"La souveraineté d'une organisation ne peut pas être plus forte que le maillon le plus faible de sa chaîne de valeur numérique. Un tiers non-conforme est une brèche dans votre propre posture de souveraineté."
Extension de la souveraineté aux partenaires et fournisseurs, due diligence souveraineté dans les appels d'offres, scoring tiers, clauses contractuelles de propagation.
CDO, CIO, CISO, équipes achats IT, juristes, responsables risques tiers (TPRM), responsables conformité DORA/NIS2.
DORA Art. 28-30 (TPRM), NIS2 Art. 21.2.d (supply chain), Data Act Art. 5-9 (données tiers), EU AI Act Art. 25 (déployeurs).
½ journée (3h30) — 2 séquences + 1 atelier scoring d'un fournisseur réel.
La chaîne de valeur numérique d'une organisation bancaire comprend typiquement 4 catégories de tiers, chacune avec un profil de risque souveraineté distinct.
| Catégorie | Exemples typiques | Accès à vos données | Risque souveraineté | Obligation DORA/NIS2 |
|---|---|---|---|---|
| Fournisseurs TIC critiques | Plateforme data, cloud, core banking, SIEM | Données critiques | Critique | DORA Art. 28 complet |
| ESN & intégrateurs | SSII, cabinets de conseil tech, éditeurs customisés | Données confidentiel + code | Élevé | DORA Art. 28 + clauses PI |
| Fournisseurs IA & données | API LLM, data providers, modèles tiers | Données potentiellement confidentiel | Élevé | EU AI Act Art. 25 + RGPD |
| Partenaires & écosystème | Fintechs, assurtech, Open Banking DSP3 | Données clients partagées | Modéré | RGPD + contrats DPA |
| Fournisseurs support | Outils RH, marketing, productivité | Données internes | Faible | RGPD basique |
DORA Art. 28.5 : les entités financières doivent s'assurer que les contrats prévoient une traçabilité des sous-traitants et un droit d'opposition à la sous-traitance vers certains pays. Cette obligation s'étend aux sous-traitants de rang 2 et 3.
Le scoring souveraineté (SSF — Score Souveraineté Fournisseur) est un outil de due diligence à intégrer dans chaque appel d'offres et chaque renouvellement de contrat pour les tiers TIC critiques.
| Dimension | Questions d'évaluation | Poids | Score /5 |
|---|---|---|---|
| Juridiction | Entité UE ? Maison mère hors UE ? Exposition Cloud Act, PIPL, CLOUD Act UK ? | 25% | __ /5 |
| Localisation données | Données stockées exclusivement en UE ? Certifications datacenter (ISO 27001, HDS, SecNumCloud) ? | 20% | __ /5 |
| Portabilité & réversibilité | Export des données en format standard ? Plan de sortie documenté ? Délai de migration estimé ? | 20% | __ /5 |
| Auditabilité | Droit d'audit contractuel ? Rapport SOC 2 ou ISO 27001 disponible ? Logs exportables ? | 15% | __ /5 |
| Sous-traitance | Liste des sous-traitants disponible ? Droit d'opposition ? Notification en cas de changement ? | 10% | __ /5 |
| Compétences internes activées | L'organisation dispose-t-elle des compétences pour évaluer et superviser ce fournisseur ? | 10% | __ /5 |
Le SSF doit être un critère d'évaluation pondéré à au moins 15% dans tout appel d'offres portant sur un système TIC critique (DORA) ou un outil traitant des données confidentielles. Un SSF < 2.5 doit être une condition éliminatoire pour les contrats portant sur des données critiques.
Ces clauses doivent figurer dans tous les contrats avec des tiers TIC critiques. Elles propagent vos exigences de souveraineté à vos fournisseurs — et à leurs propres sous-traitants.
"Les données confiées au prestataire ne pourront être stockées, traitées ou transmises en dehors de l'Union Européenne sans accord préalable écrit du client. Le prestataire certifie la localisation des données et de leurs sauvegardes."
"Le prestataire s'engage à imposer à ses propres sous-traitants les mêmes obligations de localisation, de sécurité et de confidentialité que celles définies dans le présent contrat. Il notifiera tout changement de sous-traitant dans un délai de 30 jours."
"Le client dispose d'un droit d'audit annuel des mesures de sécurité, de la localisation des données et du respect des obligations contractuelles. Le prestataire mettra à disposition les documents, logs et accès nécessaires dans un délai de 15 jours ouvrés."
"À toute demande du client ou en cas de résiliation, le prestataire fournit l'intégralité des données dans un format ouvert et interopérable dans un délai de 30 jours, sans frais de migration excessifs, conformément au Data Act Art. 23."
"Tout incident de sécurité susceptible d'affecter les données ou les services du client sera notifié dans les 24 heures. Un rapport détaillé sera fourni dans les 72 heures, conformément aux exigences DORA Art. 19 et NIS2 Art. 23."
"À la résiliation du contrat, le prestataire certifie la destruction sécurisée de toutes les données confiées dans un délai de 30 jours. Un certificat de destruction conforme à la norme DoD 5220.22-M sera fourni."
"Le prestataire maintient à jour un plan de réversibilité détaillé incluant : étapes de migration, volumes de données, délais estimés, ressources requises. Ce plan est actualisé annuellement et testé partiellement tous les 2 ans."
"Le prestataire s'engage à maintenir sa conformité aux réglementations DORA, NIS2, RGPD et EU AI Act applicables pendant toute la durée du contrat. Toute décision réglementaire le concernant sera notifiée dans les 5 jours ouvrés."
Art. 28.5 : la traçabilité des sous-traitants de rang 2 et 3 est une obligation. Un fournisseur TIC critique ne peut pas sous-traiter vers une juridiction non-UE sans votre accord explicite et documenté.
Intégrer le Score Souveraineté Fournisseur comme critère pondéré à 15% minimum dans les appels d'offres TIC critiques. Un SSF < 2.5 = condition éliminatoire pour les données critiques.
Localisation UE, propagation aux sous-traitants, droit d'audit, portabilité, notification incidents, destruction certifiée, réversibilité documentée, conformité continue. Ces 8 clauses forment le socle minimal souverain.
① Grille SSF (Score Souveraineté Fournisseur) prête à l'emploi ② Template des 8 clauses contractuelles de propagation ③ Cartographie des tiers avec SSF calculé et plan de remédiation prioritaire.
"Un appel d'offres sans critère de souveraineté est un appel d'offres qui optimise le prix à court terme et crée une dépendance à long terme."