Quelle est la valeur probatoire des rapports ?

Aucune. Les rapports COMPLIANCE Scanner ne constituent pas un audit signé, une certification ni un avis juridique. Usage strictement pré-due-diligence.

Le service peut-il se tromper ?

Oui. Les LLMs hallucinent. Versions de contrats, clauses et certifications doivent être vérifiées dans la documentation officielle du fournisseur avant toute décision.

Est-ce un registre DORA Article 28(3) ?

Non. COMPLIANCE Scanner est un outil d'analyse externe pré-due-diligence. Pour un registre DORA Art. 28(3), voir des solutions dédiées comme 3rdRisk, ProcessUnity ou Diligent.

Which regulations are covered?

GDPR (2016/679), Schrems II (CJEU C-311/18), DORA (2022/2554), NIS2 (2022/2555), EU AI Act (2024/1689). No US framework.

What data is analyzed?

The parametric corpus of Gemini 2.5 Flash-Lite (L1) and Google Search grounding results (L3). No ingestion of client DPAs.

How is the verdict computed?

By a three-tier pipeline: L1 generation (Gemini 2.5 Flash-Lite, JSON schema via SYSTEM_INSTRUCTION), 14 deterministic L4 YAML guardrails, then asynchronous L3 validation (Vertex Gemini 2.5 Pro + Google Search grounding). The verdict may be refined by L3 after the first render.

Is this a replacement for Vanta or Drata?

No. Vanta and Drata collect evidence via continuous integrations. COMPLIANCE Scanner performs a one-shot external analysis.

Is it a DORA Article 28(3) registry?

No. See 3rdRisk, ProcessUnity or Diligent for an Article 28(3) registry.

Do reports have probative value?

No. No signed audit trail. Strict pre-due-diligence usage.

Where is the data hosted?

Firebase and Cloud Run in europe-west1 region. Gemini key in EU Secret Manager.

Yes. LLMs hallucinate. Versions and clauses must be verified against official vendor documentation.

Can I audit my own internal IS?

No. The tool evaluates only third-party SaaS.

What is the marginal cost of an audit?

An L1 (Gemini Flash-Lite) + L3 (Vertex Pro) call, cached 30 days in Firestore. Subsequent runs of the same (toolName, lang) pair are free within that window.

Audit de conformité SaaS · Union Européenne

COMPLIANCE Scanner : auditeur à la demande pour SaaS tiers contre les cadres réglementaires européens.

Q: Quels cadres réglementaires sont couverts ?

RGPD (2016/679), Schrems II (CJUE C-311/18), DORA (2022/2554), NIS2 (2022/2555), EU AI Act (2024/1689). Aucun cadre américain (SOC 2, FedRAMP) n'est inclus.

Q: Où sont hébergées les données ?

Firebase (Firestore, Auth) et Cloud Run en region europe-west1. La clé Gemini est stockée dans GCP Secret Manager EU. Aucune donnée en dehors de l'Union Européenne.

Service web qui classe un outil SaaS tiers contre cinq cadres européens — GDPR, DORA, NIS2, Schrems II, EU AI Act — à partir de son seul nom. Résultat produit par un pipeline anti-hallucination 3-tiers (génération → règles déterministes → validation par recherche) : un objet JSON structuré contenant verdict RED / ORANGE / GREEN, score de maturité, plan de remédiation, analyse d'exposition au Cloud Act.

Démarrer un audit Comment ça marche

Cadres couverts: 5
Moteur: Pipeline L1→L4→L3
Région: europe-west1
Cache audit: Firestore 30d

§1 · Définition système

Qu'est-ce que COMPLIANCE Scanner ?

COMPLIANCE Scanner est un service web d'audit de conformité SaaS à entrée unique. L'utilisateur saisit le nom d'un outil tiers (Notion, Slack, ChatGPT Enterprise…) ; le service retourne un JSON structuré qualifiant sa posture vis-à-vis des obligations européennes.

Architecture : frontend Angular 21 statique (Firebase Hosting, SSG prérendu), backend Express.js sur Cloud Run europe-west1, pipeline d'analyse anti-hallucination 3-tiers — L1 génération (Gemini 2.5 Flash-Lite) → L4 moteur de règles déterministes (14 garde-fous YAML) → L3 validation asynchrone (Vertex Gemini 2.5 Pro + Google Search grounding, via Cloud Tasks) — appelé via proxy authentifié (Firebase ID Token + rate limit et quota par tier : 1 audit/h gratuit, 5/j donateur). La clé API Gemini reste strictement en Secret Manager côté serveur.

§2 · Fonction

Input, traitement, output

Input

toolName: string

lang: "en" | "fr"

Aucun onboarding. Aucun connecteur OAuth. Aucun accès au SI client.

Traitement

Prompt localisé + SYSTEM_INSTRUCTION côté serveur.

