<?xml version="1.0" encoding="utf-8" standalone="yes"?><feed xmlns="http://www.w3.org/2005/Atom" xml:lang="fr"><title>Datargo · Blog</title><subtitle>Des articles de fond sur la conformité, l'identité, la PKI et l'exploitation. Concrets et sans discours marketing.</subtitle><link href="https://datargo.com/fr/blog/" rel="alternate" type="text/html"/><link href="https://datargo.com/fr/blog/atom.xml" rel="self" type="application/atom+xml"/><id>https://datargo.com/fr/blog/</id><updated>2026-06-23T00:00:00+00:00</updated><author><name>Datargo</name></author><entry><title>Le Data Act européen et la fin des frais de changement : le passage d'un cloud à l'autre devient une obligation</title><link href="https://datargo.com/fr/blog/data-act-changement-fournisseur-cloud/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/data-act-changement-fournisseur-cloud/</id><published>2026-06-23T00:00:00+00:00</published><updated>2026-06-23T00:00:00+00:00</updated><category term="Souveraineté européenne"/><summary type="html">Depuis septembre 2025, les règles de changement de fournisseur du Data Act s'appliquent aux nouveaux contrats cloud, et le 12 janvier 2027 l'interdiction des frais entre en vigueur. Pourquoi le changement de fournisseur passe d'un sujet de négociation à un droit légal, et ce que cela signifie pour l'architecture.</summary><content type="html">&lt;p&gt;L&amp;rsquo;enfermement propriétaire a longtemps servi de moyen de pression commercial : qui voulait partir payait pour la sortie, se débattait avec des formats propriétaires et perdait des semaines en travaux de migration. Le Data Act européen (règlement (UE) 2023/2854) inverse cette logique. Le règlement est applicable depuis le 12 septembre 2025, et son chapitre VI fait du changement de fournisseur cloud un droit opposable des clientes et clients.&lt;/p&gt;
&lt;h2 id="ce-qui-sapplique-depuis-septembre-2025"&gt;Ce qui s&amp;rsquo;applique depuis septembre 2025&lt;/h2&gt;
&lt;p&gt;Les fournisseurs de services de traitement de données (IaaS, PaaS, SaaS) doivent lever tous les obstacles qui compliquent un changement, qu&amp;rsquo;ils soient précommerciaux, commerciaux, techniques, contractuels ou organisationnels. Concrètement, cela signifie : un préavis maximal de deux mois, une phase de transition de 30 jours pour le déménagement proprement dit (prolongeable jusqu&amp;rsquo;à sept mois en cas d&amp;rsquo;impossibilité technique) et le droit d&amp;rsquo;emporter ses données et ses actifs numériques. Pour les nouveaux contrats, ces obligations s&amp;rsquo;appliquent déjà.&lt;/p&gt;
&lt;h2 id="le-frein-sur-les-frais-jusquen-janvier-2027"&gt;Le frein sur les frais jusqu&amp;rsquo;en janvier 2027&lt;/h2&gt;
&lt;p&gt;Le Data Act réduit les frais de changement par étapes. Le 12 janvier 2027, l&amp;rsquo;interdiction totale entre en vigueur : aucun frais ne pourra plus être facturé pour le passage d&amp;rsquo;un service de traitement de données à un autre. D&amp;rsquo;ici au 12 septembre 2027, les contrats B2B existants devront en outre être expurgés de leurs clauses abusives. Qui a fondé ses modèles de prix et de contrat sur les coûts de sortie en perdra le socle à une échéance prévisible.&lt;/p&gt;
&lt;h2 id="changer-de-fournisseur-cest-plus-quun-export-de-données"&gt;Changer de fournisseur, c&amp;rsquo;est plus qu&amp;rsquo;un export de données&lt;/h2&gt;
&lt;p&gt;Le point de friction pratique tient à l&amp;rsquo;équivalence fonctionnelle. Un export de données brutes ne suffit pas si l&amp;rsquo;environnement cible ne peut rien en faire. Le Data Act exige des interfaces ouvertes et, lorsque c&amp;rsquo;est possible, des formats courants, afin qu&amp;rsquo;un service redevienne opérationnel chez la destination. Trois questions déterminent en pratique si un changement est réellement réalisable :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Modèle de données :&lt;/strong&gt; les contenus sont-ils dans des structures ouvertes et documentées, ou dans un schéma propriétaire ?&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Interfaces :&lt;/strong&gt; existe-t-il des API stables et versionnées pour exporter les données courantes comme historiques ?&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Métadonnées :&lt;/strong&gt; la configuration, les droits et la logique de traitement sont-ils transmis avec le reste, ou restent-ils dans l&amp;rsquo;ancien système ?&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="ce-que-cela-signifie-pour-larchitecture"&gt;Ce que cela signifie pour l&amp;rsquo;architecture&lt;/h2&gt;
&lt;p&gt;La souveraineté n&amp;rsquo;est pas ici une case à cocher, mais une propriété de la conception du système. Qui ne pense la portabilité qu&amp;rsquo;au moment de partir l&amp;rsquo;a déjà perdue. Des modèles de données ouverts, des voies d&amp;rsquo;export documentées et un hébergement dans l&amp;rsquo;espace juridique européen ne réduisent pas seulement le risque d&amp;rsquo;enfermement : ils deviennent de plus en plus la condition même pour pouvoir remplir les obligations du Data Act. Dans une suite qui relie ses modules par des interfaces ouvertes et un hébergement à Francfort, le changement de fournisseur n&amp;rsquo;est pas un épouvantail, mais une opération traçable.&lt;/p&gt;
&lt;p&gt;Le Data Act ne demande pas si vous voulez retenir vos clientes et clients. Il demande s&amp;rsquo;ils pourraient partir s&amp;rsquo;ils le voulaient.&lt;/p&gt;</content></entry><entry><title>Les passkeys en entreprise : une authentification résistante à l'hameçonnage, au-delà du mot de passe et de l'OTP</title><link href="https://datargo.com/fr/blog/passkeys-entreprise/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/passkeys-entreprise/</id><published>2026-06-23T00:00:00+00:00</published><updated>2026-06-23T00:00:00+00:00</updated><category term="Identité numérique"/><summary type="html">Un mot de passe accompagné d'un code SMS ou TOTP reste hameçonnable. Pourquoi les passkeys FIDO2 résolvent le problème de l'origine, à quoi ressemble un déploiement fondé sur le risque et quelles questions restent ouvertes autour de la récupération et de la perte d'appareil.</summary><content type="html">&lt;p&gt;L&amp;rsquo;hameçonnage reste la porte d&amp;rsquo;entrée la plus fiable vers les réseaux d&amp;rsquo;entreprise, et la plupart des seconds facteurs n&amp;rsquo;y changent pas grand-chose. Un mot de passe assorti d&amp;rsquo;un code SMS, d&amp;rsquo;une application TOTP ou d&amp;rsquo;une confirmation push passe pour de l&amp;rsquo;authentification multifacteur, mais reste attaquable en son cœur : qui attire l&amp;rsquo;utilisatrice sur une page falsifiée peut aussi capter le second facteur en temps réel. Les passkeys FIDO2 interviennent précisément à cet endroit.&lt;/p&gt;
&lt;h2 id="pourquoi-la-mfa-classique-reste-hameçonnable"&gt;Pourquoi la MFA classique reste hameçonnable&lt;/h2&gt;
&lt;p&gt;Le problème n&amp;rsquo;est pas le nombre de facteurs, mais leur transférabilité. Un code à usage unique est un secret partagé : il fonctionne partout où il est saisi, y compris sur la page d&amp;rsquo;hameçonnage. Ce qui manque, c&amp;rsquo;est le lien avec le correspondant authentique. C&amp;rsquo;est précisément ce lien qu&amp;rsquo;assure WebAuthn, le standard qui sous-tend les passkeys.&lt;/p&gt;
&lt;h2 id="ce-que-les-passkeys-font-différemment"&gt;Ce que les passkeys font différemment&lt;/h2&gt;
&lt;p&gt;Un passkey est une paire de clés cryptographiques. La clé privée ne quitte jamais l&amp;rsquo;appareil, et la signature ne se fait qu&amp;rsquo;envers le domaine pour lequel le passkey a été enregistré. Ce lien à l&amp;rsquo;origine rend inopérante la redirection d&amp;rsquo;hameçonnage classique : un domaine falsifié n&amp;rsquo;obtient tout simplement aucune signature valide. Il n&amp;rsquo;existe aucun secret que l&amp;rsquo;on pourrait saisir sur le mauvais site. Le BSI a publié à ce sujet un modèle de menace formel, et la directive technique BSI TR-03188 fixe des exigences pour l&amp;rsquo;exploitation d&amp;rsquo;un serveur de passkeys.&lt;/p&gt;
&lt;h2 id="synchronisés-liés-à-lappareil-ou-clé-matérielle"&gt;Synchronisés, liés à l&amp;rsquo;appareil ou clé matérielle&lt;/h2&gt;
&lt;p&gt;Un passkey n&amp;rsquo;en vaut pas un autre. Un déploiement solide module la variante selon le besoin de protection :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Clés de sécurité matérielles :&lt;/strong&gt; pour les accès privilégiés et l&amp;rsquo;administration, là où la plus haute sécurité compte.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Passkeys liés à l&amp;rsquo;appareil :&lt;/strong&gt; sur les appareils d&amp;rsquo;entreprise gérés, couplés au matériel et non synchronisables.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Passkeys synchronisés :&lt;/strong&gt; pour l&amp;rsquo;ensemble du personnel, pratiques sur plusieurs appareils, avec un niveau de durcissement un peu moindre.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Cette gradation rejoint l&amp;rsquo;attente que les autorités de contrôle et les auditeurs formulent de plus en plus : pour les accès administratifs sensibles, l&amp;rsquo;authentification résistante à l&amp;rsquo;hameçonnage est de plus en plus considérée comme une exigence, et non comme une recommandation.&lt;/p&gt;
&lt;h2 id="les-questions-ouvertes"&gt;Les questions ouvertes&lt;/h2&gt;
&lt;p&gt;La partie difficile ne réside pas dans la connexion, mais dans les cas limites. Que se passe-t-il en cas de perte de l&amp;rsquo;appareil ? À quoi ressemble une voie de récupération qui ne devienne pas elle-même une porte dérobée hameçonnable ? Et comment traiter les systèmes hérités qui ne parlent pas encore WebAuthn ? Un déploiement réfléchi répond à ces questions en amont, au lieu de les improviser en cas d&amp;rsquo;incident. Comme trait d&amp;rsquo;union de la plateforme, Datargo ID ancre l&amp;rsquo;authentification unique et la MFA en un seul endroit, ce qui regroupe ces questions au lieu de les disperser application par application.&lt;/p&gt;
