Cartographie du RoPA et des flux de données pour GDPR, NIS2 et DORA
Il est 09 h 10 un mardi. Le RSSI, le DPO, le responsable des achats et le directeur des opérations participent au même appel vidéo, mais ne regardent pas les mêmes preuves.
Le DPO dispose d’un registre des activités de traitement, ou RoPA, qui recense l’intégration des clients, la paie des employés, les tickets de support et les analyses marketing. Le RSSI possède un inventaire des actifs cloud. Les achats détiennent les contrats fournisseurs. Les opérations tiennent un tableur de continuité d’activité. La finance possède le registre d’information DORA. Personne ne peut répondre à la question consolidée la plus élémentaire du régulateur :
Si ce service d’intégration des paiements tombe en panne, quels systèmes, fournisseurs, catégories de données, sous-traitants ultérieurs, transferts transfrontaliers et fonctions métier critiques sont affectés ?
Cette question est le véritable test de conformité 2026.
GDPR exige toujours des enregistrements Article 30 permettant de démontrer la responsabilité. NIS2 a transformé la cybersécurité en enjeu de responsabilité des organes de direction pour les entités essentielles et importantes. DORA impose aux entités financières d’apporter des preuves sur les dépendances TIC, les fonctions critiques ou importantes, les accords avec les prestataires tiers de services TIC, la classification des incidents et les tests de résilience. ISO/IEC 27001:2022 fournit la structure de système de management permettant de maintenir l’ensemble, mais seulement si le RoPA et la cartographie des flux de données sont traités comme des preuves vivantes de gouvernance, et non comme des tableurs de l’équipe Protection des données.
Chez Clarysec, nous observons le même schéma dans les entreprises SaaS, fintech, cloud, MSP et technologiques B2B en forte croissance. Elles disposent d’une documentation suffisante pour répondre à un questionnaire, mais pas de preuves suffisamment reliées pour résister à une revue de supervision, à un incident cyber, à une défaillance fournisseur ou à un audit interne. Le problème tient rarement à l’absence d’information. Il tient à l’absence de lien.
La solution consiste à faire du RoPA et de la cartographie des flux de données la couche probante commune pour la protection de la vie privée, la cyberrésilience, la gestion des fournisseurs, la gouvernance du cloud et la continuité d’activité.
Pourquoi le RoPA et la cartographie des flux de données sont devenus un enjeu de gouvernance en 2026
Le RoPA était auparavant considéré comme un livrable de protection de la vie privée. Les cartographies de flux de données étaient souvent élaborées lors d’une DPIA, d’une migration cloud ou d’une revue d’architecture de sécurité, puis laissées à vieillir. Cette approche ne fonctionne plus.
GDPR s’applique largement aux traitements de données à caractère personnel réalisés dans le contexte d’un établissement dans l’UE, ainsi qu’à de nombreux responsables du traitement ou sous-traitants situés hors UE qui proposent des biens ou services à des personnes dans l’UE, ou qui surveillent leur comportement. Les données à caractère personnel couvrent les informations se rapportant à une personne identifiée ou identifiable. Le traitement comprend la collecte, le stockage, l’utilisation, la divulgation, la limitation, l’effacement et la destruction. Un responsable du traitement détermine les finalités et les moyens, tandis qu’un sous-traitant agit pour le compte d’un responsable du traitement.
Un RoPA n’est donc pas une simple liste de bases de données. C’est un registre des finalités métier, des catégories de données, des rôles, des destinataires, des durées de conservation, des mesures de protection et des dépendances internationales.
NIS2 ajoute une lecture par la résilience des services. Elle fait entrer dans son champ de nombreuses organisations de taille moyenne et grande dans les secteurs hautement critiques et autres secteurs critiques, notamment les infrastructures numériques, les fournisseurs de services d’informatique en nuage, les prestataires de services de centres de données, les réseaux de diffusion de contenu, les prestataires de services de confiance, les fournisseurs de réseaux de communications électroniques publics, les prestataires de services managés et les prestataires de services de sécurité managés. L’Annexe I inclut également les infrastructures bancaires et de marchés financiers. Certaines entités peuvent être couvertes indépendamment de leur taille, notamment certains fournisseurs DNS, TLD, de services de confiance et de communications publiques, ainsi que les entités dont la perturbation pourrait affecter de manière significative la sécurité publique, la santé publique, le risque systémique ou des activités sociétales et économiques critiques.
NIS2 Article 21 exige des mesures techniques, opérationnelles et organisationnelles proportionnées pour les réseaux et systèmes d’information utilisés dans les opérations ou la fourniture de services. Ses domaines minimaux comprennent l’analyse des risques, les politiques de sécurité, la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, le développement sécurisé, l’évaluation de l’efficacité, l’hygiène cyber, la cryptographie, la sécurité RH, le contrôle d’accès, la gestion des actifs et l’authentification.
Pour une entité NIS2, un RoPA sans vision des dépendances de service est incomplet. Un incident significatif doit être compris en termes d’impact sur le service, de perturbation opérationnelle, de destinataires affectés, de fournisseurs et d’implications transfrontalières.
