/
  • Mis à jour :
/
  • 17 min read

DORA vs RGPD, quelle différence ? Guide complet

DORA vs RGPD, quelle différence ? Guide complet

La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA) est une nouvelle réglementation de l’UE visant à renforcer la résilience numérique des institutions financières et de leurs fournisseurs de services tiers. Parallèlement, le règlement général sur la protection des données (RGPD) régit la manière dont les entreprises collectent, stockent, traitent et protègent les données personnelles des individus au sein de l’UE.

Ces deux règlements visent à renforcer la sécurité et à protéger les entreprises et les individus dans l’espace numérique. Comprendre les différences et les similitudes entre DORA et RGPD est crucial pour les institutions opérant dans l’UE, en particulier parce que la confiance dans le numérique augmente, ce qui accroît le risque de cybermenaces.

Ce guide explore les différences DORA vs RGPD, en détaillant leurs définitions, objectifs, différences clés, similitudes et implications pour l’entreprise.

Qu’est-ce que la réglementation DORA ?

La Digital Operational Resilience Act (DORA) est une règlementation européenne sur la cybersécurité conçue pour renforcer la résilience opérationnelle des institutions financières (telles que les banques, les entreprises d’investissement et les compagnies d’assurance) et de leurs fournisseurs de services tiers (y compris les fournisseurs de services de communication de données et de services cloud).

Elle reconnaît la dépendance croissante du secteur financier à l’égard de la technologie numérique et les risques croissants en matière de sécurité qui en découlent. La DORA propose une approche standardisée qui couvre cinq piliers clés afin de garantir des pratiques cohérentes en matière de résilience des TIC dans l’ensemble du secteur :

  1. Gestion des risques liés aux TIC : généraliser la compréhension des risques liés aux TIC et établir des stratégies ou des cadres de gestion solides afin d’atténuer les risques cyber et d’assurer la continuité des activités.
  2. Signalement des incidents liés aux TIC : obligation de signaler les incidents liés aux TIC aux autorités de régulation dans un délai déterminé.
  3. Tests de résilience opérationnelle numérique : tests réguliers des systèmes informatiques pour évaluer la résilience et identifier les vulnérabilités, y compris les tests de pénétration, les tests avec équipe rouge et d’autres évaluations de la sécurité.
  4. Gestion des risques liés aux TIC tiers : vigilance à l’égard des fournisseurs de services tiers, y compris des clauses contractuelles claires sur la gestion des risques et les normes de sécurité.
  5. Partage d’informations et de renseignements : partage de renseignements sur les menaces de cybersécurité afin d’améliorer la résilience collective dans l’ensemble du secteur.

Exigences et délais de mise en conformité avec la réglementation DORA

La loi DORA étant une réglementation obligatoire pour toutes les institutions financières et leurs fournisseurs de services tiers dans l’UE, le non-respect de cette loi peut entraîner des amendes et des atteintes à la réputation. La réglementation DORA a été entièrement implémentée le 17 janvier 2025, ce qui signifie que les entreprises doivent désormais adhérer à ses normes. En voici les principales exigences de conformité et les échéances à garder à l’esprit :

  • Gestion des risques liés aux TIC
  • Vigilance à l’égard des tiers
  • Rapport d’incident
  • Gouvernance
  • Documentation du système
  • Contrats avec les fournisseurs
  • Risques de concentration
  • Surveillance
  • Formation des employés
  • Amélioration continue

D’ici au 30 avril 2025, les institutions financières doivent soumettre leur registre d’information, y compris la documentation sur les fournisseurs de TIC, les fonctions critiques et les accords de sous-traitance. À l’avenir, les rapports trimestriels et annuels sur les incidents TIC en cours, les mesures de résilience et les évaluations des tests tout au long de l’année seront exigés.

Qu’est-ce que la RGPD ?

