DORA & PCA : ce que les mutuelles doivent mettre en place
DORA, en vigueur depuis janvier 2025 : ce que les mutuelles doivent concrètement mettre en place pour leur PCA et leur continuité d'activité.

Depuis le 17 janvier 2025, DORA s'applique
Et dans beaucoup de mutuelles, la question revient : est-ce qu'on est vraiment conformes sur la partie continuité d'activité ?
La réponse honnête : souvent non. Pas parce que la volonté manque, mais parce que DORA impose des exigences précises sur le PCA que les dispositifs existants ne couvrent pas toujours.
Voici ce que DORA attend concrètement, et comment l'aborder sans transformer votre organisation en chantier permanent.
Ce que DORA change pour les mutuelles sur la continuité d'activité
DORA ne réinvente pas le PCA. Mais il le formalise, le rend testable, et le lie directement à vos prestataires TIC.
Trois obligations nouvelles méritent votre attention.
| Obligation (Art. 11 DORA) | Ce que ça signifie pour une mutuelle | Livrable attendu |
|---|---|---|
| Politique de continuité TIC | Un PCA par service TIC, pas un document global unique | PCA TIC validé par la direction |
| Tests de résilience obligatoires | Programme annuel documenté et traçable | Rapport de test avec preuves |
| Gestion des prestataires TIC | Clauses de continuité et de réversibilité dans chaque contrat critique | Registre des fournisseurs TIC + annexes contractuelles |
Un PCA par service TIC, pas un PCA unique
Avant DORA, une mutuelle pouvait avoir un PCA global couvrant l'ensemble de son activité. DORA change la logique : chaque service TIC, qu'il soit critique ou non, doit disposer de son propre dispositif de continuité documenté, avec des indicateurs de reprise (RPO/RTO) adaptés à sa criticité.
Concrètement, cela signifie passer d'un document unique à une cartographie de services, avec pour chacun un niveau d'exigence de reprise défini. Pour une mutuelle santé, c'est typiquement la plateforme de gestion des adhésions, le système de remboursement, et les outils de communication de crise.
Des tests obligatoires, documentés, et justifiables
DORA impose de tester la résilience de vos systèmes, pas seulement de la documenter. Et ces tests doivent être traçables : si un auditeur vous demande la preuve de votre programme de tests, c'est ce dossier qu'on attend, pas votre bonne volonté.
Pour une mutuelle de taille moyenne, un cycle annuel réaliste ressemble à ceci : un test de bascule sur site de secours au premier trimestre, un exercice de gestion de crise avec la direction au troisième trimestre, un test de restauration de sauvegarde au quatrième. Ce n'est pas une usine à gaz, c'est un programme structuré qui se documente au fil de l'eau.
Vos prestataires TIC sont votre responsabilité
C'est le point que beaucoup de mutuelles sous-estiment. Si votre prestataire SaaS tombe, c'est vous qui devez démontrer que vous aviez anticipé ce risque. DORA impose d'intégrer dans vos contrats des clauses de continuité et de réversibilité, et de prévoir des plans de sortie documentés en cas de défaillance prestataire.
Pour les mutuelles santé qui hébergent des données de santé, un hébergeur certifié HDS apporte un double avantage : conformité au Code de la santé publique et résilience DORA en un seul choix d'infrastructure.
Ce que ça représente concrètement comme travail
Mettre son PCA en conformité DORA ne signifie pas tout reconstruire. Pour une mutuelle de taille moyenne (50 à 300 collaborateurs), le chantier se découpe en quatre phases réalistes :
| Phase | Contenu | Durée estimée |
|---|---|---|
| 1. Cartographie TIC | Identifier les services TIC critiques et leurs dépendances | 2 à 3 semaines |
| 2. BIA TIC | Définir RPO/RTO par service, valider avec les métiers | 3 à 4 semaines |
| 3. Rédaction PCA TIC | Procédures de continuité et de reprise par service | 4 à 6 semaines |
| 4. Programme de tests | Planifier et documenter les tests annuels | 2 semaines + exécution |
Le tout peut tenir en 4 à 6 mois avec un accompagnement structuré, sans mobiliser vos équipes à plein temps.
Mutuelles vs autres entités financières face à DORA
DORA s'applique à l'ensemble du secteur financier, mais toutes les entités ne sont pas soumises aux mêmes exigences. Voici ce qui distingue les mutuelles des autres acteurs :
| Critère | Mutuelles (Code mutualité) | Banques | Assureurs Solvabilité II |
|---|---|---|---|
| Soumises à DORA ? | Oui, si > seuils | Oui | Oui |
| Autorité de supervision | ACPR | ACPR | ACPR / AMF |
| Exigence PCA/PRA TIC | Article 11 DORA | Article 11 DORA | Article 11 DORA |
| Tests TLPT obligatoires | Non (proportionnalité) | Oui si "important" | Conditionnel |
| Délai notification incident | 4h (alerte initiale) | 4h | 4h |
Les signaux qui montrent que votre PCA n'est pas conforme à DORA
Voici les situations les plus fréquentes dans les mutuelles qui n'ont pas encore pris le virage DORA :
| Signal d'alerte | Ce que ça révèle |
|---|---|
| Votre PCA date de plus de 2 ans | Il ne couvre probablement pas les exigences TIC de DORA |
| Aucun test PCA documenté cette année | Non-conformité directe à l'article 11 |
| Vos contrats prestataires ne mentionnent pas DORA | Risque juridique et opérationnel en cas de défaillance |
| Pas de cartographie des services TIC critiques | Impossible de prioriser la reprise |
| La direction n'a jamais participé à un exercice de crise | Gouvernance insuffisante au sens de DORA |
| Vous ne connaissez pas le RPO/RTO de votre plateforme adhésions | BIA TIC absent ou obsolète |
Si deux de ces points vous correspondent, votre dispositif mérite une revue avant le prochain contrôle.