DORA renforce le même point pour les entités financières. Il s’applique depuis le 17 janvier 2025 et établit des exigences uniformes pour la gestion des risques liés aux TIC, le signalement des incidents majeurs liés aux TIC, les tests de résilience opérationnelle numérique, le partage d’informations sur les cybermenaces et les vulnérabilités, les risques liés aux prestataires tiers TIC et les accords contractuels conclus avec des prestataires tiers de services TIC. DORA définit largement les services TIC comme des services numériques et de données fournis de façon continue au moyen de systèmes TIC. Il définit une fonction critique ou importante comme une fonction dont la perturbation compromettrait de manière significative la performance financière, la continuité de service ou les obligations de conformité.
Pour les entités financières également identifiées au titre de la transposition nationale de NIS2, DORA est traité comme l’acte juridique sectoriel de l’Union pour les exigences équivalentes relatives au risque lié aux TIC, au signalement des incidents, aux tests, au partage d’informations et aux risques liés aux tiers. En pratique, une fintech ne peut pas constituer un jeu de preuves pour la protection de la vie privée, un autre pour DORA et un autre pour NIS2. Elle a besoin d’une seule couche de gouvernance des données intégrant les dépendances.
Cette couche, c’est le RoPA associé à la cartographie des flux de données.
ISO/IEC 27001:2022 constitue l’ossature
ISO/IEC 27001:2022 est conçu pour ce type d’intégration. La norme établit un système de management de la sécurité de l’information évolutif, ou SMSI, destiné à préserver la confidentialité, l’intégrité et la disponibilité par la gestion des risques. Elle est destinée à être intégrée dans les processus de l’organisation et adaptée à ses besoins, à sa taille et à sa structure.
Le point de départ n’est pas l’outil de diagramme. C’est le domaine d’application.
Les clauses 4.1 à 4.4 d’ISO/IEC 27001:2022 exigent que l’organisation définisse le contexte, les parties intéressées, le domaine d’application du SMSI et les processus en interaction. Le domaine d’application doit tenir compte des obligations légales, réglementaires et contractuelles, ainsi que des interfaces et dépendances entre les activités internes et les activités réalisées par d’autres organisations. Pour le RoPA et la cartographie des flux de données, cela signifie que le domaine d’application de votre SMSI doit couvrir explicitement les plateformes cloud externalisées, les prestataires de paiement, les fournisseurs d’identité, les outils de support, les prestataires de sécurité managés et les intégrations SaaS critiques pour l’activité.
Les clauses 5.1 à 5.3 rendent la direction responsable de la politique, des ressources, de l’attribution des rôles et du reporting. Cela reflète l’orientation de NIS2 Article 20, qui impose aux organes de direction d’approuver les mesures de gestion des risques de cybersécurité, d’en superviser la mise en œuvre et de suivre une formation. Cela s’aligne également sur DORA Article 5, qui confie à l’organe de direction la responsabilité ultime du risque lié aux TIC et de la supervision des politiques, de la stratégie de résilience, des plans de continuité, des plans d’audit, des services TIC fournis par des tiers et des canaux de signalement des incidents majeurs.
Les clauses 6.1.1 à 6.1.3 fournissent le moteur de planification : identifier les risques pesant sur la confidentialité, l’intégrité et la disponibilité, désigner les propriétaires des risques, analyser les conséquences et la vraisemblance, sélectionner les options de traitement, comparer les contrôles avec l’Annexe A, produire la Déclaration d’applicabilité et obtenir l’approbation du propriétaire du risque.
C’est à ce niveau que le RoPA devient opérationnel. Chaque activité de traitement et chaque flux de données doit être relié aux risques, aux contrôles, aux fournisseurs, aux actifs et aux services critiques. À défaut, il restera un inventaire de protection de la vie privée incapable de soutenir la réponse aux incidents, les tests de résilience ou les décisions relatives au risque fournisseur.
Le Zenith Blueprint : feuille de route en 30 étapes pour l’auditeur de Clarysec rend cette approche concrète dans la phase Gestion des risques, étape 9, Identification des actifs, des menaces et des vulnérabilités :
Pour chaque actif, consignez les informations clés : nom/description, propriétaire, emplacement et classification (sensibilité). Par exemple, un actif pourrait être « Base de données clients – détenue par le service informatique – hébergée sur AWS – contient des données à caractère personnel et financières (sensibilité élevée) ».
La même étape 9 ajoute l’enseignement clé en matière de conformité : les actifs contenant des données à caractère personnel doivent être marqués comme pertinents au regard de GDPR, et les actifs liés à des services critiques doivent être signalés pour une applicabilité potentielle de NIS2 si l’organisation relève d’un secteur réglementé. C’est le pont entre le RoPA, l’inventaire des actifs et la cartographie des dépendances des services critiques.
Ce qu’un RoPA prêt pour audit doit contenir
Un RoPA robuste n’a pas besoin d’être complexe, mais il doit être connecté.
GDPR Article 5 exige que les données à caractère personnel soient traitées de manière licite, loyale et transparente, collectées pour des finalités déterminées et légitimes, limitées à ce qui est nécessaire, tenues exactes, conservées uniquement pendant la durée nécessaire et sécurisées par des mesures techniques et organisationnelles appropriées. Article 5(2) impose au responsable du traitement d’être responsable du respect de ces exigences et d’être en mesure de le démontrer.
