience numérique, cybersécurité et comment vous y conformer facilement.

DORA réglementation CGP : ce que vous devez vraiment savoir en 2025

Dora réglementation cgp — Le règlement DORA (Digital Operational Resilience Act), entré en application le 17 janvier 2025, est un texte européen qui impose aux entités financières des exigences de résilience opérationnelle numérique, incluant la gestion des risques informatiques, la déclaration des incidents TIC et le contrôle des prestataires tiers. Pour les conseillers en gestion de patrimoine (CGP), son application directe dépend de leur statut réglementaire, mais ses exigences influencent indirectement l'ensemble de la profession.

Interface de tableau de bord de conformité réglementaire numérique pour conseiller en gestion de patrimoine, style SaaS professionnel en bleu marine et blanc

Depuis le 17 janvier 2025, le règlement DORA réglementation CGP est sur toutes les lèvres dans le secteur financier. Pourtant, rares sont les conseillers en gestion de patrimoine qui savent précisément si ce texte les concerne, et dans quelle mesure. DORA — pour Digital Operational Resilience Act — est un règlement européen qui impose aux acteurs financiers de renforcer leur résilience face aux risques numériques : pannes informatiques, cyberattaques, défaillances de prestataires cloud. Si vous exercez sous statut CIF ou IAS, la réponse n'est pas aussi simple qu'un oui ou non. Ce guide vous explique clairement le périmètre d'application de DORA, vos obligations réelles en tant que CGP indépendant, et les actions concrètes à mettre en place pour sécuriser votre cabinet — sans transformer votre quotidien en audit permanent. À la clé : une conformité maîtrisée, documentée, et proportionnée à votre taille.

Chiffres clés

  • Le règlement DORA est entré en vigueur le 16 janvier 2023 et s'applique obligatoirement depuis le 17 janvier 2025 pour toutes les entités financières dans son périmètre. Règlement (UE) 2022/2554 du Parlement européen et du Conseil
  • DORA couvre explicitement plus de 20 catégories d'entités financières, dont les entreprises d'investissement, les établissements de crédit et les sociétés de gestion, mais prévoit un principe de proportionnalité pour les entités de petite taille. Article 4 du règlement DORA (UE) 2022/2554
  • Les CGP exerçant sous statut CIF (Conseiller en Investissements Financiers) ne sont pas directement soumis à DORA, mais leurs prestataires numériques (CRM, cloud, agrégateurs) peuvent l'être, ce qui génère des obligations contractuelles indirectes. Analyse AMF et doctrine ACPR sur le périmètre des intermédiaires financiers indépendants

Schéma infographique des obligations réglementaires numériques pour les intermédiaires financiers, illustrant la résilience opérationnelle et la cybersécurité en style rapport financier minimaliste

Le règlement DORA s'applique-t-il directement aux CGP ?

C'est la première question que se posent les conseillers en gestion de patrimoine face à DORA. La réponse honnête est nuancée : dans la majorité des cas, un CGP exerçant sous statut CIF (Conseiller en Investissements Financiers) n'est pas une entité directement soumise au règlement DORA tel que défini à l'article 2 du règlement (UE) 2022/2554. Le texte cible en priorité les établissements de crédit, les entreprises d'investissement de taille significative, les sociétés de gestion de portefeuille, les compagnies d'assurance et les infrastructures de marché.

Cependant, deux situations placent un CGP dans l'orbite de DORA. Premièrement, si votre cabinet exerce une activité d'entreprise d'investissement au sens MiFID II avec un agrément étendu, vous pouvez entrer dans le périmètre selon votre taille et vos activités. Deuxièmement, et c'est le cas le plus courant, vos prestataires numériques — logiciel CRM, agrégateur de comptes, plateforme de souscription, stockage cloud — peuvent eux-mêmes être soumis à DORA en tant que prestataires tiers TIC critiques. Dans ce cas, DORA vous impose indirectement des obligations contractuelles : vos contrats avec ces prestataires doivent inclure des clauses spécifiques de résilience, d'audit et de continuité de service.

Le principe de proportionnalité inscrit dans DORA est une bonne nouvelle pour les petites structures. Les entités de petite taille bénéficient d'un cadre simplifié. Mais attention : proportionnalité ne signifie pas exemption. Une documentation minimale de vos risques TIC reste attendue, et l'AMF peut l'exiger dans le cadre de ses contrôles.

