ARTICLE
8 August 2025

Quelle Incidence Le Règlement Sur La Résilience Opérationnelle Numérique (DORA) Aura-t-il Sur Les Sociétés Canadiennes?

Depuis le 17 janvier 2025, le règlement sur la résilience opérationnelle numérique (Digital Operational Resilience Act; le « règlement DORA ») est en vigueur dans toute l'Union européenne (l'« UE »).
Canada Privacy

Le règlement DORA en bref

Depuis le 17 janvier 2025, le règlement sur la résilience opérationnelle numérique (Digital Operational Resilience Act; le « règlement DORA ») est en vigueur dans toute l'Union européenne (l'« UE »). Il vise à renforcer la résilience numérique des entités financières afin qu'elles puissent faire face aux perturbations liées aux technologies de l'information et de la communication (les « TIC ») et reflète un virage mondial vers des mesures proactives pour veiller à la disponibilité des systèmes financiers de plus en plus numérisés.

Le règlement DORA repose sur cinq piliers de conformité : i) la gestion des risques liés aux TIC; ii) le signalement (ou la notification) et l'intervention en cas de cyberincident; iii) les tests de résilience opérationnelle; iv) la gestion des risques liés aux tiers; et v) le partage de l'information. Chacun de ces piliers joue un rôle dans le renforcement et le maintien de la résilience de l'infrastructure financière de l'UE. Le signalement et l'intervention en cas d'incident mettent l'accent sur l'importance d'employer des mécanismes solides pour réagir aux incidents liés aux TIC et les signaler.

Une préparation adéquate peut favoriser la résilience des institutions financières. En réalisant des tests de résilience opérationnelle, elles peuvent cerner les faiblesses de leurs systèmes et s'adapter en conséquence. La gestion des risques liés aux tiers permet de s'assurer que la responsabilité est bien répartie, ce qui confirme l'importance de la résilience numérique entre les parties et au sein de celles-ci. Le partage de l'information favorise la collaboration et une compréhension mutuellement bénéfique des risques numériques et des réponses appropriées, ce qui renforce la résilience opérationnelle de l'ensemble du secteur.

Le règlement DORA met l'accent sur le suivi, la gestion et le signalement des incidents liés aux TIC. Les entités qui y sont assujetties doivent intervenir et classer les incidents en fonction de leur incidence dans un délai de 24 heures, selon un ensemble de critères prescrits[1]. À la suite du signalement initial, elles sont tenues de produire un rapport intermédiaire dans les 72 heures et un rapport final dans le mois suivant l'incident. Lorsque les circonstances l'exigent, les clients et le public doivent aussi être informés de l'incident.

Le champ d'application

Le règlement DORA s'applique directement aux entités offrant des services financiers au sein de l'UE, y compris les banques, les sociétés d'investissement et les caisses de crédit. Toutefois, les sociétés canadiennes qui exercent des activités dans l'UE doivent se conformer au règlement si elles relèvent de son champ d'application, qui vise les filiales exerçant leurs activités dans l'UE et les tiers fournissant des services de TIC à des institutions financières de l'UE, comme des fournisseurs de services infonuagiques, des plateformes d'analyse de données et des fournisseurs de cybersécurité.

Le règlement exige également que les entités offrant des services financiers au sein de l'UE veillent à ce que leurs chaînes d'approvisionnement respectent les normes de résilience opérationnelle. D'autres obligations incombent aux fournisseurs de services de TIC jugés « critiques ». Par conséquent, les entités à l'extérieur de l'UE qui font partie de ces chaînes d'approvisionnement sentiront probablement qu'elles n'ont pas le choix de respecter le règlement si elles veulent maintenir leurs relations commerciales, leurs activités et les coûts.

La place du règlement DORA dans le régime réglementaire canadien

Les entités financières canadiennes sont actuellement soumises à plusieurs règlements qui assurent la protection de ces secteurs. Par conséquent, le respect du règlement DORA peut aider les sociétés canadiennes à respecter la réglementation des deux côtés de l'océan et à éviter les sanctions et les amendes. Voici un aperçu du contexte dans lequel de nombreuses entités financières canadiennes exercent leurs activités.

À l'échelle fédérale, la consigne sur la gestion du risque lié aux technologies et du cyberrisque du Bureau du surintendant des institutions financières (le « BSIF ») vise à assurer la bonne situation financière des entités sous réglementation fédérale, tandis que la consigne sur le signalement des incidents liés à la technologie et à la cybersécurité exige le signalement obligatoire rapide des incidents. Comme le règlement DORA, le BSIF met aussi l'accent sur la résilience opérationnelle, mais adopte des approches davantage fondées sur des principes que des approches prescriptives.

Au Québec, le récent Règlement sur la gestion et le signalement des incidents de sécurité de l'information de certaines institutions financières et des agents d'évaluation du crédit de l'Autorité des marchés financiers (l'« AMF ») s'appuie sur la Ligne directrice sur la gestion des risques liés aux technologies de l'information et des communications, en vigueur. La gestion des risques liés aux TIC et le signalement des incidents sont donc tout aussi importants pour les entités réglementées à l'échelle provinciale, en particulier en ce qui concerne les institutions financières et leur résilience opérationnelle.