Article 6 exige une base légale, telle que le consentement, la nécessité contractuelle, l’obligation légale, les intérêts vitaux, la mission d’intérêt public ou les intérêts légitimes. Si le traitement poursuit une nouvelle finalité, la compatibilité doit être appréciée en tenant compte des finalités initiales et nouvelles, du contexte de collecte, de la sensibilité, des conséquences pour les personnes et des garanties telles que le chiffrement ou la pseudonymisation. Article 9 ajoute des règles plus strictes pour les catégories particulières de données à caractère personnel, notamment les données de santé, les données biométriques utilisées pour l’identification unique et d’autres catégories sensibles.
Le jeu de politiques PME de Clarysec en fait une exigence opérationnelle. La Politique de protection des données et de la vie privée - PME indique :
Le Coordinateur Protection des données doit tenir un registre de toutes les activités de traitement de données à caractère personnel, notamment les catégories de données, la finalité, la base légale et les durées de conservation.
Cela provient de la section Exigences de gouvernance, clause 5.2.1. Pour les organisations plus grandes, la Politique de protection des données et de la vie privée de Clarysec attribue directement la responsabilité :
Maintient le registre des activités de traitement (RoPA) conformément à GDPR Article 30.
Cette formulation provient de la section Rôles et responsabilités, clause 4.2.2. Le message pratique est simple : la propriété du RoPA doit être attribuée. Il ne peut pas s’agir d’un tableur de conformité orphelin.
Un RoPA prêt pour 2026 doit inclure les champs suivants.
| Champ RoPA | Pourquoi c’est important | Lien avec les preuves |
|---|---|---|
| Nom de l’activité de traitement | Crée un enregistrement lisible par les métiers | Lien avec le responsable de processus et le domaine d’application du SMSI |
| Finalité et base légale | Soutient la responsabilité GDPR | Lien avec la mention d’information, le contrat ou l’analyse juridique |
| Personnes concernées et catégories de données | Identifie l’exposition et la sensibilité | Lien avec les règles de classification et de masquage |
| Indicateur de catégorie particulière ou de données à haut risque | Déclenche des mesures de protection renforcées | Lien avec la DPIA, la pseudonymisation et les contrôles d’accès |
| Systèmes et applications | Relie la protection de la vie privée aux actifs TIC | Lien avec l’inventaire des actifs et la gestion des vulnérabilités |
| Fournisseurs et sous-traitants ultérieurs | Montre la chaîne de traitement externe | Lien avec le registre des fournisseurs et les contrats |
| Emplacements des données et transferts | Soutient la revue de la localisation et des transferts | Lien avec le registre cloud et les garanties applicables aux transferts |
| Règles de conservation et de suppression | Soutient la limitation de la conservation | Lien avec le calendrier de conservation et la suppression sécurisée |
| Dépendance à un service critique | Soutient l’analyse d’impact NIS2 et DORA | Lien avec la BIA, la continuité et la classification des incidents |
| Contrôles et preuves | Rend le RoPA vérifiable en audit | Lien avec la SoA, le registre des risques et les preuves de test |
Les dernières lignes sont celles qui font passer le RoPA d’une documentation de protection de la vie privée à des preuves de cyberrésilience. Sans systèmes, fournisseurs, emplacements, criticité et contrôles, un RoPA peut satisfaire une checklist Article 30 étroite, mais échouer dès qu’un incident, une interruption de service ou une revue de supervision exige une analyse d’impact.
La cartographie des flux de données relie la protection de la vie privée, le cloud et les services critiques
Si le RoPA répond à la question « quels traitements existent et pourquoi », la cartographie des flux de données répond à la question « où les données circulent, qui y accède, ce qui les protège et ce qui se rompt si le flux s’arrête ».
La Politique de masquage des données et de pseudonymisation - PME de Clarysec formule l’exigence sans ambiguïté :
Une cartographie des flux de données doit être créée.
Cela provient des Exigences de gouvernance, clause 5.1.1.1. La version entreprise, Politique de masquage des données et de pseudonymisation, élargit l’attente à la clause 5.2.1 :
Maintenir un inventaire à jour des systèmes et des flux de données impliquant des données sensibles.
La clause 5.2.2 ajoute :
Cartographier où et comment les données sont transformées, partagées ou consultées entre les environnements.
Les auditeurs et régulateurs ne recherchent pas des schémas esthétiques. Ils veulent comprendre les transformations, les chemins d’accès, les partages, les environnements et les mesures de protection.
Dans le Zenith Blueprint, phase Contrôles en action, étape 22, Contrôles organisationnels 5.1 à 5.18, les orientations relatives au transfert de l’information expliquent que les organisations doivent définir les méthodes de transfert autorisées, les aligner sur la classification et s’assurer que les parties comprennent leurs rôles et obligations. Elles donnent des exemples tels que le courrier électronique chiffré, les portails sécurisés, SFTP, les interfaces de programmation (API) et la livraison physique avec chiffrement. Elles précisent également que les données à caractère personnel transférées au-delà des frontières doivent respecter les obligations de protection de la vie privée et les obligations légales, et pas seulement les préférences internes.
La même étape relie le transfert de l’information à la classification et à l’étiquetage, à la prévention des fuites de données, aux relations fournisseurs et à la cryptographie. Cela crée un modèle pratique de cartographie des flux de données :
- Identifier le système source, par exemple le CRM, la plateforme de paiement, le SIRH ou le centre de support.