&lt;p&gt;Le basculement décisif est le suivant : s&amp;rsquo;éloigner d&amp;rsquo;un secret que l&amp;rsquo;on peut connaître et donc trahir, pour aller vers une clé qui reste liée à l&amp;rsquo;appareil et au correspondant.&lt;/p&gt;</content></entry><entry><title>Quand le chatbot doit se faire connaître : la transparence de l'IA dans le service client à partir d'août 2026</title><link href="https://datargo.com/fr/blog/transparence-ia-service-client/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/transparence-ia-service-client/</id><published>2026-06-23T00:00:00+00:00</published><updated>2026-06-23T00:00:00+00:00</updated><category term="Réglementation et IA"/><summary type="html">À partir du 2 août 2026, les obligations de transparence de l'article 50 de l'AI Act européen deviennent applicables. Ce que l'obligation d'information pour les chatbots et le marquage des contenus générés par IA signifient concrètement pour le service client.</summary><content type="html">&lt;p&gt;Réponses initiales automatisées, préclassification des tickets assistée par IA, suggestions de réponse générées : dans le service client, l&amp;rsquo;IA est depuis longtemps une réalité quotidienne. À partir du 2 août 2026, l&amp;rsquo;article 50 de l&amp;rsquo;AI Act européen devient applicable, et des obligations de transparence contraignantes s&amp;rsquo;appliquent dès lors à ces systèmes précisément. Ces obligations sont à distinguer des règles visant les fournisseurs de modèles d&amp;rsquo;IA à usage général (GPAI) : il n&amp;rsquo;est pas question ici du modèle, mais de l&amp;rsquo;interaction avec les personnes.&lt;/p&gt;
&lt;h2 id="ce-quexige-larticle-50"&gt;Ce qu&amp;rsquo;exige l&amp;rsquo;article 50&lt;/h2&gt;
&lt;p&gt;Au cœur du dispositif se trouve une obligation d&amp;rsquo;information. Les fournisseurs de systèmes d&amp;rsquo;IA destinés à interagir directement avec des personnes (comme les chatbots) doivent s&amp;rsquo;assurer que la personne concernée perçoit qu&amp;rsquo;elle communique avec un système d&amp;rsquo;IA. L&amp;rsquo;information doit être donnée au plus tard au moment de la première interaction, sauf si le recours à l&amp;rsquo;IA est évident au vu des circonstances. À cela s&amp;rsquo;ajoute : les contenus générés ou modifiés par IA doivent être marqués comme tels de façon lisible par machine, et les contenus d&amp;rsquo;intérêt public susceptibles de paraître authentiques doivent faire l&amp;rsquo;objet d&amp;rsquo;un marquage distinct.&lt;/p&gt;
&lt;h2 id="ce-que--informé--signifie-en-pratique"&gt;Ce que « informé » signifie en pratique&lt;/h2&gt;
&lt;p&gt;Une ligne dans les mentions légales ne suffit pas. L&amp;rsquo;information doit être claire, donnée avant ou au début de la conversation et compréhensible pour l&amp;rsquo;utilisatrice. En pratique, cela représente plus qu&amp;rsquo;une bannière :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Visibilité :&lt;/strong&gt; l&amp;rsquo;information sur l&amp;rsquo;IA figure au début du dialogue, pas dans une note de bas de page repliable.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Langue :&lt;/strong&gt; l&amp;rsquo;information apparaît dans la langue dans laquelle la personne prend contact, et pas seulement en anglais.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Transfert :&lt;/strong&gt; lors du passage entre l&amp;rsquo;IA et un traitement humain, il devrait rester perceptible avec qui l&amp;rsquo;on échange à cet instant.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="plus-quune-bannière-dinformation"&gt;Plus qu&amp;rsquo;une bannière d&amp;rsquo;information&lt;/h2&gt;
&lt;p&gt;Le versant le plus délicat est la capacité de preuve. Qui veut démontrer, le cas échéant lors d&amp;rsquo;un contrôle, que l&amp;rsquo;information a effectivement et systématiquement été affichée a besoin d&amp;rsquo;une journalisation de la configuration et des avis effectivement présentés. Dans les environnements multitenants s&amp;rsquo;ajoute le fait que chaque locataire exploite ses propres canaux, langues et voies d&amp;rsquo;escalade : la logique de transparence doit opérer par locataire, et pas seulement globalement. Un hub de service client comme Datargo CRM, qui réunit chat en direct, tickets et contacts de manière multitenant, offre l&amp;rsquo;endroit naturel pour ancrer de façon homogène l&amp;rsquo;information, l&amp;rsquo;attribution de la langue et le transfert vers un humain.&lt;/p&gt;
&lt;p&gt;L&amp;rsquo;article 50 n&amp;rsquo;interdit pas l&amp;rsquo;IA dans le service client. Il exige seulement que personne ne reste dans l&amp;rsquo;ignorance de qui, ou de quoi, lui répond.&lt;/p&gt;</content></entry><entry><title>Certificats de 47 jours : la feuille de route CA/Browser jusqu'en 2029</title><link href="https://datargo.com/fr/blog/certificats-tls-47-jours/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/certificats-tls-47-jours/</id><published>2026-06-09T00:00:00+00:00</published><updated>2026-06-09T00:00:00+00:00</updated><category term="PKI &amp; certificats"/><summary type="html">Le CA/Browser Forum réduit progressivement la durée de vie maximale des certificats TLS à 47 jours. Ce que les paliers de 200, 100 et 47 jours impliquent pour la découverte, l'automatisation du renouvellement et les équipes d'exploitation.</summary><content type="html">&lt;p&gt;Le débat est tranché, et une partie en est déjà la réalité du terrain : depuis le 15 mars 2026, les certificats TLS publiquement reconnus ne peuvent plus dépasser &lt;strong&gt;200 jours&lt;/strong&gt; de validité, contre 398 auparavant. C&amp;rsquo;est le premier palier d&amp;rsquo;une feuille de route que le CA/Browser Forum a adoptée en avril 2025 avec le scrutin &lt;strong&gt;SC-081v3&lt;/strong&gt; : à l&amp;rsquo;unanimité, par 29 voix pour et aucune voix contre. Au terme de cette feuille de route, la durée de vie maximale tombera à &lt;strong&gt;47 jours&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Quiconque commande encore ses certificats à la main et les note dans un agenda devrait considérer les trois prochaines années comme un chantier de transformation, et non comme une série d&amp;rsquo;échéances isolées.&lt;/p&gt;
&lt;h2 id="la-feuille-de-route-en-chiffres"&gt;La feuille de route en chiffres&lt;/h2&gt;
&lt;p&gt;La validité maximale décroît selon des paliers aux dates clairement fixées :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;jusqu&amp;rsquo;au 14 mars 2026 :&lt;/strong&gt; 398 jours (l&amp;rsquo;ancien standard)&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;à partir du 15 mars 2026 :&lt;/strong&gt; 200 jours (en vigueur aujourd&amp;rsquo;hui)&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;à partir du 15 mars 2027 :&lt;/strong&gt; 100 jours&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;à partir du 15 mars 2029 :&lt;/strong&gt; 47 jours&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;En parallèle, et c&amp;rsquo;est la partie la plus exigeante sur le plan opérationnel, la réutilisabilité de la validation de domaine (Domain Control Validation, DCV) se réduit. Une fois le contrôle d&amp;rsquo;un domaine vérifié, sa « réutilisation » sera désormais possible sur une durée nettement plus courte avant qu&amp;rsquo;une nouvelle confirmation ne soit requise :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;à partir du 15 mars 2026 :&lt;/strong&gt; 200 jours&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;à partir du 15 mars 2027 :&lt;/strong&gt; 100 jours&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;à partir du 15 mars 2029 :&lt;/strong&gt; 10 jours&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Pour les certificats OV et EV, la réutilisabilité des données d&amp;rsquo;organisation vérifiées (Subject Identity Information) passe en outre de 825 à 398 jours au 15 mars 2026.&lt;/p&gt;
&lt;p&gt;Les 47 jours ne sont donc que le titre accrocheur. Les 10 jours de réutilisation DCV à partir de 2029 sont le véritable rythme imposé : à compter de cette date, il faudra de fait prouver tous les dix jours que le domaine est toujours sous votre contrôle.&lt;/p&gt;
&lt;h2 id="pourquoi-cette-réduction-simpose"&gt;Pourquoi cette réduction s&amp;rsquo;impose&lt;/h2&gt;
&lt;p&gt;Cette évolution repose sur une logique de sécurité simple. Un certificat est une déclaration de confiance assortie d&amp;rsquo;une date d&amp;rsquo;expiration. Plus sa validité est longue, plus une émission erronée, une clé compromise ou un paramètre cryptographique obsolète continue de produire ses effets. Le contre-mécanisme classique, la révocation via CRL et OCSP, fonctionne de manière peu fiable en pratique : les listes de révocation ne sont pas évaluées en temps utile partout, et OCSP est de plus en plus abandonné. Les durées de vie courtes remplacent la révocation par l&amp;rsquo;expiration. Un problème se résorbe de lui-même, parce que le certificat concerné devient de toute façon bientôt invalide.&lt;/p&gt;
&lt;p&gt;Le deuxième moteur est l&amp;rsquo;agilité cryptographique. En renouvelant régulièrement ses certificats, on peut changer d&amp;rsquo;algorithmes, de longueurs de clés et de profils en cours d&amp;rsquo;exploitation : une condition indispensable à la migration imminente vers les procédés post-quantiques. À l&amp;rsquo;inverse, des durées de vie longues figent le statu quo.&lt;/p&gt;
&lt;h2 id="ce-que-cela-implique-pour-lexploitation"&gt;Ce que cela implique pour l&amp;rsquo;exploitation&lt;/h2&gt;
&lt;p&gt;La conséquence centrale est aussi banale qu&amp;rsquo;inéluctable : &lt;strong&gt;le renouvellement manuel ne passe plus à l&amp;rsquo;échelle.&lt;/strong&gt; Un certificat de 47 jours sera remplacé, avec une marge raisonnable, environ tous les 30 jours. Sur un parc de taille moyenne, ce n&amp;rsquo;est plus une entrée d&amp;rsquo;agenda, mais un processus qui doit s&amp;rsquo;exécuter sans intervention humaine.&lt;/p&gt;
&lt;p&gt;Trois capacités déterminent la réussite de cette transformation :&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;L&amp;rsquo;automatisation.&lt;/strong&gt; ACME (RFC 8555) est le standard établi pour l&amp;rsquo;émission et le renouvellement automatiques, non seulement pour Let&amp;rsquo;s Encrypt, mais aussi, de plus en plus, pour les CA commerciales et internes. Là où ACME ne s&amp;rsquo;applique pas, il faut des flux de renouvellement pilotés par API avec validation, afin de préserver les contrôles de conformité.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;La découverte.&lt;/strong&gt; On ne peut automatiser que ce que l&amp;rsquo;on connaît. La panne typique de 2029 ne sera pas le certificat bien entretenu du système principal, mais celui que l&amp;rsquo;on a oublié sur un point d&amp;rsquo;accès d&amp;rsquo;équilibreur de charge, sur une appliance ou dans un compte cloud que plus personne ne surveille. Les scans réseau actifs et la découverte cloud passive sont la condition pour que des durées de vie courtes ne se transforment pas en pannes à court terme.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;La propriété.&lt;/strong&gt; Chaque certificat doit avoir un responsable clairement désigné, une CA identifiée et une procédure de renouvellement consignée. Un inventaire qui tient ces trois informations par certificat constitue la véritable assurance face à la réalité des 47 jours.&lt;/p&gt;
