AccueilBlog
reglement-dora-distributeurs-financiers

Règlement DORA et distributeurs financiers : ce qui s'applique aux cabinets de courtage, agences générales et CGP en 2026

Règlement DORA pour courtiers, agences générales et CGP en 2026 : entités concernées, 5 piliers, obligations pratiques, mise en conformité et sanctions.
Anthony Dufrasne
Co-fondateur, Prestimonia
Publié le
29 June 2026
Lecture
min
Mis à jour
16 July 2026

Le règlement européen DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025. C'est l'un des textes les plus structurants de la décennie en matière de conformité financière. Là où les autres règlementations récentes (DDA, MiFID II, PRIIPS) portent sur la commercialisation et la relation client, DORA porte sur la résilience opérationnelle numérique de l'ensemble du secteur financier européen. Concrètement : sécurité des systèmes d'information, gestion des incidents informatiques, surveillance des prestataires de technologies de l'information et de la communication (TIC), tests réguliers de résilience.

Beaucoup de cabinets de courtage, d'agences générales et de cabinets de conseil patrimonial pensent que DORA ne les concerne pas parce qu'ils ne sont ni une banque ni une compagnie d'assurance. C'est une erreur d'analyse fréquente : DORA s'applique à 20 catégories d'entités financières, dont les intermédiaires d'assurance et les conseillers en investissements financiers. La question n'est donc pas « est-ce que DORA me concerne » mais « avec quel niveau d'exigence DORA s'applique à ma structure ».

Cet article décrit précisément ce qu'est DORA, les entités concernées avec un focus sur les distributeurs financiers (courtiers, agents généraux, CGP, IFP), le calendrier précis d'application, les 5 piliers du règlement, les obligations spécifiques pour les cabinets de taille intermédiaire, le régime des prestataires TIC critiques, les sanctions encourues, les 6 étapes pratiques de mise en conformité, et les synergies avec les autres conformités déjà en place (LCB-FT, RGPD, DDA). L'article complète notre dossier conformité au sein duquel vous retrouverez aussi nos analyses sur MiFID II et CIF, PRIIPS KID, et Master compliance.

Qu'est-ce que DORA exactement

Le règlement DORA est le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022. Il harmonise au niveau européen les exigences de résilience opérationnelle numérique pour le secteur financier. Pour la première fois, l'Europe adopte un cadre unique applicable à toutes les entités financières, et pour la première fois aussi, ce cadre couvre l'ensemble du cycle numérique : prévention, détection, réponse, récupération, et amélioration continue.

Le texte est complété par 13 normes techniques de réglementation (RTS) et 4 normes techniques d'exécution (ITS) publiées progressivement entre 2024 et 2026 par les autorités européennes de surveillance (EBA, ESMA, EIOPA). Ces normes précisent les modalités opérationnelles de chaque obligation.

Pourquoi DORA a été créé

Trois facteurs ont conduit l'Europe à adopter ce texte :

  1. L'augmentation massive des cyberattaques ciblant le secteur financier (+38 % par an sur 2020-2024 selon les rapports ENISA).
  2. L'externalisation croissante de l'IT vers des prestataires concentrés (AWS, Microsoft Azure, Google Cloud), qui crée un risque systémique en cas de défaillance.
  3. L'incohérence des règles nationales européennes en matière de cybersécurité financière, qui empêchait une coordination efficace.

DORA répond à ces trois enjeux en créant un cadre commun et contraignant.

Ce que DORA n'est PAS

À ne pas confondre avec :

  • Le RGPD (règlement (UE) 2016/679) : protection des données personnelles, focus sur les droits des personnes physiques.
  • La directive NIS2 (directive (UE) 2022/2555) : cybersécurité des opérateurs essentiels, applicable horizontalement (pas seulement à la finance).
  • Les obligations LCB-FT : lutte contre le blanchiment, focus sur l'identification des transactions suspectes.

DORA complète ces textes sans s'y substituer. Une entité financière peut donc être soumise simultanément à DORA + RGPD + NIS2 + LCB-FT, chacun couvrant un angle différent.

Calendrier d'application

DORA suit un calendrier en plusieurs étapes que tout cabinet doit connaître précisément.

17 janvier 2025 : entrée en application

C'est la date à partir de laquelle DORA est juridiquement contraignant. Toutes les entités concernées doivent à cette date avoir mis en place le dispositif de base : gouvernance, politique de gestion des risques TIC, registre des prestataires, processus de gestion d'incidents.