- Identifier la catégorie de données, notamment les données à caractère personnel, les données financières, les données des employés, les catégories particulières de données ou les identifiants.
- Identifier la méthode de transfert, par exemple API, SFTP, courrier électronique, portail sécurisé, export manuel ou réplication de sauvegarde.
- Identifier la destination, notamment le système interne, le service cloud, le fournisseur, le sous-traitant ultérieur, l’entrepôt de données ou l’archive.
- Identifier la protection, par exemple le chiffrement, la pseudonymisation, le contrôle d’accès, la journalisation, la DLP ou la restriction contractuelle.
- Identifier la dépendance, notamment si le flux soutient une fonction métier critique, une fonction critique ou importante, un service essentiel ou une obligation de signalement d’incident.
Trois contrôles de l’Annexe A d’ISO/IEC 27001:2022 sont particulièrement importants ici. ISO/IEC 27002:2022 fournit les orientations de mise en œuvre de ces contrôles :
| Contrôle de l’Annexe A ISO/IEC 27001:2022 | Nom du contrôle | Pertinence pour le RoPA et les flux de données |
|---|---|---|
| 5.9 | Inventaire des informations et autres actifs associés | Identifie les systèmes, les magasins de données, les propriétaires, les emplacements et les classifications |
| 5.14 | Transfert de l’information | Définit comment les données sont déplacées, protégées, autorisées et surveillées |
| 5.34 | Protection de la vie privée et des PII | Relie le traitement des données à caractère personnel aux obligations de protection de la vie privée et aux mesures de protection |
Les Zenith Controls : guide de conformité croisée de Clarysec identifient 5.9, 5.14 et 5.34 comme contrôles liés à ce sujet pour cette couche de gouvernance. Traitez-les comme des contrôles d’ancrage, puis reliez-les aux contrôles fournisseurs, cloud, incidents, continuité, journalisation, accès et cryptographie via votre Déclaration d’applicabilité.
Pourquoi NIS2 et DORA exigent plus qu’un registre de protection de la vie privée
Une erreur fréquente consiste à construire un RoPA techniquement correct au regard de GDPR, mais inutilisable pour NIS2 ou DORA. La différence tient à la criticité du service.
NIS2 Article 23 exige que les entités essentielles et importantes notifient les incidents significatifs sans retard indu. Son modèle de notification comprend une alerte précoce dans les 24 heures, une notification d’incident dans les 72 heures et un rapport final dans un délai d’un mois. Les incidents significatifs sont appréciés au regard d’une perturbation opérationnelle grave, d’une perte financière ou d’un dommage matériel ou immatériel causé à d’autres personnes physiques ou morales. Cette appréciation dépend de la connaissance des services, destinataires, pays, systèmes et fournisseurs affectés.
DORA Article 17 impose aux entités financières de définir et de mettre en œuvre un processus de gestion des incidents liés aux TIC qui détecte, gère et notifie les incidents, enregistre les incidents et les cybermenaces significatives, identifie les causes racines, définit des indicateurs d’alerte précoce, classe les incidents selon la gravité et la criticité des services affectés, attribue les rôles et crée des procédures de communication et d’escalade. Article 18 exige une classification fondée sur les clients ou contreparties et transactions affectés, la durée et l’indisponibilité, l’étendue géographique, la perte de données affectant la disponibilité, l’authenticité, l’intégrité ou la confidentialité, la criticité des services affectés et l’impact économique.
Vous ne pouvez pas classer rapidement un incident si vous ne connaissez pas le flux de données et la chaîne de dépendances.
La Politique de continuité d’activité et de reprise après sinistre - PME de Clarysec pointe le champ probant dont les organisations ont besoin :
services et systèmes priorisés (fonctions métier critiques)
Cela provient des Exigences de gouvernance, clause 5.2.1.2. La Politique de continuité d’activité et de reprise après sinistre d’entreprise ajoute la dimension des dépendances à la clause 5.2.4 :
Dépendances critiques (systèmes, fournisseurs, personnel)
Pour les organisations réglementées par DORA, cela doit s’aligner sur les fonctions critiques ou importantes, les services TIC, les accords contractuels et les stratégies de sortie. DORA Article 28 exige que le risque lié aux prestataires tiers TIC soit géré dans le cadre du dispositif de gestion du risque lié aux TIC. Il impose un registre des accords contractuels relatifs aux services TIC, exige des diligences précontractuelles et une évaluation de la criticité, du risque de concentration, de l’adéquation et des conflits d’intérêts, ainsi que des stratégies de sortie pour les services TIC soutenant des fonctions critiques ou importantes.
DORA Article 30 précise les conditions contractuelles minimales applicables aux TIC, notamment les descriptions de services, les conditions de sous-traitance, les lieux de traitement et de stockage des données, la protection des données, l’accès, la récupération et la restitution des données, les niveaux de service, l’assistance en cas d’incident, la coopération avec les autorités, les droits de résiliation, les droits d’audit et les modalités de transition ou de sortie.
Un RoPA qui n’identifie pas les fournisseurs, les emplacements, les méthodes de transfert, la criticité et les dépendances de sortie ne soutiendra pas les preuves DORA.