&lt;p&gt;C&amp;rsquo;est précisément ce schéma, la découverte d&amp;rsquo;abord, puis l&amp;rsquo;automatisation indépendante de la CA avec validation, qui sous-tend notre module NextPKI. L&amp;rsquo;orientation réglementaire en est indépendante : qui rend son parc visible et automatise le renouvellement est prêt, quel que soit l&amp;rsquo;outil employé.&lt;/p&gt;
&lt;h2 id="ce-qui-est-pertinent-dès-maintenant"&gt;Ce qui est pertinent dès maintenant&lt;/h2&gt;
&lt;p&gt;Trois ans, cela peut sembler beaucoup, mais le palier des 200 jours est déjà en cours. Concrètement, il vaut la peine dès maintenant : d&amp;rsquo;établir un inventaire complet de tous les certificats TLS à travers le réseau, le cloud et les points d&amp;rsquo;accès ; d&amp;rsquo;identifier tous les endroits où le renouvellement se fait encore à la main aujourd&amp;rsquo;hui ; de lancer un pilote de renouvellement automatique basé sur ACME sur des services non critiques ; et de déterminer quels systèmes internes pourront techniquement supporter, d&amp;rsquo;ici 2029, une revalidation de domaine tous les dix jours.&lt;/p&gt;
&lt;p&gt;Les 47 jours n&amp;rsquo;arrivent ni par surprise ni d&amp;rsquo;un seul coup. Ils arrivent par paliers, et le premier est déjà là.&lt;/p&gt;</content></entry><entry><title>Cyber Resilience Act : ce que le 11 septembre 2026 signifie pour les fabricants de produits numériques</title><link href="https://datargo.com/fr/blog/cyber-resilience-act-notification-2026/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/cyber-resilience-act-notification-2026/</id><published>2026-06-09T00:00:00+00:00</published><updated>2026-06-09T00:00:00+00:00</updated><category term="Conformité et sécurité produit"/><summary type="html">À partir du 11 septembre 2026 s'appliquent les premières obligations contraignantes du CRA. Ce que la notification des vulnérabilités activement exploitées, la SBOM et la sécurité dès la conception signifient concrètement pour les fabricants, importateurs et distributeurs.</summary><content type="html">&lt;p&gt;Dans à peine trois mois, un règlement devient réalité opérationnelle. À partir du &lt;strong&gt;11 septembre 2026&lt;/strong&gt; prennent effet les premières obligations contraignantes du Cyber Resilience Act (règlement (UE) 2024/2847), précisément celles qui supposent le plus de processus : la notification des vulnérabilités activement exploitées et des incidents de sécurité graves. Les autres obligations de produit et de conformité suivent avec l&amp;rsquo;application complète le &lt;strong&gt;11 décembre 2027&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Quiconque fabrique, importe ou distribue dans l&amp;rsquo;UE des produits comportant des éléments numériques ne devrait donc pas traiter septembre comme une date lointaine, mais comme le jour où une voie de notification opérationnelle doit exister.&lt;/p&gt;
&lt;h2 id="ce-qui-commence-le-11-septembre-2026"&gt;Ce qui commence le 11 septembre 2026&lt;/h2&gt;
&lt;p&gt;Le CRA oblige les fabricants à notifier une vulnérabilité activement exploitée ou un incident de sécurité grave selon une procédure échelonnée. Un premier avertissement précoce part dans les 24 heures vers le CSIRT compétent et vers l&amp;rsquo;ENISA, une notification plus détaillée suit dans les 72 heures, un rapport final plus tard. Le tout passe par une plateforme de notification européenne centralisée.&lt;/p&gt;
&lt;p&gt;La distinction avec NIS2 est importante : là, une entité concernée notifie des incidents survenus dans sa propre exploitation. Avec le CRA, le fabricant notifie une vulnérabilité dans son produit, quel que soit le client chez qui elle est exploitée. Les deux régimes peuvent s&amp;rsquo;appliquer en même temps, et ils exigent des voies de notification distinctes.&lt;/p&gt;
&lt;h2 id="ce-qui-sajoute-dici-décembre-2027"&gt;Ce qui s&amp;rsquo;ajoute d&amp;rsquo;ici décembre 2027&lt;/h2&gt;
&lt;p&gt;L&amp;rsquo;obligation de notification n&amp;rsquo;est que la première brique. Avec l&amp;rsquo;application complète, le CRA exige une sécurité démontrable sur l&amp;rsquo;ensemble du cycle de vie du produit :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Sécurité dès la conception :&lt;/strong&gt; la sécurité fait partie du développement, et non d&amp;rsquo;un ajout ultérieur. Cela inclut des réglages par défaut sécurisés et une surface d&amp;rsquo;attaque maintenue aussi réduite que possible.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Nomenclature logicielle (SBOM) :&lt;/strong&gt; les fabricants doivent connaître et documenter les composants et dépendances qu&amp;rsquo;ils intègrent. Sans cette nomenclature, une nouvelle vulnérabilité laisse sans réponse une question simple : mon produit est-il concerné ?&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Gestion des vulnérabilités et mises à jour :&lt;/strong&gt; les mises à jour de sécurité doivent être fournies pendant au moins cinq ans, ou pendant la durée de vie attendue du produit si celle-ci est plus courte.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Marquage CE :&lt;/strong&gt; à partir de décembre 2027, les produits comportant des éléments numériques ne pourront plus être mis sur le marché de l&amp;rsquo;UE sans conformité au CRA.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Il n&amp;rsquo;existe pas d&amp;rsquo;exception pour les petites et moyennes entreprises. Quiconque fabrique ou importe des produits concernés relève du règlement, quelle que soit sa taille.&lt;/p&gt;
&lt;h2 id="ce-que-cela-signifie-en-pratique"&gt;Ce que cela signifie en pratique&lt;/h2&gt;
&lt;p&gt;L&amp;rsquo;obligation de notification à partir de septembre est, sur le plan organisationnel, plus exigeante que ne le laisse penser le court délai. Vingt-quatre heures jusqu&amp;rsquo;à l&amp;rsquo;avertissement précoce ne laissent pas le temps de commencer par clarifier une responsabilité. Il faut au préalable un responsable désigné, un processus documenté et la capacité technique de détecter un incident en temps utile, tout simplement.&lt;/p&gt;
&lt;p&gt;C&amp;rsquo;est précisément ici que se rejoignent deux sujets souvent traités séparément : la détection (surveillance et posture de sécurité) et la preuve (une trace traçable de qui a notifié quoi et quand). Quiconque a déjà bâti les deux pour NIS2 ou ISO 27001 peut s&amp;rsquo;appuyer dessus. Dans notre module Datargo Monitor, ce schéma de surveillance continue et de preuve auditable est intégré, mais l&amp;rsquo;exigence réglementaire vaut indépendamment de l&amp;rsquo;outil : sans détection fiable, tout délai de notification tourne à vide.&lt;/p&gt;
&lt;h2 id="ce-qui-est-judicieux-dès-maintenant"&gt;Ce qui est judicieux dès maintenant&lt;/h2&gt;
&lt;p&gt;Trois étapes valent la peine avant septembre : premièrement, clarifier lesquels de ses propres produits comptent comme « produits comportant des éléments numériques » et tombent ainsi dans le champ d&amp;rsquo;application. Deuxièmement, mettre en place le processus de notification des vulnérabilités activement exploitées, avec une responsabilité claire et les délais de 24 heures, 72 heures et rapport final. Troisièmement, commencer à constituer une SBOM, car elle est la condition pour pouvoir dire, le cas échéant, si l&amp;rsquo;on est concerné.&lt;/p&gt;
&lt;p&gt;Le 11 septembre 2026 ne marque pas la fin de la préparation, mais le début de l&amp;rsquo;obligation. Le travail qui se cache derrière, détection et documentation, ne se rattrape pas en 24 heures.&lt;/p&gt;</content></entry><entry><title>eIDAS 2.0 et l'EUDI-Wallet : ce que les parties utilisatrices doivent préparer d'ici fin 2026</title><link href="https://datargo.com/fr/blog/eidas-2-portefeuille-eudi/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/eidas-2-portefeuille-eudi/</id><published>2026-06-09T00:00:00+00:00</published><updated>2026-06-09T00:00:00+00:00</updated><category term="Identité numérique"/><summary type="html">Les États de l'UE doivent mettre l'EUDI-Wallet à disposition d'ici décembre 2026. Un tour d'horizon sans détour des choix techniques et juridiques que les entreprises, en tant que partie utilisatrice, devraient arrêter dès maintenant.</summary><content type="html">&lt;p&gt;Dans environ six mois expire une échéance que bien des entreprises traitent encore comme une réglementation lointaine : d&amp;rsquo;ici au &lt;strong&gt;24 décembre 2026&lt;/strong&gt;, les 27 États membres de l&amp;rsquo;UE devront mettre à la disposition de leurs citoyennes et citoyens au moins un &lt;strong&gt;European Digital Identity Wallet (EUDI-Wallet)&lt;/strong&gt;. Le fondement en est le règlement (UE) 2024/1183 (« eIDAS 2.0 »), entré en vigueur le 20 mai 2024.&lt;/p&gt;
&lt;p&gt;Pour la plupart des entreprises, la question la plus intéressante n&amp;rsquo;est pas de savoir quand le wallet arrive, mais quand elles devront l&amp;rsquo;&lt;strong&gt;accepter&lt;/strong&gt;. Et cette échéance suit de près.&lt;/p&gt;
&lt;h2 id="où-en-est-le-déploiement-en-juin-2026"&gt;Où en est le déploiement en juin 2026&lt;/h2&gt;
&lt;p&gt;Le socle réglementaire est déjà bien avancé. L&amp;rsquo;Architecture and Reference Framework (ARF) existe en version 2.8, et 31 actes d&amp;rsquo;exécution ont d&amp;rsquo;ores et déjà été publiés, renvoyant à des dizaines de normes techniques. Le 8 avril 2026, la Commission européenne a complété ce dispositif par le règlement d&amp;rsquo;exécution relatif à l&amp;rsquo;enrôlement (Enrollment), une brique centrale puisqu&amp;rsquo;il régit la manière dont les utilisateurs déposent leur identité de façon sécurisée dans le wallet.&lt;/p&gt;
&lt;p&gt;L&amp;rsquo;état d&amp;rsquo;avancement des États membres reste toutefois inégal. La France, avec « France Identité », fait figure de pionnière : elle exploite déjà un service en production et le fait évoluer vers l&amp;rsquo;EUDI-Wallet officiel ; l&amp;rsquo;Italie et la Pologne suivent de près. L&amp;rsquo;&lt;strong&gt;Allemagne&lt;/strong&gt; a annoncé le lancement de sa variante portée par l&amp;rsquo;État pour le &lt;strong&gt;2 janvier 2027&lt;/strong&gt;, soit peu après l&amp;rsquo;expiration de l&amp;rsquo;échéance européenne.&lt;/p&gt;
&lt;h2 id="la-partie-utilisatrice--un-rôle-qui-concerne-presque-tout-le-monde"&gt;La partie utilisatrice : un rôle qui concerne presque tout le monde&lt;/h2&gt;
&lt;p&gt;Une partie utilisatrice (relying party, partie qui se fie aux attestations) est toute entité qui souhaite s&amp;rsquo;appuyer sur les attestations du wallet pour identifier ou authentifier des personnes : de l&amp;rsquo;onboarding à la vérification de l&amp;rsquo;âge, jusqu&amp;rsquo;à l&amp;rsquo;authentification forte du client.&lt;/p&gt;