2025-2026 : application progressive des normes techniques

Les 13 RTS et 4 ITS sont publiées et applicables sur 2025-2026. Chaque norme déclenche une obligation opérationnelle précise. Les cabinets doivent donc surveiller les publications de l'ACPR et de l'AMF, qui transposent et précisent localement.

2026 : premier cycle de tests de résilience

Les entités importantes doivent réaliser leur premier cycle de tests de résilience opérationnelle avancée (TLPT, Threat-Led Penetration Testing) en 2026 ou 2027 selon leur classification.

2027 et au-delà : montée en puissance des contrôles

Les autorités de surveillance (ACPR, AMF) intègreront progressivement DORA dans leurs missions de contrôle ordinaire. Les premiers contrôles ciblés sont attendus à partir du second semestre 2026.

À qui s'applique DORA : focus sur les distributeurs financiers

DORA couvre 20 catégories d'entités financières listées à l'article 2 du règlement. Voici celles qui concernent les distributeurs et le conseil patrimonial.

Catégories directement concernées

  • Établissements de crédit (banques)
  • Entreprises d'investissement : tous les prestataires de services d'investissement, dont les CGP exerçant en tant que CIF (Conseillers en Investissements Financiers) sont indirectement concernés via leur association professionnelle.
  • Entreprises d'assurance et de réassurance : compagnies, mutuelles, institutions de prévoyance.
  • Intermédiaires d'assurance et de réassurance : courtiers (COA), agents généraux (AGA), mandataires d'assurance (MA), mandataires d'intermédiaires d'assurance (MIA). Sur ces statuts voir nos articles IAS et Mandat et mandataire en courtage.
  • Intermédiaires d'assurance et de réassurance auxiliaires (par exemple les vendeurs d'extensions de garantie chez un concessionnaire automobile).
  • Sociétés de gestion d'actifs (SGP) et gestionnaires de fonds d'investissement alternatifs (FIA).
  • Prestataires de services de crowdfunding.
  • Prestataires de services sur crypto-actifs (CASP).

Exemption pour les microentreprises

L'article 16 du règlement prévoit un régime allégé pour les microentreprises (moins de 10 employés ET chiffre d'affaires ou bilan annuel inférieur à 2 millions d'euros). Les obligations restent applicables mais sont proportionnées à la taille de la structure. La majorité des cabinets CGP solo ou des petits courtiers tombent dans cette catégorie.

Cas pratique : un cabinet de courtage de 4 personnes

Un cabinet courtier IARD avec 4 collaborateurs et 800 K€ de chiffre d'affaires entre dans la catégorie « microentreprise » au sens DORA. Il est néanmoins assujetti aux obligations de base : politique de gestion des risques TIC, registre des prestataires, processus simplifié de notification d'incident majeur. Les exigences les plus lourdes (tests avancés, fonction de gestion des risques dédiée) ne s'appliquent pas.

Les 5 piliers du règlement DORA

DORA s'articule autour de 5 piliers complémentaires. Chaque pilier impose un dispositif spécifique à mettre en œuvre.

Pilier 1 : Gestion des risques liés aux TIC

C'est le cœur du règlement. Toute entité concernée doit disposer d'une politique formalisée de gestion des risques liés aux technologies de l'information et de la communication. Cette politique couvre :

  • L'identification des actifs TIC critiques et de leurs vulnérabilités.
  • L'évaluation périodique des risques (au minimum annuelle).
  • Les mesures de protection (chiffrement, authentification forte, segmentation réseau).
  • Les plans de continuité d'activité et de reprise après sinistre.
  • La formation continue du personnel à la cybersécurité.

Pour les microentreprises, la politique peut être simplifiée mais doit exister par écrit, être validée par la direction et révisée annuellement.

Pilier 2 : Gestion et notification des incidents TIC

Les entités doivent disposer d'un processus structuré de gestion des incidents informatiques : détection, classification, escalade, résolution, retour d'expérience. Les incidents qualifiés de « majeurs » doivent être notifiés à l'autorité compétente (ACPR ou AMF selon le statut) dans des délais précis :

  • Notification initiale : sous 4 heures après classification de l'incident comme majeur, et au plus tard 24 heures après détection.
  • Rapport intermédiaire : sous 72 heures.
  • Rapport final : sous 1 mois.

Les seuils précis de qualification d'un incident comme « majeur » sont fixés par le RTS sur la classification des incidents TIC.

