Analyse du rapport annuel 2025 du Comité Mixte des autorités de surveillance européennes

Sommaire: Le Rapport annuel 2025 du Comité Mixte détaille la coopération entre les trois autorités de surveillance européennes pour garantir la stabilité financière et la protection des consommateurs. Un axe majeur de ce document concerne l'application du règlement DORA, visant à renforcer la cyberrésilience face aux menaces numériques croissantes. Les autorités ont également progressé sur la transparence de la finance durable et l'encadrement des risques liés à l'intelligence artificielle. Le rapport souligne l'importance de réduire les charges administratives tout en maintenant une surveillance rigoureuse des conglomérats financiers. Enfin, il mentionne la création de nouveaux outils d'échange d'informations pour harmoniser les pratiques de contrôle au sein de l'UE.

1. Introduction et contexte institutionnel

L'année 2025 marque une étape historique dans la supervision financière européenne. Sous la présidence de l'EIOPA, le Comité Mixte (Joint Committee) a consolidé son rôle de pivot entre l'EBA, l'EIOPA et l'ESMA pour répondre aux défis de la numérisation et des risques systémiques. Selon le Joint Committee Annual Report 2025 (JC 2026 10), l'action des autorités de surveillance européennes (ESAs) s'est concentrée sur la convergence prudentielle et la stabilité financière dans un environnement de fortes tensions géopolitiques et de transformation technologique accélérée.

2. État d'avancement du cadre réglementaire DORA en 2025

DORA est entré en pleine application le 17 janvier 2025, transformant la gestion des risques TIC pour l'ensemble de l'écosystème financier.

• Finalisation du cadre normatif : Les ESAs ont livré avec succès l'intégralité des instruments juridiques mandatés par le règlement, fournissant une base réglementaire complète et harmonisée.
• Outils de conformité : Des guides pratiques et des outils d'accompagnement ont été déployés pour soutenir les entités financières dans l'implémentation de leurs nouvelles obligations opérationnelles.
• Évolution du périmètre : En décembre 2025, les ESAs ont formellement répondu à la Commission européenne concernant l'extension potentielle du champ d'application de DORA aux contrôleurs légaux des comptes et aux cabinets d'audit, identifiant les enjeux de cette inclusion pour l'intégrité de l'audit financier.

3. Surveillance des prestataires tiers critiques (CTPP)

L'année 2025 a vu l'opérationnalisation du cadre de surveillance directe des prestataires de services TIC essentiels, une compétence inédite à l'échelle de l'UE.

• Structures de gouvernance : Le Comité Mixte a établi le Joint Oversight Network (réseau mixte de surveillance)  et le Oversight Forum (forum de surveillance) , en adoptant officiellement les "Critères de Référence" du Forum ainsi que les méthodologies d'examen associées.
• Processus de désignation : Sur la base d'une évaluation rigoureuse de la criticité alimentée par l'analyse des registres d'informations (conformément à l'article 28 de DORA) soumis par les entités financières, 19 prestataires tiers critiques (CTPP) ont été identifiés. La liste officielle a été publiée le 18 novembre 2025.
• Autorité de surveillance principale : L'EBA a été nommée Lead Overseer (Surveillant principal) pour chacun des 19 prestataires désignés, centralisant ainsi la responsabilité de la supervision de ces acteurs systémiques.
• Perspectives opérationnelles : En fin d'année, les ESAs ont finalisé les plans de surveillance pour 2026, structuré les Joint Examination Teams (équipes communes d'examen) et préparé le dispositif de collecte des frais de surveillance auprès des CTPPs.

4. Coordination des incidents et partage d'informations (EU‑SCICF & CITE)

Face à l'augmentation de la menace cyber, le Comité Mixte a activé des mécanismes de défense collective pour protéger la stabilité financière de l'Union.

• Opérationnalisation de l'EU‑SCICF : Le cadre européen de coordination des incidents cybersystémiques est devenu pleinement fonctionnel avec l'adoption des mandats du Forum et d'un protocole de coordination de crise.
• Rapport A2 et barrières réglementaires : Les ESAs ont soumis le rapport A2 aux institutions européennes, identifiant les obstacles juridiques et opérationnels à une coordination fluide et proposant des mesures pour renforcer la réactivité du cadre.
• Préparation technique : La robustesse du réseau a été éprouvée par un test de connectivité entre membres au deuxième trimestre (T2) et un test de réactivité au quatrième trimestre (T4).
• Mécanisme CITE : Le dispositif Cyber Incident Information Sharing and Threat Intelligence Exchange (CITE) a été instauré sous l'égide de l'EU‑SCICF comme plateforme pivot pour l'échange de renseignements sur les menaces (threat intelligence) et les retours d'expérience transfrontaliers.
• Étude de faisabilité : Une analyse technique sur la centralisation de la notification des incidents liés aux TIC a été publiée, visant à simplifier les processus de reporting pour les entités financières.

5. Analyse du paysage des risques et vulnérabilités systémiques

Le Joint Autumn 2025 Risk Report souligne une complexité croissante des risques pesant sur le secteur financier.

• Facteurs géopolitiques et supply chain : L'introduction de nouvelles barrières commerciales mondiales et les conflits en Ukraine et au Moyen‑Orient augmentent l'incertitude sur les chaînes d'approvisionnement TIC et alimentent la volatilité des marchés.
• Risque de concentration : La dépendance critique envers un nombre restreint de prestataires tiers, souvent domiciliés hors de l'UE, justifie l'urgence du cadre de surveillance DORA pour prévenir tout risque de contagion systémique.
• Interconnexions et nouveaux modèles : Le diagnostic identifie des risques accrus liés aux arrangements de "white‑labelling" (marque blanche) et aux liens croissants entre la finance traditionnelle, les crypto‑actifs et les intermédiaires non bancaires.
• BigTech et DMA : Les travaux du forum EFIF ont mis en lumière la nécessité de surveiller l'impact du Digital Markets Act (DMA) sur les services financiers fournis par les Big Techs afin d'assurer une coordination supervisée cohérente.

6. Conclusion sur la convergence prudentielle

L'année 2025 confirme la mutation du paysage prudentiel européen vers une approche intégrée de la résilience numérique. Deux piliers illustrent cette convergence :

1. Honorabilité et compétence : Le lancement du système d'échange d'informations "Fit and Proper", dont les orientations (Guidelines) sont applicables depuis le 17 février 2025, permet désormais une évaluation harmonisée et transfrontalière des dirigeants financiers.
2. Lutte contre la criminalité financière : La conclusion, en juillet 2025, d'un protocole d'accord (MoU) entre les ESAs et la nouvelle autorité AMLA garantit une supervision sans faille, évitant les zones d'ombre réglementaires entre la résilience opérationnelle et la conformité anti‑blanchiment.