&lt;p&gt;La logique temporelle du règlement est sans ambiguïté : dès que les wallets sont disponibles, les secteurs régulés et les très grandes plateformes en ligne doivent accepter l&amp;rsquo;EUDI-Wallet pour l&amp;rsquo;authentification &lt;strong&gt;environ un an plus tard&lt;/strong&gt;. L&amp;rsquo;échéance de mise à disposition de fin 2026 se mue ainsi, pour beaucoup, en obligation d&amp;rsquo;acceptation à compter de fin 2027 environ. Les banques, les assureurs, les opérateurs de télécommunications et d&amp;rsquo;énergie, le secteur de la santé et les grandes plateformes sont en première ligne ; tous les autres peuvent accepter le wallet sur une base volontaire, et ont tout intérêt à ne pas entamer l&amp;rsquo;intégration au dernier moment.&lt;/p&gt;
&lt;h2 id="ce-quune-partie-utilisatrice-devrait-clarifier-dès-maintenant"&gt;Ce qu&amp;rsquo;une partie utilisatrice devrait clarifier dès maintenant&lt;/h2&gt;
&lt;p&gt;&lt;strong&gt;Enregistrement.&lt;/strong&gt; Avant la première utilisation, les parties utilisatrices doivent s&amp;rsquo;enregistrer auprès d&amp;rsquo;une autorité d&amp;rsquo;enregistrement nationale et y déclarer quels attributs elles consultent et à quelle fin. Cet enregistrement n&amp;rsquo;est pas une formalité : c&amp;rsquo;est le fondement juridique qui autorise à demander des données.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Minimisation des données.&lt;/strong&gt; Le wallet est conçu pour la divulgation sélective : l&amp;rsquo;utilisateur ne partage que les attributs dont un service a réellement besoin, par exemple « plus de 18 ans » plutôt que la date de naissance complète. Quiconque demande plus que ce que la finalité justifie entre en conflit aussi bien avec la logique d&amp;rsquo;eIDAS qu&amp;rsquo;avec le RGPD. Définir l&amp;rsquo;ensemble minimal d&amp;rsquo;attributs pour chaque cas d&amp;rsquo;usage est donc la première tâche métier, pas la dernière.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Intégration technique.&lt;/strong&gt; La présentation des attestations repose sur des protocoles et des formats ouverts éprouvés, parmi lesquels OpenID for Verifiable Presentations ainsi que les formats d&amp;rsquo;attestation ISO/IEC 18013-5 (mdoc) et SD-JWT VC. S&amp;rsquo;y ajoutent les listes de confiance, qui permettent à un service de vérifier qu&amp;rsquo;un wallet présenté et ses émetteurs sont authentiques et agréés. Miser ici sur des standards plutôt que sur des adaptateurs propriétaires, c&amp;rsquo;est garder ouverte la porte aux wallets des différents États membres.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Cas d&amp;rsquo;usage et gouvernance.&lt;/strong&gt; L&amp;rsquo;onboarding et le KYC, la preuve d&amp;rsquo;âge, l&amp;rsquo;authentification forte du client et les signatures électroniques qualifiées via le wallet sont les terrains les plus immédiats. Chacun de ces cas exige une logique de consentement et de journalisation rigoureuse : qui a demandé et obtenu quel attribut, quand et à quelle fin.&lt;/p&gt;
&lt;p&gt;Dans notre module Datargo ID, c&amp;rsquo;est précisément ce rôle de partie utilisatrice qui sert de fil conducteur : un login fédérateur, prêt pour le parcours EUDI. Mais l&amp;rsquo;essentiel ne dépend pas de l&amp;rsquo;outil : chaque partie utilisatrice arrête pour elle-même les choix en matière d&amp;rsquo;enregistrement, de minimisation des attributs et d&amp;rsquo;intégration fondée sur les standards.&lt;/p&gt;
&lt;h2 id="le-calendrier-sans-fard"&gt;Le calendrier, sans fard&lt;/h2&gt;
&lt;p&gt;D&amp;rsquo;ici fin 2026, les wallets sont mis à disposition ; à partir de début 2027, les solutions nationales apparaissent (l&amp;rsquo;Allemagne le 2 janvier 2027) ; et environ un an après leur disponibilité, l&amp;rsquo;obligation d&amp;rsquo;acceptation s&amp;rsquo;applique aux secteurs régulés. Cela sonne comme 2027 et 2028, mais cela commence dès aujourd&amp;rsquo;hui par un travail de préparation : déterminer les besoins en attributs, clarifier la voie d&amp;rsquo;enregistrement, piloter une intégration fondée sur les standards. L&amp;rsquo;échéance est fixée ; la préparation n&amp;rsquo;est plus facultative que dans son calendrier, pas dans son principe.&lt;/p&gt;</content></entry><entry><title>Souveraineté des données après le Data Privacy Framework : pourquoi l'hébergement européen devient une question d'architecture</title><link href="https://datargo.com/fr/blog/souverainete-des-donnees-data-privacy-framework/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/souverainete-des-donnees-data-privacy-framework/</id><published>2026-06-02T00:00:00+00:00</published><updated>2026-06-02T00:00:00+00:00</updated><category term="Souveraineté européenne"/><summary type="html">Le Data Privacy Framework UE-États-Unis reste valable pour l'instant, mais il est en cours de réexamen. Pourquoi le lieu d'hébergement, le contrôle de l'opérateur et la souveraineté des clés ne sont pas des cases à cocher de conformité, mais des décisions d'architecture à longue demi-vie.</summary><content type="html">&lt;p&gt;Quiconque transfère des données personnelles vers les États-Unis s&amp;rsquo;appuie depuis 2023 sur la décision d&amp;rsquo;adéquation relative au Data Privacy Framework UE-États-Unis (DPF). En septembre 2025, le Tribunal de l&amp;rsquo;Union européenne a rejeté un recours dirigé contre elle, ce qui laisse au cadre sa valeur de base juridique. Mais l&amp;rsquo;affaire n&amp;rsquo;est pas close : fin octobre 2025, un pourvoi a été formé devant la Cour de justice de l&amp;rsquo;Union européenne (affaire C-703/25 P). Un nouveau renversement, un « Schrems III », n&amp;rsquo;est pas exclu.&lt;/p&gt;
&lt;p&gt;Cette incertitude n&amp;rsquo;est pas une raison de paniquer, mais une bonne occasion de hisser une question du niveau de la conformité à celui de l&amp;rsquo;architecture.&lt;/p&gt;
&lt;h2 id="pourquoi-cest-plus-quune-case-à-cocher"&gt;Pourquoi c&amp;rsquo;est plus qu&amp;rsquo;une case à cocher&lt;/h2&gt;
&lt;p&gt;La manière commode de gérer les transferts de données consiste à les traiter comme une question contractuelle : tant qu&amp;rsquo;une décision valable ou des clauses contractuelles types existent, le transfert est couvert. C&amp;rsquo;est juste sur le plan juridique, mais cela méconnaît le risque réel. Toute base juridique pour les transferts vers des pays tiers est sous réserve depuis des années. Le Safe Harbor est tombé en 2015, le Privacy Shield en 2020, et le cadre actuel fait l&amp;rsquo;objet d&amp;rsquo;un contrôle judiciaire. Aligner son architecture sur une base juridique qui vacille tous les quelques années, c&amp;rsquo;est intégrer une dépendance que l&amp;rsquo;on ne contrôle pas.&lt;/p&gt;
&lt;p&gt;La question la plus robuste n&amp;rsquo;est pas « le transfert est-il couvert », mais « le transfert a-t-il seulement lieu ». Des données qui ne quittent pas l&amp;rsquo;UE et auxquelles aucun pays tiers n&amp;rsquo;a accès n&amp;rsquo;ont besoin d&amp;rsquo;aucune décision d&amp;rsquo;adéquation.&lt;/p&gt;
&lt;h2 id="trois-décisions-darchitecture"&gt;Trois décisions d&amp;rsquo;architecture&lt;/h2&gt;
&lt;p&gt;&lt;strong&gt;Le lieu d&amp;rsquo;hébergement.&lt;/strong&gt; L&amp;rsquo;endroit où les données résident physiquement est la première décision, et la plus visible. Un centre de données à Francfort plutôt que dans une région américaine en est le fondement, mais ne suffit pas à lui seul, car le lieu ne dit rien, à lui seul, du contrôle.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Le contrôle de l&amp;rsquo;opérateur.&lt;/strong&gt; Ce qui est déterminant, c&amp;rsquo;est qui a, en droit et en fait, accès aux données et à l&amp;rsquo;infrastructure. Un serveur situé dans l&amp;rsquo;UE mais exploité par une entreprise soumise à un droit tiers assorti d&amp;rsquo;obligations de communication étendues ne résout le problème qu&amp;rsquo;à moitié. La question du droit applicable à l&amp;rsquo;opérateur relève donc de l&amp;rsquo;architecture, et pas seulement du contrat.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;La souveraineté des clés.&lt;/strong&gt; Qui détient les clés contrôle l&amp;rsquo;accès. Un chiffrement où seul le client dispose des clés rend techniquement inopérant tout accès par un tiers, même s&amp;rsquo;il était juridiquement contraint. La souveraineté des clés fait passer le contrôle d&amp;rsquo;une promesse à une propriété technique.&lt;/p&gt;
&lt;h2 id="la-souveraineté-par-défaut-et-non-en-rattrapage"&gt;La souveraineté par défaut, et non en rattrapage&lt;/h2&gt;
&lt;p&gt;Ces trois décisions ne se modifient qu&amp;rsquo;à grand-peine et à grands frais après coup. Elles ont leur place au début d&amp;rsquo;une architecture, et non dans un projet qui ne démarre qu&amp;rsquo;une fois qu&amp;rsquo;un tribunal a renversé la décision suivante. C&amp;rsquo;est exactement ce que signifie la souveraineté dès la conception : non pas sécuriser un transfert après coup, mais une conception qui rend le transfert problématique inutile dès le départ.&lt;/p&gt;
&lt;p&gt;Dans notre plateforme, l&amp;rsquo;hébergement européen à Francfort est le réglage par défaut, et non l&amp;rsquo;option premium. Le point lui-même est cependant indépendant du fournisseur : qui règle tôt le lieu, le contrôle de l&amp;rsquo;opérateur et la souveraineté des clés se rend indépendant du prochain revirement judiciaire.&lt;/p&gt;
&lt;p&gt;Le Data Privacy Framework survivra peut-être au réexamen actuel, ou non. Une architecture qui ne dépend pas de la réponse est, dans les deux cas, le choix le plus serein.&lt;/p&gt;</content></entry><entry><title>AI Act de l'UE : l'application aux modèles GPAI à partir du 2 août 2026 et ce que le Digital Omnibus a reporté</title><link href="https://datargo.com/fr/blog/ai-act-gpai-application-2026/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/ai-act-gpai-application-2026/</id><published>2026-05-26T00:00:00+00:00</published><updated>2026-05-26T00:00:00+00:00</updated><category term="Réglementation et IA"/><summary type="html">En août débute l'application active des obligations GPAI. Un tour d'horizon sobre de ce qui s'applique désormais, de ce que le Digital Omnibus de mai 2026 a reporté et des échéances qui demeurent.</summary><content type="html">&lt;p&gt;L&amp;rsquo;AI Act de l&amp;rsquo;UE s&amp;rsquo;applique depuis août 2024, mais nombre de ses obligations entrent en vigueur par étapes. Une date se détache : le &lt;strong&gt;2 août 2026&lt;/strong&gt; commence l&amp;rsquo;application active à l&amp;rsquo;égard des fournisseurs de modèles d&amp;rsquo;IA à usage général (GPAI) par le Bureau européen de l&amp;rsquo;IA, et les régimes nationaux de sanctions prennent effet en parallèle. En Allemagne s&amp;rsquo;y ajoute la loi sur les mesures et l&amp;rsquo;innovation en matière d&amp;rsquo;IA (KI-MIG). Quiconque utilise ou met à disposition de l&amp;rsquo;IA devrait connaître l&amp;rsquo;échéance, mais aussi les reports les plus récents.&lt;/p&gt;