Le règlement général sur la protection des données (RGPD) est une loi européenne qui régit la collecte, le traitement et la protection des données personnelles pour tous les individus de l’Union européenne. Elle est largement considérée comme la loi la plus stricte au monde en matière de protection de la vie privée et de sécurité. Elle impose des obligations à toutes les entreprises du monde entier qui traitent les données personnelles des citoyens de l’UE, quel que soit leur lieu de résidence. Ce règlement permet aux citoyens de l’UE de mieux contrôler leurs données personnelles et l’utilisation qui en est faite par les entreprises.

Examinons les sept principes fondamentaux de la RGPD :

  1. Légalité, équité et transparence : la collecte et le traitement des données à caractère personnel doivent être effectués de manière légale, juste et transparente pour la personne concernée.
  2. Limitation des finalités : la collecte de données ne doit être effectuée que pour des finalités déterminées et légitimes, qui doivent être clairement communiquées à la personne concernée lors de la collecte.
  3. Minimisation des données : seules les données minimales nécessaires doivent être collectées pour atteindre les objectifs spécifiés.
  4. Exactitude : les données doivent être exactes et actualisées.
  5. Limitation du stockage : les données ne doivent être stockées que si cela est nécessaire, et les entreprises doivent les supprimer lorsqu’elles ne sont plus utiles.
  6. Intégrité et confidentialité : les entreprises doivent traiter les données en toute sécurité, en garantissant leur intégrité et leur confidentialité tout en les protégeant contre les violations et les accès non autorisés.
  7. Responsabilité : les entreprises doivent démontrer leur conformité à la RGPD en adhérant à ces principes.

Exigences de conformité à la RGPD et sanctions

La conformité à la RGPD va au-delà du simple respect des exigences énumérées, elle implique de démontrer les politiques et les procédures que les entreprises ont mises en place pour faire respecter ses principes fondamentaux. Voici une analyse détaillée des exigences de conformité à la RGPD :

  • Base légale et transparence : les entreprises doivent tenir à jour un registre des activités de traitement des données, des détails d’accès et des mesures de protection, y compris les politiques de conservation. Pour les traitements à haut risque, la RGPD exige une évaluation de l’impact sur la protection des données (DPIA), idéalement réalisée lors de la planification du projet. Bien qu’elle ne soit pas toujours obligatoire, elle démontre la conformité à la RGPD. Si un délégué à la protection des données (DPD) est employé, il doit être consulté pour assurer la conformité légale.
  • Sécurité des données : les entreprises doivent implémenter des mesures techniques et organisationnelles pour protéger les données, telles que le chiffrement et l’anonymisation. Ils doivent également former le personnel aux procédures de traitement des données et tenir un registre de cette formation. Les organisations doivent également disposer d’un protocole clair pour répondre aux violations de données qui exposent des données personnelles et doivent signaler les violations dans les 72 heures.
  • Responsabilité et gouvernance les entreprises doivent désigner un responsable de la conformité à la RGPD chargé d’en superviser l’implémentation et de servir de point de contact principal. Cette personne doit être un ou une experte de la RGPD, des lois sur la protection des données et de leur application. Il est généralement recommandé de confier ce rôle à un ou une déléguée à la protection des données (DPD).
  • Droits en matière de protection de la vie privée : les entreprises doivent veiller à ce que les personnes concernées comprennent leurs droits en matière de protection de la vie privée. Elles peuvent notamment demander des copies de leurs données personnelles et invoquer leur « droit à l’oubli », qui leur permet de demander la suppression définitive de leurs données. Les entreprises doivent veiller à ce qu’il soit donné suite à ces demandes et doivent faire preuve de transparence quant à ces processus.
  • Concept de consentement : les entreprises doivent mettre en place un système de consentement qui permet aux personnes concernées de donner leur accord explicite avant que les données ne soient collectées. Les cases pré-cochées ne sont pas autorisées. Les options de consentement doivent être fournies séparément des conditions générales et de différentes manières. Les entreprises doivent églament conserver des traces du consentement obtenu.

Il est important de garder à l’esprit que la non-conformité à la RGPD peut entraîner de lourdes sanctions financières pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).

