NIS2, AI Act, Cloud Act : la conformité commence par savoir où vit votre connaissance
Si vous dirigez la technique ou la sécurité d’une entreprise européenne, trois textes occupent probablement vos comités de direction : la directive NIS2, le règlement européen sur l’IA (AI Act), et, côté américain, le Cloud Act, qui conditionne la confiance qu’on peut accorder aux hébergeurs soumis au droit des États-Unis.
Ces trois cadres n’ont ni le même objet ni les mêmes sanctions. Mais quand on les regarde du point de vue opérationnel, ils posent une même question préalable, presque triviale, à laquelle très peu d’organisations savent répondre : où vit votre connaissance, qui y accède, et d’où vient-elle ?
Trois textes, une même exigence d’inventaire
NIS2 demande aux entités concernées une gestion des risques qui couvre leurs systèmes d’information. On ne peut pas analyser le risque pesant sur des actifs qu’on n’a pas inventoriés. Et les actifs informationnels ne se limitent pas aux serveurs : une base de connaissances métier, un espace Notion contenant des procédures critiques, un Drive où dorment des données clients sont des actifs au même titre qu’une machine virtuelle.
L’AI Act impose, selon le niveau de risque des systèmes, des obligations de documentation et de gouvernance des données. Si vous branchez un assistant IA ou un RAG sur vos documents internes, vous devrez pouvoir dire quelles sources l’alimentent, comment elles sont tenues à jour et qui en répond. Un corpus documentaire dont personne ne connaît le périmètre est indéfendable devant cette exigence.
Le Cloud Act, enfin, permet aux autorités américaines de requérir des données détenues par des fournisseurs soumis au droit US, où que ces données soient hébergées. Ce n’est pas un texte que vous devez appliquer : c’est un paramètre de risque à intégrer. Vos clients publics l’ont déjà intégré, eux : c’est précisément pourquoi les référentiels comme SecNumCloud existent, et pourquoi les appels d’offres publics posent de plus en plus la question de la localisation juridique (pas seulement géographique) des données. Encore faut-il, pour y répondre, savoir quelles connaissances de l’entreprise vivent chez quels fournisseurs.
Le point commun saute aux yeux : avant le juriste, avant l’auditeur, avant le RSSI même, il faut une cartographie. La conformité n’est pas un projet en soi : c’est un effet secondaire d’une connaissance gouvernée.
La dette de gouvernance documentaire est une dette technique
Dans les entreprises en croissance, cette cartographie n’existe presque jamais. Chaque équipe a empilé ses outils, chaque départ a emporté sa part de contexte, et la documentation officielle décrit un état du système qui a six mois de retard. On appelle ça de la dette de gouvernance documentaire, et elle se comporte exactement comme une dette technique : invisible au quotidien, exorbitante le jour où un régulateur, un client grand compte ou un auditeur demande des comptes.
La bonne nouvelle : contrairement à une mise en conformité complète, une cartographie est un chantier borné. Quelques semaines suffisent pour établir l’inventaire des lieux de connaissance, tracer les flux entre eux et identifier les zones où l’information critique échappe à toute gouvernance.
Ce que ça donne sur le terrain : Santé.fr
Ce travail de mise en ordre de flux d’information, je l’ai pratiqué à l’échelle d’un ministère. Pour le portail Santé.fr du Ministère de la Santé, ma mission portait sur la stratégie d’éditorialisation des flux de données : intégrer de façon centralisée des actualités santé produites par des acteurs nationaux, régionaux et locaux, chacun avec ses formats, ses rythmes et ses responsabilités.
La valeur ne venait pas d’une prouesse technique. Elle venait de la documentation et du recettage : savoir précisément quel flux entre, d’où il vient, qui en répond, et ce qu’on en fait. C’est austère, et c’est exactement ce qui rend un système d’information défendable, devant un auditeur comme devant ses propres utilisateurs.
Pratiquer ce qu’on prêche
Une chose que je peux difficilement démontrer par slides, mais facilement par l’exemple : le site que vous lisez applique intégralement le manifeste que je défends. Zéro CDN externe, zéro tracker, polices auto-hébergées, hébergement chez Infomaniak, contenus versionnés dans Git. Quand je parle de réduire la surface d’exposition au Cloud Act et de garder la main sur ses contenus, ce n’est pas une posture commerciale : c’est mon infrastructure quotidienne.
Et une précision d’honnêteté, parce qu’elle m’a toujours semblé due : je ne suis ni cabinet d’avocats, ni certificateur ISO 27001, et je ne vends pas d’attestation de conformité. Ce que je livre, c’est le terrain documentaire (inventaire, flux, responsabilités) sur lequel vos juristes et auditeurs pourront ensuite travailler dix fois plus vite. Pour l’analyse juridique proprement dite, vous aurez toujours besoin des professionnels du droit.
Le préalable borné avant les gros chantiers
C’est l’objet de la Cartographie Company Brain : deux à quatre semaines, un périmètre fermé, un livrable en Markdown versionné qui vous appartient intégralement et qu’aucun changement de prestataire ne peut vous confisquer. Les cinq zones critiques où votre connaissance se perd, les flux qui échappent à toute gouvernance, et une feuille de route à 90 jours priorisée par le risque.
Si NIS2 ou l’AI Act figurent dans votre feuille de route des douze prochains mois et que la question « où vit notre connaissance ? » n’a pas encore de réponse écrite, c’est la conversation à avoir maintenant, pendant que c’est encore un chantier de quelques semaines, pas une crise.