SimpleVDR Logo
Compliance

DORA et VDR : ce qui change pour les avocats en M&A

Découvrez les obligations concrètes pour ceux qui gèrent des due diligences et comment une VDR certifiée garantit la conformité.

8 April 20265 minuti

Si vous gérez des opérations de M&A ou des processus de due diligence dans le secteur financier, le 17 janvier 2025 a marqué un changement de paradigme. À partir de cette date, le Règlement (UE) 2022/2554, connu sous le nom de DORA (Digital Operational Resilience Act), est devenu pleinement applicable, et avec lui arrivent des obligations concrètes, et non plus seulement des principes abstraits.

Ce guide répond à une question précise : qu’est-ce qui change, en pratique, pour ceux qui gèrent des flux de documents confidentiels pendant des processus de due diligence ? Et de quelle manière une Virtual Data Room (VDR) devient-elle un outil de conformité, et non plus seulement d’organisation ?

Qu’est-ce que DORA ?

DORA est le règlement européen qui impose au secteur financier, banques, compagnies d’assurance, sociétés de gestion, fonds, établissements de paiement, intermédiaires et leurs fournisseurs ICT, de gérer de manière documentée, testée et continue les risques liés aux systèmes numériques.

Il ne s’agit pas d’une recommandation : c’est une obligation directement applicable dans les 27 États membres, sans nécessité de transposition nationale (même si l’Italie a adopté le décret législatif d’adaptation publié au Journal officiel n° 58 du 11 mars 2025).

Le point crucial pour les avocats en M&A est le suivant : DORA s’applique également aux prestataires tiers de services ICT qui exercent des fonctions critiques pour les entités financières. Cela inclut les plateformes utilisées pour partager des documents confidentiels pendant les due diligences.

Qui est soumis à DORA : la liste complète

L’article 2 du Règlement identifie plus de vingt catégories d’entités concernées. Parmi les plus pertinentes pour le monde du M&A et du droit, on trouve:


  • établissements de crédit (banques);

  • établissements de paiement et de monnaie électronique;

  • entreprises d’investissement;

  • gestionnaires de fonds d’investissement alternatifs (FIA) et OPCVM;

  • entreprises d’assurance et de réassurance;

  • agences de notation de crédit;

  • prestataires de services sur crypto-actifs;

  • commissaires aux comptes et cabinets d’audit;

  • prestataires tiers ICT fournissant des services critiques à l’une des entités mentionnées ci-dessus.

Si votre cabinet d’avocats ou votre client appartient à l’une de ces catégories, ou si vous utilisez des outils numériques pour gérer leurs due diligences, DORA vous concerne directement.

"Un cabinet d’avocats est-il soumis à DORA ?"

Pas directement, sauf s’il fournit des services ICT critiques à des entités financières réglementées. En revanche, si vous gérez une due diligence pour le compte d’un fonds ou d’une banque, les plateformes que vous utilisez doivent respecter les exigences que DORA impose à vos clients.

Les cinq piliers de DORA : ce qui change opérationnellement

Pilier I. Gestion du risque ICT avec responsabilité au plus haut niveau

DORA redéfinit radicalement la gouvernance: la responsabilité en matière de gestion du risque ICT ne peut pas être déléguée.

L’organe d’administration (le conseil d’administration) doit « définir, approuver, superviser et assumer la responsabilité » de toutes les stratégies liées au risque technologique. En pratique, le CFO ou le CRO ne peuvent plus simplement déléguer la question au service informatique : ils doivent démontrer une supervision active.


Pour ceux qui gèrent une due diligence, cela signifie que les plateformes de partage de documents utilisées doivent être évaluées, sélectionnées et surveillées dans le cadre de ce dispositif de gouvernance.

Pilier II. Gestion des incidents ICT

Le nouveau règlement européen introduit des délais précis concernant la gestion et la notification des incidents:


  • notification initiale à l’autorité compétente dans les 4 heures suivant la qualification de l’incident comme « majeur »;

  • rapport intermédiaire dans les 72 heures;

  • rapport final dans un délai d’un mois.

Pour les avocats en M&A, cela signifie que toute violation de données survenant sur des plateformes utilisées pendant une due diligence peut déclencher des obligations de notification réglementaire pour le client entité financière. La VDR doit donc produire des journaux d’audit détaillés et immédiatement consultables.

Pilier III. Tests de résilience opérationnelle numérique

Les entités financières doivent effectuer des tests périodiques de leurs systèmes ICT, y compris des tests de pénétration (TLPT, Threat-Led Penetration Testing) pour les entités les plus significatives.

Pour les fournisseurs de services numériques utilisés dans les due diligences, cela implique la nécessité de démontrer que leurs infrastructures font l’objet de vérifications de sécurité documentées.