Le principe de proportionnalité : une protection pour les petits cabinets

DORA a été conçu en tenant compte de la diversité des acteurs financiers européens. L'article 4 du règlement prévoit explicitement que les entités de petite taille et à profil de risque faible peuvent appliquer un cadre de gestion des risques TIC simplifié. Pour un CGP indépendant ou un cabinet de taille modeste, cela signifie concrètement que vous n'avez pas à déployer une infrastructure de cybersécurité comparable à celle d'une banque. En revanche, vous devez être en mesure de démontrer que vous avez identifié vos risques numériques, que vous avez des procédures basiques en place, et que vos contrats prestataires intègrent les garanties minimales attendues par le régulateur.

Quelles obligations de cybersécurité concrètes pour un cabinet CGP ?

Même si DORA ne s'applique pas directement à votre cabinet, plusieurs réglementations déjà en vigueur vous imposent des obligations de sécurité numérique qui convergent vers les mêmes exigences. MiFID II, le RGPD, et les recommandations de l'AMF construisent ensemble un socle de cybersécurité que tout CGP professionnel doit respecter.

Premièrement, le RGPD impose une obligation de sécurité des données personnelles de vos clients (article 32 du règlement (UE) 2016/679). Concrètement : chiffrement des données sensibles, contrôle des accès, journalisation des connexions, et plan de réponse aux violations de données. Une fuite de données clients non déclarée à la CNIL dans les 72 heures expose votre cabinet à des sanctions significatives.

Deuxièmement, MiFID II exige que vous disposiez de systèmes et procédures adaptés pour assurer la continuité et la régularité de vos services. L'AMF traduit cela par des attentes sur la disponibilité de vos outils, la sauvegarde de vos données clients et la traçabilité de vos opérations.

Troisièmement, si vous travaillez avec des compagnies d'assurance dans le cadre de la DDA (Directive sur la Distribution d'Assurances), celles-ci peuvent vous imposer des standards de sécurité contractuels alignés avec leurs propres obligations DORA.

En pratique, les obligations de cybersécurité d'un CGP se traduisent par cinq axes opérationnels : l'inventaire de vos actifs numériques, la gestion des accès et des mots de passe, la sauvegarde régulière et testée des données, un plan de continuité d'activité documenté, et la vérification contractuelle de vos prestataires SaaS.

L'intersection DORA-RGPD : deux textes, une même logique de protection

DORA et le RGPD partagent une philosophie commune : anticiper les risques plutôt que les subir. Pour un CGP, la bonne nouvelle est que les actions entreprises pour être conforme au RGPD — cartographie des données, procédures de sécurité, gestion des sous-traitants — couvrent une grande partie des attentes indirectes de DORA. Documenter vos mesures de sécurité dans votre registre de traitement RGPD, c'est aussi constituer les preuves que demandera votre régulateur en cas de contrôle. Un seul effort de documentation, un double bénéfice de conformité.

Comment se mettre en conformité DORA en tant que CGP : le plan d'action pratique

La mise en conformité DORA pour un CGP ne nécessite pas un budget informatique de grande entreprise. Elle requiert de la méthode, de la documentation, et une veille régulière. Voici un plan d'action structuré et proportionné à la réalité d'un cabinet indépendant.

Étape 1 — Cartographiez vos outils numériques. Listez tous les logiciels, plateformes et services cloud que vous utilisez dans votre activité : CRM, outil de reporting, agrégateur, messagerie professionnelle, stockage de documents. Pour chaque outil, identifiez le prestataire, le type de données traitées, et le niveau de dépendance opérationnelle.

Étape 2 — Auditez vos contrats prestataires. DORA impose aux entités dans son périmètre d'inclure dans leurs contrats TIC des clauses précises : niveaux de service (SLA), droit d'audit, plans de continuité, localisation des données, procédures de sortie. Même si vous n'êtes pas directement soumis à DORA, vérifier que vos prestataires respectent ces exigences vous protège en cas d'incident et rassure vos propres clients.

Étape 3 — Formalisez un plan de continuité d'activité (PCA) simplifié. Que se passe-t-il si votre CRM est indisponible pendant 48 heures ? Si vous perdez l'accès à vos données clients ? Un PCA documenté, même simple, démontre votre sérieux au régulateur et limite les impacts opérationnels réels.

Étape 4 — Mettez en place une veille réglementaire structurée. DORA est un règlement vivant : des actes délégués et des normes techniques de réglementation (RTS/ITS) précisent régulièrement ses modalités d'application. L'AMF et l'ACPR publient régulièrement des guides pratiques. Une veille automatisée vous évite de manquer une évolution qui vous concerne.

Étape 5 — Documentez et tracez. En matière de conformité, ce qui n'est pas écrit n'existe pas. Chaque mesure mise en place doit être documentée : date de mise en œuvre, responsable, périmètre couvert. Cette traçabilité est votre meilleure protection lors d'un contrôle AMF.

Les prestataires SaaS de votre cabinet sont-ils conformes DORA ?