En ce qui a trait au secteur, l'Organisme canadien de réglementation des investissements (l'« OCRI ») a ses propres exigences en matière de signalement des incidents de cybersécurité, qui exigent que les courtiers réglementés gèrent efficacement les incidents de cybersécurité et les déclarent obligatoirement.

Les lois canadiennes sur la protection de la vie privée, tant à l'échelon provincial qu'à l'échelon fédéral, imposent des exigences fondamentales pour assurer la protection des renseignements personnels, y compris des exigences de déclaration à la suite d'incidents liés à la protection de la vie privée2. Ces lois sont semblables à celles encadrant la protection de la vie privée dans l'UE, régies par le Règlement général pour la protection des données (le « RGPD ») et les lois nationales des États membres.

Enfin, et bien qu'ils soient actuellement expirés au Feuilleton, les projets de loi C-26 et C-27 se seraient appliqués à de nombreuses entités du secteur financier et auraient imposé un régime semblable de gestion et de signalement des incidents, assorti d'amendes importantes. Il y a une chance non négligeable que ces projets de loi soient remis sur le tapis et les entités réglementées ayant des pratiques solides auront une longueur d'avance.

En dépit des similitudes entre le régime canadien et le règlement DORA, et de l'existence de ces cadres de gestion des risques liés aux TIC et de signalement des incidents connexes, il faut savoir que le règlement DORA établit des exigences plus prescriptives et exhaustives pour des aspects comme la surveillance des tiers et les tests de résilience.

L'importance du règlement DORA pour les sociétés canadiennes

Il est essentiel que les sociétés financières canadiennes exerçant des activités au sein de l'UE ou faisant partie d'une chaîne d'approvisionnement d'institutions financières de l'UE se tiennent au courant du règlement DORA. Une préparation adéquate et la conformité au règlement sont la clé afin d'atténuer les risques financiers, opérationnels et réputationnels pour l'organisation et les personnes.

Le règlement DORA prévoit trois grandes catégories de sanctions : financières, administratives et pénales.

  • Sanctions financières : Amendes pouvant atteindre 2 % du chiffre d'affaires mondial annuel ou 1 000 000 d'euros. Les tiers fournisseurs de services de TIC critiques peuvent également se voir infliger des amendes allant jusqu'à 5 000 000 d'euros.
  • Sanctions administratives : Les entités peuvent voir leur permis opérationnel être suspendu ou se voir ordonner de prendre des mesures correctives, telles que des améliorations spécifiques de leurs mécanismes de défense en matière de cybersécurité. La perte d'un permis opérationnel constitue un risque lourd de conséquences pour les sociétés de technologies financières, car la perturbation des marchés financiers peut gravement affecter leurs relations et leur présence sur le marché.
  • Sanctions pénales : Les dirigeants pourraient voir leur responsabilité être engagée dans des poursuites pénales pour faute lourde et même être emprisonnés dans des cas extrêmes, à la discrétion de chaque État membre.

Dans l'ensemble, les amendes et les sanctions potentielles du règlement DORA visent à rompre la continuité des activités, le non-respect de la loi pouvant limiter l'accès au marché de l'UE.

L'adoption du règlement DORA témoigne d'un virage mondial plus vaste visant à assurer et à protéger la résilience opérationnelle du secteur financier. Les trois éléments clés de la sécurité, soit la confidentialité, l'intégrité et de la disponibilité, guident ce mouvement et sont essentiels au maintien.

Des règlements comme le DORA dans l'UE et le cadre de cybersécurité de l'AMF au Québec, mentionné ci-dessus, démontrent l'importance croissante de la protection de la sécurité dans les institutions financières, qui deviennent peu à peu dépendantes du monde numérique. Il sera donc de plus en plus important de veiller à la résilience de ces systèmes en cas de perturbation des TIC, ce qui fera de la conformité non seulement une obligation légale, mais aussi une nécessité stratégique.

Comment se préparer?

Pour les sociétés canadiennes ayant des activités dans l'UE, la meilleure façon de se conformer au règlement DORA consiste à examiner leurs pratiques actuelles, car nous soupçonnons que de nombreuses entités ont déjà de telles mesures en place. Néanmoins, la proactivité demeure le mot d'ordre. Il faut mettre en Suvre des processus permettant de réagir rapidement et adéquatement aux cyberincidents. Veiller à ce que la réponse à un incident respecte les exigences mondiales de signalement peut renforcer et maintenir la résilience opérationnelle des entités financières qui exercent des activités au Canada et à l'étranger.

Concrètement, on parle notamment d'élaboration de stratégies de gestion des risques, d'établissement et de mise en Suvre de procédures de réponses, de réalisation de tests de résilience et d'adoption de mesures appropriées, de renforcement des pratiques de gestion des risques liés aux tiers et d'échange d'informations et de résultats entre entités. La mise en place de ces pratiques peut vous aider à vous assurer que votre société a pris toutes les précautions nécessaires, tout comme l'évaluation continue de la conformité, qui permet d'éviter les sanctions et les amendes.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More