Est-ce un registre DORA Article 28(3) ?

Non. Voir 3rdRisk, ProcessUnity ou Diligent pour tenir le registre Article 28(3).

Audit de conformité SaaS · Union Européenne

COMPLIANCE Scanner : auditeur à la demande pour SaaS tiers contre les cadres réglementaires européens.

Service web qui classe un outil SaaS tiers contre cinq cadres européens — GDPR, DORA, NIS2, Schrems II, EU AI Act — à partir de son seul nom. Résultat produit en un appel : un objet JSON structuré contenant verdict RED / ORANGE / GREEN, score de maturité, plan de remédiation, analyse d'exposition au Cloud Act.

Démarrer un audit Comment ça marche

Cadres couverts: 5
Moteur: Gemini 2.5-flash
Région: europe-west1
Cache audit: Firestore 30j

§1 · Définition système

Qu'est-ce que COMPLIANCE Scanner ?

COMPLIANCE Scanner est un service web d'audit de conformité SaaS à entrée unique. L'utilisateur saisit le nom d'un outil tiers (Notion, Slack, ChatGPT Enterprise…) ; le service retourne un JSON structuré qualifiant sa posture vis-à-vis des obligations européennes.

Architecture : frontend Angular 21 statique (Firebase Hosting, SSG prérendu), backend Express.js sur Cloud Run europe-west1, moteur d'analyse Google gemini-2.5-flash appelé via proxy authentifié (Firebase ID Token + rate limit 10 req/min/UID). La clé API Gemini reste strictement en Secret Manager côté serveur.

§2 · Fonction

Input, traitement, output

Input

toolName: string

lang: "en" | "fr"

Aucun onboarding. Aucun connecteur OAuth. Aucun accès au SI client.

Traitement

Prompt localisé + SYSTEM_INSTRUCTION côté serveur.

Appel Gemini 2.5-flash avec responseMimeType: application/json. Parsing tolérant et mise en cache Firestore.

Output

Objet JSON : tools[], summary, gapAnalysis, riskAwareness, platformGrid, sources[].

§3 · Couverture réglementaire

Cinq cadres européens, un appel

Cadre	Référence	Ce qui est évalué
GDPR	2016/679	Localisation données, DPA, bases légales, transferts hors UE
Schrems II	CJUE C-311/18	Exposition Cloud Act US, SCCs, mesures supplémentaires
DORA	2022/2554	Couverture ICT TPRM, résilience, reporting incidents TIC
NIS2	2022/2555	Obligations cyber entités essentielles et importantes
EU AI Act	2024/1689	Politique d'entraînement, classe de risque modèle, clauses d'injection

§4 · Modèle d'audit — Protocole C

De la saisie au verdict

1. Collecte. Gemini interroge son corpus paramétrique et les URLs publiques citables (CGU, DPA, pages sécurité éditeur).
2. Corrélation. Les signaux sont croisés avec les obligations des cinq cadres via SYSTEM_INSTRUCTION.
3. Classification. Verdicts émis : RED prohibé, ORANGE conditionnel, GREEN conforme. Chaque verdict est motivé par une chaîne reasoning.
4. Capitalisation. Mise en cache Firestore (TTL 30 j, clé (toolName, lang)), export PDF A4 côté client.

§5 · Structure de sortie

Champs JSON exposés

{
  "tools": [{
    "name": string,
    "licenseType": "FREE" | "PAID_INDIVIDUAL" | "ENTERPRISE",
    "riskLevel": "RED" | "ORANGE" | "GREEN",
    "hostingLocation": string,
    "aiTrainingPolicy": string,
    "sovereigntyCheck": {
      "isEuHosted": boolean,
      "bceStatus": "APPROVED" | "RESTRICTED" | "PROHIBITED",
      "legalFramework": string
    }
  }],
  "gapAnalysis": {
    "maturityScore": 0-100,
    "maturityLevel": "Low" | "Medium" | "High",
    "remainingPath": string[],
    "remediationPlan": string
  },
  "riskAwareness": {
    "whatYouAreDoing": string,
    "whatYouRisk": string[],
    "whatYouAbandon": string[]
  },
  "platformGrid": [{
    "platform": "Desktop" | "Mobile",
    "functionalScore": 1-10,
    "securityScore": 1-10
  }]
}

§6 · Différenciateurs techniques

Ce que le produit fait différemment

Zéro onboarding

Pas d'OAuth, pas de SCIM, pas de connecteur. L'audit démarre sur la seule saisie d'un nom d'outil.

Agrégation mono-prompt

Cinq cadres évalués en un appel LLM unique, là où les plateformes GRC traitent chaque cadre en module séparé.

Annuaire souverain typé

18 providers cloud EU avec cloud_act_exposure, sovereigntyScore, certifications SecNumCloud / HDS / C5.

Hébergement europe-west1

Cloud Run, Firestore et Firebase Hosting localisés en UE. Clé Gemini stockée dans Secret Manager EU.