LIRE AUSSI : Pourquoi NinjaOne protège la vie privée de ses clients pour être conforme à la RGPD

DORA vs RGPD : les principales différences

La DORA et la RGPD ont pour objectif commun de garantir la sécurité des données et la protection des personnes concernées. Cependant, chacune de ces réglementation a des perspectives bien distinctes qu’il est essentiel de comprendre. Voici les principales différences entre DORA et RGPD :

Champs d’application

La DORA se concentre sur la résilience opérationnelle des TIC, en fournissant un cadre harmonisé pour les institutions financières et leurs fournisseurs tiers afin de se prémunir contre les risques liés à la cybersécurité et aux TIC qui pourraient perturber les opérations.

La RGPD se concentre quant à elle sur la confidentialité et la protection des données, en réglementant la collecte, le traitement, le stockage et le partage des données personnelles pour les individus dans l’UE. Elle donne la priorité aux droits des utilisateurs et vise à empêcher l’utilisation abusive des données et à garantir des pratiques transparentes en matière de traitement des données.

Objectifs de la DORA vs ceux de la RGPD

L’accent mis sur la gestion des risques liés à la cybersécurité est ce qui différencie DORA et RGPD. Le DORA reconnaît la dépendance croissante des institutions financières à l’égard de la technologie numérique, ainsi que les risques croissants que cela implique. Son objectif est de garantir la sécurité des opérations numériques et la résilience face aux cybermenaces.

La RGPD donne quant à elle la priorité à la confidentialité des données personnelles, en permettant aux utilisateurs de mieux les contrôler, quelle que soit l’entreprise ou l’industrie avec laquelle ils interagissent dans le monde entier.

À qui s’applique la DORA et à qui s’applique la RGPD

La réglementation DORA s’applique aux institutions financières telles que les banques, les compagnies d’assurance, les entreprises d’investissement, les établissements de crédit, les fournisseurs de services de crypto-actifs et les processeurs de paiement, ainsi qu’aux fournisseurs de services TIC tiers, y compris les fournisseurs de services cloud, les centres de données et les vendeurs de logiciels au sein de l’UE.

De son côté, la RGPD s’applique à toutes les entreprises du monde qui traitent les données personnelles des citoyens de l’UE, quelle que soit leur localisation.

Conformité DORA vs conformité RGPD

La conformité à la DORA se concentre sur l’implémentation de cadres solides de gestion des risques liés aux TIC, qui comprennent une surveillance continue, des tests de cybersécurité, des rapports d’incidents et la garantie que les fournisseurs tiers respectent les normes de sécurité.

De son côté, la conformité à la RGPD couvre des mesures de protection des données plus larges, notamment la gestion des données personnelles. Elle exige des entreprises qu’elles démontrent comment elles assurent l’accès aux données et leur portabilité, le stockage sécurisé et le chiffrement, les demandes de suppression de données et les notifications de violation.

Applications

La DORA est supervisée et appliquée par les autorités de régulation financière qui comprennent l’Autorité bancaire européenne (ABE), l’Autorité européenne des assurances et des pensions professionnelles (AEAPP), l’Autorité européenne des marchés financiers (AEMF) et les régulateurs financiers nationaux.

La RGPD est appliquée par les autorités de protection des données, telles que le Comité européen de protection des données (EDPB), les agences nationales de protection des données dans chaque État membre de l’UE et les autorités de contrôle.

Similitudes

Bien que DORA et RGPD s’inscrivent dans des perspectives différentes, certains de leurs aspects les rendent complémentaires. Parmi les principales similitudes entre le DORA et le RGPD, on peut citer :

Gestion des risques et rapports d’incidents

La DORA et la RGPD ont été établies pour faire face aux risques croissants dans un espace numérique toujours en expansion. Ces réglementations imposent des cadres de gestion des risques solides aux entités qui entrent dans leur champ d’application.