&lt;h2 id="ce-qui-commence-le-2-août-2026"&gt;Ce qui commence le 2 août 2026&lt;/h2&gt;
&lt;p&gt;Les obligations relatives aux modèles GPAI sont applicables depuis août 2025. Ce qui s&amp;rsquo;ajoute en août 2026, c&amp;rsquo;est l&amp;rsquo;application : un an après l&amp;rsquo;entrée en application, le Bureau de l&amp;rsquo;IA reçoit les pouvoirs de la mettre réellement en œuvre. Cela comprend les demandes d&amp;rsquo;informations, l&amp;rsquo;accès aux modèles et, en dernier recours, le rappel d&amp;rsquo;un modèle. Une obligation sur le papier devient ainsi une obligation opposable.&lt;/p&gt;
&lt;p&gt;Pour la plupart des entreprises, le rôle pertinent n&amp;rsquo;est pas celui de fournisseur de GPAI, mais celui de déployeur ou de fournisseur de systèmes en aval. Elles aussi devraient savoir quelles obligations de transparence et de documentation prennent effet et à quel moment.&lt;/p&gt;
&lt;h2 id="ce-que-le-digital-omnibus-de-mai-2026-a-reporté"&gt;Ce que le Digital Omnibus de mai 2026 a reporté&lt;/h2&gt;
&lt;p&gt;Le 7 mai 2026, l&amp;rsquo;UE a, avec ce que l&amp;rsquo;on appelle le Digital Omnibus, étalé dans le temps certaines obligations partielles. Cela ne change rien à l&amp;rsquo;échéance d&amp;rsquo;août pour l&amp;rsquo;application aux GPAI, mais reporte d&amp;rsquo;autres briques :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Systèmes à haut risque relevant de l&amp;rsquo;annexe III :&lt;/strong&gt; reportés au 2 décembre 2027.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Systèmes à haut risque relevant de l&amp;rsquo;annexe I :&lt;/strong&gt; reportés au 2 août 2028.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Obligations de transparence au titre de l&amp;rsquo;article 50&lt;/strong&gt; (par exemple le marquage des contenus générés par IA) : reportées au 2 décembre 2026.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Bacs à sable réglementaires pour l&amp;rsquo;IA :&lt;/strong&gt; reportés au 2 août 2027.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Cet étalement n&amp;rsquo;est pas un blanc-seing. Il dégage du temps pour les exigences plus lourdes liées au haut risque, mais laisse intactes l&amp;rsquo;application aux GPAI et les sanctions nationales prévues pour août.&lt;/p&gt;
&lt;h2 id="ce-que-cela-signifie-en-pratique"&gt;Ce que cela signifie en pratique&lt;/h2&gt;
&lt;p&gt;Trois tâches sont utiles indépendamment de la date exacte. Premièrement, un état des lieux : quels systèmes d&amp;rsquo;IA l&amp;rsquo;entreprise utilise-t-elle ou met-elle à disposition, et dans quelle classe de risque tombent-ils ? Sans cette clarté, aucune échéance ne peut se planifier utilement. Deuxièmement, la transparence : à partir de décembre 2026, l&amp;rsquo;article 50 exige que certaines interactions avec l&amp;rsquo;IA et certains contenus générés par IA soient rendus reconnaissables. Troisièmement, la documentation, car l&amp;rsquo;application à partir d&amp;rsquo;août repose sur le fait que les obligations ne sont pas seulement remplies, mais aussi prouvées.&lt;/p&gt;
&lt;p&gt;Ce dernier point relie l&amp;rsquo;AI Act aux autres régimes de conformité. Que ce soit NIS2, DORA ou l&amp;rsquo;AI Act, l&amp;rsquo;exigence récurrente est une trace traçable et auditable de ce qu&amp;rsquo;un système fait et de qui en répond. Une plateforme qui produit de toute façon cette trace comme sous-produit de l&amp;rsquo;exploitation facilite la préparation, quel que soit le régime. La tâche elle-même reste pourtant la même : d&amp;rsquo;abord savoir ce que l&amp;rsquo;on exploite, puis prouver que cela respecte les règles.&lt;/p&gt;
&lt;p&gt;Le 2 août 2026 n&amp;rsquo;est pas une échéance abstraite. C&amp;rsquo;est le moment où les obligations GPAI acquièrent des dents. Ce que le Digital Omnibus a reporté concerne le volet du haut risque, pas ce noyau.&lt;/p&gt;</content></entry><entry><title>SD-JWT VC et OpenID4VP : les protocoles derrière l'EUDI Wallet</title><link href="https://datargo.com/fr/blog/portefeuille-eudi-protocoles-sdjwt-openid4vp/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/portefeuille-eudi-protocoles-sdjwt-openid4vp/</id><published>2026-05-12T00:00:00+00:00</published><updated>2026-05-12T00:00:00+00:00</updated><category term="Identité numérique"/><summary type="html">Comment une partie utilisatrice valide réellement un attribut de wallet : un regard technique sur la divulgation sélective, les protocoles de présentation et les listes de confiance derrière l'EUDI Wallet.</summary><content type="html">&lt;p&gt;On parle beaucoup de l&amp;rsquo;EUDI Wallet au niveau politique et organisationnel : mise à disposition par les États membres d&amp;rsquo;ici fin 2026, obligations d&amp;rsquo;enregistrement, délais d&amp;rsquo;acceptation. Mais quiconque veut effectivement accepter le wallet se trouve tôt ou tard face à une question technique : comment vérifier concrètement qu&amp;rsquo;un attribut présenté est authentique, valide et suffisant pour mon usage ? Cet article se penche sur le versant de la vérification et sur les briques qui s&amp;rsquo;y assemblent.&lt;/p&gt;
&lt;h2 id="trois-formats-une-interaction"&gt;Trois formats, une interaction&lt;/h2&gt;
&lt;p&gt;L&amp;rsquo;Architecture and Reference Framework (ARF), désormais en version 2.x, fixe les standards techniques. Pour les parties utilisatrices, trois d&amp;rsquo;entre eux sont centraux.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;SD-JWT VC&lt;/strong&gt; (Selective Disclosure JWT Verifiable Credential) est un format d&amp;rsquo;attestation qui permet la divulgation sélective. L&amp;rsquo;émetteur signe un faisceau d&amp;rsquo;attributs, mais de telle façon que la personne utilisatrice puisse en divulguer certains sans révéler les autres. Techniquement, cela passe par des condensats salés (salted hashes) : chaque attribut est haché individuellement, et la signature porte sur les condensats. Qui montre un attribut fournit le texte en clair et le sel correspondants, le reste demeure caché, la signature reste vérifiable.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;ISO/IEC 18013-5 (mdoc)&lt;/strong&gt; est le format issu du permis de conduire mobile, utilisé en parallèle pour certaines attestations dans le contexte EUDI. Une partie utilisatrice devrait pouvoir traiter les deux formats, car les États membres ne procèdent pas partout de manière identique.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;OpenID for Verifiable Presentations (OpenID4VP)&lt;/strong&gt; est le protocole par lequel se déroule la présentation. Il définit comment une partie utilisatrice formule une requête (quels attributs, à quelle fin) et comment le wallet renvoie la réponse signée.&lt;/p&gt;
&lt;h2 id="ce-que-la-divulgation-sélective-change-en-pratique"&gt;Ce que la divulgation sélective change en pratique&lt;/h2&gt;
&lt;p&gt;L&amp;rsquo;exemple courant est la vérification de l&amp;rsquo;âge. Au lieu de transmettre la date de naissance complète, le wallet peut ne divulguer que l&amp;rsquo;attribut dérivé « plus de 18 ans ». Pour la partie utilisatrice, cela veut dire formuler ses requêtes de sorte qu&amp;rsquo;elle obtienne exactement le prédicat dont elle a besoin, et non le jeu de données complet qui se trouve derrière. La minimisation des données n&amp;rsquo;est pas ici une idée de protection ajoutée après coup, mais intégrée au protocole.&lt;/p&gt;
&lt;h2 id="la-partie-difficile--la-confiance-pas-la-validité"&gt;La partie difficile : la confiance, pas la validité&lt;/h2&gt;
&lt;p&gt;Vérifier une signature est la tâche facile. La difficile est la question qui se cache derrière : l&amp;rsquo;émetteur qui a signé cet attribut est-il seulement habilité et authentique ? C&amp;rsquo;est là qu&amp;rsquo;interviennent les &lt;strong&gt;listes de confiance&lt;/strong&gt;. L&amp;rsquo;UE et les États membres tiennent des registres au moyen desquels une partie utilisatrice établit de manière fiable si un wallet et ses émetteurs sont authentiques et agréés. Sans ce raccordement, on vérifie certes une signature correcte, mais on ne sait pas si l&amp;rsquo;identité qui se trouve derrière est digne de confiance.&lt;/p&gt;
&lt;p&gt;Le sens inverse compte tout autant : la partie utilisatrice elle-même doit s&amp;rsquo;enregistrer auprès d&amp;rsquo;un registre national avant la première utilisation, en indiquant quels attributs elle demande et à quelle fin. Seul cet enregistrement constitue la base juridique permettant de demander des données.&lt;/p&gt;
&lt;h2 id="pourquoi-miser-sur-les-standards-en-vaut-la-peine"&gt;Pourquoi miser sur les standards en vaut la peine&lt;/h2&gt;
&lt;p&gt;Miser sur les formats et protocoles ouverts plutôt que sur des adaptateurs propriétaires maintient à portée les wallets des différents États membres, sans devoir réintégrer pays par pays. Dans notre module Datargo ID, ce rôle de partie utilisatrice est le fil rouge, de l&amp;rsquo;authentification unique (SSO) au parcours EUDI. Le cœur technique vaut cependant indépendamment de l&amp;rsquo;outil : qui sait traiter SD-JWT VC, mdoc et OpenID4VP et raccorde correctement les listes de confiance est armé pour la vérification, quel que soit l&amp;rsquo;État membre dont provient le wallet.&lt;/p&gt;
&lt;p&gt;La mise à disposition du wallet est une échéance politique. Mettre en place proprement la vérification est une tâche technique, et elle commence par la compréhension de ces trois briques.&lt;/p&gt;</content></entry><entry><title>Archiver les factures électroniques structurées conformément aux GoBD : la question des huit ans</title><link href="https://datargo.com/fr/blog/facture-electronique-archivage-gobd/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/facture-electronique-archivage-gobd/</id><published>2026-04-21T00:00:00+00:00</published><updated>2026-04-21T00:00:00+00:00</updated><category term="Comptabilité et conformité"/><summary type="html">À partir de 2027, la facture électronique structurée devient le format obligatoire. Ce que l'archivage à valeur probante, le délai réduit de huit ans et la différence entre copie visuelle et jeu de données faisant foi signifient en pratique.</summary><content type="html">&lt;p&gt;Le débat sur la facture électronique tourne le plus souvent autour de l&amp;rsquo;émission et de la réception. L&amp;rsquo;obligation plus discrète, mais plus durable, ne commence qu&amp;rsquo;ensuite : la conservation. Une facture structurée n&amp;rsquo;est pas un document au sens classique, mais un jeu de données, et celui-ci doit demeurer inaltérable et exploitable par machine pendant des années. L&amp;rsquo;intégrer dès la construction de ses processus évite des reprises coûteuses plus tard.&lt;/p&gt;