La cartographie des fournisseurs, du cloud et des sous-traitants ultérieurs est le point de rupture fréquent des preuves
Dans les audits réels, les défaillances du RoPA apparaissent souvent comme des défaillances fournisseurs. L’activité de traitement indique « support client ». La cartographie des flux de données indique « plateforme de support ». Mais personne ne peut identifier la région d’hébergement, le module complémentaire de transcription IA, le sous-traitant ultérieur d’analytique, la conservation des pièces jointes aux tickets, le modèle d’accès administrateur ou la procédure de sortie.
La politique fournisseurs PME de Clarysec crée le socle minimal de preuves opérationnelles. La Politique de sécurité des tiers et fournisseurs - PME indique :
Un registre des fournisseurs doit être tenu et mis à jour par le contact administratif ou achats. Il doit inclure :
Cela provient des Exigences de gouvernance, clause 5.4. La politique cloud ajoute une exigence d’inventaire distincte. La Politique d’utilisation du cloud - PME indique :
Un registre des services cloud doit être tenu par le prestataire informatique ou le DG. Il doit consigner :
Cela provient des Exigences de gouvernance, clause 5.3. Pour le risque de dépendance à l’échelle de l’entreprise, la Politique de gestion des risques de dépendance vis-à-vis des fournisseurs de Clarysec est plus explicite :
Registre des dépendances fournisseurs : le VMO doit tenir un registre à jour de tous les fournisseurs critiques, incluant des informations telles que les services/produits fournis ; le caractère de fournisseur unique ; les fournisseurs alternatifs disponibles ou la substituabilité ; les conditions contractuelles en vigueur ; et une évaluation de l’impact si le fournisseur venait à défaillir ou à être compromis. Le registre doit identifier clairement les fournisseurs à forte dépendance (par exemple ceux pour lesquels aucune alternative rapide n’existe).
Cette exigence, issue de la clause 6.1 des Exigences de mise en œuvre, est précisément ce qui relie le RoPA à la sécurité de la chaîne d’approvisionnement NIS2 et au risque lié aux prestataires tiers TIC DORA.
Le Zenith Blueprint, phase Contrôles en action, étape 23, Contrôles organisationnels 5.19 à 5.37, recommande de compiler une liste complète des fournisseurs, de classer les fournisseurs selon leur accès aux systèmes, aux données ou au contrôle opérationnel, d’intégrer les exigences de sécurité dans les contrats, de revoir les sous-traitants, d’établir des déclencheurs de changement fournisseur et de construire un processus d’évaluation des services cloud couvrant la localisation des données, le modèle d’accès, la journalisation et le chiffrement.
C’est ce qui permet à un RSSI de répondre, pendant un incident : « Quel service critique utilise ce fournisseur, quelles données ont été exposées, quels clients doivent être notifiés, quelle autorité de régulation peut devoir recevoir un rapport et quelle alternative fournisseur ou quel chemin de sortie existe ? »
Exemple pratique : intégration des clients dans une fintech
Prenons une fintech qui propose l’intégration à un portefeuille numérique. Les clients téléversent des documents d’identité, des contrôles biométriques de preuve de vie sont réalisés par un fournisseur, les résultats sont stockés dans une base de données cloud et le support client peut consulter le statut de vérification dans un outil de ticketing.
Le service d’intégration peut constituer une fonction critique ou importante au titre de DORA, car une perturbation affecterait de manière significative la continuité de service et les obligations réglementaires. Si l’entreprise relève d’un secteur NIS2 ou fournit des services TIC pertinents, il peut également faire partie des preuves relatives aux services critiques.
Une cartographie utile commence par un enregistrement consolidé.
| Objet probant | Exemple d’entrée | Source Clarysec |
|---|---|---|
| Activité RoPA | Vérification de l’identité client pour l’intégration au portefeuille | Politique de protection des données et de la vie privée |
| Finalité | Vérifier l’identité et prévenir la fraude | Responsabilité GDPR et registre de la base légale |
| Catégories de données | Document d’identité, selfie, résultat biométrique de preuve de vie, coordonnées | Politique de protection des données et de la vie privée |
| Indicateur de données sensibles | Données biométriques utilisées pour la vérification d’identité | Politique de masquage des données et de pseudonymisation |
| Systèmes | Application mobile, API du fournisseur d’identité, base de données cloud, plateforme de support | Inventaire des actifs, étape 9 du Zenith Blueprint |
| Flux de données | Application vers API d’identité, API vers base de données cloud, base de données vers plateforme de support | Politique de masquage des données et de pseudonymisation |
| Fournisseur | Prestataire de vérification d’identité, fournisseur cloud, support SaaS | Politique de sécurité des tiers et fournisseurs |
| Enregistrement cloud | Région, chiffrement, modèle d’accès, journaux, conservation | Politique d’utilisation du cloud |
| Fonction critique | Intégration au portefeuille numérique | Politique de continuité d’activité et de reprise après sinistre |
| Risque de dépendance | Le fournisseur d’identité présente une forte dépendance avec une substitution rapide limitée | Politique de gestion des risques de dépendance vis-à-vis des fournisseurs |
| Contrôles | Inventaire des actifs, transfert de l’information, protection de la vie privée et des PII, sécurité des fournisseurs, utilisation du cloud, journalisation, contrôle d’accès, cryptographie | Zenith Controls et SoA |
| Utilisation en cas d’incident | Classer les clients affectés, l’indisponibilité, la perte de données et la criticité du service | Preuves d’incident DORA et NIS2 |
Ajoutez maintenant la traçabilité du traitement des risques ISO/IEC 27001:2022.