Toutes deux exigent également que les incidents soient signalés dans des délais stricts afin d’assurer une amélioration continue de la gestion des risques. La réglementation DORA impose de signaler les incidents de cybersécurité aux régulateurs dans des délais déterminés, tandis que la RGPD exige des entreprises qu’elles signalent les violations de données dans les 72 heures.

Exigences strictes en matière de conformité et sanctions

Il existe d’énormes différences entre les exigences de conformité de la DORA et celles de la RGPD. Cependant, toutes deux appliquent des normes de conformité strictes. La DORA impose des tests de résilience, des cadres de sécurité et des audits de conformité, tandis que la RGPD se concentre sur les politiques de confidentialité des données, le chiffrement, le consentement et la gestion du traitement des données.

Les deux réglementations prévoient également des sanctions sévères. La réglementation DORA prévoit des amendes sévères, des restrictions commerciales et des conséquences juridiques, tandis que la réglementation RGPD impose des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, ainsi qu’une atteinte potentielle à la réputation en cas d’infraction.

Protéger les consommateurs et les entreprises contre les cybermenaces

Avant tout, la DORA et la RGPD partagent le même objectif de protection des consommateurs et des entreprises contre les cybermenaces. Les deux réglementations fournissent des lignes directrices standardisées pour aider les institutions à se protéger et à protéger leurs consommateurs lorsqu’elles utilisent la technologie numérique pour leurs opérations quotidiennes, alors que la technologie continue d’évoluer et de devenir plus complexe.

Implications pour les entreprises

DORA et RGPD sont des réglementations complexes ayant un impact significatif sur les entreprises. La non-conformité peut entraîner des sanctions sévères et porter atteinte à la réputation, à l’intégrité et à la fiabilité d’une entreprise. Cependant, la conformité contribue à créer un environnement sûr pour les institutions, leur personnel et les consommateurs, garantissant ainsi confiance et résilience.

Comment se préparer à la mise en conformité à la DORA et à la RGPD ?

Les entreprises doivent comprendre les principes fondamentaux des deux réglementations et élaborer des cadres complets pour les faire respecter selon les normes les plus strictes.

Pour la réglementation DORA, les institutions financières doivent établir des cadres de gestion des risques liés aux TIC, des tests de résilience et des plans de réponse aux incidents, et s’assurer que les fournisseurs tiers respectent les exigences de sécurité de la DORA.

Pour la RGPD, les entreprises doivent implémenter des plans de protection des données, une gestion des consentements et des politiques de traitement des données, et appliquer un chiffrement et des contrôles d’accès solides pour protéger les données personnelles.

Chevauchement des exigences de conformité entre DORA et RGPD

Les deux règlements ayant un objectif commun, certaines exigences se recoupent, ce qui peut être bénéfique pour les établissements tenus de se conformer aux deux. Les réglementations DORA et RGPD sont strictes en ce qui concerne la déclaration des incidents, l’évaluation des risques et le contrôle continu. Les entreprises doivent harmoniser leurs politiques de sécurité, de conformité et de protection de la vie privée afin de garantir une approche unifiée de la protection des données et de la cybersécurité.

De plus, les institutions financières concernées par la DORA sont également soumises à la RGPD. Ceux qui traitent des données financières et personnelles doivent intégrer les mesures de cybersécurité de la DORA aux principes de protection des données de la RGPD.

Le rôle de la sécurité informatique, des équipes juridiques et des responsables de la conformité pour garantir le respect des règles

Les équipes de sécurité informatique sont chargées de surveiller cybermenaces, de les empêcher et d’y répondre, ainsi que d’implémenter des mesures de sécurité des données afin de maintenir un environnement numérique sécurisé. Elles travaillent en étroite collaboration avec les équipes juridiques et de conformité, qui veillent à ce que toutes les exigences réglementaires en vertu de la DORA et de la RGPD soient pleinement respectées.