Pilier 3 : Tests de résilience opérationnelle numérique

Les entités doivent réaliser des tests réguliers de leur dispositif. Le niveau d'exigence dépend de la classification :

  • Toutes les entités : tests de base (scans de vulnérabilités, audits de sécurité, tests de continuité).
  • Entités importantes : tests avancés (TLPT, simulations d'attaque réelle) tous les 3 ans.

Pour un cabinet de courtage de taille moyenne, les tests de base suffisent. Pour une grande banque ou compagnie d'assurance, les TLPT sont obligatoires.

Pilier 4 : Gestion des risques liés aux prestataires TIC tiers

C'est sans doute le pilier le plus structurant pour les distributeurs financiers. Toute entité doit :

  • Tenir un registre détaillé de l'ensemble de ses prestataires TIC (fournisseur, prestation, criticité, conformité).
  • Évaluer la criticité de chaque prestataire (un prestataire critique est celui dont la défaillance affecterait la fourniture des services financiers).
  • Inclure dans les contrats avec les prestataires des clauses obligatoires (droit d'audit, plan de sortie, niveau de service, sécurité, reportings).
  • Surveiller en continu la performance et la sécurité du prestataire.

Concrètement, un CGP qui utilise HubSpot, Pipedrive ou un progiciel patrimonial doit avoir évalué la criticité de chacun de ces prestataires et stocké les contrats correspondants dans un registre traçable.

Pilier 5 : Partage d'informations sur les cybermenaces

Les entités sont encouragées (mais pas obligées pour les microentreprises) à participer à des dispositifs de partage d'informations sur les cybermenaces et vulnérabilités, avec leurs pairs et avec les autorités. En France, le CERT-FR et la cellule Tracfin sont les principaux points de coordination.

Les obligations spécifiques pour les distributeurs financiers en pratique

Au-delà des 5 piliers généraux, voici les obligations qui s'imposent concrètement à un courtier, un agent général ou un CGP en 2026.

1. Désignation d'un responsable de la gestion des risques TIC

Toute entité doit désigner une personne responsable de la fonction de gestion des risques TIC. Pour une grande structure, c'est généralement un poste dédié (CISO, RSSI, responsable cybersécurité). Pour un cabinet de courtage ou un CGP, c'est typiquement le dirigeant lui-même ou un associé, qui peut s'appuyer sur un prestataire externe.

Cette personne doit être en mesure de répondre aux questions de l'ACPR ou de l'AMF en cas de contrôle. Elle est l'interlocuteur unique pour les obligations DORA.

2. Cartographie des actifs TIC critiques

Le cabinet doit avoir une cartographie écrite et tenue à jour de l'ensemble de ses actifs TIC : matériel (ordinateurs, serveurs, téléphones professionnels), logiciels (CRM, progiciel, suite bureautique, messagerie), services cloud (espace de stockage, sauvegardes), données sensibles stockées.

Pour chaque actif, le cabinet identifie le niveau de criticité (en pratique, sa capacité à continuer à fonctionner si l'actif est indisponible 1 jour, 1 semaine ou 1 mois).

3. Politique de gestion des incidents écrite

Document interne d'1 à 5 pages décrivant : la définition d'un incident TIC, qui détecte, qui escalade, qui décide, qui notifie l'autorité, qui communique aux clients le cas échéant. Cette politique doit être revue annuellement et testée au moins une fois par an (exercice de simulation d'incident).

Côté conseil
Démarrer par le registre des prestataires, pas par la cybersécurité

Beaucoup de cabinets démarrent leur mise en conformité DORA par le sujet le plus impressionnant (cybersécurité, tests, plans de continuité). C'est la mauvaise approche. Le registre des prestataires TIC est l'élément que l'ACPR demandera systématiquement en premier en cas de contrôle, et c'est aussi le plus rapide à construire (1 à 3 jours pour un cabinet de moins de 10 personnes). Démarrez par là, le reste suivra naturellement et sera mieux structuré.

4. Registre des prestataires TIC

Le document le plus structurant à mettre en place. Pour chaque prestataire, le registre indique :

  • Nom du prestataire et coordonnées
  • Service fourni (par exemple « hébergement CRM ») et description
  • Niveau de criticité (critique, important, accessoire)
  • Localisation des données traitées (UE, hors UE)
  • Contrat en cours (référence, durée, clauses DORA conformes)
  • Niveau de sécurité (certification ISO 27001, SOC 2, etc.)
  • Date du dernier audit ou évaluation

Ce registre est exigible en cas de contrôle ACPR. L'absence ou la pauvreté du registre est l'une des principales sources d'observation prévue lors des premiers contrôles 2026-2027.