&lt;h2 id="ce-qui-a-changé-pour-le-délai"&gt;Ce qui a changé pour le délai&lt;/h2&gt;
&lt;p&gt;Longtemps, les pièces comptables ont été soumises à un délai de conservation de dix ans. La quatrième loi allemande d&amp;rsquo;allègement bureaucratique (BEG IV) l&amp;rsquo;a réduit à &lt;strong&gt;huit ans&lt;/strong&gt; au 1er janvier 2025. Le nouveau délai s&amp;rsquo;applique à toutes les pièces dont l&amp;rsquo;ancien délai de dix ans n&amp;rsquo;avait pas encore expiré à cette date.&lt;/p&gt;
&lt;p&gt;Deux réserves sont importantes. Premièrement, la réduction concerne les pièces comptables telles que factures, reçus et justificatifs de paiement. Les comptes annuels et la documentation des procédures restent à dix ans. Deuxièmement, le délai plus court n&amp;rsquo;est pas qu&amp;rsquo;un allègement : pouvoir supprimer des pièces après huit ans plutôt que dix signifie qu&amp;rsquo;il faut adapter en conséquence son concept d&amp;rsquo;effacement, en gardant aussi à l&amp;rsquo;esprit le RGPD. Une prolongation forfaitaire « par précaution » entre en tension avec l&amp;rsquo;obligation de ne pas conserver des données personnelles plus longtemps que nécessaire.&lt;/p&gt;
&lt;h2 id="ce-que--à-valeur-probante--exige-techniquement"&gt;Ce que « à valeur probante » exige techniquement&lt;/h2&gt;
&lt;p&gt;Pour les documents électroniques soumis à conservation, les GoBD exigent pour l&amp;rsquo;essentiel trois propriétés : l&amp;rsquo;inaltérabilité, une saisie complète et en temps voulu, ainsi qu&amp;rsquo;une disponibilité permanente et une exploitabilité par machine sur tout le délai. L&amp;rsquo;inaltérabilité ne signifie pas qu&amp;rsquo;un fichier repose dans un dossier auquel personne ne touche. Elle signifie que les modifications ultérieures sont techniquement exclues ou journalisées sans lacune, et que l&amp;rsquo;état d&amp;rsquo;origine reste restituable.&lt;/p&gt;
&lt;p&gt;Pour les formats structurés s&amp;rsquo;ajoute une seconde exigence, souvent sous-estimée.&lt;/p&gt;
&lt;h2 id="la-copie-visuelle-nest-pas-le-jeu-de-données"&gt;La copie visuelle n&amp;rsquo;est pas le jeu de données&lt;/h2&gt;
&lt;p&gt;Une XRechnung est un pur jeu de données XML. ZUGFeRD est hybride : un PDF avec du XML embarqué. Le point décisif : ce qui est soumis à conservation, c&amp;rsquo;est le &lt;strong&gt;jeu de données structuré&lt;/strong&gt;, et non une copie visuelle PDF qui en est issue. Qui imprime ou restitue une XRechnung entrante sous forme de PDF et n&amp;rsquo;archive que cette image n&amp;rsquo;a pas conservé la pièce faisant foi de manière conforme aux GoBD. L&amp;rsquo;original est la structure XML, et c&amp;rsquo;est précisément elle qui doit être disponible, inchangée et exploitable, pendant huit ans.&lt;/p&gt;
&lt;p&gt;Cela a des conséquences pour l&amp;rsquo;architecture. Produire une belle vue à la réception ne suffit pas. Le jeu de données doit être stocké sous sa forme structurée, indexé et protégé contre toute modification. Une documentation des procédures consigne comment ce chemin se déroule exactement : de la réception au classement, en passant par le contrôle.&lt;/p&gt;
&lt;h2 id="où-cela-converge-en-pratique"&gt;Où cela converge en pratique&lt;/h2&gt;
&lt;p&gt;À partir de 2027 au plus tard, lorsque la facture électronique structurée deviendra la règle dans les échanges B2B nationaux, trois choses se rejoignent : le format (XRechnung ou ZUGFeRD selon EN 16931), la comptabilisation dans le cœur commercial et l&amp;rsquo;archivage à valeur probante. Dans notre module Datargo ERP, la facturation électronique selon EN 16931 et la comptabilité conforme aux GoBD forment un chemin continu, mais l&amp;rsquo;exigence elle-même est indépendante de l&amp;rsquo;outil : le jeu de données faisant foi doit rester inchangé, exploitable et retrouvable pendant tout le délai.&lt;/p&gt;
&lt;p&gt;Le délai de huit ans sonne comme moins d&amp;rsquo;efforts que l&amp;rsquo;ancien. Sur le fond, il ne fait que déplacer l&amp;rsquo;effort : du côté de l&amp;rsquo;effacement vers une conservation propre du bon objet, à savoir le jeu de données, et non son image.&lt;/p&gt;</content></entry><entry><title>NIS2 en pratique : de l'obligation de notification à la preuve solide</title><link href="https://datargo.com/fr/blog/nis2-pratique-preuve/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/nis2-pratique-preuve/</id><published>2026-04-14T00:00:00+00:00</published><updated>2026-04-14T00:00:00+00:00</updated><category term="NIS2 &amp; résilience"/><summary type="html">Depuis décembre 2025, NIS2 est inscrite dans le droit allemand. Ce que la surveillance, la notification et la journalisation doivent réellement prouver lorsque l'autorité le demande, et où en sont les entreprises aujourd'hui.</summary><content type="html">&lt;p&gt;Depuis le 6 décembre 2025, NIS2 a force de loi en Allemagne. La loi de transposition de NIS2 et de renforcement de la cybersécurité (NIS2UmsuCG) a été adoptée par le Bundestag le 13 novembre 2025, confirmée par le Bundesrat le 20 novembre, et est entrée en vigueur sans période de transition. Environ 29 500 entreprises, réparties sur 18 secteurs, sont concernées. La date limite d&amp;rsquo;enregistrement auprès du BSI, le 6 mars 2026, est passée ; un enregistrement tardif reste possible et demeure recommandé.&lt;/p&gt;
&lt;p&gt;Beaucoup d&amp;rsquo;organisations ont abordé la mise en œuvre comme une tâche d&amp;rsquo;enregistrement et de documentation. La partie la plus difficile commence ensuite : pouvoir prouver, le moment venu, ce qui s&amp;rsquo;est réellement passé.&lt;/p&gt;
&lt;h2 id="lhorloge-tourne-en-heures-pas-en-semaines"&gt;L&amp;rsquo;horloge tourne en heures, pas en semaines&lt;/h2&gt;
&lt;p&gt;Les obligations de notification (article 32) sont échelonnées et étroitement minutées. Pour un incident significatif : une alerte précoce dans les 24 heures, une notification dans les 72 heures, un rapport final dans un délai d&amp;rsquo;un mois. Ces délais ne peuvent être tenus que si un incident est détecté rapidement et reconstitué de façon traçable. Quiconque ne s&amp;rsquo;aperçoit qu&amp;rsquo;au moment de rédiger la notification que les données nécessaires manquent a, de fait, déjà manqué le délai.&lt;/p&gt;
&lt;h2 id="ce-que-lautorité-veut-voir"&gt;Ce que l&amp;rsquo;autorité veut voir&lt;/h2&gt;
&lt;p&gt;L&amp;rsquo;article 30 exige des mesures de gestion des risques : surveillance, journalisation, traitement des incidents, continuité d&amp;rsquo;activité et sécurité de la chaîne d&amp;rsquo;approvisionnement. La différence décisive se joue entre « nous exploitons une surveillance » et « nous pouvons prouver ce qui s&amp;rsquo;est passé, et quand ». Une autorité de contrôle n&amp;rsquo;accepte pas une déclaration d&amp;rsquo;intention, elle veut des preuves.&lt;/p&gt;
&lt;p&gt;Une preuve est solide lorsqu&amp;rsquo;elle réunit trois propriétés :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Sans lacune :&lt;/strong&gt; détection, escalade et réaction sont horodatées en continu, sans zones d&amp;rsquo;ombre dans le déroulé.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Inaltérable :&lt;/strong&gt; journaux et historiques d&amp;rsquo;incidents existent en append-only, non corrigibles discrètement après coup.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Reconstituable :&lt;/strong&gt; à partir de la piste d&amp;rsquo;audit, la chronologie de l&amp;rsquo;incident peut être dérivée de manière à correspondre aux délais de 24 heures, 72 heures et un mois.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;C&amp;rsquo;est précisément là que de nombreux dispositifs échouent : la surveillance existe, mais les données sont éparpillées, réinscriptibles, ou ne peuvent être assemblées en une chronologie probante.&lt;/p&gt;
&lt;h2 id="la-responsabilité-ne-se-délègue-pas"&gt;La responsabilité ne se délègue pas&lt;/h2&gt;
&lt;p&gt;L&amp;rsquo;article 38 met la direction en première ligne : elle doit approuver les mesures et superviser leur mise en œuvre. Cette responsabilité ne peut être transférée à l&amp;rsquo;informatique. L&amp;rsquo;article 65 fixe le cadre, avec des amendes pouvant atteindre 10 millions d&amp;rsquo;euros. Cela fait passer NIS2 d&amp;rsquo;une tâche technique à une tâche de direction.&lt;/p&gt;
&lt;h2 id="ce-qui-est-pertinent-dès-maintenant"&gt;Ce qui est pertinent dès maintenant&lt;/h2&gt;
&lt;p&gt;Trois mesures portent leurs fruits immédiatement : cartographier proprement ses propres obligations au regard des articles 30 et 32 ; organiser la détection de sorte que l&amp;rsquo;alerte précoce des 24 heures soit réellement atteignable ; et faire basculer la journalisation vers des pistes inaltérables et conservées suffisamment longtemps. Un déroulé de notification répété une seule fois révèle vite où la chronologie se rompt.&lt;/p&gt;
&lt;p&gt;Dans notre module Datargo Monitor, la surveillance, la posture de sécurité et une piste d&amp;rsquo;audit append-only sont reliées de sorte que la preuve NIS2 puisse être produite à la demande. L&amp;rsquo;essentiel, cependant, ne dépend pas de l&amp;rsquo;outil : il s&amp;rsquo;agit de mener la détection et la journalisation de façon à ce qu&amp;rsquo;il reste, au bout du compte, une chronologie probante et non un amas de lignes de journal éparses.&lt;/p&gt;
&lt;p&gt;NIS2 ne demande pas si vous exploitez une surveillance. Elle demande si vous pouvez le prouver.&lt;/p&gt;</content></entry><entry><title>ACME au-delà du serveur web : automatiser les certificats pour les services internes et le mTLS</title><link href="https://datargo.com/fr/blog/acme-pki-interne-mtls/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/acme-pki-interne-mtls/</id><published>2026-03-17T00:00:00+00:00</published><updated>2026-03-17T00:00:00+00:00</updated><category term="PKI et certificats"/><summary type="html">Les durées de vie courtes ne se maîtrisent que par l'automatisation. Pourquoi la PKI interne, le service mesh et le mTLS suivent d'autres schémas que le web public, et comment ACME fonctionne aussi derrière le pare-feu.</summary><content type="html">&lt;p&gt;La réduction des durées de vie des certificats TLS publics, vers 47 jours à terme, a fait prendre conscience que le renouvellement manuel ne tient plus l&amp;rsquo;échelle. Ce que l&amp;rsquo;on néglige souvent : à l&amp;rsquo;intérieur d&amp;rsquo;une entreprise se cachent en général bien plus de certificats qu&amp;rsquo;à la lisière visible de l&amp;rsquo;extérieur. La communication de service à service, le mTLS dans un service mesh, les API internes et les connexions de bases de données vivent toutes de certificats, et ceux-ci suivent d&amp;rsquo;autres schémas que le web public.&lt;/p&gt;
