DATA ACT EUROPEEN - OBLIGATIONS DE CHANGEMENT DE PRESTATAIRE CLOUD

Mesurez votre dépendance numérique avant qu'elle ne vous coûte cher

Sovereign-Audit est un audit structuré qui évalue votre dépendance aux fournisseurs cloud (Microsoft 365 en particulier) et votre capacité réelle à récupérer vos données et à changer de prestataire. Nous ne certifions pas une « souveraineté » : nous mesurons, documentons et priorisons.

32
Contrôles de dépendance et portabilité audités
7
Domaines Microsoft 365 couverts
3
Référentiels de référence mobilisés
2009
SYAGA réalise des audits de sécurité SI depuis

Le problème

La dépendance numérique est rarement mesurée, et le sujet devient réglementaire

Le Data Act européen encadre désormais le changement de fournisseur cloud

Le Règlement (UE) 2023/2854 (Data Act) comporte un chapitre dédié au changement entre services de traitement de données, avec des obligations de suppression des obstacles techniques et contractuels au changement de prestataire. Peu d'organisations savent aujourd'hui où elles en sont sur ce point.

🔒

Le verrouillage fournisseur s'installe sans être décidé

Comptes de secours, fédération d'identité, Copilot, chiffrement natif, applications Teams personnalisées : chaque choix technique crée un peu plus de dépendance, sans qu'une décision explicite n'ait été prise.

📋

Les clauses de réversibilité sont rarement relues

Les contrats cloud contiennent des clauses de récupération des données et de sortie, mais elles sont signées une fois et jamais revues à la lumière de l'usage réel du tenant.

🧭

Les référentiels existent mais restent théoriques

Le Data Act, SecNumCloud et Gaia-X définissent un vocabulaire et des exigences de portabilité, mais traduire cela en constat opérationnel sur VOTRE tenant demande une méthode et du temps que les équipes IT internes n'ont pas.

Notre approche : Sovereign-Audit

Une méthode structurée, appuyée sur un catalogue de 32 contrôles de dépendance et de portabilité

01
Cadrage

Entretien de cadrage

Échange avec la direction ou le responsable IT pour cadrer le périmètre (tenant M365, entités, filiales, prestataires clés) et les enjeux de dépendance propres à votre organisation.

02
Collecte

Recueil structuré des éléments techniques et contractuels

Examen de la configuration Microsoft 365 (identité, sauvegarde, résidence des données, chiffrement, applications) et des clauses contractuelles de réversibilité auprès de vos prestataires.

03
Analyse

Évaluation face aux 32 contrôles du catalogue

Chaque contrôle est évalué selon un statut clair (couvert, partiel, absent, à vérifier contractuellement), avec une correspondance vers les domaines Microsoft 365 concernés.

04
Mise en perspective

Mise en regard avec le Data Act, SecNumCloud et Gaia-X

Les constats sont reliés, quand c'est pertinent, aux exigences du Data Act européen et au vocabulaire de référence SecNumCloud/Gaia-X - sans jamais présenter cela comme une certification obtenue.

05
Restitution

Rapport et plan d'action priorisé

Remise d'un rapport clair à la direction, avec un plan d'action priorisé pour réduire les points de dépendance les plus critiques.

Ce que vous recevez

Un ensemble clair de documents exploitables par votre direction et vos équipes IT

📝

Rapport de dépendance et portabilité

Évaluation documentée des 32 contrôles du catalogue, avec un statut par contrôle.

  • Cartographie des 7 domaines M365 concernés
  • Statut par contrôle (couvert / partiel / absent / à vérifier)
  • Constats illustrés par des extraits de configuration
  • Synthèse exécutive en première page
🗺

Cartographie du verrouillage fournisseur

Une vue d'ensemble de où se concentre votre dépendance à Microsoft.

  • Identité et fédération
  • Sauvegarde et résidence des données
  • Chiffrement et gestion des clés
  • Applications et automatisations propriétaires

Grille de lecture des clauses de réversibilité

Un support pour relire vos contrats cloud existants avec vos équipes juridiques.

  • Points de vigilance identifiés par le catalogue
  • Questions à poser à vos prestataires
  • Pas un avis juridique - un support de travail
🎯

Mise en perspective réglementaire

Correspondance entre vos constats et le vocabulaire des référentiels de référence.

  • Data Act (UE) 2023/2854 - chapitre changement de prestataire
  • SecNumCloud (ANSSI) - clause de réversibilité
  • Gaia-X - vocabulaire de portabilité / interopérabilité
  • ISO/IEC 27001 Annexe A - relations fournisseurs
📈

Plan d'action priorisé

Des recommandations classées par criticité et facilité de mise en œuvre.

