Le 13 mai 2026, le Tribunal des Activités Économiques de Paris a rendu la première décision de justice fondée sur le règlement DORA. L’affaire oppose une grande banque française à un éditeur de logiciel. Le résultat est un cas d’école sur ce qui arrive quand un établissement financier ne prend pas au sérieux sa dépendance technologique.
Un logiciel critique, un contrat qui expire, et la panique
Les faits sont simples. Une banque de premier plan utilisait depuis 2020 un logiciel on-premise pour produire ses déclarations prudentielles à l’ACPR (l’autorité de contrôle des banques). Le contrat de licence arrivait à échéance le 30 avril 2026.
La banque a tenté d’imposer à l’éditeur un renouvellement à ses conditions : un an au lieu de cinq, et un prix divisé par 2,5. L’éditeur a refusé. Sans licence valide, chaque utilisation du logiciel après le 30 avril constituait une contrefaçon, un délit pénal.
Le 24 avril 2026, six jours avant l’expiration, la banque a obtenu l’autorisation d’assigner en référé d’heure à heure. L’audience s’est tenue le 29 avril. Autrement dit : trois ans pour anticiper, et la banque se retrouve à plaider l’urgence à 48 heures du mur.
L’argument DORA : la dépendance technologique comme arme juridique
Le règlement DORA (UE) 2022/2554 est en vigueur depuis le 17 janvier 2025. Il impose aux banques, assureurs et sociétés de gestion de cartographier leurs prestataires technologiques, d’identifier les fonctions « critiques ou importantes », et de sécuriser contractuellement la continuité de service.
La banque a invoqué ce texte pour plaider le « trouble manifestement illicite ». Son raisonnement : le logiciel assure une fonction réglementaire obligatoire, donc il est critique au sens de DORA, donc l’éditeur ne peut pas refuser de prolonger le contrat.
Le problème : la banque n’avait jamais qualifié ce logiciel comme relevant d’une fonction critique ou importante. Le contrat, renouvelé en avril 2023, soit quatre mois après la publication de DORA, ne mentionnait même pas le règlement. L’éditeur, une société dont le chiffre d’affaires était 1 000 fois inférieur à celui de la banque, n’avait jamais été informé du caractère prétendument critique de sa prestation.
Toutes les demandes rejetées
L’ordonnance du 13 mai 2026 rejette l’intégralité des demandes de la banque. Le tribunal considère que DORA impose aux entités financières d’identifier et de documenter leurs fonctions critiques en amont, pas de découvrir leur dépendance technologique la veille de l’expiration d’un contrat.
La décision est logique. DORA est un cadre de gouvernance continue. Il oblige les banques à anticiper, pas à improviser. Un établissement qui n’a pas mené l’exercice de qualification de ses prestataires pendant trois ans ne peut pas invoquer le règlement en catastrophe pour forcer un partenaire commercial à maintenir un service.
Ce que ça change pour les prestataires tech du secteur bancaire
Pour les éditeurs de logiciels et les prestataires de services qui travaillent avec les banques, cette jurisprudence est rassurante. Elle signifie qu’une banque ne peut pas requalifier rétroactivement une relation contractuelle ordinaire en prestation critique au sens de DORA, dans le seul but de maintenir un accès à un outil qu’elle n’a pas pris la peine de sécuriser.
Pour les banques, le signal est inverse. Les établissements qui n’ont pas encore cartographié leurs dépendances technologiques s’exposent à une double difficulté : des sanctions de l’ACPR en cas de contrôle, et l’impossibilité de se prévaloir de DORA en cas de litige.
Les litiges entre banques et prestataires tech vont se multiplier. Les questions de continuité de service, de réversibilité des données et de dépendance logicielle sont au cœur de DORA. Quand un prestataire critique tombe, ce sont les clients de la banque qui subissent les conséquences : virements bloqués, accès aux comptes interrompu, vulnérabilité accrue aux fraudes bancaires.
Ce type de contentieux nécessite une double compétence en droit bancaire et en droit du numérique, que ce soit pour engager la responsabilité de l’établissement financier ou pour défendre un prestataire face à des pressions contractuelles abusives.