&lt;h2 id="pourquoi--interne--ne-veut-pas-dire--plus-simple-"&gt;Pourquoi « interne » ne veut pas dire « plus simple »&lt;/h2&gt;
&lt;p&gt;Sur le serveur web public, la situation est claire : une poignée de domaines, une autorité de certification publique, un chemin de validation bien défini. À l&amp;rsquo;intérieur, le rapport s&amp;rsquo;inverse. On y trouve souvent des centaines ou des milliers de points de terminaison éphémères, qui apparaissent et disparaissent dynamiquement, par exemple lorsqu&amp;rsquo;un orchestrateur démarre de nouveaux conteneurs. Une autorité de certification interne leur délivre des certificats que personne ne voit publiquement, mais qui expirent tout autant, doivent se renouveler tout autant et, en cas de défaillance, paralysent un service tout autant.&lt;/p&gt;
&lt;p&gt;La différence avec le monde public n&amp;rsquo;est donc pas une moindre importance, mais une fréquence et une dynamique plus élevées. Avec le mTLS, où les deux parties s&amp;rsquo;authentifient mutuellement à l&amp;rsquo;aide d&amp;rsquo;un certificat, le nombre d&amp;rsquo;identités à gérer double encore.&lt;/p&gt;
&lt;h2 id="acme-nest-pas-réservé-à-lets-encrypt"&gt;ACME n&amp;rsquo;est pas réservé à Let&amp;rsquo;s Encrypt&lt;/h2&gt;
&lt;p&gt;ACME (RFC 8555) s&amp;rsquo;est fait connaître comme le protocole de délivrance et de renouvellement automatiques, surtout à travers Let&amp;rsquo;s Encrypt sur le web public. Le protocole lui-même est pourtant agnostique vis-à-vis de l&amp;rsquo;autorité de certification. Une autorité de certification interne peut offrir une interface ACME, et les services internes se renouvellent alors d&amp;rsquo;eux-mêmes selon le même mécanisme, sans que personne ne commande un certificat à la main.&lt;/p&gt;
&lt;p&gt;Pour la validation interne, d&amp;rsquo;autres types de challenge entrent en jeu que sur le web public. Le challenge HTTP, courant pour les domaines publics, convient rarement aux services internes. On recourt plutôt à des procédés fondés sur le DNS ou, selon l&amp;rsquo;environnement, à des preuves d&amp;rsquo;identité liées à la plateforme. Les service meshes résolvent en partie la question en interne, au moyen de leur propre couche d&amp;rsquo;identité et de certificats éphémères dont la durée de vie se compte en heures plutôt qu&amp;rsquo;en semaines.&lt;/p&gt;
&lt;h2 id="ce-qui-fait-la-différence"&gt;Ce qui fait la différence&lt;/h2&gt;
&lt;p&gt;Trois capacités déterminent si l&amp;rsquo;automatisation interne tient.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Une découverte tournée aussi vers l&amp;rsquo;intérieur.&lt;/strong&gt; La panne dangereuse est rarement le certificat frontal bien entretenu. C&amp;rsquo;est le certificat oublié sur un service interne, un équipement ou un cluster que plus personne n&amp;rsquo;observe activement. Un inventaire doit recenser les points de terminaison internes autant que les publics.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Une vision agnostique des autorités de certification.&lt;/strong&gt; Dans les environnements qui se sont développés au fil du temps, plusieurs autorités de certification coexistent le plus souvent : une publique pour la lisière externe, une ou plusieurs internes, et peut-être une propre au cloud. Une gestion qui offre, par-delà toutes, une vue unifiée et un renouvellement unifié évite que chaque autorité ne devienne son propre îlot avec ses propres lacunes.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Un renouvellement maîtrisé.&lt;/strong&gt; L&amp;rsquo;automatisation complète est l&amp;rsquo;objectif, mais pas au prix d&amp;rsquo;une traçabilité perdue. Là où c&amp;rsquo;est nécessaire, le renouvellement automatique comporte une étape documentée d&amp;rsquo;approbation et de journalisation, afin que, même à haute fréquence, on puisse retracer ce qui a été délivré et quand.&lt;/p&gt;
&lt;p&gt;C&amp;rsquo;est précisément ce schéma, la découverte d&amp;rsquo;abord, puis l&amp;rsquo;automatisation agnostique avec approbation, qui sous-tend notre module NextPKI. L&amp;rsquo;orientation vaut cependant indépendamment de l&amp;rsquo;outil : maîtriser les durées de vie courtes de la lisière externe mais négliger l&amp;rsquo;intérieur, c&amp;rsquo;est ne pas tenir le véritable volume.&lt;/p&gt;
&lt;p&gt;Le débat sur les 47 jours est une bonne occasion d&amp;rsquo;élargir le regard. La plupart des certificats d&amp;rsquo;une entreprise ne sont pas en vitrine, mais dans la salle des machines.&lt;/p&gt;</content></entry><entry><title>DORA pour les prestataires TIC : risque lié aux tiers et notification des incidents</title><link href="https://datargo.com/fr/blog/dora-risque-tiers/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/dora-risque-tiers/</id><published>2025-12-09T00:00:00+00:00</published><updated>2025-12-09T00:00:00+00:00</updated><category term="DORA &amp; secteur financier"/><summary type="html">Depuis janvier 2025, DORA s'applique au secteur financier, avec des conséquences pour chaque fournisseur. Ce que recouvrent le registre d'information, les chaînes de notification et les premières désignations de prestataires critiques.</summary><content type="html">&lt;p&gt;DORA, le Digital Operational Resilience Act (règlement (UE) 2022/2554), s&amp;rsquo;applique au secteur financier européen depuis le 17 janvier 2025. Depuis le 19 novembre 2025, la supervision a pris une forme concrète : les autorités européennes de surveillance EBA, EIOPA et ESMA ont publié la première liste officielle de 19 tiers prestataires de services TIC désignés comme critiques, parmi lesquels AWS, Google Cloud, Microsoft, Oracle, SAP, IBM et Deutsche Telekom. Cette liste est actualisée chaque année.&lt;/p&gt;
&lt;p&gt;La réaction instinctive de bien des prestataires informatiques est la suivante : cela ne me concerne pas, je ne suis pas une banque. C&amp;rsquo;est une erreur. DORA descend le long de la chaîne d&amp;rsquo;approvisionnement.&lt;/p&gt;
&lt;h2 id="pourquoi-le-règlement-atteint-chaque-fournisseur"&gt;Pourquoi le règlement atteint chaque fournisseur&lt;/h2&gt;
&lt;p&gt;Les entités financières portent elles-mêmes le risque de leurs externalisations TIC et doivent le piloter de manière démontrable. Au plus tard le 30 avril 2025, elles devaient déclarer leur registre d&amp;rsquo;information, un relevé complet de tous les accords contractuels conclus avec des tiers prestataires de services TIC. Dès lors, chaque externalisation devient visible pour le régulateur, y compris celles vers des prestataires non critiques.&lt;/p&gt;
&lt;p&gt;Toutes les obligations qui pèsent sur l&amp;rsquo;entité financière, celle-ci les répercute contractuellement sur ses prestataires. En pratique, les clients du secteur financier exigent désormais :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Des clauses contractuelles conformes à DORA&lt;/strong&gt;, avec des règles claires de performance, de sécurité et de résiliation.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Des droits d&amp;rsquo;audit et d&amp;rsquo;accès&lt;/strong&gt;, afin que le client comme le régulateur puissent contrôler.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;De la transparence sur la sous-traitance en cascade&lt;/strong&gt;, c&amp;rsquo;est-à-dire qui d&amp;rsquo;autre intervient derrière le prestataire.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Des chaînes de notification en cas d&amp;rsquo;incident&lt;/strong&gt;, assez rapides pour que le client financier tienne ses propres délais.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Des plans de sortie et de continuité&lt;/strong&gt;, ainsi que des preuves issues des tests de résilience.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="la-notification-dincident-est-une-chaîne-pas-un-formulaire"&gt;La notification d&amp;rsquo;incident est une chaîne, pas un formulaire&lt;/h2&gt;
&lt;p&gt;Pour les incidents TIC majeurs, DORA impose une notification échelonnée : une notification initiale dans les quelques heures suivant la classification, un rapport intermédiaire et un rapport final dans un délai d&amp;rsquo;un mois. Pour les fournisseurs, cela signifie : l&amp;rsquo;incident ne doit pas seulement être détecté en interne, le client financier doit être informé assez tôt pour respecter sa propre horloge réglementaire. Quiconque notifie trop tard ou de façon trop vague met en péril la conformité du client, et avec elle la relation d&amp;rsquo;affaires.&lt;/p&gt;
&lt;h2 id="désigné-critique-signifie-supervision-directe"&gt;Désigné critique signifie supervision directe&lt;/h2&gt;
&lt;p&gt;Quiconque est désigné comme tiers prestataire critique de services TIC relève de la supervision directe d&amp;rsquo;un superviseur principal à l&amp;rsquo;échelle de l&amp;rsquo;UE. Comme la liste est actualisée chaque année, la désignation n&amp;rsquo;est pas un état figé : qui n&amp;rsquo;y figure pas aujourd&amp;rsquo;hui peut s&amp;rsquo;y retrouver à mesure que son importance pour le secteur financier grandit.&lt;/p&gt;
&lt;h2 id="ce-qui-est-pertinent-dès-maintenant"&gt;Ce qui est pertinent dès maintenant&lt;/h2&gt;
&lt;p&gt;Pour les prestataires TIC ayant des clients financiers, il vaut la peine de passer ses propres contrats au crible des clauses DORA, de documenter proprement la sous-traitance en cascade et de répéter la notification d&amp;rsquo;incident pour que la chaîne, jusqu&amp;rsquo;au client financier, tienne en quelques heures. Dans notre module Datargo Monitor, la surveillance, un moteur d&amp;rsquo;incidents et une piste d&amp;rsquo;audit append-only s&amp;rsquo;imbriquent de sorte que les preuves nécessaires à de telles chaînes de notification puissent être produites. L&amp;rsquo;essentiel, cependant, ne dépend pas de l&amp;rsquo;outil : il s&amp;rsquo;agit de documenter sa propre résilience pour que le client financier puisse s&amp;rsquo;y fier.&lt;/p&gt;
&lt;p&gt;DORA n&amp;rsquo;est pas qu&amp;rsquo;une affaire de banques. C&amp;rsquo;est l&amp;rsquo;exigence que vos clients financiers vous répercutent désormais.&lt;/p&gt;</content></entry><entry><title>Cryptographie post-quantique : pourquoi la migration commence en 2026, pas en 2030</title><link href="https://datargo.com/fr/blog/migration-post-quantique/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/migration-post-quantique/</id><published>2025-09-16T00:00:00+00:00</published><updated>2025-09-16T00:00:00+00:00</updated><category term="Cryptographie &amp; PKI"/><summary type="html">Avec les standards NIST définitifs et le « harvest now, decrypt later », la crypto-agilité devient une tâche d'exploitation. Un point de départ concret sur l'inventaire et la migration par étapes.</summary><content type="html">&lt;p&gt;Depuis août 2024, les trois premiers standards post-quantiques sont définitifs. Le NIST a publié FIPS 203 (ML-KEM, dérivé de Kyber), FIPS 204 (ML-DSA, issu de Dilithium) et FIPS 205 (SLH-DSA, issu de SPHINCS+), concluant un processus de sélection de huit ans. Beaucoup lisent le titre, voient l&amp;rsquo;année 2030 souvent citée et remisent le sujet. C&amp;rsquo;est un malentendu : 2030 est une échéance, pas un coup d&amp;rsquo;envoi.&lt;/p&gt;
