Cet article est à des fins d’information uniquement et ne constitue pas un conseil financier ou d’investissement. Les marchés des cryptomonnaies sont très volatils. Faites toujours vos propres recherches avant de prendre des décisions d’investissement.
Le Digital Operational Resilience Act (DORA) impose de nouvelles exigences opérationnelles strictes pour chaque entreprise crypto servant des utilisateurs dans l’Union européenne. À partir du 17 janvier 2025, la conformité à DORA est obligatoire pour les entreprises de cryptomonnaies basées dans l’UE et hors de l’UE.
Si vous ne respectez pas ces règles, vous perdrez l’accès au vaste marché de l’UE, selon les conseils réglementaires d’Innreg. Des rapports de Coincover montrent que ces exigences vont bien au-delà des normes précédentes en insistant sur le fait que les entreprises de cryptomonnaies doivent protéger les retraits et les fonds des clients contre les pannes technologiques ou les cyberattaques, ce qui oblige les entreprises d’actifs numériques à revoir leur planification de la résilience et leur gouvernance. Le régime de DORA s’applique à chaque entreprise : grandes bourses, applications de portefeuille marginales et même fournisseurs informatiques tiers qui soutiennent les plateformes orientées vers l’UE. C’est pourquoi la préparation est désormais urgente dans toute l’industrie.
DORA introduit des normes opérationnelles fondamentales qui changent la manière dont les entreprises de cryptomonnaies doivent gérer la continuité des services, la sécurité et la gestion des risques. L’analyse sectorielle de Coincover le rend clair : chaque entreprise de cryptomonnaies doit maintenir les services aux clients, surtout lorsque les utilisateurs ont besoin d’accéder à des dépôts et de faire des retraits, même en cas de panne technologique ou de cyberattaque.
Applicabilité aux entreprises de l’UE et hors de l’UE
Un fait important : DORA jette un filet très large qui touche bien au-delà des seuls pays de l’UE. La loi explique que DORA s’applique définitivement aux entreprises de cryptomonnaies étrangères servant même un seul client basé dans l’UE. Peu importe où se trouve cette entreprise, donc les anciennes exemptions de “passeport” pour les entreprises hors de l’UE travaillant avec des résidents européens sont désormais disparues. Si vous commercialisez, fournissez ou soutenez des services d’actifs cryptographiques aux utilisateurs de l’UE, la conformité à DORA n’est plus optionnelle.
Les conseils sectoriels de fin 2025 confirment cela : les bourses de cryptomonnaies, les fournisseurs de portefeuilles de garde, les courtiers. Les fournisseurs informatiques doivent tous effectuer un examen complet de conformité s’ils opèrent dans l’UE, directement ou indirectement. DORA couvre également les fournisseurs de technologie tiers : les partenaires cloud, de sécurité et d’infrastructure soutenant les utilisateurs de l’UE sont soumis à ses règles. Les autorités peuvent infliger des amendes ou même suspendre tout fournisseur servant le marché de l’UE sans respecter les normes de DORA, donc le risque est omniprésent pour les entreprises non préparées. Les sanctions peuvent inclure la suspension forcée des activités dans l’UE, et il est clair que les entreprises ne peuvent pas se permettre d’ignorer DORA.
Avec des règles comme celles-ci, l’UE élimine les anciennes échappatoires qui permettaient aux cryptomonnaies d’éviter la juridiction. Coincover souligne que si une entreprise veut accéder au marché des cryptomonnaies en Europe, elle doit répondre aux exigences de résilience opérationnelle et de reporting de DORA, peu importe où elle est physiquement située.
Champ d’application des entités financières couvertes
Le champ d’application étendu de DORA ne concerne pas seulement les bourses de cryptomonnaies ou les services de portefeuille. Les données du marché de l’industrie montrent qu’il cible un large éventail d’acteurs financiers dans l’économie des actifs numériques. Coincover précise que plus de vingt types d’entités financières sont inclus : les teneurs de marché, les sociétés d’investissement, les fournisseurs de monnaie électronique, les courtiers et les réseaux de paiement liés aux actifs numériques sont tous répertoriés.
