Skip to content
Cas clientTarifsSécuritéComparatifBlog

Europe

Americas

Oceania

Conformité11 min de lecture

Gestion des risques tiers (TPRM) : guide complet Belgique 2026

Maîtrisez la gestion des risques tiers (TPRM) en Belgique : obligations FSMA, BNB, DORA, évaluation fournisseurs et surveillance continue. Guide opérationnel 2026.

Antoine Verhoeven, Consultant en conformité réglementaire
Antoine Verhoeven, Consultant en conformité réglementaire·
Illustration for Gestion des risques tiers (TPRM) : guide complet Belgique 2026 — Conformité

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Le third party risk management (TPRM) est une obligation réglementaire de premier plan pour les institutions financières belges depuis l'entrée en application du règlement DORA le 17 janvier 2025. 35,5 % des violations de données trouvent leur origine dans la chaîne d'approvisionnement, et l'Autorité des services et marchés financiers (FSMA) et la Banque nationale de Belgique (BNB) exercent désormais une surveillance active des dispositifs de gestion des prestataires tiers au sein des établissements qu'elles supervisent.

Ce guide présente le cadre réglementaire belge spécifique, les exigences de la FSMA et de la BNB, et les pratiques concrètes pour structurer un programme TPRM conforme en Belgique en 2026.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique, financier ou réglementaire. Pour des questions spécifiques à votre organisation, consultez un professionnel qualifié.

TPRM en Belgique : le cadre réglementaire spécifique

Rôle de la FSMA et de la BNB dans la supervision du TPRM

En Belgique, la supervision des risques liés aux prestataires tiers est partagée entre deux autorités compétentes nationales :

  • La BNB (Banque nationale de Belgique) supervise les établissements de crédit, les entreprises d'assurance systémiques et les infrastructures de marché en tant qu'autorité compétente pour DORA dans le secteur bancaire belge.
  • La FSMA (Autorité des services et marchés financiers) supervise les sociétés de gestion d'OPCVM, les gestionnaires de fonds d'investissement alternatifs, les prestataires de services d'investissement, les prestataires de services sur crypto-actifs et les entreprises d'assurance non systémiques.

Le règlement DORA (UE) 2022/2554, applicable depuis le 17 janvier 2025, définit les obligations contraignantes en matière de TPRM pour toutes les entités supervisées (DORA, article 28). La FSMA et la BNB en assurent la supervision au niveau national, chacune dans leur périmètre respectif.

Obligations légales belges complémentaires à DORA

Au-delà de DORA, les entités belges doivent intégrer dans leur TPRM plusieurs cadres spécifiques :

Cadre réglementaire Périmètre Implications pour le TPRM
Loi belge anti-blanchiment (18 septembre 2017) Entités assujetties Due diligence sur les tiers intermédiaires
RGPD / Loi belge sur la protection des données Toutes les entités traitant des données personnelles Contrats de sous-traitance conformes
Loi sur les services de paiement (24 mars 2011) PSP belges Externalisation et contrôle des tiers
Règlement sur les transferts de fonds (UE) 2015/847 Établissements de paiement Contrôle des prestataires intermédiaires
NIS2 (pour les secteurs hors finance) Secteurs critiques Sécurité de la chaîne d'approvisionnement

Loi anti-blanchiment belge et TPRM

La loi belge du 18 septembre 2017 relative à la prévention du blanchiment de capitaux (transposant la 4e directive anti-blanchiment) impose aux entités assujetties une vigilance étendue à leurs relations d'affaires, y compris leurs prestataires. Le SPF Économie et la Cellule de traitement des informations financières (CTIF) peuvent exiger des preuves de due diligence sur les prestataires tiers.

Les prestataires qui gèrent des fonctions liées à la vérification d'identité ou au traitement de transactions financières doivent faire l'objet d'une évaluation renforcée. Cela diffère de l'approche DORA — qui se concentre sur le risque TIC — et illustre pourquoi un programme TPRM en Belgique doit intégrer simultanément les deux dimensions.

Les obligations DORA pour les entités belges

Registre des contrats TIC

Toutes les entités supervisées par la FSMA ou la BNB doivent tenir un registre complet de leurs arrangements contractuels TIC (article 28 DORA). Ce registre doit notamment identifier les prestataires TIC tiers critiques, les fonctions qu'ils soutiennent et les risques associés.

La BNB a précisé ses attentes en la matière dans le cadre de son programme de supervision 2025-2026, qui inclut des examens ciblés du registre d'information TIC des établissements de crédit belges.

Cláusules contractuelles obligatoires

Les contrats conclus avec des prestataires TIC couvrant des fonctions critiques ou importantes doivent intégrer les clauses de l'article 30(2) DORA. Les clauses minimales incluent :

  • Droits d'audit et d'inspection pour l'entité financière, la FSMA, la BNB et, le cas échéant, les Autorités de surveillance européennes (ESAs).
  • Notification des incidents majeurs en moins de 4 heures.
  • Conditions de résiliation et stratégie de sortie documentée avec délais précis.
  • Sous-traitance uniquement avec accord préalable.
  • Localisation et régime juridique des données.