Un point souvent négligé par les CGP : si votre fournisseur de logiciel de gestion de patrimoine ou votre agrégateur de comptes est classé comme prestataire tiers TIC critique par le régulateur, il doit lui-même être conforme à DORA. Vérifiez que votre prestataire SaaS publie une documentation sur sa conformité DORA, qu'il propose des clauses contractuelles adaptées, et qu'il est en mesure de vous fournir un rapport sur ses tests de résilience. Choisir des outils conformes, c'est réduire votre propre exposition réglementaire sans effort supplémentaire.

DORA, MiFID II, DDA, RGPD : comprendre le paysage réglementaire numérique du CGP

Pour un conseiller en gestion de patrimoine, DORA ne s'analyse pas de manière isolée. Il s'inscrit dans un ensemble réglementaire cohérent que vous connaissez déjà partiellement. Comprendre les interactions entre ces textes vous permet d'adopter une approche de conformité intégrée, plus efficace et moins chronophage.

MiFID II (Directive sur les Marchés d'Instruments Financiers) pose les bases de vos obligations organisationnelles : systèmes adéquats, procédures de contrôle, continuité de service. Elle crée déjà une attente implicite de résilience numérique que DORA vient formaliser pour les entités dans son périmètre.

La DDA (Directive sur la Distribution d'Assurances) vous impose des obligations de formation, de conseil et de documentation qui reposent largement sur des outils numériques. La disponibilité de ces outils devient donc un enjeu de conformité DDA autant que de résilience DORA.

Le RGPD partage avec DORA l'exigence de sécurité des systèmes et des données. Les mesures techniques et organisationnelles que vous documentez pour le RGPD constituent le socle de votre résilience numérique.

La réglementation PSAN/MiCA concerne les CGP qui conseillent ou distribuent des actifs numériques. Dans ce cas, les exigences de sécurité et de résilience sont encore plus strictes, et DORA peut s'appliquer à leurs prestataires de manière plus directe.

La bonne pratique est d'adopter une cartographie réglementaire unifiée : un seul inventaire de vos processus et outils numériques, annoté selon chaque texte applicable. Cela évite la duplication des efforts et donne une vision claire à votre responsable de la conformité — ou à vous-même si vous exercez seul.

Veille réglementaire DORA : rester à jour sans y passer ses journées

DORA est entré en application le 17 janvier 2025, mais son cadre normatif continue d'évoluer. Les autorités européennes de surveillance (EBA, ESMA, EIOPA) publient régulièrement des normes techniques de réglementation (RTS) et des orientations qui précisent les modalités pratiques d'application du règlement. L'AMF et l'ACPR, de leur côté, traduisent ces textes en guidance nationale et peuvent publier des positions spécifiques pour les intermédiaires financiers indépendants.

Pour un CGP, suivre cette évolution réglementaire représente un défi réel : les textes sont techniques, nombreux, et leur impact sur votre activité quotidienne n'est pas toujours évident à évaluer. C'est précisément là que la veille réglementaire automatisée prend tout son sens.

Une veille efficace sur DORA doit couvrir au minimum : les publications du Journal Officiel de l'Union Européenne relatives à DORA et ses actes délégués, les communiqués de l'AMF et de l'ACPR sur la résilience numérique, les recommandations sectorielles de l'ENISA (Agence de l'Union européenne pour la cybersécurité) à destination du secteur financier, et les mises à jour de vos prestataires SaaS sur leur propre conformité.

Mettre en place des alertes manuelles est possible mais fastidieux. Des outils de veille réglementaire automatisée permettent de centraliser ces informations, de les filtrer selon votre profil réglementaire, et de recevoir uniquement ce qui est pertinent pour votre activité — sans bruit informationnel inutile. C'est un investissement de temps qui se rentabilise très rapidement, notamment lors des contrôles AMF où la démonstration d'une veille active est valorisée.

Glossaire

DORA : Digital Operational Resilience Act, règlement européen (UE) 2022/2554 imposant la résilience numérique aux entités financières depuis janvier 2025. TIC : Technologies de l'Information et de la Communication — terme réglementaire désignant l'ensemble des systèmes informatiques et réseaux utilisés dans l'activité. Résilience opérationnelle numérique : Capacité d'une entité à maintenir ses opérations, détecter les incidents et se rétablir face aux perturbations informatiques. CIF : Conseiller en Investissements Financiers, statut réglementaire français encadré par l'AMF, principal statut des CGP indépendants. Prestataire tiers TIC : Fournisseur externe de services numériques (cloud, logiciels SaaS, agrégateurs) dont dépend une entité financière pour son activité. Proportionnalité DORA : Principe permettant aux petites entités financières d'appliquer des exigences DORA allégées, adaptées à leur taille et profil de risque. PSEE : Prestataire de Services sur Actifs Numériques Enregistré — désignation française pour les acteurs crypto soumis à la réglementation PSAN/MiCA.