&lt;h2 id="le--harvest-now-decrypt-later--rend-la-chose-urgente"&gt;Le « harvest now, decrypt later » rend la chose urgente&lt;/h2&gt;
&lt;p&gt;La menace n&amp;rsquo;attend pas le premier calculateur quantique performant. Des attaquants interceptent dès aujourd&amp;rsquo;hui du trafic chiffré et le stockent pour le déchiffrer plus tard. Tout ce qui doit rester protégé longtemps est dès lors déjà exposé : contrats, données de santé et de personnel, clés à longue durée de vie, propriété intellectuelle, secrets d&amp;rsquo;État et d&amp;rsquo;affaires. Pour ces données, ce qui compte n&amp;rsquo;est pas le moment où un calculateur quantique deviendra réalité, mais la durée pendant laquelle elles doivent rester secrètes.&lt;/p&gt;
&lt;p&gt;Avec CNSA 2.0, la NSA fixe l&amp;rsquo;année 2030 comme échéance contraignante pour les systèmes de sécurité nationale. Le BSI allemand recommande depuis des années une migration précoce et la crypto-agilité. Les deux décrivent un objectif, non un report confortable.&lt;/p&gt;
&lt;h2 id="pourquoi-la-migration-prend-des-années"&gt;Pourquoi la migration prend des années&lt;/h2&gt;
&lt;p&gt;Quiconque a un jour tenté d&amp;rsquo;inventorier son propre parc cryptographique connaît le problème : personne ne sait exactement où, partout, quels algorithmes, clés et certificats sont en usage. S&amp;rsquo;y ajoutent des dépendances envers des bibliothèques, du matériel, des protocoles et des partenaires qui ne migrent pas à votre rythme. Une migration PQC n&amp;rsquo;est donc pas un interrupteur, mais un programme pluriannuel.&lt;/p&gt;
&lt;p&gt;Le chemin est clair dans son ordre :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Inventorier :&lt;/strong&gt; rendre visible où se niche quelle cryptographie, y compris les usages embarqués et oubliés.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Prioriser :&lt;/strong&gt; d&amp;rsquo;abord les données à longue durée de vie, celles qui sont déjà aujourd&amp;rsquo;hui exposées au risque du harvest now.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Établir la crypto-agilité :&lt;/strong&gt; encapsuler les algorithmes de sorte qu&amp;rsquo;ils puissent être remplacés sans modifier le système appelant.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Piloter en hybride :&lt;/strong&gt; procédés classiques et post-quantiques en parallèle, pour éprouver l&amp;rsquo;interopérabilité et la performance.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Automatiser et exiger :&lt;/strong&gt; automatiser le renouvellement et engager fermement les fournisseurs sur une capacité PQC démontrable.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="la-crypto-agilité-est-le-véritable-levier"&gt;La crypto-agilité est le véritable levier&lt;/h2&gt;
&lt;p&gt;L&amp;rsquo;erreur la plus fréquente est de voir la PQC comme un remplacement ponctuel. Les algorithmes continueront d&amp;rsquo;évoluer, les paramètres seront resserrés, certains schémas pourraient tomber. Ce qui demeure, c&amp;rsquo;est l&amp;rsquo;exigence de pouvoir changer d&amp;rsquo;algorithmes sans toucher à chaque système appelant. Quiconque intègre cette agilité aujourd&amp;rsquo;hui survit non seulement à la première vague PQC, mais aussi à la suivante.&lt;/p&gt;
&lt;p&gt;Dans notre module NextPKI, c&amp;rsquo;est précisément ce qui est prévu : crypto-agile dès le départ, RSA, ECDSA et Ed25519 aujourd&amp;rsquo;hui, procédés post-quantiques préparés, avec une politique par locataire. L&amp;rsquo;essentiel, cependant, ne dépend pas de l&amp;rsquo;outil : il s&amp;rsquo;agit de bâtir l&amp;rsquo;agilité comme une propriété, et non comme une migration ultérieure.&lt;/p&gt;
&lt;p&gt;2026 est l&amp;rsquo;année où l&amp;rsquo;inventaire et le pilote devraient être en place. Alors 2030 ne sera plus que la ligne d&amp;rsquo;arrivée, et non une date à redouter.&lt;/p&gt;</content></entry><entry><title>L'obligation de facturation électronique en Allemagne : la feuille de route 2025 à 2028 sans les mythes</title><link href="https://datargo.com/fr/blog/facturation-electronique-obligation-calendrier/" rel="alternate" type="text/html"/><id>https://datargo.com/fr/blog/facturation-electronique-obligation-calendrier/</id><published>2025-02-11T00:00:00+00:00</published><updated>2025-02-11T00:00:00+00:00</updated><category term="Facturation électronique &amp; GoBD"/><summary type="html">La réception est obligatoire depuis janvier 2025, l'émission suit en 2027 et 2028. Ce qui distingue EN 16931, XRechnung et ZUGFeRD, et quels pièges de format comptent vraiment.</summary><content type="html">&lt;p&gt;Depuis le 1er janvier 2025, la facture électronique n&amp;rsquo;est plus facultative dans les échanges B2B en Allemagne. La première étape de la nouvelle obligation s&amp;rsquo;applique : toute entreprise établie sur le territoire doit être en mesure de recevoir des factures électroniques structurées. L&amp;rsquo;émission par voie électronique n&amp;rsquo;est pas encore obligatoire, mais la réception, elle, l&amp;rsquo;est. Le fondement juridique est la loi sur les opportunités de croissance (Wachstumschancengesetz), adoptée par le Bundesrat le 22 mars 2024 ; les modalités sont précisées par la circulaire du ministère fédéral des Finances (BMF) du 15 octobre 2024.&lt;/p&gt;
&lt;p&gt;Autour de cette obligation circulent plus de demi-vérités que sur la plupart des sujets fiscaux. Trois méritent d&amp;rsquo;être dissipées.&lt;/p&gt;
&lt;h2 id="mythe-1---un-pdf-est-une-facture-électronique-"&gt;Mythe 1 : « un PDF est une facture électronique »&lt;/h2&gt;
&lt;p&gt;Non. Une facture électronique au sens de la norme EN 16931 est un jeu de données structuré qu&amp;rsquo;un logiciel peut traiter sans rupture de support. Un PDF classique, même reçu par courriel, n&amp;rsquo;est plus qu&amp;rsquo;une « autre facture » une fois l&amp;rsquo;obligation applicable. Ce qui fait foi, c&amp;rsquo;est le XML lisible par machine, et non l&amp;rsquo;image destinée à l&amp;rsquo;œil humain.&lt;/p&gt;
&lt;p&gt;En Allemagne, deux formats satisfont la norme : XRechnung, un XML pur conforme à la CIUS d&amp;rsquo;EN 16931, et ZUGFeRD à partir de la version 2, un format hybride associant un PDF/A-3 à un XML embarqué. Avec ZUGFeRD, c&amp;rsquo;est le XML qui fait foi, non le PDF visible. Un point important : seuls les profils à partir d&amp;rsquo;« EN 16931 » (Comfort) sont conformes à la norme. Les profils plus réduits MINIMUM et BASIC WL portent trop peu de données pour valoir comme facture à part entière.&lt;/p&gt;
&lt;h2 id="mythe-2---cela-ne-concerne-que-2027-et-seulement-les-grandes-entreprises-"&gt;Mythe 2 : « cela ne concerne que 2027, et seulement les grandes entreprises »&lt;/h2&gt;
&lt;p&gt;La réception concerne tout le monde depuis janvier 2025. Seule l&amp;rsquo;émission est échelonnée :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;depuis le 1er janvier 2025 : obligation de réception, pour toutes les entreprises établies en Allemagne&lt;/li&gt;
&lt;li&gt;à partir du 1er janvier 2027 : obligation d&amp;rsquo;émission, pour les entreprises dont le chiffre d&amp;rsquo;affaires de l&amp;rsquo;année précédente dépasse 800 000 euros&lt;/li&gt;
&lt;li&gt;à partir du 1er janvier 2028 : obligation d&amp;rsquo;émission, pour toutes les autres relations B2B&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Jusqu&amp;rsquo;à fin 2026, le papier et les formats non structurés restent admis d&amp;rsquo;un commun accord, et les plus petits émetteurs bénéficient d&amp;rsquo;un délai de grâce supplémentaire jusqu&amp;rsquo;à fin 2027. Les procédures EDI établies demeurent autorisées sous conditions, mais doivent se rapprocher de la norme. Quiconque ne s&amp;rsquo;attaque à l&amp;rsquo;émission qu&amp;rsquo;en 2027 a malgré tout, dès aujourd&amp;rsquo;hui, un chantier de réception.&lt;/p&gt;
&lt;h2 id="mythe-3---recevoir-cest-juste-que-le-courriel-arrive-"&gt;Mythe 3 : « recevoir, c&amp;rsquo;est juste que le courriel arrive »&lt;/h2&gt;
&lt;p&gt;Juridiquement, une adresse électronique suffit pour qu&amp;rsquo;une facture électronique soit remise. Sur le plan métier, ce n&amp;rsquo;est que la moitié du travail. Trois éléments en font partie :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;La validation :&lt;/strong&gt; le XML entrant devrait être vérifié au regard du schéma et des règles de gestion d&amp;rsquo;EN 16931, faute de quoi des factures erronées se logent sans bruit dans les enregistrements.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;La visualisation :&lt;/strong&gt; un visualiseur qui restitue le XML de façon lisible, afin que les services métiers sans connaissance du XML puissent le contrôler.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;L&amp;rsquo;archivage conforme à la GoBD :&lt;/strong&gt; ce qui doit être conservé, c&amp;rsquo;est l&amp;rsquo;original structuré, inaltérable et chaîné de manière probante, et non un simple tirage PDF.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Ce dernier point en particulier est sous-estimé. Quiconque n&amp;rsquo;archive que le document visuel et écarte le XML n&amp;rsquo;a pas conservé la facture au sens juridique.&lt;/p&gt;
&lt;h2 id="ce-qui-est-pertinent-dès-maintenant"&gt;Ce qui est pertinent dès maintenant&lt;/h2&gt;
&lt;p&gt;La réception est obligatoire et devrait être mise en place proprement : validation, visualiseur, archive probante du XML. En parallèle, il vaut la peine de se pencher sur l&amp;rsquo;émission. Quelles relations clients tomberont sous l&amp;rsquo;obligation en 2027, quels formats les destinataires attendent-ils, et comment l&amp;rsquo;original structuré sort-il proprement de votre propre système. Dans notre cœur de gestion Datargo ERP, EN 16931, XRechnung et ZUGFeRD, ainsi que le chaînage conforme à la GoBD, sont prévus dès le départ. L&amp;rsquo;essentiel, cependant, ne dépend pas de l&amp;rsquo;outil : il s&amp;rsquo;agit de traiter l&amp;rsquo;original structuré comme le justificatif de référence, et non comme un accessoire du PDF.&lt;/p&gt;
&lt;p&gt;L&amp;rsquo;obligation n&amp;rsquo;arrive pas en 2027. Elle a commencé en 2025, mais discrètement, du côté de la réception.&lt;/p&gt;</content></entry></feed>