DORA est en vigueur : ce que les banques et fintech françaises doivent chiffrer maintenant
Le règlement européen DORA impose le chiffrement des données financières depuis janvier 2025. L'ACPR contrôle déjà. Guide des obligations.
En janvier 2026, la CNIL a infligé 42 millions d'euros d'amende à Free. Le motif : les IBAN de ses abonnés étaient stockés en clair, sans aucune couche de chiffrement. Quarante-deux millions d'euros pour un champ de base de données non protégé. Free n'est pas un cas isolé. Bouygues Telecom s'est fait dérober 5,1 millions d'IBAN en 2025. SFR a exposé des coordonnées bancaires dans une fuite massive la même année. Ces opérateurs télécoms ne manipulaient que des IBAN de prélèvement. Les banques, assureurs et fintech, eux, manipulent l'intégralité du patrimoine informationnel financier de leurs clients.
Depuis le 17 janvier 2025, le règlement européen DORA (Digital Operational Resilience Act) leur impose un cadre contraignant sur la protection de ces données. Le chiffrement n'est plus une recommandation de bonne hygiène informatique. C'est une obligation réglementaire dont le non-respect expose à des sanctions pouvant atteindre 10 millions d'euros ou 5 % du chiffre d'affaires annuel. L'ACPR, bras armé de la Banque de France pour le contrôle prudentiel, ne s'en prive pas : elle a prononcé 23 sanctions en 2025, pour un total cumulé de 47 millions d'euros, tous motifs confondus.
Ce que DORA change vraiment
DORA ne se contente pas d'ajouter une couche réglementaire supplémentaire au mille-feuille existant. Le règlement impose pour la première fois un référentiel commun de résilience opérationnelle numérique à l'ensemble du secteur financier européen : banques, sociétés de gestion, compagnies d'assurance, établissements de paiement, plateformes de financement participatif et prestataires de services sur crypto-actifs. Tous sont soumis aux mêmes exigences, sans distinction de taille.
Le texte est entré en application le 17 janvier 2025 après une période transitoire de deux ans. Les entités financières françaises n'ont plus de marge de manœuvre calendaire. L'ACPR a clairement signalé qu'elle intégrerait les exigences DORA dans ses contrôles sur pièces et sur place dès le premier semestre 2025. Les établissements qui n'auraient pas documenté leurs mesures de chiffrement s'exposent à des demandes de mesures correctrices immédiates.
Le changement de paradigme est fondamental. Avant DORA, le chiffrement des données financières relevait de bonnes pratiques sectorielles : les recommandations PCI-DSS pour les données de paiement, les guides ANSSI pour la sécurité des systèmes d'information. DORA en fait un composant explicite de la gestion du risque TIC, adossé à un régime de sanctions directes et à un mécanisme de supervision européen coordonné.
Article 9(2) : les entités financières doivent "garantir la résilience, la continuité et la disponibilité des systèmes TIC, maintenir des standards élevés de disponibilité, authenticité, intégrité et confidentialité des données, qu'elles soient au repos, en cours d'utilisation ou en transit."
Article 9(3)(d) : protection contre les risques liés à la gestion des données par un chiffrement répondant aux exigences "d'authenticité, intégrité et confidentialité."
Article 28 : la responsabilité des entités financières reste pleine et entière, même lorsque les services TIC sont externalisés auprès de tiers.
Les trois périmètres de chiffrement obligatoires
DORA distingue explicitement trois états des données, chacun nécessitant des mesures de protection spécifiques. Cette distinction n'est pas cosmétique. Elle traduit une réalité technique que nombre d'établissements financiers n'ont pas encore pleinement intégrée dans leur architecture de sécurité.
Les données au repos sont celles stockées dans les bases de données, les systèmes de fichiers, les sauvegardes et les archives. Un IBAN dans une table PostgreSQL, un dossier KYC dans un bucket S3, un historique de transactions dans un entrepôt de données : tout cela relève des données au repos. C'est le périmètre où les failles sont les plus fréquentes, comme l'a démontré le cas Free. Le chiffrement AES-256 en mode GCM constitue le standard recommandé par l'ANSSI pour ce périmètre.
Les données en transit circulent entre systèmes : entre le front-end d'une application bancaire et son back-end, entre un établissement et son prestataire de compensation, entre une fintech et un agrégateur de comptes via l'API DSP2. Le protocole TLS 1.3 assure le chiffrement de ces flux, mais DORA exige que les entités documentent et testent régulièrement la robustesse de cette protection.