Conclusion

L’Union européenne s’est engagée à lutter contre les risques liés à la cybersécurité, les réglementations DORA et RGPD constituant des étapes majeures dans la sécurisation du secteur financier numérique. La DORA aide le secteur financier à gérer les complexités numériques et les risques opérationnels, en garantissant la résilience des opérations quotidiennes. Parallèlement, la RGPD se concentre sur la protection des personnes, en créant un environnement numérique sûr dans lequel les données des citoyens de l’UE sont protégées et où ils ont le contrôle de leurs informations personnelles.

Pour les entreprises concernées par ces deux réglementations, adopter d’une approche intégrée qui aligne la gestion des risques liés aux TIC sur les principes de protection des données peut grandement contribuer aux efforts de mise en conformité. La collaboration interfonctionnelle entre les équipes de sécurité informatique, juridiques et de conformité doit également être strictement observée pour garantir une adhésion totale à la DORA et à la RGPD.

Pour plus de détails, consultez les ressources ci-dessous (en anglais).

Foire aux questions (FAQ)

  • Comment la loi DORA affecte-t-elle les institutions financières ?

La DORA impose des mesures de cybersécurité plus strictes et une gestion des risques liés aux TIC aux institutions financières et à leurs fournisseurs de services tiers. Elle vise spécifiquement à prévenir les cybermenaces et les défaillances opérationnelles dans le secteur financier.

  • La RGPD s’applique-t-elle à la cybersécurité ?

Oui, la RGPD comporte des exigences strictes en matière de cybersécurité liées à la protection des données, au chiffrement et à la notification des violations. L’accent mis sur la confidentialité des données nécessite l’intégration des meilleures pratiques en matière de cybersécurité.

  • Quelles sont les entreprises qui doivent se conformer à la réglementation DORA ?

La réglementation DORA s’applique à toutes les institutions financières de l’UE, ainsi qu’à leurs fournisseurs de services tiers qui soutiennent le secteur financier.

Commencer votre essai gratuit

Vous pourriez aussi aimer

Quels sont les 5 piliers DORA ?

Quels sont les 5 piliers DORA ?

Qu'est-ce que le contrat de licence de l'utilisateur final (CLUF) dans Windows et comment le trouver ?

Qu’est-ce que le contrat de licence de l’utilisateur final (CLUF) dans Windows et comment le trouver ?

Excellence du service

Excellence du service : L’avantage concurrentiel dont les entreprises MSP ont besoin en 2025

MSP Sales Cadences Stats illustration

Vendre des services informatiques gérés : Stratégies clés pour que les MSP développent leurs activités

Vendre des services informatiques gérés : 5 étapes qui favorisent l’acquisition de clients

Le guide ultime de l’utilisation des chatbots pour la génération de leads en tant que MSP

Retour à la page d'accueil du blog
Prêt à simplifier les aspects les plus complexes de l'informatique et de la sécurité ?
Démarrer un essai gratuit
Demandez une démo
×

Voir NinjaOne en action !

En soumettant ce formulaire, j'accepte la politique de confidentialité de NinjaOne.

Termes et conditions NinjaOne

En cliquant sur le bouton « J’accepte » ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriété: NinjaOne possède et continuera de posséder tous les droits, titres et intérêts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitée pour l’utilisation du script conformément à ces conditions légales.
  • Limitation de l’utilisation: Les scripts ne peuvent être utilisés qu’à des fins personnelles ou professionnelles internes légitimes et ne peuvent être partagés avec d’autres entités.
  • Interdiction de publication: Vous n’êtes en aucun cas autorisé à publier le script dans une bibliothèque de scripts appartenant à, ou sous le contrôle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilité: Le texte est fourni « tel quel » et « tel que disponible », sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de défauts ou qu’il répondra à vos besoins ou attentes particulières.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilité. Vous reconnaissez qu’il existe certains risques inhérents à l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonération de responsabilité: Vous ne tiendrez pas NinjaOne pour responsable des conséquences négatives ou involontaires résultant de votre utilisation du script, et vous renoncez à tout droit ou recours légal ou équitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous êtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).
J'accepte