Pipeline L1 (Gemini Flash-Lite, responseMimeType: application/json) → L4 garde-fous déterministes → L3 validation asynchrone (Vertex Pro + Search grounding). Parsing tolérant, mise en cache Firestore.

Output

Objet JSON contractuel (v1.1) : claims[] typées et sourcées, verdict, synthesis, remediation_plan[], validator_trace.

§3 · Couverture réglementaire

Cinq cadres européens, un verdict

Cadre	Référence	Ce qui est évalué
GDPR	2016/679	Localisation données, DPA, bases légales, transferts hors UE
Schrems II	CJEU C-311/18	Exposition Cloud Act US, SCCs, mesures supplémentaires
DORA	2022/2554	Couverture ICT TPRM, résilience, reporting incidents TIC
NIS2	2022/2555	Obligations cyber entités essentielles et importantes
EU AI Act	2024/1689	Politique d'entraînement, classe de risque modèle, clauses d'injection

§4 · Modèle d'audit — Protocole C

De la saisie au verdict

Nom d'outil

toolName

Génération

Gemini 2.5 Flash-Lite

Garde-fous

14 règles déterministes

Validation

Vertex 2.5 Pro + Search

Verdict

Couche provenance (registres ANSSI / ANS) — verdict indicatif par défaut, opposable quand une source officielle l'appuie.

1. Génération (L1). Gemini 2.5 Flash-Lite interroge son corpus paramétrique et les URLs publiques citables (CGU, DPA, pages sécurité éditeur), et croise les signaux avec les obligations des cinq cadres via SYSTEM_INSTRUCTION.
2. Garde-fous déterministes (L4). Un moteur de 14 règles symboliques YAML valide la structure et la cohérence de la sortie — downgrade silencieux, FLAG ou REJECT.
3. Validation par recherche (L3). Vertex Gemini 2.5 Pro + Google Search grounding re-vérifie les affirmations de façon asynchrone (Cloud Tasks) et consigne un verdict ACCEPT / FLAG / REJECT dans validator_trace. Verdict affiché : RED prohibé, ORANGE conditionnel, GREEN conforme.
4. Capitalisation. Mise en cache Firestore (TTL 30 j, clé (toolName, lang)), export PDF A4 côté client.

§5 · Structure de sortie

Champs JSON exposés

{
  "schema_version": "1.1",
  "tool_name": string,
  "status": "pending_validation" | "accepted" | "flagged" | "rejected",
  "claims": [{
    "id": "C001",
    "field": "us_cloud_act_exposure" | "certifications" | "licenseType"
           | "sovereigntyCheck.*" | "hostingLocation" | …,
    "value": boolean | string | string[],
    "type": "fact" | "inference" | "assumption" | "unknown",
    "confidence": "high" | "medium" | "low",
    "source": { "url", "quote", "authority_score" } | null
  }],
  "verdict": {
    "riskLevel": "RED" | "ORANGE" | "GREEN",
    "bceStatus": "APPROVED" | "RESTRICTED" | "PROHIBITED",
    "maturityScore": 0-100
  },
  "synthesis": {
    "executive_summary": string,
    "maturity_score": 0-100,
    "impact_narrative": { "what_you_do", "what_you_risk[]", "what_you_abandon[]" }
  },
  "remediation_plan": [{ "step", "priority", "effort", "provider?" }],
  "validator_trace": { "verdict": "ACCEPT" | "FLAG" | "REJECT", "checks": [] }
}

§6 · Différenciateurs techniques

Ce que le produit fait différemment

Zéro onboarding

Pas d'OAuth, pas de SCIM, pas de connecteur. L'audit démarre sur la seule saisie d'un nom d'outil.

Pipeline anti-hallucination 3-tiers

Génération L1 → garde-fous déterministes L4 (14 règles) → validation L3 (Vertex Pro + Search grounding). Les cinq cadres sont évalués puis vérifiés, là où une réponse LLM brute ne l'est pas.

Annuaire souverain typé

23 providers cloud EU avec cloud_act_exposure, sovereigntyScore, certifications SecNumCloud / HDS / C5.

Hébergement europe-west1

Cloud Run, Firestore et Firebase Hosting localisés en UE. Clé Gemini stockée dans Secret Manager EU.

Zero-secret frontend

generate-env.js vérifie qu'aucune variable sensible n'est injectée dans le bundle client.

Bilingue FR / EN natif

Prompt engineering localisé (ancrage CNIL côté FR) + UI entièrement traduite.