Surveillance continue et gestion des risques de concentration

La FSMA a rappelé dans ses communications 2025 que les entités supervisées ne peuvent pas déléguer leur responsabilité de surveillance à un tiers, quelle que soit la clause contractuelle invoquée. Cette position est conforme à l'article 28(1) DORA.

Un enjeu particulier pour les institutions financières belges est le risque de concentration lié à l'utilisation de prestataires cloud non européens — Amazon Web Services, Microsoft Azure, Google Cloud Platform — dont la part de marché dans le secteur financier belge est très élevée. La FSMA attend des établissements qu'ils aient évalué des alternatives crédibles et testé leurs stratégies de sortie.

Les cinq phases d'un programme TPRM conforme en Belgique

Phase 1 : Inventaire et classification des tiers

Un programme TPRM efficace commence par un inventaire exhaustif couvrant l'ensemble des prestataires — directs, sous-traitants, partenaires cloud et intermédiaires financiers. Selon les données Whistic 2025, les organisations gèrent en moyenne 286 fournisseurs, avec un ratio moyen de 33,6 fournisseurs par professionnel du risque.

En Belgique, la classification doit tenir compte de deux dimensions :

  • Criticité DORA (fonctions critiques ou importantes pour la résilience opérationnelle numérique).
  • Exposition AML (prestataires impliqués dans des fonctions liées à la vérification d'identité, aux transactions ou au traitement de données financières).

Cette double classification produit une matrice de risque plus fine qu'une simple approche DORA.

Phase 2 : Due diligence précontractuelle

Pour les prestataires TIC critiques, la due diligence doit couvrir :

  • Solidité financière (comptes annuels déposés à la BNB, état des ratios prudentiels si applicable).
  • Posture de sécurité (certifications ISO 27001, SOC 2, résultats de tests de pénétration récents).
  • Conformité réglementaire belge et européenne (DORA, RGPD, loi anti-blanchiment).
  • Plan de continuité d'activité et plan de reprise après sinistre.
  • Stratégie de sortie et portabilité des données.

CheckFile automatise la collecte et la vérification des documents fournis par les prestataires dans cette phase — certifications, comptes annuels, attestations d'assurance, extraits de la BCE — en signalant automatiquement les pièces manquantes ou expirées.

Phase 3 : Contractualisation

Les contrats avec les prestataires TIC critiques doivent intégrer les clauses de l'article 30(2) DORA, applicable en Belgique depuis le 17 janvier 2025. Les entités dont les contrats existants ne comportent pas ces clauses doivent les renégocier avant leur prochaine révision contractuelle.

La FSMA et la BNB peuvent exiger la communication des contrats conclus avec des prestataires TIC critiques dans le cadre de leurs missions de supervision.

Phase 4 : Surveillance continue

70 % des parties prenantes n'ont pas de visibilité sur les risques liés à leurs fournisseurs (Gartner, 2025). La surveillance continue d'un programme TPRM belge inclut :

  • Révision périodique des évaluations selon la criticité (trimestrielle pour les prestataires critiques, annuelle pour les prestataires standard).
  • Surveillance externe de la posture de sécurité (scores de risque cyber, alertes CVE).
  • Suivi des évolutions réglementaires belges et européennes affectant les prestataires.
  • Alertes automatiques sur les dates d'expiration des certifications et licences.
  • Vérification du respect des SLA et gestion des incidents impliquant des tiers.

CheckFile permet de centraliser la documentation de conformité des prestataires et d'envoyer des alertes automatiques lorsqu'une certification ISO, une police d'assurance ou une autorisation réglementaire approche de son échéance.

Phase 5 : Gestion des incidents et stratégies de sortie

DORA exige des stratégies de sortie documentées et testées pour tous les prestataires TIC critiques. En Belgique, la BNB a inclus la vérification des exit strategies dans son programme de contrôle 2025-2026 pour les établissements de crédit.

Une stratégie de sortie efficace comprend :

  • Identification de prestataires alternatifs ou de plans d'internalisation.
  • Plans de migration des données et de transition des systèmes documentés.
  • Délais de préavis contractuels adaptés à la complexité de la transition.
  • Cartographie complète des dépendances techniques et des flux de données.

Consultez notre guide de conformité DORA pour le secteur financier pour approfondir les exigences en matière de tests de résilience opérationnelle numérique.

Défis spécifiques du TPRM pour les institutions financières belges

Les praticiens de la conformité belges identifient plusieurs défis propres au contexte réglementaire national.

Le premier défi est la double supervision FSMA/BNB, qui implique que certaines entités — notamment les conglomérats financiers — doivent satisfaire simultanément aux attentes des deux superviseurs, parfois avec des priorités légèrement différentes. Un programme TPRM doit être conçu pour répondre aux deux cadres de supervision.