Si vous fournissez des services de garde, de sécurité, d’authentification, de traitement ou de cloud à une plateforme crypto, vous devez aligner vos contrôles et votre reporting d’incidents sur les normes de DORA. Si un fournisseur de soutien ne respecte pas les normes, le fournisseur et la plateforme crypto principale pourraient être tenus responsables. L’objectif est de s’assurer que des liens technologiques externes faibles ne déclenchent pas des pannes en cascade pour les clients de cryptomonnaies de l’UE. Pour chaque entreprise, que ce soit directement ou par l’intermédiaire de partenaires, ignorer ces contrôles signifie faire face à des interdictions, à un retrait forcé des clients de l’UE ou à de lourdes amendes après le 17 janvier 2025.
Pourquoi DORA a été introduit
DORA est arrivé en réponse aux lacunes réglementaires que la propagation de la finance numérique a mises en évidence. Coincover souligne que les précédentes règles de l’UE se concentraient principalement sur les risques de crédit et de liquidité, mais elles ne traitaient pas des pannes opérationnelles, des cyberattaques ou des pannes technologiques qui pouvaient interrompre les plateformes. Au cours des dernières années, les secteurs bancaires ont tous deux subi des incidents de plusieurs millions d’euros : des piratages ou des erreurs technologiques qui ont gelé des transactions, verrouillé des utilisateurs hors de leurs fonds, ou pire, effacé des soldes.
Parce que la technologie financière est sans frontières et interconnectée, les règles d’un seul pays n’ont tout simplement pas fonctionné : un problème dans un seul pays peut rapidement déborder et toucher d’autres. C’est pourquoi DORA intervient comme une solution paneuropéenne, consolidant les normes précédentes en un seul texte de loi applicable partout. Les données suivies par DORA Crypto Regulation : Ce que les entreprises financières doivent savoir montrent que toutes les entreprises financières réglementées.
Exigences essentielles en matière de gestion des risques ICT
DORA établit des normes de base pour la gestion des risques en matière de technologies de l’information et de la communication (TIC), plaçant les exigences au cœur des opérations exécutives et quotidiennes.
Coincover indique que les entreprises de cryptomonnaies doivent alerter les autorités nationales dans les heures suivant la détection d’un incident TIC substantiel. Les entreprises sont désormais tenues de conserver des pistes de vérification complètes, d’appliquer des mises à jour en temps opportun et de contrôler l’accès du personnel en temps réel. Selon Innreg, s’appuyer sur des contrôles obsolètes ou manuels présente désormais un risque réel.
Chronologie et application de DORA
Les règles de DORA ont été adoptées à la mi-2023, et le 17 janvier 2025 est la date limite de conformité ferme pour tous les 27 pays de l’UE.
Coincover précise que l’application est continue, pas seulement une case à cocher à la date limite. Les régulateurs surveilleront les entreprises de cryptomonnaies par le biais d’inspections programmées et répondront aux rapports d’incidents ou aux plaintes des clients. Le non-respect persistant entraîne des pénalités croissantes, allant d’amendes lourdes à des suspensions de service forcées pour les clients de l’UE. Étant donné que les opérateurs de cryptomonnaies transfrontaliers font face à un examen supplémentaire, beaucoup commencent les examens de conformité tôt pour éviter de se précipiter à la dernière minute ou de risquer un affrontement réglementaire coûteux.