5. Clauses contractuelles obligatoires avec les prestataires

Les contrats avec les prestataires TIC critiques doivent contenir 14 clauses obligatoires listées à l'article 30 du règlement, dont les principales :

  • Description précise des services et des niveaux de service (SLA)
  • Localisation géographique du traitement et du stockage des données
  • Droit d'accès, d'inspection et d'audit du prestataire
  • Obligation d'assistance en cas d'incident
  • Engagement de coopération avec les autorités de surveillance
  • Conditions de résiliation et plan de sortie ordonnée
  • Sécurité de l'information conforme aux normes internationales

Beaucoup de contrats existants avec des éditeurs de logiciels ou des hébergeurs cloud ne contiennent pas tout ou partie de ces clauses. La mise en conformité passe par la renégociation de ces contrats ou par le recours à des avenants standardisés.

Le régime spécial des prestataires TIC critiques

Au-delà des entités financières elles-mêmes, DORA crée un régime spécifique pour les prestataires TIC tiers critiques, désignés directement par les autorités européennes. Ces prestataires (typiquement les grands fournisseurs de cloud, certains éditeurs de logiciels critiques) sont placés sous surveillance directe des autorités européennes.

Concrètement, AWS, Microsoft Azure, Google Cloud et quelques autres acteurs majeurs du marché ont été désignés comme prestataires critiques en 2024-2025. Cela signifie qu'ils sont surveillés en continu et doivent répondre directement aux autorités.

Pour un cabinet français qui utilise un service hébergé chez AWS ou Microsoft Azure (ce qui est le cas de la quasi-totalité des progiciels en SaaS), cela représente une sécurité supplémentaire : la conformité du prestataire est garantie par le régulateur, vous n'avez pas à la vérifier vous-même.

Sanctions encourues en cas de non-conformité

Le règlement DORA ne définit pas un barème de sanctions unique. Chaque État membre transpose les sanctions dans sa législation nationale. En France, les sanctions sont appliquées par l'ACPR et l'AMF selon le statut de l'entité.

Les fourchettes typiques observées sur des manquements de conformité TIC en 2025 :

  • Avertissement ou blâme pour les manquements légers.
  • Sanctions pécuniaires allant jusqu'à 1 à 2 % du chiffre d'affaires annuel pour les manquements graves, et jusqu'à 10 millions d'euros pour les personnes morales selon la nature de l'entité.
  • Interdiction d'exercer temporaire ou définitive en cas de manquement grave répété.

Pour un cabinet patrimonial de taille moyenne, le risque réel n'est pas tant la sanction pécuniaire (peu d'amendes ACPR atteignent ces plafonds sur des structures de moins de 50 personnes) que la sanction réputationnelle d'une publication de sanction sur le site de l'autorité, qui détruit instantanément la confiance des clients existants.

Les 6 étapes pratiques de mise en conformité DORA pour un cabinet

Voici la feuille de route opérationnelle pour un cabinet de courtage, une agence générale ou un cabinet CGP qui n'a pas encore mis en place DORA.

Étape 1 : Désignation et formation du responsable TIC

Désigner par écrit la personne en charge (dirigeant ou associé en pratique). Former cette personne aux exigences DORA via une formation courte (1 à 2 jours) ou en s'appuyant sur les ressources de l'ACPR et de l'ESMA.

Étape 2 : Cartographie des actifs TIC

Lister tous les actifs TIC du cabinet : matériel, logiciels, services cloud, données sensibles. Évaluer la criticité de chacun. Cette cartographie peut tenir en 2 à 5 pages pour un cabinet de moins de 10 personnes.

Étape 3 : Constitution du registre des prestataires

Lister tous les prestataires TIC : hébergeur, éditeur du progiciel, fournisseur de messagerie professionnelle, prestataire CRM, prestataire de signature électronique, fournisseur de l'antivirus, prestataire de sauvegarde, etc. Pour chaque prestataire, collecter les éléments cités plus haut. Outil pratique : un simple tableur partagé suffit pour un cabinet de moins de 20 personnes.

Étape 4 : Audit et renégociation des contrats prestataires

Lire les contrats en cours et identifier les clauses manquantes (parmi les 14 clauses obligatoires). Demander aux prestataires des avenants standardisés (la plupart proposent un « DORA addendum » prêt à signer en 2026). Pour les contrats que les prestataires refusent de modifier, évaluer le risque et envisager un changement de prestataire à terme.