Dans le Zenith Blueprint, phase Gestion des risques, étape 13, Planification du traitement des risques et Déclaration d’applicabilité, Clarysec décrit la SoA comme un document passerelle reliant l’appréciation et le traitement des risques aux contrôles réels. Il recommande de cartographier les contrôles aux risques et de référencer les réglementations telles que GDPR, NIS2 ou DORA dans les notes du registre des risques ou de la SoA lorsque cela est pertinent.
Pour l’exemple d’intégration, le scénario de risque pourrait être : « Une interruption ou une compromission du prestataire de vérification d’identité perturbe l’intégration et expose des données d’identité biométriques. » Les contrôles de traitement pourraient inclure les diligences préalables fournisseur, la notification contractuelle d’incident, le chiffrement, le contrôle d’accès, la journalisation, la sauvegarde et la reprise, la minimisation des données, la pseudonymisation, la surveillance, la planification de sortie et les playbooks de réponse aux incidents.
La note de SoA peut indiquer que l’ensemble de contrôles soutient la responsabilité GDPR, la chaîne d’approvisionnement et la préparation aux incidents au titre de NIS2 Article 21, ainsi que le risque lié aux prestataires tiers TIC et la résilience des fonctions critiques au titre de DORA.
C’est ce que recherchent les auditeurs : la traçabilité.
Cartographie de conformité croisée : une couche probante, plusieurs questions
Le RoPA et la cartographie des flux de données ne sont pas des silos de conformité distincts. Ils soutiennent un ensemble commun de questions dans GDPR, NIS2, DORA, ISO/IEC 27001:2022, NIST CSF 2.0 et COBIT 2019.
| Référentiel | Question de supervision ou d’audit | Preuves RoPA et flux de données |
|---|---|---|
| GDPR | Pouvez-vous démontrer quelles données à caractère personnel sont traitées, pourquoi, où, par qui et pendant combien de temps ? | RoPA avec finalité, base légale, catégories, destinataires, conservation, mesures de protection et transferts |
| NIS2 | Quels services, systèmes, fournisseurs et flux de données soutiennent la fourniture de services essentiels ou importants ? | Cartographie des services critiques reliée aux systèmes, fournisseurs, flux, incidents et plans de continuité |
| DORA | Quels services TIC et accords avec des tiers soutiennent les fonctions critiques ou importantes ? | Cartographie des dépendances TIC reliée aux fournisseurs, contrats, emplacements des données, classification des incidents et plans de sortie |
| ISO/IEC 27001:2022 | Les risques, contrôles, informations documentées et responsabilités sont-ils gérés par le SMSI ? | Domaine d’application du SMSI, registre des risques, inventaire des actifs, SoA, politiques, audits internes et revue de direction |
| NIST CSF 2.0 | Les résultats en matière de gouvernance, risque fournisseur, gestion des actifs, protection, détection, réponse et rétablissement sont-ils compris ? | Profils actuels et cibles utilisant le RoPA, les registres des actifs, les inventaires fournisseurs et les preuves de résilience |
| COBIT 2019 | Les objectifs de gouvernance, les flux d’information, la propriété, les décisions de risque et les activités d’assurance sont-ils définis ? | Propriété des processus, objectifs de contrôle, qualité de l’information, cartographie des dépendances et pistes d’audit |
NIST CSF 2.0 est utile comme couche d’organisation. Ses profils CSF soutiennent l’analyse de l’état actuel et de l’état cible à partir d’entrées telles que les politiques, les priorités de risque, les registres d’impact métier, les exigences, les normes, les pratiques, les outils et les rôles de travail. Sa fonction GOVERN inclut les obligations légales, réglementaires, contractuelles, relatives à la protection de la vie privée et aux libertés civiles, les objectifs de risque, la responsabilité de la direction, les rôles, la politique, la supervision et la revue de performance. Ses résultats relatifs à la chaîne d’approvisionnement exigent que les fournisseurs soient connus et priorisés selon la criticité, que les exigences contractuelles de cybersécurité soient intégrées, que les diligences préalables interviennent avant les relations, que les risques fournisseurs soient enregistrés et surveillés, et que les fournisseurs soient inclus dans la planification de la réponse aux incidents et du rétablissement.
Cela correspond précisément à un modèle opérationnel RoPA Clarysec. Le RoPA donne le contexte de protection de la vie privée. L’inventaire des actifs donne le contexte technique. Les registres fournisseurs et cloud donnent le contexte tiers. La BIA donne le contexte de criticité. La SoA donne le contexte de contrôle.
