Temps de lecture 8 minutes
Le règlement DORA, officiellement le règlement (UE) 2022/2554 relatif à la résilience opérationnelle numérique, est entré en vigueur le 17 janvier 2025 avec un mandat clair : Les institutions financières et tous leurs fournisseurs de technologies concernés doivent être en mesure de démontrer qu'ils opèrent selon des normes de sécurité, de traçabilité et de contrôle vérifiables..
Ce que de nombreux cabinets d'avocats et institutions financières n'ont pas encore intégré, c'est que ce périmètre inclut leurs prestataires de traduction.
Qu’est-ce que la réglementation DORA et qui concerne-t-elle ?
DORA est la réglementation européenne qui harmonise les exigences de résilience opérationnelle numérique pour le secteur financier.
Cela concerne les banques, les assureurs, les gestionnaires de fonds, les sociétés d'investissement, les plateformes de négociation et, surtout, tous les fournisseurs de services TIC qui les prennent en charge, des grandes infrastructures cloud aux fournisseurs plus spécialisés que, jusqu'à présent, personne ne considérait comme faisant partie de la cartographie des risques technologiques.
La réglementation DORA n'interdit pas l'externalisation des services. Elle établit que tout fournisseur externe qui accède à des informations, les traite ou les gère dans le cadre d'une fonction pertinente doit être soumis à une réglementation : identifiés, audités, contractualisés et supervisés.
Pourquoi les services de traduction relèvent du périmètre DORA
La question que se posent, un peu tardivement, de nombreux responsables de la conformité est la suivante : Que se passe-t-il lorsque des informations sensibles provenant d'un client du secteur financier sont envoyées à un prestataire de services linguistiques ?
La réponse, selon la réglementation DORA, est délicate si ce prestataire n'exerce pas son activité dans les conditions appropriées.
Lorsqu'une entreprise comme Uría Menéndez, une banque ou une compagnie d'assurance commande la traduction d'un accord de financement, d'un rapport réglementaire ou d'un rapport de diligence raisonnable, elle transfère des informations hautement sensibles à un tiers.
Si ce tiers utilise des plateformes de traduction automatique publiques, telles que ChatGPT, DeepL en version standard ou Google Translate, le contenu peut être conservé, indexé ou intégré à l'entraînement de modèles externes. Aucun accord de traitement. Sans traçabilité. Incontrôlé.
Il ne s'agit pas seulement d'une question de confidentialité : En vertu de la loi DORA, il s'agit d'un risque TIC tiers non réglementé.
Les risques spécifiques que la réglementation DORA met sur la table
La réglementation DORA identifie la gestion des risques liés aux tiers comme l'un de ses cinq piliers fondamentaux. Pour les prestataires de services de traduction, les points de défaillance les plus fréquents sont les suivants.
Utilisation d'outils non contrôlés. La plupart des prestataires linguistiques traditionnels utilisent des outils de traduction automatique dans leurs processus de travail sans que le client sache de quoi il s'agit, dans quelles conditions ils fonctionnent, ni ce qu'il advient des données traitées. Les plateformes publiques sans version entreprise ne bénéficient pas des garanties contractuelles que la loi DORA exige des fournisseurs de services TIC.
Manque de traçabilité. La loi DORA exige que les entités financières soient en mesure de démontrer qui a accédé à quelles informations, quand et dans quelles conditions. Un prestataire de traduction sans registres vérifiables d'accès, de traitement et de livraison ne peut pas répondre à cette exigence.
Opacité dans la chaîne des sous-traitants. L’article 28 du règlement DORA exige la cartographie des dépendances dans la chaîne d’approvisionnement des TIC. Si le prestataire de traduction sous-traite à des linguistes indépendants qui travaillent dans leur propre environnement avec leurs propres outils, cette chaîne est invisible et donc non auditable.
Manque de résilience opérationnelle. Que se passe-t-il si le prestataire linguistique fait défaut en plein milieu d'un processus réglementaire crucial ? Sans SLA définis, sans plans de continuité et sans infrastructure redondante, le risque opérationnel incombe à l'entité contractante.
La nouvelle norme : le rôle de la traduction dans le risque numérique
La réglementation DORA exige des institutions financières et de leurs conseillers qu'ils repensent la manière dont ils évaluent leurs prestataires linguistiques. Les questions pertinentes ne sont plus seulement « Traduisent-ils bien ? » ou « Combien facturent-ils par mot ? ». Sont:
Ce fournisseur est-il inscrit dans notre registre des accords avec les fournisseurs de services TIC tiers ? Peut-il faire l'objet d'un audit ? Votre chaîne de sous-traitance est-elle identifiée et documentée contractuellement ? Quelles technologies utilise-t-elle et dans quelles conditions ? Avez-vous un plan de continuité d'activité ?