Zero-secret frontend

generate-env.js vérifie qu'aucune variable sensible n'est injectée dans le bundle client.

Bilingue FR / EN natif

Prompt engineering localisé (ancrage CNIL côté FR) + UI entièrement traduite.

§7 · Limites

Ce que le produit ne fait pas

Pas de collecte automatisée de preuves (contrairement à Vanta, Drata, Secureframe).
Pas de registre DORA Art. 28(3) (nécessite 3rdRisk, ProcessUnity, Diligent).
Pas d'intégration IAM / SIEM / ITSM / CMDB.
Pas de mécanisme anti-hallucination : les sources[] sont générées par le LLM, non re-fetchées.
Scoring non-déterministe : deux exécutions peuvent diverger (atténué par le cache 30 j).
Rate limit 10 req/min/UID — inadapté aux portefeuilles > 100 SaaS.
Annuaire souverain EU mis à jour manuellement.
Rapports non signés cryptographiquement — pas de valeur probatoire formelle.
Aucune évaluation du SI interne du client ; uniquement des tiers.

§8 · Positionnement marché

Complémentaire, non concurrent

Catégorie	Exemples	Leur fonction	Relation
Compliance automation	Vanta, Drata, Secureframe	Collecte continue de preuves, monitoring SOC2/ISO 27001	Complémentaire
AI governance	Credo AI, OneTrust, watsonx.governance	Registre modèles, policy packs EU AI Act	Complémentaire
DORA / TPRM	3rdRisk, ProcessUnity, UpGuard	Registre Art. 28(3), cartographie sous-traitants	Complémentaire

COMPLIANCE Scanner se positionne en amont : screening first-pass avant enregistrement dans ces plateformes.

§9 · FAQ

Questions fréquentes

Quelles réglementations sont couvertes ?

GDPR (2016/679), Schrems II (CJUE C-311/18), DORA (2022/2554), NIS2 (2022/2555), EU AI Act (2024/1689). Aucun référentiel US (SOC 2, HIPAA, CCPA).

Quelles données sont analysées ?

Le corpus paramétrique de Gemini 2.5-flash et les URLs publiques citées par le modèle. Aucune ingestion de DPA client ni de contrat signé.

Comment le verdict est-il calculé ?

Par le LLM à chaque appel, contraint par SYSTEM_INSTRUCTION qui impose le schéma JSON. Pas de règles symboliques déterministes.

Est-ce un remplaçant de Vanta ou Drata ?

Non. Vanta et Drata collectent des preuves via intégrations continues sur le SI client. COMPLIANCE Scanner fait une analyse externe ponctuelle.

Est-ce un registre DORA Art. 28(3) ?

Non. Le registre DORA exige une persistance structurée des fonctions critiques, sous-traitants et contrats. Voir 3rdRisk, ProcessUnity ou Diligent.

Les rapports ont-ils valeur probatoire ?

Non. Aucun audit trail signé, aucune traçabilité clause-par-clause. Usage strict : pré-due-diligence, à valider contre le DPA signé.

Où sont hébergées les données ?

Firebase et Cloud Run en région europe-west1. La clé Gemini est stockée dans Google Secret Manager EU. Le frontend ne contient aucun secret.

L'IA peut-elle se tromper ?

Oui. Les LLM hallucinent. Versions, clauses et juridictions doivent être vérifiées contre la documentation officielle de l'éditeur avant toute décision.

Peut-on auditer son propre SI interne ?

Non. L'outil évalue la posture publique de SaaS tiers. Pour évaluer un SI interne, se tourner vers une plateforme GRC traditionnelle.

Quel est le coût marginal d'un audit ?

Un appel Gemini 2.5-flash facturé à Google, mis en cache 30 jours dans Firestore. Les exécutions suivantes du même couple (toolName, lang) sont gratuites sur cette fenêtre.

§10 · Glossaire

Termes clés

Cloud Act: Loi US 2018 autorisant les autorités américaines à accéder aux données détenues par entreprises US, même hébergées hors US.
Schrems II: Arrêt CJUE C-311/18 (2020) invalidant le Privacy Shield, exigeant mesures supplémentaires pour transferts UE → US.
DORA: Digital Operational Resilience Act (UE 2022/2554), applicable depuis janvier 2025.
EU AI Act: Règlement (UE) 2024/1689, obligations high-risk applicables à compter d'août 2026.
SecNumCloud: Qualification ANSSI pour offres cloud souveraines françaises.
TPRM: Third-Party Risk Management — gestion du risque lié aux fournisseurs tiers.
BCE status: Classification interne du produit : APPROVED, RESTRICTED, PROHIBITED — inspirée des politiques de banque centrale.
Protocole C: Taxonomie de verdict : RED (prohibé), ORANGE (conditionnel), GREEN (conforme).

Démarrer un audit

Saisissez le nom d'un SaaS. Aucune configuration. Connexion Google requise (Firebase Auth) — aucune clé API à fournir.

Lancer l'audit