Étape 5 : Politique de gestion des incidents

Rédiger un document interne de 2 à 5 pages décrivant la procédure de gestion des incidents : détection, classification, escalade, notification ACPR ou AMF, communication client, retour d'expérience. Réaliser un test annuel (simulation d'incident type ransomware ou panne majeure du progiciel).

Étape 6 : Revue annuelle et amélioration continue

Documenter une revue annuelle écrite du dispositif : ce qui a fonctionné, ce qui doit être amélioré, plan d'action pour l'année suivante. Cette revue est exigible en cas de contrôle ACPR ou AMF.

Pour un cabinet de moins de 10 personnes qui démarre la mise en conformité, comptez 30 à 60 heures de travail interne sur 2 à 3 mois, ou un budget de 5 000 à 15 000 € si vous externalisez à un prestataire spécialisé.

Côté conseil
Réclamer le DORA addendum à vos prestataires, ils l'ont déjà

La majorité des éditeurs de logiciels patrimoniaux et des hébergeurs cloud ont préparé un DORA addendum standardisé qu'ils signent à la demande. Ne réécrivez pas vous-même les 14 clauses : demandez directement à votre prestataire son avenant DORA. Vous gagnez 80 % du travail. Si un prestataire refuse de fournir ce document ou n'en a pas, considérez-le comme un signal d'alerte sur sa propre maturité de conformité.

Synergies avec les autres conformités déjà en place

DORA ne s'ajoute pas en silo aux autres conformités existantes. Il s'inscrit dans un écosystème déjà chargé que les cabinets connaissent. Identifier les synergies permet de réduire la charge de mise en conformité.

Synergie avec le RGPD

Le registre des traitements de données (RGPD article 30) que vous tenez probablement déjà couvre une partie des informations exigées par le registre DORA des prestataires. Une fusion ou un référencement croisé évite de tout refaire.

Synergie avec la conformité LCB-FT

La politique de classification des risques et de vigilance que vous tenez au titre de la LCB-FT prépare la culture de classification que DORA exige pour les actifs TIC et les prestataires. Les processus de classification peuvent partager les mêmes principes méthodologiques.

Synergie avec MiFID II et DDA

Les obligations de gouvernance produit et de devoir de conseil de MiFID II et DDA partagent avec DORA la même exigence de traçabilité documentaire et de revue périodique. Un cabinet qui a déjà structuré sa documentation MiFID/DDA aura moins de mal à structurer sa documentation DORA.

Synergie avec les obligations de formation continue

Les 15 heures annuelles de formation continue imposées par la DDA peuvent inclure un module DORA et cybersécurité. C'est une utilisation efficace du temps de formation obligatoire.

Notre approche chez Prestimonia

Prestimonia est une agence d'acquisition spécialisée pour les cabinets de conseil patrimonial, les courtiers et les agents généraux. Sur le volet DORA, notre positionnement est de garantir que les outils que nous utilisons et que nous mettons à disposition de nos clients sont conformes aux exigences du règlement, et que les flux de données entre votre cabinet et notre dispositif respectent les obligations de traçabilité et de localisation des données prévues par DORA.

Nos prestataires TIC sont eux-mêmes audités, nos contrats prestataires intègrent les clauses DORA conformes, et notre infrastructure est hébergée en Union européenne avec les certifications de sécurité standard du marché.

FAQ : Règlement DORA pour les distributeurs financiers

Le règlement DORA s'applique-t-il à un cabinet de courtage de moins de 5 personnes ?

Oui, DORA s'applique à toutes les entités d'intermédiation en assurance, quelle que soit leur taille. Toutefois, l'article 16 prévoit un régime allégé pour les microentreprises (moins de 10 employés ET CA ou bilan inférieur à 2 millions d'euros). Le cabinet doit avoir une politique de gestion des risques TIC simplifiée, un registre des prestataires et un processus de notification d'incident, mais n'est pas soumis aux tests avancés ni à la désignation d'une fonction de gestion des risques TIC dédiée.

Quelle est la date à laquelle DORA est devenu obligatoire ?

Le règlement DORA est entré en application le 17 janvier 2025. À cette date, toutes les entités concernées devaient avoir mis en place le dispositif de base. Les normes techniques d'application (RTS et ITS) entrent en vigueur progressivement entre 2025 et 2026, et les premiers contrôles ciblés par l'ACPR et l'AMF sont attendus à partir du second semestre 2026.