- Juin 2023 : DORA adopté par le Conseil et le Parlement de l’UE
- Janvier 2025 : Date limite de conformité totale à DORA pour toutes les entités financières concernées
- 2025–2026 : Publication continue de normes techniques, de conseils sectoriels et de clarifications de règles
DORA et d’autres lois sur les cryptomonnaies de l’UE
DORA comble une lacune principale dans la réglementation des actifs numériques, complétant—mais ne remplaçant pas—le cadre des Marchés en Crypto-Actifs (MiCA) de l’UE. Innreg explique que MiCA établit la base : elle impose des normes de gestion des risques et de divulgation pour les fournisseurs de services d’actifs cryptographiques (CASP) et les émetteurs de jetons, et interdit le délit d’initié et la manipulation des prix. En vertu de MiCA, chaque CASP doit s’enregistrer auprès d’une Autorité Compétente Nationale (NCA) et publier des livres blancs conformes avant de lister des jetons. Comparé à DORA, cependant, l’accent est mis sur l’intégrité du marché et la transparence—pas sur la résilience opérationnelle.
DORA va donc un peu plus loin, avec un accent particulier sur la résilience opérationnelle. Dans ce nouveau régime, tous les CASP et émetteurs de jetons autorisés par MiCA doivent suivre les règles de DORA sur le reporting d’incidents, la gestion des risques TIC et les tests de résilience. Coincover souligne comment cela crée un environnement réglementaire où les contrôles prudentiels et les systèmes de trading équitables fonctionnent ensemble—intégrant la transparence de MiCA avec les exigences techniques et de gestion des incidents de DORA. Selon DORA Regulation Explained : Résilience opérationnelle numérique de l’UE…, cette structure duale vise à garantir une protection robuste des consommateurs tant au niveau technique qu’au niveau du marché.
| Cadre | Focus principal | Qui est couvert | Date clé |
|---|---|---|---|
| MiCA | Intégrité du marché, transparence | CASP, émetteurs de jetons | En vigueur : 2024 |
| DORA | Résilience opérationnelle, risque TIC | Entreprises crypto, partenaires technologiques | Obligatoire : Jan 2025 |
Impact sur les fournisseurs TIC tiers
La portée de DORA inclut spécifiquement les fournisseurs de technologie dont les produits et services permettent aux entreprises de cryptomonnaies de faire des affaires dans l’UE. Les conseils de Coincover indiquent que cela couvre tout, des plateformes d’hébergement et des clouds publics aux partenaires de cybersécurité et aux fournisseurs d’infrastructure de paiement. Tout tiers TIC dont l’échec pourrait perturber l’activité réglementée de cryptomonnaies est désormais soumis à DORA.
Chaque fois qu’un fournisseur tiers rencontre un problème de service ou ne parvient pas à maintenir des contrôles au niveau de DORA, il y a des répercussions tout au long de la chaîne. Les entreprises de cryptomonnaies peuvent être jugées non conformes même si le problème a commencé avec un fournisseur. Coincover souligne que des vérifications de diligence raisonnable solides et l’application des contrats sont désormais indispensables : les entreprises de cryptomonnaies ne peuvent pas se permettre de prendre des risques avec des partenaires non conformes. Cette réglementation accélère le passage de l’industrie vers des fournisseurs fiables avec une force opérationnelle démontrable et une forte capacité de réponse aux incidents. À mesure que le risque d’audit augmente à l’approche de 2026, les équipes de conformité et les conseils d’administration font de l’exposition aux TIC tiers—peu importe leur taille ou leur restriction—une priorité absolue pour l’examen et l’atténuation des risques.
Disclaimer: The content on this page is for informational purposes only and does not constitute financial advice. Always do your own research before making investment decisions.
Elena Petrova is a regulatory correspondent specializing in crypto law and policy with over 10 years of financial journalism experience. Formerly a finance reporter at Reuters, Elena covers SEC enforcement, MiCA implementation, and global stablecoin regulations. She holds a J.D. from Georgetown Law and is a member of the New York State Bar. Her regulatory analysis is frequently referenced by compliance officers and legal teams at major exchanges.
Conflicts of interest
I have no current legal practice or retainer relationships with any cryptocurrency company. Past employment relationships are listed publicly.