Un même contrôle de l’Annexe A ISO/IEC 27001:2022 peut également soutenir plusieurs référentiels. Le contrôle 5.14, Transfert de l’information, en est un bon exemple.
| Référentiel ou norme | Exigence | Comment 5.14 fournit des preuves |
|---|---|---|
| GDPR | Article 30 RoPA et Article 32 sécurité du traitement | Les cartographies des flux de données constituent la base du RoPA et documentent les mesures de protection telles que le chiffrement en transit |
| DORA | Article 8 protection et prévention, Article 28 risque lié aux prestataires tiers TIC | Les cartographies de transfert identifient les dépendances de services TIC soutenant des fonctions critiques ou importantes |
| NIS2 | Article 21 mesures de gestion des risques de cybersécurité, notamment la sécurité de la chaîne d’approvisionnement | La traçabilité des transferts vers les fournisseurs soutient l’analyse des risques de chaîne d’approvisionnement pour les services essentiels et importants |
| NIST CSF 2.0 | PR.DS-02 Les données en transit sont protégées | Les règles de transfert de l’information fournissent des preuves que les données sont protégées lorsqu’elles circulent entre les systèmes |
| ISO/IEC 27001:2022 | Annexe A 5.14 Transfert de l’information | Les méthodes de transfert, les responsabilités et les protections sont définies et mises en œuvre |
C’est la valeur des Zenith Controls comme boussole de conformité croisée. Ils aident les organisations à expliquer pourquoi une même pratique de contrôle soutient plusieurs attentes réglementaires et d’audit.
Comment différents auditeurs testeront la même cartographie
Un RoPA et une cartographie des flux de données matures peuvent satisfaire plusieurs auditeurs, mais chacun les abordera différemment.
Un auditeur ISO/IEC 27001:2022 commencera par le domaine d’application, les parties intéressées, les risques, les informations documentées et la sélection des contrôles. Il demandera si les exigences légales et contractuelles ont été identifiées, si les données à caractère personnel et les services critiques sont inclus dans le domaine d’application du SMSI, si les actifs ont des propriétaires et des classifications, si l’appréciation des risques a pris en compte la confidentialité, l’intégrité et la disponibilité, et si la SoA justifie les contrôles applicables.
Un auditeur GDPR ou une autorité de contrôle en matière de protection des données commencera par la responsabilité. Il vérifiera si le RoPA reflète les traitements réels, si les finalités et bases légales sont documentées, si les catégories particulières de données sont identifiées, si les durées de conservation sont appliquées, si les destinataires et sous-traitants sont exacts, et si des garanties appropriées existent pour les transferts et la sécurité.
Un auditeur axé sur NIS2 examinera l’impact sur les services. Il demandera comment l’organisation détermine les services critiques ou importants, comment la direction a approuvé et supervise les mesures de risque, comment les vulnérabilités fournisseurs et les risques liés aux prestataires de services sont pris en compte, comment la continuité et la gestion des incidents sont reliées, et si l’organisation peut respecter les échéances de 24 heures, 72 heures et de rapport final avec des preuves fiables.
Un auditeur DORA examinera la gouvernance du risque lié aux TIC et les fonctions critiques ou importantes. Il vérifiera si l’organe de direction a approuvé le cadre de risque TIC et la stratégie de résilience, si les accords avec des prestataires tiers TIC sont enregistrés, si la criticité et le risque de concentration sont évalués, si les contrats incluent les conditions requises, si les tests couvrent les systèmes soutenant les fonctions critiques ou importantes, et si les incidents sont classés selon les clients affectés, les transactions, l’indisponibilité, la géographie, la perte de données, la criticité du service et l’impact économique.
Un évaluateur NIST CSF 2.0 utilisera souvent des profils. Il comparera les résultats actuels et cibles dans GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND et RECOVER. Le RoPA et les cartographies des flux de données deviennent des entrées pour la gestion des obligations légales, les inventaires d’actifs, le risque fournisseur, la protection des données, la surveillance, les communications en cas d’incident et la planification du rétablissement.
Un auditeur COBIT 2019 ou de type ISACA se concentrera sur la gouvernance, la propriété et la capacité des processus. Il vérifiera si les flux d’information ont des responsables, si les droits de décision sont clairs, si l’appétence au risque est appliquée, si les contrôles sont surveillés, si les exceptions sont escaladées et si les preuves sont suffisamment fiables pour l’assurance de la direction.
| Angle d’audit | Échantillon probable | Preuves attendues |
|---|---|---|
| ISO/IEC 27001:2022 | Une activité de traitement critique | Domaine d’application, risque, propriétaire de l’actif, classification, cartographie SoA, politiques et enregistrements opérationnels |
| GDPR | Un traitement de données à caractère personnel | Entrée RoPA, base légale, conservation, destinataires, mesures de protection et enregistrements des sous-traitants |
| NIS2 | Un service critique | Systèmes, fournisseurs, dépendances, seuils d’incident, continuité et supervision par la direction |
| DORA | Une fonction critique ou importante | Registre des services TIC, contrats, cartographie des dépendances, tests, classification des incidents et plan de sortie |
| NIST CSF 2.0 | Un flux de données soutenu par un fournisseur | Profil actuel et cible, criticité fournisseur, surveillance, réponse et preuves de rétablissement |
| COBIT 2019 | Un processus de gouvernance | Propriété, droits de décision, indicateurs, piste d’assurance et reporting de direction |
Schémas de défaillance courants
Les défaillances les plus fréquentes du RoPA et de la cartographie des flux de données sont prévisibles.
Premièrement, le RoPA recense les activités de traitement, mais pas les systèmes. Il devient alors impossible de relier la responsabilité GDPR à la gestion des vulnérabilités, à la revue d’accès, à la sauvegarde, à la journalisation ou à la réponse aux incidents.
Deuxièmement, les cartographies des flux de données s’arrêtent au premier fournisseur. Elles ne montrent pas les sous-traitants ultérieurs, les régions cloud, les accès support, les outils d’analytique, les plateformes de surveillance ou les emplacements de sauvegarde.