Le deuxième défi est l'intégration DORA/AML, car la loi belge anti-blanchiment impose des due diligence supplémentaires sur certains prestataires qui ne sont pas nécessairement couverts par les seules exigences DORA en matière de TIC.

Le troisième défi est la taille des équipes conformité : 62 % des responsables de risques considèrent que leur programme TPRM est insuffisamment doté en personnel, avec un ratio moyen de 33,6 fournisseurs par spécialiste du risque. L'automatisation de la collecte documentaire devient un levier d'efficacité essentiel.

Le coût moyen d'une violation de données s'élevait à 4,88 millions de dollars en 2024 (IBM Cost of a Data Breach Report 2024), et les sanctions DORA peuvent atteindre 1 % du chiffre d'affaires mondial quotidien pour les prestataires TIC critiques directement supervisés par les ESAs.

Pour approfondir le cadre de gouvernance dans lequel s'inscrit le TPRM, consultez notre guide GRC et notre guide de conformité documentaire.

Checklist opérationnelle du programme TPRM belge

  • Politique TPRM écrite et validée par la direction, couvrant DORA et la loi anti-blanchiment belge.
  • Inventaire complet des tiers avec classification double (criticité DORA + exposition AML).
  • Questionnaires d'évaluation adaptés au niveau de risque.
  • Registre des contrats TIC conforme à l'article 28 DORA, transmissible à la FSMA ou à la BNB sur demande.
  • Cláusules contractuelles conformes à l'article 30(2) DORA dans tous les contrats avec prestataires critiques.
  • Processus de surveillance continue documenté avec fréquences de révision définies.
  • Stratégies de sortie testées pour tous les prestataires TIC critiques.
  • Rapport annuel TPRM présenté à l'organe de direction.
  • Cartographie des risques de concentration, notamment pour les prestataires cloud non-UE.
  • Procédure de gestion des incidents incluant les obligations de notification à la FSMA/BNB.

Pour centraliser la gestion documentaire de vos prestataires et automatiser le suivi des certifications et contrats, découvrez CheckFile.

Questions fréquentes

Quelles sont les autorités compétentes pour DORA en Belgique ?

En Belgique, la supervision DORA est partagée entre la BNB (pour les établissements de crédit et les entités systémiques) et la FSMA (pour les sociétés de gestion, les prestataires de services d'investissement, les CASP et les entreprises d'assurance non systémiques). Certaines entités peuvent être soumises à la supervision conjointe des deux autorités.

La loi anti-blanchiment belge impose-t-elle des obligations spécifiques en matière de TPRM ?

Oui. La loi belge du 18 septembre 2017 impose aux entités assujetties d'étendre leurs mesures de vigilance à leurs prestataires qui interviennent dans des fonctions liées à la vérification d'identité, aux transactions financières ou au traitement de données financières. Cette obligation est distincte des exigences DORA et doit être intégrée dans un programme TPRM global.

DORA s'applique-t-il aux entreprises belges non financières ?

Non directement. DORA s'applique aux entités financières supervisées par la FSMA ou la BNB. Les entreprises belges hors du secteur financier sont soumises à NIS2, transposée en droit belge par la loi du 26 avril 2024 sur la sécurité des réseaux et des systèmes d'information.

Comment coordonner les due diligences DORA et anti-blanchiment sur un même prestataire ?

La bonne pratique est de développer un questionnaire d'évaluation fournisseur intégré couvrant les deux dimensions — sécurité TIC (DORA) et conformité AML (loi anti-blanchiment) — en une seule démarche, afin d'éviter la duplication des échanges avec le prestataire et de centraliser les preuves dans un dossier unique.

Quelles sont les sanctions en cas de non-conformité DORA en Belgique ?

La FSMA et la BNB disposent de pouvoirs de sanction incluant des amendes administratives, des injonctions de mise en conformité et des restrictions d'activité. Pour les prestataires TIC critiques supervisés directement par les ESAs, les pénalités peuvent atteindre 1 % du chiffre d'affaires mondial quotidien jusqu'au rétablissement de la conformité.

Prêt à automatiser vos vérifications ?

Pilote gratuit sur vos propres documents. Résultats en 48 h.

Articles associés

Conformité18 min

Évaluation des risques de conformité : guide complet pour les entreprises belges

Gestion des risques de conformité selon le cadre FSMA, BNB et CTIF-CFI belge. Identifiez, évaluez et atténuez vos risques réglementaires. Guide pratique 2026.

Lire
Conformité10 min

GRC en Belgique : gouvernance, risques et conformité — guide 2026

Comprendre le cadre GRC en Belgique : FSMA, BNB, CTIF et obligations anti-blanchiment. Guide complet pour les entreprises belges sur la governance risk compliance.

Lire
Conformité11 min

Construire un programme de conformité documentaire de A à Z

Guide méthodologique pour bâtir un programme de conformité documentaire structuré : modèle de maturité en 5 niveaux, obligations LCB-FT, RGPD, KYC et automatisation.

Lire