  • Actions rapides (quick wins)
  • Chantiers de fond (contractuels, techniques)
  • Aucune action mise en œuvre sans votre validation
📄

Restitution et fichiers remis

Des documents dans des formats exploitables par vos équipes.

  • Rapport au format PDF
  • Synthèse pour la direction
  • Session de restitution avec questions/réponses

Référentiels mobilisés

Sovereign-Audit s'appuie sur des cadres publics existants - nous ne délivrons aucune certification

DA

Data Act - Règlement (UE) 2023/2854

Texte européen comportant un chapitre dédié au changement entre services de traitement de données (portabilité et interopérabilité cloud). Sovereign-Audit s'appuie sur ce chapitre pour structurer les questions d'audit, sans présenter un article précis comme une obligation déjà opposable à votre organisation sans vérification juridique.

ISO

ISO/IEC 27001 - Annexe A

Les contrôles organisationnels relatifs aux relations fournisseurs et à la continuité d'activité structurent une partie de l'analyse de dépendance.

SNC

SecNumCloud v3.2 (ANSSI)

Référentiel de qualification volontaire de l'ANSSI. Sa clause de réversibilité contractuelle sert ici de grille de lecture, même si Microsoft 365 standard n'est pas qualifié SecNumCloud.

GX

Gaia-X (Trust Framework)

Cadre européen volontaire, non contraignant, qui fournit un vocabulaire commun de souveraineté et d'interopérabilité entre acteurs cloud, utilisé ici comme grille de lecture.

Périmètre & devis

Chaque mission est cadrée sur devis, selon la taille et la complexité de votre environnement

Diagnostic

PME, tenant M365 unique

Sur devis
Cadré avec vous au préalable
  • Évaluation des 32 contrôles du catalogue
  • Rapport de synthèse
  • Restitution à la direction
Demander un devis

Suivi

Organisations avec un plan de remédiation

Sur devis
Cadré avec vous au préalable
  • Tout Approfondi +
  • Plan d'action priorisé détaillé
  • Point de suivi après mise en œuvre des actions
  • Actualisation du rapport
Demander un devis

Aucun tarif n'est fixé à l'avance sur cette page

Le périmètre exact (nombre d'entités, taille du tenant, profondeur d'analyse contractuelle) est défini avec vous avant tout devis.

Questions fréquentes

Mon organisation est-elle concernée par le Data Act européen ?
Le Data Act (Règlement (UE) 2023/2854) s'applique largement aux fournisseurs et utilisateurs de services cloud dans l'Union européenne, avec des dispositions spécifiques sur le changement de prestataire. Sovereign-Audit vous aide à comprendre concrètement où vous en êtes, mais ne remplace pas une analyse juridique dédiée à votre situation.
Sovereign-Audit est-il lié à l'audit M365 automatisé Vigil365 de SYAGA ?
Non. Sovereign-Audit est une mission menée par nos auditeurs, appuyée sur le même catalogue de contrôles que nos autres travaux, mais réalisée manuellement, sans extension de collecte automatisée. Ce n'est pas le même produit que la solution d'audit M365 en zero-knowledge de SYAGA.
Le rapport constitue-t-il un avis juridique ?
Non. Sovereign-Audit est un outil d'accompagnement opérationnel et technique. Il ne constitue pas un avis juridique et ne remplace pas la relecture de vos contrats par un avocat ou votre service juridique.
Combien de temps dois-je libérer sur mon équipe ?
L'entretien de cadrage et la restitution finale mobilisent votre direction ou votre responsable IT. Le reste de la collecte et de l'analyse est effectué par nos auditeurs. Le volume exact dépend du périmètre retenu et sera précisé dans le devis.
En quoi SYAGA est légitime pour réaliser cet audit ?
SYAGA Consulting réalise des audits de sécurité des systèmes d'information depuis 2009, auprès de clients de 50 à 5 000 salariés dans plusieurs secteurs. Le catalogue de contrôles utilisé pour Sovereign-Audit s'appuie sur ce même travail d'audit.
Sovereign-Audit certifie-t-il que mon organisation est souveraine ?
Non. Sovereign-Audit mesure votre dépendance et votre portabilité à un instant donné, sur la base de constats vérifiables. Nous ne délivrons aucun label ni certification de souveraineté.

Envie de savoir où vous en êtes réellement ?

Contactez-nous pour recevoir un devis adapté à votre périmètre.