Troisièmement, les plans de continuité d’activité identifient les systèmes, mais pas les données à caractère personnel. Lors d’une interruption, l’organisation comprend la priorité de reprise, mais pas l’impact sur la vie privée.
Quatrièmement, les registres fournisseurs capturent les responsables contractuels, mais pas la criticité, la substituabilité, les catégories de données, les obligations de notification d’incident ou les options de sortie.
Cinquièmement, la SoA est rédigée comme un document de certification plutôt que comme un pont de contrôle. Elle indique que les contrôles sont applicables, mais n’explique pas quel problème de preuves GDPR, NIS2 ou DORA le contrôle contribue à résoudre.
Enfin, la propriété est fragmentée. Le DPO possède le RoPA, l’IT possède les actifs, les achats possèdent les fournisseurs, les opérations possèdent la BIA, la finance possède les registres DORA et personne ne possède la cartographie intégrée des dépendances.
L’approche de Clarysec corrige cela en attribuant les objets probants à des propriétaires de politique, puis en utilisant les étapes du Zenith Blueprint pour relier actifs, risques, contrôles et traçabilité SoA.
Plan de mise en œuvre en 30 jours
Il n’est pas nécessaire de tout traiter d’un coup. Commencez par les services les plus importants.
Semaine 1 : sélectionnez trois activités de traitement critiques ou à haut risque. Les bons candidats sont l’intégration des clients, le traitement des paiements, l’administration RH des employés, la gestion des tickets de support ou la surveillance de sécurité. Pour chacune, validez l’entrée RoPA au regard des systèmes réels, des catégories de données, des finalités, des bases légales et des règles de conservation.
Semaine 2 : construisez les cartographies des flux de données pour ces activités. Identifiez la source, la destination, la méthode de transfert, l’environnement, le fournisseur, le sous-traitant ultérieur, l’emplacement des données, le chemin d’accès, la transformation et le point de conservation. Utilisez l’exigence de la Politique de masquage des données et de pseudonymisation de Clarysec pour maintenir les inventaires des systèmes et des flux de données impliquant des données sensibles.
Semaine 3 : reliez chaque flux aux actifs, fournisseurs, services cloud et fonctions métier critiques. Utilisez l’étape 9 du Zenith Blueprint pour la propriété et la classification des actifs. Utilisez les exigences des politiques relatives aux registres fournisseurs et cloud pour capturer les preuves tiers. Utilisez la politique de continuité d’activité pour identifier les services priorisés et les dépendances critiques.
Semaine 4 : ajoutez la traçabilité des risques et des contrôles. Pour chaque flux, créez ou mettez à jour les scénarios de risque. Cartographiez les contrôles dans la SoA à l’aide de l’étape 13 du Zenith Blueprint. Ajoutez des notes relatives à la responsabilité GDPR Article 30, aux mesures de risque NIS2 Article 21 et aux preuves de dépendance TIC DORA lorsque cela est applicable.
Organisez ensuite un exercice sur table : « interruption fournisseur avec exposition de données dans un service critique ». Testez si vos preuves soutiennent la classification de l’incident, les décisions de notification, la communication client, la communication avec l’autorité de régulation et la priorisation du rétablissement.
Au bout de 30 jours, vous disposerez d’un modèle reproductible pour le reste de l’organisation.
L’approche Clarysec : transformer le RoPA en preuve vivante de résilience
Le RoPA et la cartographie des flux de données ne relèvent plus seulement de l’administration de la protection de la vie privée. Ils constituent le tissu de liaison entre la responsabilité GDPR, la gouvernance des services critiques NIS2 et les preuves relatives aux dépendances TIC DORA.
Les organisations les plus performantes en 2026 ne seront pas celles qui possèdent le plus de documents. Ce seront celles qui peuvent relier un service métier à ses activités de traitement, flux de données, systèmes, fournisseurs, régions cloud, contrats, contrôles, risques, seuils d’incident et plans de reprise.
Clarysec aide les équipes à construire cette traçabilité sans bureaucratie inutile. Notre suite de politiques attribue la propriété et les exigences en matière de preuves. Le Zenith Blueprint fournit la feuille de route de mise en œuvre, notamment l’identification des actifs, la mise en œuvre des contrôles fournisseurs et cloud, et la traçabilité SoA. Les Zenith Controls fournissent la boussole de conformité croisée pour cartographier les contrôles de l’Annexe A ISO/IEC 27001:2022 aux attentes relatives à la protection de la vie privée, à la résilience, aux fournisseurs, au cloud et à l’audit.
Votre prochaine étape est simple : choisissez un service critique, une entrée RoPA et un flux de données soutenu par un fournisseur. Cartographiez-le de bout en bout. Si vous ne pouvez pas expliquer les données, la dépendance, le contrôle et l’impact incident en une page, votre couche probante n’est pas prête pour 2026.
Clarysec peut vous aider à la préparer. Explorez le Zenith Blueprint, renforcez votre gouvernance avec la Politique de protection des données et de la vie privée et la Politique de gestion des risques de dépendance vis-à-vis des fournisseurs, et utilisez les Zenith Controls pour transformer des preuves de conformité fragmentées en un modèle opérationnel unique compatible avec les exigences d’audit.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