Les données en cours d'utilisation représentent le périmètre le plus complexe. Ce sont les données traitées en mémoire vive par les processeurs. Les technologies de confidential computing (enclaves Intel SGX, AMD SEV) commencent à adresser ce périmètre, mais leur déploiement reste embryonnaire dans le secteur financier français.
Quelles données financières chiffrer en priorité
Les coordonnées bancaires (IBAN, BIC, numéros de compte) constituent la première ligne de défense. L'affaire Free a démontré que même hors du secteur financier, le stockage en clair de ces identifiants expose à des sanctions massives. Pour une banque ou une fintech, l'absence de chiffrement des IBAN constituerait une faute caractérisée au regard de l'article 9 de DORA.
Les données KYC (Know Your Customer) forment le deuxième périmètre critique. Copies de pièces d'identité, justificatifs de domicile, déclarations de patrimoine, questionnaires d'adéquation MIF2 : ces données agrègent un volume considérable d'informations personnelles sensibles. Leur compromission expose simultanément à des sanctions DORA et RGPD.
Les données de scoring et de crédit, les données de paiement (PCI-DSS) et la correspondance client complètent cette cartographie. Chaque catégorie relève d'un niveau de risque spécifique, mais toutes tombent sous le périmètre de DORA.
Le calendrier de conformité
Le cumul réglementaire : triple exposition
| Critère | DORA | NIS2 |
|---|---|---|
| Autorité France | ACPR | ANSSI |
| Périmètre | Entités financières + prestataires TIC | Entités essentielles et importantes |
| Sanction max | 10M EUR ou 5% CA | 10M EUR ou 2% CA mondial |
| Chiffrement | Art. 9 : explicite | Art. 21 : mesures proportionnées |
| RGPD s'ajoute | Oui, CNIL, 20M EUR ou 4% CA mondial | Oui, CNIL, 20M EUR ou 4% CA mondial |
Un établissement financier victime d'une fuite de données non chiffrées pourrait faire l'objet de trois procédures distinctes : CNIL pour le RGPD, ANSSI pour NIS2, ACPR pour DORA. L'article 46 de DORA prévoit explicitement cette articulation. Le chiffrement est le dénominateur commun de la conformité à ces trois cadres.
La latitude technique et la documentation
DORA n'est pas un référentiel technique de chiffrement. Le texte ne prescrit ni algorithme spécifique, ni longueur de clé. Cette approche risk-based laisse aux entités la responsabilité de dimensionner leurs mesures. L'ACPR évaluera la pertinence des choix au regard de l'état de l'art : les recommandations ANSSI (RGS v2.0) et NIST (SP 800-38D) constituent les références implicites.
L'approche impose une documentation rigoureuse. Chaque entité doit démontrer que ses choix de chiffrement sont proportionnés aux risques, régulièrement réévalués, et que les clés font l'objet d'une gestion sécurisée sur l'ensemble de leur cycle de vie. Des solutions de chiffrement souverain comme MAFATE génèrent des attestations de conformité DORA exportables, documentant les mesures de chiffrement mises en œuvre : le type de preuve que l'ACPR exigera lors de ses contrôles.
Après les IBAN, les algorithmes
Le secteur financier français entre dans une période de surveillance réglementaire accrue. L'ACPR a constitué des équipes dédiées à l'évaluation de la résilience opérationnelle numérique. Les premiers retours des contrôles sur le registre ROL montrent que les autorités examinent la granularité de la documentation des mesures de chiffrement, jusqu'au niveau des algorithmes et modes opératoires.
La prochaine frontière sera le chiffrement post-quantique. L'ANSSI a publié en mars 2026 la version 3.00 de son guide des mécanismes cryptographiques (PG-083), intégrant les recommandations d'hybridation post-quantique. Les établissements qui auront bâti une architecture de chiffrement modulaire, capable d'évoluer vers de nouveaux algorithmes sans refonte complète, disposeront d'un avantage structurel considérable.
Lire aussi dans ce dossier :
Sources
Articles connexes
33 millions de patients exposés : l'état réel du chiffrement dans la santé française
Deux ans après Viamedis, les données de santé restent massivement non protégées. Enquête sur un secteur qui combine les données les plus sensibles et les défenses les plus faibles.
CybersécuritéRansomware à double extorsion : le chiffrement at-rest, dernier rempart contre la publication de vos données
Les gangs volent vos données avant de les chiffrer, puis menacent de les publier. La France est la cible n°1. Seul le chiffrement at-rest neutralise cette menace.
Conformité487 millions d'euros d'amendes CNIL en 2025 : anatomie d'un record
×9 en un an. Record absolu de la CNIL, PME dans le viseur, NIS2 et DORA en embuscade : décryptage du risque réglementaire.