Questions fréquentes

Le règlement DORA s'applique-t-il aux CGP ?

Dans la majorité des cas, un CGP exerçant sous statut CIF n'est pas directement soumis au règlement DORA. Le texte cible en priorité les établissements de crédit, entreprises d'investissement de taille significative et sociétés de gestion. Cependant, les CGP sont concernés indirectement : leurs prestataires numériques (CRM, cloud, agrégateurs) peuvent être soumis à DORA, ce qui génère des obligations contractuelles pour le CGP. De plus, les exigences de MiFID II et du RGPD convergent vers les mêmes attentes de résilience numérique.

Quelles obligations de cybersécurité s'imposent à un cabinet CGP en 2025 ?

Un cabinet CGP a plusieurs obligations de cybersécurité issues de textes différents. Le RGPD impose la sécurité des données personnelles clients (chiffrement, contrôle des accès, plan de réponse aux incidents). MiFID II exige des systèmes assurant la continuité du service et la traçabilité des opérations. En pratique, cela se traduit par : inventaire des outils numériques, gestion des accès, sauvegardes testées, plan de continuité documenté, et vérification contractuelle des prestataires SaaS.

Comment se mettre en conformité DORA en tant que CGP indépendant ?

Pour un CGP indépendant, la mise en conformité avec les exigences DORA indirectes se fait en cinq étapes : (1) cartographier tous les outils numériques utilisés, (2) auditer les contrats prestataires pour vérifier les clauses de résilience, (3) formaliser un plan de continuité d'activité simplifié, (4) mettre en place une veille réglementaire structurée sur les évolutions de DORA, et (5) documenter et tracer toutes les mesures mises en œuvre. Le principe de proportionnalité de DORA permet une approche allégée pour les petites structures.

Qu'est-ce que le principe de proportionnalité dans DORA ?

Le principe de proportionnalité de DORA, inscrit à l'article 4 du règlement (UE) 2022/2554, permet aux entités de petite taille et à profil de risque faible d'appliquer un cadre de gestion des risques TIC simplifié. Cela ne signifie pas une exemption totale, mais des obligations allégées : documentation basique des risques, mesures de sécurité adaptées à la taille du cabinet, sans nécessité de déployer une infrastructure comparable à celle d'une grande banque.

Mes logiciels SaaS de gestion de patrimoine doivent-ils être conformes à DORA ?

Si votre fournisseur SaaS est classé comme prestataire tiers TIC critique au sens de DORA, il doit être lui-même conforme au règlement. En pratique, vous devez vérifier que vos contrats incluent des clauses DORA (SLA, droit d'audit, plan de continuité, procédures de sortie) et que votre prestataire peut documenter sa conformité. Choisir des outils conformes à DORA réduit votre exposition réglementaire indirecte et constitue un argument de qualité vis-à-vis de vos clients.

Simplifiez votre conformité

Glyphe automatise votre veille réglementaire et génère vos documents de conformité en quelques clics.

Essayer Glyphe gratuitement

En résumé

  • DORA est obligatoire depuis le 17 janvier 2025 pour les entités financières dans son périmètre, mais les CGP sous statut CIF ne sont pas directement visés.
  • Les CGP sont concernés indirectement : leurs prestataires numériques (CRM, cloud, outils SaaS) peuvent être soumis à DORA, entraînant des clauses contractuelles spécifiques.
  • Un CGP doit néanmoins documenter sa gestion des risques informatiques pour répondre aux exigences MiFID II, RGPD et aux recommandations de l'AMF.
  • Le principe de proportionnalité de DORA allège les obligations pour les petites structures, mais une politique minimale de cybersécurité reste indispensable.

DORA réglementation CGP : le message essentiel est celui de la proportionnalité et de l'anticipation. Si vous exercez sous statut CIF, vous n'êtes probablement pas directement soumis au règlement DORA — mais vos obligations de résilience numérique existent bel et bien, portées par le RGPD, MiFID II et la DDA. Vos prestataires numériques, eux, peuvent être dans le périmètre DORA, ce qui crée des obligations contractuelles que vous devez vérifier. La bonne approche : une cartographie claire de vos outils, des contrats vérifiés, un plan de continuité documenté, et une veille réglementaire active. Ce socle de conformité numérique vous protège, rassure vos clients, et démontre votre professionnalisme à l'AMF. Commencer dès maintenant, avec méthode, est toujours préférable à une mise en conformité précipitée sous pression d'un contrôle.

Automatisez votre conformité

glyphe gère votre KYC, vos documents et vos échéances. Essayez gratuitement.

Rejoindre la bêta