Phylapp
Audit, conformité et responsabilité organisationnelle

Les preuves attendues pour démontrer la conformité

Démontrer la conformité ne se limite pas à déclarer le respect des règles — les autorités de contrôle attendent des preuves documentées, traçables et cohérentes dans le temps.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 71 lectures

De la déclaration à la démonstration

Il existe une différence fondamentale entre déclarer être conforme et démontrer sa conformité. La première est une affirmation ; la seconde est une preuve. Les autorités de contrôle — régulateurs sectoriels, autorités de protection des données, organismes de certification — n'accordent plus de valeur à la simple déclaration. Elles exigent des preuves : documents datés, journaux d'activité, registres, rapports de test, procès-verbaux de réunions.

Cette évolution n'est pas arbitraire. Elle répond à des décennies d'expérience où des organisations ont présenté des politiques impeccables sur le papier tout en maintenant des pratiques insuffisantes. Le RGPD, NIS 2, DORA, et les cadres sectoriels financiers ont tous renforcé cette logique de démonstration : l'article 5(2) du RGPD impose explicitement le principe d'accountability — la responsabilité de démontrer le respect des obligations, pas seulement de les respecter.

Pour la direction, cette évolution réglementaire a des implications pratiques immédiates : il ne suffit plus de mettre en place les bonnes politiques. Il faut organiser la production et la conservation des preuves de leur application.

Points clés

  • Maersk (2017) : Après l'attaque NotPetya, Maersk a dû démontrer aux régulateurs de plusieurs pays sa capacité à reprendre ses activités et la robustesse de ses mécanismes de sauvegarde. L'absence de documentation complète a prolongé les enquêtes réglementaires et alourdi le coût final de l'incident.
  • Twitter/X (2022) : La FTC américaine a imposé un programme de conformité renforcé après avoir constaté que Twitter ne pouvait pas fournir de preuves suffisantes de la mise en œuvre de son programme de sécurité déclaré — illustrant le principe que la conformité non documentée est une non-conformité pour les régulateurs.
  • Les preuves de conformité doivent être produites de façon contemporaine aux actions — une documentation rétrospective est systématiquement moins valorisée.
  • La traçabilité des accès, des modifications de configuration et des traitements de données est le socle minimal de preuve attendu par tous les régulateurs modernes.
  • La conservation des preuves répond à des durées légales variables selon les cadres réglementaires — leur gestion doit être organisée.

Les catégories de preuves attendues par les régulateurs

Les preuves de conformité attendues par les autorités de contrôle se répartissent en cinq grandes catégories, qui correspondent aux phases du cycle de gestion de la sécurité.

La première catégorie est la gouvernance documentaire : politiques de sécurité, chartes d'utilisation, procédures de gestion des incidents, registres des traitements de données pour le RGPD, décisions formelles du comité de direction concernant les risques acceptés. Ces documents doivent être datés, versionnés, et approuvés par les personnes habilitées. La deuxième catégorie est la traçabilité opérationnelle : journaux d'accès aux systèmes, logs de modifications de configuration, registres d'habilitation, historiques de révocation. Ces traces constituent la preuve que les politiques sont effectivement appliquées au quotidien.

La troisième catégorie est la gestion des incidents : registre des incidents de sécurité, procès-verbaux d'analyse post-incident, notifications aux régulateurs et aux personnes concernées le cas échéant, suivi des mesures correctives. La quatrième catégorie est la formation et la sensibilisation : registres des formations réalisées, listes de participants, évaluations de compréhension. La cinquième catégorie est le contrôle des tiers : contrats avec les sous-traitants incluant les clauses de sécurité requises, résultats des audits de fournisseurs, registres des transferts de données.

Organiser la production de preuves sans alourdir les opérations

La production de preuves de conformité peut sembler contradictoire avec l'efficacité opérationnelle. En réalité, une organisation bien gouvernée produit naturellement la plupart de ces preuves dans le cours normal de ses activités — à condition que ses processus soient conçus pour capturer et conserver les traces nécessaires.