Pilier IV. Gestion du risque lié aux prestataires tiers ICT

DORA impose aux entités financières de:

  • mener une due diligence rigoureuse sur chaque prestataire ICT avant son intégration;

  • tenir un registre à jour de tous les accords contractuels avec les prestataires ICT;

  • négocier des contrats incluant des clauses spécifiques sur les droits d’audit, la résilience et les stratégies de sortie;

  • appliquer des clauses de flow-down lorsque le fournisseur fait appel à des sous-traitants (par exemple, un fournisseur cloud qui délègue le disaster recovery);

  • communiquer chaque année aux autorités le nombre de nouveaux contrats ICT conclus.

En pratique, si un fonds ou une banque utilise une VDR pour sa due diligence, cette VDR est considérée comme un prestataire ICT. Le contrat avec la VDR doit respecter les exigences contractuelles de DORA. En cas de violation, la responsabilité incombe à l’entité financière, et non au fournisseur.

Pilier V. Partage d’informations sur les menaces

DORA instaure un cadre, sur une base volontaire, pour le partage d’informations de cyber threat intelligence entre entités financières. Pour les due diligences, cela est moins directement pertinent, mais cela implique tout de même que les plateformes utilisées doivent permettre l’extraction et le partage des journaux de sécurité dans des formats standardisés.

Le rôle de la VDR dans la conformité à DORA

Une Virtual Data Room devient une infrastructure critique pour la gestion documentaire dans le cadre de la conformité ICT. C’est pourquoi le choix de la bonne VDR n’est pas un simple détail opérationnel.

Ce qu’une VDR doit garantir pour être compatible avec DORA

  • Piste d’audit complète et vérifiable: chaque accès, téléchargement, impression et modification doit être tracé avec des horodatages RFC 3161 et des hachages SHA-256 afin de garantir l’intégrité forensique du journal.

  • Filigrane dynamique: les documents doivent comporter l’identité du visualiseur, rendant toute fuite traçable.

  • Autorisations granulaires par dossier et document: la gestion des accès doit être documentée et révocable en temps réel.

  • Export certifié (Deal Binder): à la fin de la due diligence, le dossier documentaire doit pouvoir être exporté dans un format vérifiable hors ligne, avec un manifeste d’intégrité.

  • Conformité au RGPD: le traitement des données personnelles contenues dans les documents doit respecter le Règlement (UE) 2016/679, avec possibilité d’exportation, de suppression et de gestion des consentements.

  • Infrastructure avec SLA certifiés: disponibilité garantie, centres de données situés dans l’UE, chiffrement de bout en bout.

SimpleVDR répond nativement à ces exigences: piste d’audit avec hachage SHA-256, filigrane dynamique, export certifié avec signature numérique et vérification hors ligne via SVDR-Check, conformité RGPD et centres de données européens. Mise en place en moins de 60 secondes.

Les sanctions : pourquoi la conformité n’est pas optionnelle

Le régime de sanctions de DORA, détaillé dans le décret législatif italien d’adaptation (mars 2025), distingue:

  • les violations graves (gouvernance, gestion des fournisseurs critiques, absence de notification des incidents) : sanction pouvant aller jusqu’à 10 % du chiffre d’affaires annuel total de l’entité;

  • les violations moins graves (manquements opérationnels, retards dans des notifications non critiques) : sanction pouvant aller jusqu’à 7 % du chiffre d’affaires annuel;

  • les prestataires ICT « critiques » désignés par la Commission européenne : sanction périodique pouvant aller jusqu’à 1 % du chiffre d’affaires quotidien moyen mondial pour chaque jour de non-conformité.

Pour les cabinets d’audit inclus dans le champ d’application, la non-conformité peut même entraîner une exclusion du marché. Il ne s’agit pas de risques théoriques: les autorités européennes de supervision (EBA, EIOPA, ESMA) ont déjà lancé leurs activités de surveillance.

Le Digital Operational Resilience Act n’est pas une formalité bureaucratique destinée uniquement aux services conformité des banques. C’est un cadre opérationnel qui redéfinit la manière dont les professionnels du droit et de la finance doivent aborder la gestion documentaire dans les opérations extraordinaires.

Le choix de la Virtual Data Room, la structure des contrats avec les fournisseurs ICT et la capacité à produire des preuves vérifiables font désormais partie de la diligence professionnelle requise.

SimpleVDR a été conçu avec ces exigences à l’esprit : piste d’audit certifiable, filigrane défendable, export vérifiable hors ligne et conformité RGPD native. Des outils simples pour des obligations complexes.

Demandez une DÉMO GRATUITE

Activez votre compte en 60 secondes. Découvrez comment SimpleVDR soutient la conformité à DORA.

Activer gratuitement

VDR Gratuite

Activez votre VDR gratuite en moins de 60 secondes

500 MB inclus, activation immédiate, sans carte bancaire.

Torna al Blog