Transparence : les modules listés « En cours » ou « Planifié » ne doivent pas être présentés par nos Clients à leurs propres parties prenantes (auditeurs, autorités compétentes) comme étant des fonctionnalités validées par audit externe. Voir section 21 des CGV pour le cadre contractuel.
CSRD / ESRS double matérialité Directive UE 2022/2464 (CSRD) + ESRS Set 1
5 livrés 1 en cours 2 planifiés
Reporting de durabilité avec double matérialité (financière + impact). Méthodologie IRO, datapoints ESRS, periods versioning, assurance auditeur externe.
Méthodologie IRO ESRS 1 §43-§47 Likelihood × severity × scale × scope × irremediability + timeHorizon
Dédoublonnage 1244 → 1018 datapoints
officialReference backfill 426/426
DMA periods versioning annuel
Workflow assurance auditeur externe
ESEF XBRL export (sample 7-8 facts) ETA : Q3 2026
Audit Big4 ISAE 3000 limited assurance ETA : Q3-Q4 2026
Reasonable assurance ISAE 3000 ETA : 2028+
SOC 2 Type 1 → Type 2 AICPA Trust Services Criteria 2017 + 2022 update
4 livrés 1 en cours 3 planifiés
Attestation indépendante des contrôles de sécurité, disponibilité, confidentialité, intégrité du traitement, et privacy.
Mapping 109 trust criteria documenté docs/SOC2_CONTROL_MAPPING.md
Multi-tenant RLS sur 134 tables
Hash chain audit logs
Dual-control restore backup
Drill restore réel exécuté ETA : Mai 2026
Audit Big4 SOC 2 Type 1 ETA : Q4 2026
12 mois operating effectiveness window ETA : 2027
Attestation SOC 2 Type 2 ETA : Q4 2027
AI Act EU (Règlement 2024/1689) Règlement UE 2024/1689 — full applicability août 2026
6 livrés 1 en cours 1 planifiés
Classification des systèmes IA, FRIA Art. 27, registre Art. 86, EU database Art. 71, kill-switch dispatcher.
Risk classification (interdit/haut/limité/minimal)
FRIA Art. 27 wizard 6 étapes
Registre dispatcher Art. 86
EU database Annexe VIII export (placeholder XML) ETA : Q3 2026 — XSD officielle Commission EU
Kill-switch per-org
Acknowledgment deployer Art. 13/16/86
Catalogue 19 obligations (ART_16/26/50/71)
Date d'applicabilité totale ETA : Août 2026
Signatures électroniques eIDAS qualifiées Règlement UE 910/2014 (eIDAS) + 2024/1183 (eIDAS 2.0)
2 livrés 1 en cours 2 planifiés
Signatures à valeur juridique opposable (Art. 25 §2). Avant intégration, valeur de preuve simple (Art. 25 §1).
Hash chain SHA-256 audit logs
Méthode signAsAuditorEd25519
Décision Buy Yousign vs Build QSP ETA : Décision CEO Mai 2026
Intégration prestataire qualifié ETA : Q3 2026
TSA RFC 3161 timestamping ETA : Q3 2026
NIS2 — Cybersécurité entité essentielle Directive UE 2022/2555 + transposition FR 2024 + ANSSI
4 livrés
Workflow tiered de notification d'incidents 24h/72h/1mois au portail MonEspaceNIS2 ANSSI.
Workflow 3 stages 24h/72h/1mois
Calculator significance Art. 23 §3
Submission package ready-to-paste
Scheduler H+24 alert avec lock Redis
Soumission auto portail ANSSI API ANSSI non publique — soumission manuelle reste requise
DORA — Digital Operational Resilience Act Règlement UE 2022/2554 — applicable janvier 2025
0 livrés 1 en cours 4 planifiés
Applicable aux entités financières (banques, assurances) ET prestataires TIC critiques.
Scoping clients banques/assurances ciblés ETA : Décision CEO Mai 2026
ICT risk framework Art. 5 ETA : Si scoping confirmé
Incident reporting Art. 19
TLPT pen-test Art. 24-27 (15-25 k€/an)
ICT third-party risk register Art. 28-44
RGPD — workflows opérationnels Règlement UE 2016/679 + transposition FR (loi 78-17)
7 livrés 1 en cours
Data inventory Art. 30, processors Art. 28, rights requests Art. 12-22, retention Art. 5(e), consent Art. 7, DPIAs Art. 35-36, breach notification Art. 33-34.
Lawful basis tracking
Registre des traitements public Art. 13/14
Breach notification workflow 72h
DPIA Art. 35 + CNIL consultation Art. 36
Cookie consent banner câblé API
Subprocessor 14j change notification Art. 28.4
Schrems II SCCs + TIA pour Anthropic/OpenAI/Vercel/Stripe docs/legal/transfer-impact-assessments/
DPAs signées (vérification statut)