Le premier principe organisationnel est l'automatisation de la traçabilité : les systèmes informatiques modernes génèrent des journaux d'activité par défaut. La question n'est pas de créer ces traces, mais de s'assurer qu'elles sont conservées avec la durée et le niveau de détail requis, et qu'elles sont accessibles en cas de contrôle. Le deuxième principe est la standardisation des documents de gouvernance : les procès-verbaux de réunions, les formulaires d'habilitation, les fiches d'incident doivent suivre des modèles qui capturent les informations attendues par les régulateurs. Ce n'est pas une charge supplémentaire — c'est une discipline documentaire.

Le troisième principe est la centralisation des preuves : dispersées entre des services, des outils et des personnes différentes, les preuves de conformité sont inutilisables lors d'un contrôle. Leur centralisation dans un référentiel accessible est une condition d'efficacité en cas d'inspection réglementaire.

Cas documenté

Morgan Stanley (2020-2022) : Morgan Stanley a fait l'objet de deux amendes significatives de la SEC, totalisant plus de 35 millions de dollars, notamment en raison de son incapacité à démontrer la destruction sécurisée de supports de stockage contenant des données clients. La banque avait bien une politique de destruction des données — mais elle ne pouvait pas fournir les preuves que cette politique avait été effectivement appliquée pour les équipements concernés. Ce cas illustre précisément le principe d'accountability : la politique sans la preuve de son application est insuffisante pour les régulateurs.

Les durées de conservation et leur gestion

La conservation des preuves obéit à des règles de durée qui varient selon les cadres réglementaires et les types de documents. RGPD, NIS 2, réglementations financières (DORA, MiFID II), codes du travail et code de commerce établissent chacun des durées minimales de conservation pour différentes catégories de données et de documents.

La gestion de ces durées est une responsabilité de gouvernance. Elle requiert une cartographie des obligations de conservation applicable à chaque catégorie de preuve, un système de gestion du cycle de vie documentaire qui applique automatiquement les durées de conservation, et un processus de destruction sécurisée à l'expiration des délais — avec une preuve de cette destruction pour certains types de données.

Une politique de conservation mal calibrée crée deux risques symétriques : conserver trop longtemps expose à des violations du principe de minimisation des données (RGPD) ; conserver trop peu expose à l'impossibilité de fournir les preuves attendues lors d'un contrôle. La direction juridique et la direction de la conformité doivent collaborer pour définir et maintenir cette politique.

Références sectorielles
SolarWinds (2020) : Dans les procédures judiciaires et réglementaires qui ont suivi l'attaque, SolarWinds a dû fournir des volumes considérables de preuves documentaires sur ses pratiques de sécurité des années précédentes. L'organisation avait heureusement conservé des journaux et des documents suffisants, ce qui lui a permis de limiter sa responsabilité réglementaire. Cet épisode a conduit de nombreuses entreprises à revoir leurs politiques de conservation des preuves de conformité.
EasyJet (2020) : La violation de données affectant 9 millions de passagers d'EasyJet a mis en évidence des lacunes dans la documentation des mesures de sécurité en place. L'ICO britannique a relevé l'incapacité de la compagnie à démontrer que les mesures de sécurité requises avaient été effectivement implémentées, au-delà de leur déclaration dans les politiques. L'amende de 20 millions de livres sterling a en partie reflété cette défaillance de démonstration.
Air India (2021) : Suite à la violation de données de 4,5 millions de passagers d'Air India, les régulateurs indiens ont constaté des lacunes importantes dans la documentation des mesures de protection des données personnelles. La compagnie ne pouvait pas fournir de preuves suffisantes que les mesures de sécurité déclarées dans sa politique de protection des données étaient effectivement appliquées à ses systèmes de réservation.

Articles similaires

L’audit est le révélateur du niveau réel de sécurité d’une organisation

Points clés Un audit de sécurité est d'abord un outil de mesure de la réalité opérationnelle — il révèle l'écart entre les politiques formelles et les pratiques

24 mai 2026 7 min

Les limites des audits ponctuels face aux risques numériques

Points clés Un audit annuel offre une photographie de la sécurité à un instant T — il ne garantit pas la sécurité des 364 jours suivants, période pendant laquel

24 mai 2026 7 min

Les erreurs fréquentes dans la préparation aux audits de sécurité

Points clés La principale erreur de préparation à l'audit est de préparer l'audit plutôt que de préparer la sécurité : corriger ponctuellement les écarts visibl

24 mai 2026 7 min
WhatsApp