Ce qu'il faut retenir
| Point clé | Détail |
|---|---|
| DORA est en vigueur | Depuis le 17 janvier 2025, toutes les entités financières sont concernées |
| Les mutuelles sont visées | Dès lors qu'elles dépassent les seuils de taille définis par l'ACPR |
| Le PCA doit être par service TIC | Un document global ne suffit plus |
| Les tests sont obligatoires | Programme annuel documenté et traçable |
| Les prestataires sont votre responsabilité | Clauses de continuité et plans de sortie exigés |
| Les sanctions sont réelles | Jusqu'à 10M€ ou 5% du CA annuel (article 50 DORA) |
| Le calendrier joue en votre faveur | 12 à 18 mois d'avance si vous commencez maintenant |
Questions fréquentes sur DORA et les mutuelles
DORA s'applique-t-elle aux petites mutuelles ?
Oui, dès lors que la mutuelle dépasse les seuils de taille définis par les autorités de supervision (ACPR). Le principe de proportionnalité s'applique : les exigences sont adaptées à la taille et à la complexité de l'entité, mais l'obligation de disposer d'un PCA TIC documenté reste la même pour toutes.
Quelle est la différence entre PCA et PRA dans le cadre DORA ?
Le PCA (Plan de Continuité d'Activité) couvre le maintien des activités critiques pendant un incident. Le PRA (Plan de Reprise d'Activité) couvre la restauration des systèmes après l'incident. DORA exige les deux, avec des indicateurs précis : le RPO (perte de données maximale acceptable) et le RTO (délai de reprise maximal).
Quels articles de DORA concernent la continuité d'activité ?
L'article 11 du règlement DORA est le texte central sur la continuité des activités TIC. Il impose une politique de continuité, des plans de reprise, un programme de tests, et la gestion des prestataires tiers. L'article 25 complète le dispositif avec les exigences de tests de résilience opérationnelle.
Quelles sanctions en cas de non-conformité DORA ?
L'article 50 de DORA prévoit des sanctions administratives pouvant atteindre 10 millions d'euros ou 5% du chiffre d'affaires annuel total. Les autorités de supervision (ACPR en France) peuvent également imposer des mesures correctives, des astreintes, ou retirer l'agrément dans les cas les plus graves.
Passez à l'action
DORA n'est pas une menace abstraite pour les mutuelles, c'est un cadre qui oblige à structurer ce qui existait souvent de façon informelle. La bonne nouvelle : les mutuelles qui prennent le sujet sérieusement maintenant ont 12 à 18 mois d'avance sur celles qui attendent le premier signalement de l'ACPR.
Si vous voulez évaluer où en est votre dispositif, utilisez le formulaire ci-dessous pour m'envoyer un message ou réservez directement un créneau de 30 minutes via Calendly. On fait le point ensemble, sans engagement.
Vous avez trouvé cet article utile ?
À lire également
La canicule de juin 2026 a tranché le débat : l'adaptation climatique passe par votre PCA
Les négociations climatiques échouent à réduire les émissions. L'adaptation s'impose, et l'amendement ISO 22301 de 2024 en fait une obligation. Votre PCA est devenu un outil d'adaptation climatique.
Extrémisme anti-tech et sabotage de data centers : une nouvelle menace pour la continuité d'activité
Sabotage de data centers, attaques anti-IA : le néo-luddisme violent émerge en France et aux États-Unis. Une nouvelle menace physique à intégrer dans votre PCA.
RTO : qu'est-ce que le Recovery Time Objective (et pourquoi ce n'est pas le délai de votre activité)
Le RTO ne mesure pas la tolérance de votre activité, c'est le DMIA. Définition du Recovery Time Objective, lien avec le BRTO, et comment savoir si le vôtre tient vraiment.
DORA expliqué simplement : tout comprendre au règlement quand on part de zéro
DORA fait peur parce qu'on en parle comme d'un sujet d'experts. C'est faux. Voici le règlement expliqué de zéro, sans jargon, avec tout le vocabulaire décodé.
Besoin d'accompagnement ?
Découvrez nos offres dédiées à la mise en place d'un PCA, à l'accompagnement ISO 22301 ou aux exercices de crise immersifs. Pour en savoir plus sur ma démarche, consultez la page À propos.