Pour beaucoup d'entités, la réponse honnête aujourd'hui est qu'elles ne savent pas. Et cela constitue, selon la réglementation DORA, un manquement à la conformité.
Comment ATLS réagit au cadre réglementaire DORA
ATLS a bâti son modèle de service précisément en gardant ces questions à l'esprit. Pour ATLS, l'intégration des services linguistiques dans un cadre de gouvernance technologique n'est pas une réponse réactive à la réglementation DORA : C’est dans cette direction qu’elle évolue depuis des années en tant que prestataire spécialisé dans les environnements juridiques et financiers.
En pratique, cela signifie des environnements de traduction fermés et contrôlés, sans aucune exposition aux plateformes publiques. Technologie de traduction automatique de niveau entreprise, avec la possibilité d'utiliser des moteurs dédiés ou un déploiement dans le cloud européen.
Traçabilité complète de chaque projet : qui est intervenu, à quel stade, avec quel outil, et quand. La chaîne d'approvisionnement a été identifiée et alignée contractuellement sur les mêmes normes de confidentialité et de sécurité que celles exigées en interne par le client. Des SLA de reporting définis, surveillés et auditables.
Et surtout, ce qu'aucune solution purement technologique ne peut garantir : Relecture humaine spécialisée dans le contenu juridique et financier, avec des glossaires validés et des mémoires de traduction qui garantissent la cohérence terminologique dans le temps et entre les documents connexes.
DORA comme avantage concurrentiel pour les entités pionnières
La réglementation DORA n'est pas seulement une contrainte de conformité. Pour les entités et les entreprises qui s'y attaquent de manière proactive, cela représente une opportunité de différenciation : démontrer aux clients financiers et aux organismes de réglementation que chaque maillon de leur chaîne de services, y compris les fournisseurs de services linguistiques, est régi par les mêmes critères que ceux qui s'appliquent à leurs fournisseurs de technologies critiques.
La différence entre un prestataire de traduction classique et un prestataire conforme à la réglementation DORA ne réside pas dans la qualité du résultat. Cela réside dans l'infrastructure, les processus, la traçabilité et la capacité à rendre des comptes lorsqu'on le demande.
Transformez votre partenaire de traduction en un atout de conformité
Si votre entreprise travaille déjà à s'adapter à la réglementation DORA, il y a une question clé à laquelle vous ne pouvez pas laisser sans réponse :
Vos prestataires linguistiques se situent-ils dans votre périmètre de risque TIC… ou sont-ils hors de contrôle ?
Chez ATLS, nous aidons les cabinets d'avocats et les institutions financières à intégrer la traduction dans leur cadre de gouvernance, avec traçabilité, contrôle technologique et conformité réelle.
Foire aux questions sur la réglementation DORA
Qu’est-ce que la réglementation DORA et quel est son objectif ?
Il Règlement DORA (Digital Operational Resilience Act) C’est la réglementation européenne qui établit un cadre commun pour garantir la résilience opérationnelle numérique du secteur financier. Son objectif est de permettre aux institutions financières et aux fournisseurs de TIC de résister aux incidents technologiques ou aux cyberattaques, y répondre et s'en remettre sans affecter la continuité du service.
À qui s'applique le règlement DORA ?
Le Règlement DORA Cela s'applique aux banques, aux compagnies d'assurance, aux gestionnaires de fonds, aux sociétés d'investissement et aux autres acteurs du secteur financier, mais aussi à vos fournisseurs de services TIC. Cela inclut toute tierce partie qui traite des données ou participe à des fonctions critiques, élargissant considérablement le champ d'application de la conformité.
Quelles sont les exigences de la réglementation DORA pour les entreprises ?
Le règlement DORA établit cinq grands ensembles d'obligations :
gestion des risques liés aux TIC
Notification d'incident
Tests de résilience opérationnelle
Gestion des risques liés aux tiers
Partage d'informations sur les cybermenaces
En pratique, cela oblige les entreprises à Documentez, auditez et contrôlez l'intégralité de votre infrastructure numérique et de votre chaîne d'approvisionnement..
Pourquoi les prestataires externes sont-ils essentiels dans la réglementation DORA ?
L'un des piliers de la réglementation DORA est le Gestion des risques liés aux tiers dans le domaine des TIC, car de nombreux incidents proviennent de fournisseurs externes. En effet, la réglementation exige l'identification, le suivi et la contractualisation de tous les fournisseurs impliqués dans les services critiques, y compris leur chaîne de sous-traitance.
Quand le règlement DORA entre-t-il en vigueur et qu'implique sa mise en conformité ?
Le règlement DORA est applicable depuis 17 janvier 2025 Et, s'agissant d'un règlement européen, il est directement applicable dans tous les États membres. La conformité implique que les organisations doivent démontrer, preuves vérifiables à l'appui, qu'elles gèrent correctement les risques numériques et que leurs fournisseurs respectent les mêmes normes.