§7 · Limites

Ce que le produit ne fait pas

Pas de collecte automatisée de preuves (contrairement à Vanta, Drata, Secureframe).
Pas de registre DORA Art. 28(3) (nécessite 3rdRisk, ProcessUnity, Diligent).
Pas d'intégration IAM / SIEM / ITSM / CMDB.
Les sources[] citées par L1 sont générées par le modèle (à vérifier contre la documentation éditeur) ; le pipeline L3 valide les affirmations par Google Search grounding, mais ne re-fetche pas chaque URL individuellement.
Scoring non-déterministe : deux exécutions peuvent diverger (atténué par le cache 30 j).
Quota par tier (1 audit/h gratuit, 5/j donateur) — inadapté aux portefeuilles  > 100 SaaS.
Annuaire souverain EU mis à jour manuellement.
Rapports non signés cryptographiquement — pas de valeur probatoire formelle.
Aucune évaluation du SI interne du client ; uniquement des tiers.

§8 · Positionnement marché

Complémentaire, non concurrent

Catégorie	Exemples	Leur fonction	Relation
Compliance automation	Vanta, Drata, Secureframe	Collecte continue de preuves, monitoring SOC2/ISO 27001	Complémentaire
AI governance	Credo AI, OneTrust, watsonx.governance	Registre modèles, policy packs EU AI Act	Complémentaire
DORA / TPRM	3rdRisk, ProcessUnity, UpGuard	Registre Art. 28(3), cartographie sous-traitants	Complémentaire

COMPLIANCE Scanner se positionne en amont : screening first-pass avant enregistrement dans ces plateformes.

§9 · FAQ

Questions fréquentes

Quelles réglementations sont couvertes ?

GDPR (2016/679), Schrems II (CJUE C-311/18), DORA (2022/2554), NIS2 (2022/2555), EU AI Act (2024/1689). Aucun référentiel US (SOC 2, HIPAA, CCPA).

Quelles données sont analysées ?

Le corpus paramétrique de Gemini 2.5 Flash-Lite (L1) et les résultats de Google Search grounding (validation L3, Vertex Pro). Aucune ingestion de DPA client ni de contrat signé.

Comment le verdict est-il calculé ?

Par un pipeline en 3 tiers — génération L1 (Gemini Flash-Lite, schéma JSON imposé par SYSTEM_INSTRUCTION), 14 règles symboliques déterministes L4 (garde-fous), puis validation L3 (Vertex Pro + Google Search grounding, asynchrone). Le verdict peut être affiné par L3 après le premier rendu.

Est-ce un remplaçant de Vanta ou Drata ?

Non. Vanta et Drata collectent des preuves via intégrations continues sur le SI client. COMPLIANCE Scanner fait une analyse externe ponctuelle.

Est-ce un registre DORA Art. 28(3) ?

Non. Le registre DORA exige une persistance structurée des fonctions critiques, sous-traitants et contrats. Voir 3rdRisk, ProcessUnity ou Diligent.

Les rapports ont-ils valeur probatoire ?

Non. Aucun audit trail signé, aucune traçabilité clause-par-clause. Usage strict : pré-due-diligence, à valider contre le DPA signé.

Où sont hébergées les données ?

Firebase et Cloud Run en région europe-west1. La clé Gemini est stockée dans Google Secret Manager EU. Le frontend ne contient aucun secret.

L'IA peut-elle se tromper ?

Oui. Les LLM hallucinent. Versions, clauses et juridictions doivent être vérifiées contre la documentation officielle de l'éditeur avant toute décision.

Peut-on auditer son propre SI interne ?

Non. L'outil évalue la posture publique de SaaS tiers. Pour évaluer un SI interne, se tourner vers une plateforme GRC traditionnelle.

Quel est le coût marginal d'un audit ?

Un appel L1 (Gemini Flash-Lite) puis une validation L3 (Vertex Pro, asynchrone) facturés à Google, mis en cache 30 jours dans Firestore. Les exécutions suivantes du même couple (toolName, lang) sont gratuites sur cette fenêtre.

Guide complet → /help

§10 · Glossaire

Termes clés

Cloud Act: Loi US 2018 autorisant les autorités américaines à accéder aux données détenues par entreprises US, même hébergées hors US.
Schrems II: Arrêt CJUE C-311/18 (2020) invalidant le Privacy Shield, exigeant mesures supplémentaires pour transferts UE → US.
DORA: Digital Operational Resilience Act (UE 2022/2554), applicable depuis janvier 2025.
EU AI Act: Règlement (UE) 2024/1689, obligations high-risk applicables à compter d'août 2026.
SecNumCloud: Qualification ANSSI pour offres cloud souveraines françaises.
TPRM: Third-Party Risk Management — gestion du risque lié aux fournisseurs tiers.
BCE status: Classification interne du produit : APPROVED, RESTRICTED, PROHIBITED — inspirée des politiques de banque centrale.
Protocole C: Taxonomie de verdict : RED (prohibé), ORANGE (conditionnel), GREEN (conforme).

Démarrer un audit

Saisissez le nom d'un SaaS. Aucune configuration. Connexion Google requise (Firebase Auth) — aucune clé API à fournir.

Lancer l'audit