Le piège classique
La suppression des clauses cloud spécifiques de la 22/806 n'est pas un allegement : c'est un transfert vers le regime DORA, beaucoup plus exigeant. Les entités financieres luxembourgeoises continuent de croire que leurs anciens contrats cloud signes sous 22/806 (loi EEE, clauses de résilience EEE) restent valides. La CSSF sanctionné deja sur le fondement de l'article 30 de DORA les contrats TIC qui ne contiennent pas les onze mentions obligatoires (description complète du service, localisations de traitement et de stockage, niveaux de service avec objectifs quantitatifs, droits d'audit, stratégie de sortie, cooperation avec autorités, etc.). Un contrat cloud conforme 22/806 ancienne version n'est pas automatiquement conforme article 30 DORA.
Ce qui disparait, ce qui le remplace, ce qui s'aggrave
- Clause loi EEE supprimee de 22/806, mais article 30(2)(a) DORA exige toujours une description claire des fonctions et de la juridiction applicable, et l'article 28(8) impose une évaluation préalable de la concentration et de la souveraineté.
- Clause résilience EEE supprimee de 22/806, remplacee par l'article 30(2)(e) DORA (continuite, reprise, tests de résilience) et par les obligations TLPT pour les acteurs significatifs.
- Registre des accords contractuels TIC (article 28(3) DORA) devient obligatoire et doit être transmis annuellement a la CSSF au format ITS dedie : c'est une obligation déclarative nouvelle, absente de 22/806.
- Fournisseurs critiques (CTPP) : pour Microsoft Azure, AWS, Google Cloud désignés critiques au niveau UE, des exigences supplémentaires de supervision directe ESA s'ajoutent.
- Les contrats signes avant le 17 janvier 2025 doivent être revus et mis en conformité article 30 DORA, sans période de grace generale.
Le piège de la coexistence 22/806 / DORA / 25/882
La circulaire 25/883 cree quatre cas d'application (entités DORA, entités hors DORA, entités retirees, sociétés de gestion article 125-1 OPCVM). Une société de gestion qui pensait dependre uniquement de 22/806 peut basculer dans le périmètre DORA selon ses activités, et ses contrats cloud doivent alors être realignes. La CSSF 25/882 précisé le regime TIC tiers pour les entités DORA : a lire conjointement, sous peine de non-conformite croisee.
Comment Luxgap automatise ce risque
Notre Luxgap DORA Contract Realigner reaudite automatiquement votre stock contractuel TIC pour détecter, clause par clause, les ecarts entre vos anciens contrats 22/806 et les exigences article 30 DORA. L'agent IA ingere vos contrats cloud signes (PDF, DocuSign, Ironclad, M-Files, SharePoint Légal), les confronte aux onze mentions obligatoires DORA et produit en sortie une matrice de conformité opposable a la CSSF, sans saisie manuelle de votre service juridique.
- Extrait automatiquement les clauses cloud existantes de vos contrats CSP (Azure, AWS, GCP, OVHcloud, eBRC, LuxConnect, POST Telecom) et les mappe sur les onze exigences article 30 DORA.
- Identifié les contrats orphelins encore rediges sous l'ancien regime 22/806 (loi EEE, résilience EEE) qui doivent être amendes avant le prochain contrôle CSSF.
- Genere automatiquement les avenants DORA-compliant prerediges, declines par typologie (CSP hyperscaler, CSP regional luxembourgeois, SaaS metier, sous-traitant TIC non critique).
- Alimente en temps reel le registre des accords contractuels TIC au format ITS attendu par la CSSF, pret a transmission annuelle.
- Classifie chaque fournisseur en fonction critique / non critique selon les critères article 28(2) DORA et déclenche le workflow d'évaluation préalable obligatoire.
- Produit un rapport PDF horodate, cryptographiquement scelle, opposable lors d'une inspection CSSF, demontrant la realigne du stock contractuel à date du 17 janvier 2025.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre portefeuille contractuel reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition article 30 DORA avant tout engagement.
