Le piège classique
L'article 44 s'adresse aux AES (ABE, AEMF, AEAPP), pas directement aux entités financieres : il organise la coopération entre superviseurs européens et autorités de pays tiers sur le risque TIC. Le piège, pour une fintech régulée CSSF ou une banque privée luxembourgeoise, est de croire que cet article ne la concerne pas. En réalité, il signale une direction de surveillance : les bonnes pratiques échangées sur les incident responses et les contrôles de gestion du risque TIC redescendent ensuite via les RTS et les attentes de la CSSF. Ce que les autorités sanctionnent in fine, ce n'est pas la coopération elle-meme, mais le décalage entre vos prestataires TIC établis hors UE et votre capacité à démontrer une maîtrise du risque transfrontalier (localisation des données, sous-traitance en cascade vers les US, absence de clause de coopération avec les superviseurs).
Pourquoi cet article impacte concretement votre chaîne TIC hors UE
La coopération internationale de l'article 44 visé un angle mort precis : les prestataires tiers TIC localisés ou opérant hors de l'Union. Voici les points de vigilance opérationnels que la CSSF attend de voir maitrisés dans votre registre d'information :
- Identifier chaque prestataire TIC dont l'hébergement, le support ou la sous-traitance s'opère en pays tiers (cloud US, support offshore, centre de données hors UE).
- Documenter la localisation effective du traitement et du stockage, au niveau du sous-traitant ET du sous-sous-traitant.
- Vérifier la présence de clauses d'accès et de coopération permettant aux autorités compétentes d'exercer leurs droits, conformément au règlement délégué 2025/532 sur la sous-traitance TIC.
- Articuler la conformité DORA avec le RGPD pour tout transfert hors UE (Schrems II, Data Privacy Framework 2023, analyse d'impact des transferts).
- Tracer les fonctions critiques ou importantes dépendantes d'un prestataire de pays tiers, exposées à un risque de concentration géographique.
La circulaire CSSF 25/882 sur les services TIC tiers précise ces attentes pour le périmetre luxembourgeois.
Comment Luxgap automatise ce risque
Notre Luxgap Cross-Border Dependency Mapper rend visible en temps réel la part de votre chaîne TIC qui s'exécute hors UE, la ou les registres statiques mentent par omission. L'outil interroge vos consoles Microsoft Defender for Cloud Apps, Azure Resource Graph, AWS Cost Explorer et vos contrats Odoo pour géolocaliser chaque flux et chaque dépendance, puis croise ces données avec les exigences du règlement délégué 2025/532 et de la circulaire CSSF 25/882.
- Détecte automatiquement chaque prestataire TIC dont l'hébergement, le support ou la sous-traitance s'opère en pays tiers, à partir des régions cloud réelles lues via les API Azure et AWS.
- Cartographie la chaîne complète des sous-sous-traitants et signale les ruptures de transparence vers les juridictions hors UE (M365 vers Azure US, SaaS vers AWS us-east-1).
- Vérifie la présence des clauses d'accès et de coopération avec les autorités exigées par le règlement délégué 2025/532 dans chaque contrat connecté.
- Calcule un score de concentration géographique par fonction critique ou importante et alerte sur les dépendances mono-juridiction.
- Génere l'analyse d'impact des transferts RGPD adossée à chaque flux hors UE, avec rappel du statut Data Privacy Framework du destinataire.
- Produit un rapport PDF horodaté opposable à la CSSF, démontrant la maîtrise du risque TIC transfrontalier exigée par le chapitre V du DORA.
Disponible en complément d'un mandat CISO ou DPO Luxgap ou en brique SaaS dédiée selon votre périmetre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre périmetre réel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition hors UE avant tout engagement.