Un CGP qui exerce en tant que CIF est-il directement concerné par DORA ?

Oui. Les CGP exerçant en tant que Conseillers en Investissements Financiers (CIF) entrent dans la catégorie des entreprises d'investissement au sens DORA. Ils sont donc directement assujettis aux obligations du règlement, avec le régime allégé pour ceux qui répondent aux critères de microentreprise. Sur le statut CIF voir notre article MiFID II et CIF.

Quelles sont les sanctions en cas de non-conformité DORA ?

Les sanctions sont définies par chaque État membre. En France, l'ACPR et l'AMF peuvent prononcer des avertissements, des blâmes, des sanctions pécuniaires jusqu'à 1 à 2 % du chiffre d'affaires annuel pour les manquements graves, et jusqu'à 10 millions d'euros pour les personnes morales selon la nature de l'entité. La sanction réputationnelle (publication sur le site du régulateur) est souvent plus dommageable que la sanction pécuniaire pour les structures de taille moyenne.

Comment construire le registre des prestataires TIC exigé par DORA ?

Pour chaque prestataire (CRM, progiciel, hébergeur, fournisseur de messagerie, signature électronique, sauvegarde, antivirus, etc.), collecter : nom et coordonnées, service fourni, niveau de criticité, localisation des données, référence et durée du contrat, niveau de sécurité (certifications ISO 27001, SOC 2). Un simple tableur partagé suffit pour un cabinet de moins de 20 personnes. Le registre doit être tenu à jour et révisé annuellement.

Quelles clauses contractuelles obligatoires doit-on exiger de ses prestataires TIC ?

L'article 30 du règlement liste 14 clauses obligatoires : description précise des services et SLA, localisation des données, droit d'audit, obligation d'assistance en cas d'incident, coopération avec les autorités, conditions de résiliation et plan de sortie ordonnée, sécurité de l'information conforme aux normes internationales, notification d'incidents, sous-traitance encadrée, propriété intellectuelle, fin de service, accès aux logs, formation et certification du personnel du prestataire, gestion des conflits.

Faut-il faire des tests de cybersécurité réguliers au titre de DORA ?

Pour les entités courantes (dont la majorité des cabinets patrimoniaux et courtiers), des tests de base suffisent : scans de vulnérabilités, audits de sécurité, exercice annuel de simulation d'incident. Pour les entités importantes (grandes banques, grandes compagnies d'assurance), les tests avancés (TLPT, Threat-Led Penetration Testing) sont obligatoires tous les 3 ans. Pour un cabinet de moins de 20 personnes, un audit de sécurité annuel par un prestataire spécialisé (1 500 à 4 000 € HT) suffit.

Comment notifier un incident TIC majeur à l'ACPR ou à l'AMF ?

Les délais sont : notification initiale sous 4 heures après classification de l'incident comme majeur (au plus tard 24 heures après détection), rapport intermédiaire sous 72 heures, rapport final sous 1 mois. La notification se fait via les portails des autorités (ACPR ou AMF selon le statut). Le cabinet doit avoir préparé en amont les modèles de notification et identifié l'interlocuteur unique en charge.

Quel budget prévoir pour la mise en conformité DORA d'un cabinet de moins de 10 personnes ?

Si vous gérez en interne, comptez 30 à 60 heures de travail réparties sur 2 à 3 mois. Si vous externalisez à un prestataire de mise en conformité spécialisé, comptez 5 000 à 15 000 € HT pour le projet initial, puis 1 500 à 4 000 € HT par an pour l'audit annuel et la mise à jour. Ce coût est faible au regard du risque réputationnel encouru en cas de non-conformité.

Sommaire

RDV Clé en main

Construisez votre système
d'acquisition en 90 jours

Diagnostic gratuit · Méthode éprouvée ·
Résultats mesurables

Réserver un diagnostic →

Partager cet article

Tags
Acquisition client
Automatisation
CGP
Prospection
Conversion
Email marketing
À propos de l'auteur

Anthony Dufrasne

Co-fondateur & Directeur de la stratégie — Prestimonia

Anthony accompagne les professionnels de la finance dans la construction de systèmes d'acquisition autonomes depuis 2019. Il a contribué à générer plus de 277M€ de patrimoine géré pour les CGP du réseau Prestimonia. Spécialiste de la conversion et de l'automatisation marketing dans les secteurs réglementés.

Voir tous les articles de
Anthony Dufrasne
Purple arrow pointing to the right.